Fichiers cachés + raccourcis + Facebook.vbs sur clés usb

[Evasion60]

Re

ZHPDiag => La loupe + "analyse complète" !

Via le panneau de configuration, désinstalle =>
C:\ProgramFiles\ Notation

Je reviens avec un script de correction

[Evasion60]

Re

1/
Fait tes mises à jour, importantes =>

---\\ Web Browser
MSIE: Internet Explorer v8.0.6001.18702 => Microsoft Internet Explorer
MFIE: Mozilla Firefox 20.0.1 (Defaut) // V:21.0
GCIE: Google Chrome v23.0.1271.64 => Google Inc

---\\ System Optimizer
CCleaner v3.22 => Piriform Ltd // V:4.1.xxxx


---\\ Software Update
Adobe Flash Player 11 Plugin => Adobe Systems
Adobe Reader X => Adobe Systems // V:11.0.3
Java 7u21

2/
Applique ce correctif =>

Lance ZHPFix par l'icône sur le bureau, par un double clic



* Dans la fenêtre qui s'ouvre, valide par " OK "
Elle a été créée lors de l'installation de ZHPDiag



A l'aide de la souris (clic gauche maintenu), sélectionne et copie (clic droit/copier) le contenu de l'encadré ci-dessous

Code : Tout sélectionner

[MD5.A065F048E9E23E6C026A7BB548D126A7] - (.Apple Inc. - Bonjour Service.) -- F:\Program Files\Bonjour\mDNSResponder.exe   [345376] [PID.1660]  
G0 - GCSP: Preference [User Data\Default] https://www1.delta-search.com    => Toolbar.DeltaSearch  
G1 - GCS: Preference [User Data\Default] https://www1.delta-search.com    => Toolbar.DeltaSearch  
G2 - GCE: Preference [User Data\Default] [niapdbllcanepiiimjjndipklodoedlc] Yontoo v.1.0.3 (DàƒÂ©sactivàƒÂ©)    => Infection PUP (Adware.Yontoo)*  
M2 - MFEP: prefs.js [Administrateur - 41cuc94b.default\{635abd67-4fe9-1b23-4f01-e679fa7484c1}] [yahoo.ytff] Yahoo! Toolbar v1.3.0.20060829 (..)    => Toolbar.Yahoo  
O4 - HKLM\..\Run: [DAEMON Tools-1033] . (.DAEMON'S HOME - Virtual DAEMON Manager.) -- F:\Program Files\D-Tools\daemon.exe  
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} ((no name)) - https://pogofr.oberon-media.com/online2/pogo/chuzzle/popcaploader_v10_fr.cab    => Infection BT (Adware.PopCap)  
O1 - Hosts: 69.90.81.66 COQUELICOT    => Infection Hosts (Hosts.Redirection)↓  
O1 - Hosts: 69.90.81.66 COQUELICOT    => Infection Hosts (Hosts.Redirection)↓  
O41 - Driver: (as6eio) . (. - .) - F:\WINDOWS\system32\drivers\as6eio.sys (.not file.)    => Fichier absent  
O42 - Logiciel: Java 6 Update 18 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216018F0}    => Sun Microsystems Java Update  
O42 - Logiciel: Java 6 Update 21 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216010FF}    => Sun Microsystems Java Update  
O42 - Logiciel: Java 6 Update 4 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160040}    => Sun Microsystems  
O42 - Logiciel: Java 6 Update 5 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160050}    => Sun Microsystems  
[HKCU\Software\BabSolution]    => Infection PUP (Hijacker.BabSolution)  
[HKCU\Software\Notation]    => Infection Proxy (Hijacker.Proxy)  
[HKCU\Software\Usbfix]    => El Desaparecido  
[HKCU\Software\à†‚Aà†‚và†‚à…Â à†‚Pà‚[à†‚Và†‚ââ‚¬Â¡à†‚â€œ à†‚Eà†‚Bà†‚Uà‚[à†‚h‚àƒâ€¦à‚à‚¶à‚à‚¬â€šà‚³â€šàƒÂªâ€šà‚Â½à†‚à‚à‚[à†‚Jà†‚â€¹ à†‚Aà†‚và†‚à…Â à†‚Pà‚[à†‚Và†‚ââ‚¬Â¡à†‚â€œ]      
[HKCU\Software\?? ?? ???? ????? ??? ?? ????]  
[HKLM\Software\Notation]    => Infection Proxy (Hijacker.Proxy)  
O43 - CFD: 09/12/2010 - 21:31:32 - [22,355] ----D F:\Program Files\LimeWire    => LimeWire Java PeerToPeer  
O43 - CFD: 25/03/2011 - 21:39:57 - [0,014] ----D F:\Program Files\Notation    => Infection Proxy (Hijacker.Proxy)  
O43 - CFD: 20/05/2013 - 13:10:59 - [1,651] ----D F:\Program Files\Spybot - Search & Destroy    => Safer Networking Ltd - Spybot S&D  
O47 - AAKE:Key Export SP - "F:\Program Files\LimeWire\LimeWire.exe" [Enabled] .(...) -- F:\Program Files\LimeWire\LimeWire.exe (.not file.)    => LimeWire%Java PeerToPeer  
O47 - AAKE:Key Export SP - "F:\Program Files\iMesh Applications\iMesh\iMesh.exe" [Enabled] .(...) -- F:\Program Files\iMesh Applications\iMesh\iMesh.exe (.not file.)    => Infection PUP (PUP.iMesh)*  
O47 - AAKE:Key Export SP - "F:\Program Files\Windows iLivid Toolbar\Datamngr\ToolBar\dtUser.exe" [Enabled] .(...) -- F:\Program Files\Windows iLivid Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.)    => Infection PUP (PUP.BearShare)*  
O47 - AAKE:Key Export DP - "F:\Program Files\iMesh Applications\iMesh\iMesh.exe" [Enabled] .(...) -- F:\Program Files\iMesh Applications\iMesh\iMesh.exe (.not file.)    => Infection PUP (PUP.iMesh)*  
O53 - SMSR:HKLM\...\startupreg\IMJPMIG8.1  [Key] . (.Microsoft Corporation - Microsoft IME.) -- F:\WINDOWS\IME\imjp8_1\IMJPMIG.exe  
O64 - Services: CurCS - 12/02/2010 - F:\Program Files\Bonjour\mDNSResponder.exe (Bonjour Service)  .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE  
O64 - Services: CurCS - 19/09/2011 - F:\Program Files\Google\Update\GoogleUpdate.exe (gupdate)  .(.Google Inc. - Programme d'installation de Google.) - LEGACY_GUPDATE    => Service Google Update  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]    => Toolbar.Skype  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]    => Toolbar.Skype  
[HKLM\Software\Classes\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1}]    => Infection BT (Adware.SmartShopper)  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a}]    => Infection BT (Adware.PopCap)  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{df780f87-ff2b-4df8-92d0-73db16a1543a}]    => Infection BT (Adware.PopCap)  
[HKLM\Software\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a}]    => Infection BT (Adware.PopCap)  
[HKLM\Software\Classes\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca}]    => Infection BT (Adware.PopCap)  
[HKLM\Software\Classes\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe}]    => Infection BT (Adware.PopCap)  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Companion]    => Toolbar.Yahoo  

EmptyCLSID
Emptytemp
EmptyFlash

Clique sur le bouton Presse-papier encadré en rouge sur l'image.




Les lignes contenues dans le presse-papier vont s'afficher.

Clique sur le bouton GO en bas à gauche.

Note: Si l'UAC est active, après le clic sur "GO", un message va apparaître du style "Voulez-vous autoriser le programme...." qu'il faudra valider :

Puis ZHPFix se relance, il faudra à nouveau cliquer sur le bouton "Presse-papier" pour coller les lignes, puis sur le bouton "GO"

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil (en haut à doite).

Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.




Le rapport se trouve aussi à cet emplacement => C:\ZHP\ZHPFix.txt


Après les mises à jour, reviens avec le rapport de ZHPFix

[Swan]

ZHPDiag => La loupe + "analyse complète" !

Bouh, je comprends pas tout :'(
Sur ZHPDiag, la loupe avec le - dit "lancer le diagnostic"; la loupe avec le + dit "diagnostic full options"; et la loupe normale à droite dit "diagnostic avec légitimes". Du coup ça m'avance pas trop... :X

Et pour Notation, je ne l'ai pas dans "Ajouter/supprimer des programmes" dans le panneau de configuration, dois-je le supprimer directement du dossier?

Et ok je vais faire tout ça.

[Evasion60]

Re

Applique le correctif / STP


Bouh, je comprends pas tout :'(
Sur ZHPDiag, la loupe avec le - dit "lancer le diagnostic"; ===> Celle-ci ne sert pas à grand chose, certains modules ne sont pas analysés !
la loupe avec le + dit "diagnostic full options"; ===> Yes, c'est bien celle-ci qu'il faut prendre
et la loupe normale à droite dit "diagnostic avec légitimes"===> Aucun intérêt pour un Helper, simple contrôle
Du coup ça m'avance pas trop... :X

Et pour Notation, je ne l'ai pas dans "Ajouter/supprimer des programmes" dans le panneau de configuration, dois-je le supprimer directement du dossier?
===> Le correctif va s'en occuper !

[Swan]

C'est normal qu'une fois la mise à jour d'adobe reader installée, le logiciel qui l'a permise disparaisse?
Et pourquoi tu m'avais demandé de répondre rapidement si je venais du Canada :surpris: ?
Sinon toutes les mises à jours sont faites.

Voici le rapport de ZHPFix () :

Code: Tout sélectionner

Rapport de ZHPFix 2013.5.11.1 par Nicolas Coolman, Update du 11/05/2013
Fichier d'export Registre :
Run by Administrateur at 20/05/2013 18:32:15
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)

Corbeille vidée

========== Logiciel(s) ==========
ABSENT Software Key: {26A24AE4-039D-4CA4-87B4-2F83216018F0}
ABSENT Software Key: {26A24AE4-039D-4CA4-87B4-2F83216010FF}
ABSENT Software Key: {3248F0A8-6813-11D6-A77B-00B0D0160040}
ABSENT Software Key: {3248F0A8-6813-11D6-A77B-00B0D0160050}

========== Processus mémoire ==========
SUPPRIME Reboot Memory Process: F:\Program Files\Bonjour\mDNSResponder.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: CLSID DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A}
SUPPRIME Driver Key: as6eio
SUPPRIME Key: HKCU\Software\BabSolution
SUPPRIME Key: HKCU\Software\Notation
SUPPRIME Key: HKCU\Software\Usbfix
ABSENT Key: HKCU\Software\à†‚Aà†‚và†‚à… à†‚Pà‚[à†‚Và†‚ââ‚¬Â¡à†‚â€œ à†‚Eà†‚Bà†‚Uà‚[à†‚h‚àƒâ€¦à‚à‚¶à‚à‚¬â€šà‚³â€šàƒÂªâ€šà‚Â½à†‚à‚à‚[à†‚Jà†‚â€¹ à†‚Aà†‚và†‚à… à†‚Pà‚[à†‚Và†‚ââ‚¬Â¡à†‚â€œ
ABSENT Key: HKCU\Software\?? ?? ???? ????? ??? ?? ????
SUPPRIME Key: HKLM\Software\Notation
SUPPRIME Key: StartupReg: IMJPMIG8.1
ERREUR Key: Service Legacy: LEGACY_BONJOUR_SERVICE
ERREUR Key: Service Legacy: LEGACY_GUPDATE
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{df780f87-ff2b-4df8-92d0-73db16a1543a}
ABSENT Key: HKLM\Software\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a}
SUPPRIME Key: HKLM\Software\Classes\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca}
SUPPRIME Key: HKLM\Software\Classes\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Companion

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: DAEMON Tools-1033
SUPPRIME AAKE KeyValue: F:\Program Files\LimeWire\LimeWire.exe
SUPPRIME AAKE KeyValue: F:\Program Files\iMesh Applications\iMesh\iMesh.exe
SUPPRIME AAKE KeyValue: F:\Program Files\Windows iLivid Toolbar\Datamngr\ToolBar\dtUser.exe

========== Préférences navigateur ==========
PRESENT Chrome File: F:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: https://www1.delta-search.com
SUPPRIME Chrome Site: https://www1.delta-search.com
SUPPRIME Chrome Site: https://www1.delta-search.com
SUPPRIME Chrome Site: https://www1.delta-search.com
SUPPRIME Chrome Site: https://www1.delta-search.com
PRESENT Chrome File: F:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences
ABSENT Chrome Site: https://www1.delta-search.com
ABSENT Folder Chrome: niapdbllcanepiiimjjndipklodoedlc

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichier(s) ==========
SUPPRIME Reboot f:\program files\d-tools\daemon.exe
ABSENT File: f:\program files\limewire\limewire.exe
ABSENT File: f:\program files\imesh applications\imesh\imesh.exe
ABSENT File: f:\program files\windows ilivid toolbar\datamngr\toolbar\dtuser.exe
SUPPRIME File: f:\windows\ime\imjp8_1\imjpmig.exe
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichier HOSTS ==========
Le fichier Hosts n'est pas réparé, veuillez désactiver votre antivirus.


========== Récapitulatif ==========
1 : Processus mémoire
20 : Clé(s) du Registre
4 : Valeur(s) du Registre
3 : Dossier(s)
7 : Fichier(s)
4 : Logiciel(s)
9 : Préférences navigateur
1 : Fichier HOSTS


End of clean in 00mn 20s

========== Chemin de fichier rapport ==========
F:\ZHP\ZHPFix[R1].txt - 20/05/2013 18:32:15 [4137]

[Evasion60]

Bonsoir

Et pourquoi tu m'avais demandé de répondre rapidement si je venais du Canada :surpris: ?

A cause de l'adresse IP détournée, qui pointe via le Canada !

========== Fichier HOSTS ==========
Le fichier Hosts n'est pas réparé, veuillez désactiver votre antivirus.

Cette adresse IP est là dedans ci dessus (69.90.81.66)

/!\ Lis bien le tuto d'aide ci dessous, il y a deux actions à respecter
* Désactiver Antivirus
* Démarrer avec les droits Administrateur (sous XP clique droit // Exécuter en tant que administrateur)

size=200]/!\[/size] Désactiver l'antivirus, car certains empêchent la modification du fichier hosts
Tutoriel
Compatibilité: Windows 95 / 98 /ME / 2000 / XP/ VISTA / SEVEN ( 32/64Bits )
/!\ Only for French OS /!\

Téléchargez sur votre bureau

Pour le lancer, faites un double-clic sur l'icône deMyHosts qui se trouve sur votre bureau



Le rapport " MyHosts.txt " s'ouvre quelques secondes après, copiez son contenu et postez-le sur le forum o๠vous vous faites aider
Si par erreur vous avez fermé le rapport " MyHosts.txt " avant de le copier, vous pouvez le retrouver à la racine de votre disque système ( par exemple C:\MyHosts.txt )


IMPORTANT :
MyHosts doit être lancé sur une session ayant des droits "administrateur", toute exécution sur un compte "limité" entraînera l'apparition d'une fenêtre DOS vous demandant de le relancer à partir d'un compte administrateur.

[Swan]

Ok ça marche. Par contre si je veux exécuter en tant qu'administrateur, ils demandent un mdp, sauf qu'il n'y a pas de mdp, je mets quoi? Edit: quoiqu'en fait, je suis déjà sur la session administrateur, suis-je bête -_-'

A cause de l'adresse IP détournée, qui pointe via le Canada !

Pour le coup je sais pas du tout :surpris: ...

J'éditerai ce post pour le futur rapport.

Edit: Voici le rapport!

Code: Tout sélectionner

** Rapport MyHosts.txt **

MyHosts V.1.0.0.2 de jeanmimigab

Merci à la team MH, W-T ,C_XX, Laddy et à Batch_man pour leurs aides

Résultat de l'opération:restauration du fichier hosts réussi...

** Fin du rapport **

[Evasion60]

Re

Tu as encore des problèmes sur cette machine ?*

[Swan]

Re,

Je suppose que c'est normal que j'aie dans chacune de mes clés usb un dossier "autorun.inf" avec un fichier "lpt1.UsbFix" à l'intérieur, mais je voulais savoir à quoi ça servait

Et est-ce que c'est normal qu'une fois la mise à jour d'adobe reader installée, le logiciel qui l'a permise disparaisse?

Sinon non, il me semble pas, mes clés usb sont redevenues normales !

Il arrivait à mon pc des fois de bloquer au démarrage au moment o๠on voit une barre bleue défiler sous un grand "Windows", et il mettait beaucoup de temps (genre le sablier qui reste 3h) à afficher la "fenêtre" o๠on sélectionne si on veut mettre en veille, éteindre ou redémarrer le pc, mais je ne sais pas si c'est encore le cas vu tout le nettoyage qui a été fait. Je posterai un message si c'est toujours le cas, à moins que tu aies une idée de ce que ça peut être.

J'ai probablement mon pc portable qui est infecté, dois-je poster un autre sujet?

En tout cas merci beaucoup beaucoup!!!

[Evasion60]

Re

/!\
Pour le portable, tu crées un nouveau sujet => PC n°2 (en titre)

Ce que tu vois sur tes clés USB se sont les vaccins, via USBFix !

Nous terminons avec celui ci

1/

Téléchargez => DelFix de xplode et enregistrez DelFix sur votre bureau.
Cliquez sur Delfix pour le lancer.
Vista/ 7 et 8, faites un clic droit et choisissez "Exécuter en tant qu'administrateur"
Cochez les cases : "Supprimer les outils de désinfections" et "Purger la restauration système"



Cliquez sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
Pour avoir le rapport de l'outils qui est enregistré dans le presse papier Windows.
Faites un clic droit de souris dans votre bloc notes (Notepad) ouvert et sélectionnez "Coller".
Ou Appuyez simultanément sur les touches CTRL et V pour coller le contenu du presse-papier
Le rapport ressemblera à ceci....

# DelFix v10.0 - Rapport créé le 28/01/2013 à 18:18:59
# Mis à jour le 04/01/2013 par Xplode
# Nom d'utilisateur : Patrick - PORTABLE

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\PhysicalDisk0_MBR.bin

~ Purge de la restauration système ...

Supprimé : RP #20 [Fin de désinfection | 01/28/2013 17:18:29]

Nouveau point de restauration créé !
########## - EOF - ##########

Vous pouvez maintenant l'enregistrer et poster son contenu.

2/

Passe ce scanner =>

• Télécharge ESET Online Scanner (de ESET) sur ton bureau.
• Lance ESET Online Scanner, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche "Oui, j'accepte les condiftions d'utilisation"
• Clic sur Démarrer
• Laisse cocher la case "Supprimer menaces détectés"
• Coche "Analyser les archives"
  
  Note : Tout les éléments néfastes seront supprimés automatiquement
• Si aucune menace n'est détectée :
  • Dit le moi simplement dans ta réponse.
• Si des menaces sont détectés :
  • Clique sur "Liste des menaces détectées"
  • Clique sur Exporter vers ...
  • Copie et colle le contenue du rapport sur le forum.

Reviens dans ta réponse avec le rapport du scanner / Merci