suspicion d'infection

[akiyola971]

Bonjour!
je v iens m'adresser à vous, je soupçonne une infection sur mon PC, n'étant pas experte, je m'en remets à vous Pouvez-vous m'aidez de votre aide :

[akiyola971]

voici le rapport

[Evasion60]

Bonjour, et bienvenue sur SoSVirus

Je vais te prendre en charge

En principe, tu n'aurais pas dà» attaquer directement par ZHPDiag !
C'est pas grave, je vais pour le moment faire avec mdr

@+

Edité 15H40 =>

/!\ Bien tu as téléchargé, là ou il ne faut pas ! // Ne plus télécharger sur 01Net et Softonic devenus pourris à cause de "Gros sous en jeux" :faché15:

1/
Via le panneau de configuration, désinstalle si présent =>
C:\Program Files (x86)\Search Results Toolbar
C:\Program Files (x86)\FTDownloader.com

2/
Applique ce correctif =>

Lance ZHPFix par l'icône sur le bureau, par un double clic



* Dans la fenêtre qui s'ouvre, valide par " OK "
Elle a été créée lors de l'installation de ZHPDiag



A l'aide de la souris (clic gauche maintenu), sélectionne et copie (clic droit/copier) le contenu de l'encadré ci-dessous

Code : Tout sélectionner

O36 - AppCertDlls: (x86) . (...) -- C:\Program Files (x86)\Search Results Toolbar\Datamngr\apcrtldr.dll   =>Adware.IMBooster 
O36 - AppCertDlls: (x64) . (...) -- C:\Program Files (x86)\Search Results Toolbar\Datamngr\x64\apcrtldr.dll   =>Adware.IMBooster 
[MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files (x86)\Ask.com\UpdateTask.exe (.not file.)   [0]   =>Toolbar.Ask 
[MD5.00000000000000000000000000000000] [APT] [{9152BDC2-8F5C-4EFB-8ADD-44506DE5E0DB}] (...) -- F:\SUPERCOW JEUX\SupercowSetup.exe (.not file.)   [0]    => Fichier absent  
[HKCU\Software\System32]    => Trojan.Bifrose  
[HKCU\Software\koyotesofttoolbarnew]    => Toolbar.CoyoteSoft  
[HKLM\Software\Wow6432Node\KoyoteSRTB]    => Toolbar.CoyoteSoft  
O43 - CFD: 24/04/2013 - 17:56:18 - [1,068] ----D C:\Program Files (x86)\Search Results Toolbar   =>Adware.IMBooster 
O43 - CFD: 24/04/2013 - 17:56:15 - [0,012] ----D C:\ProgramData\Datamngr   =>PUP.Datamngr 
O69 - SBI: SearchScopes [HKCU] {9DCB7A20-9E3D-46DB-AEC7-84F207636D27} - (01NET.com Main Customized Web Search) - https://search.conduit.com    => Toolbar.Conduit*  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E]   =>Toolbar.Ask 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9]   =>Adware.MyWebSearch 
[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls]   =>Trojan.FakeAlert 
[HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls]   =>Trojan.FakeAlert 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]   =>Toolbar.Agent 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]   =>Toolbar.Agent 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2]   =>Toolbar.Ask 
[HKLM\Software\Wow6432Node\KoyoteSRTB]   =>Toolbar.CoyoteSoft 
[HKCU\Software\koyotesofttoolbarnew]   =>Toolbar.CoyoteSoft 
[HKLM\Software\Wow6432Node\Google\Chrome\Extensions\bbffdhejhaoiflnpooogkckfdcmmjppn]   =>Adware.Downware 
C:\Program Files (x86)\FTDownloader.com   =>Adware.Downware 
C:\Program Files (x86)\Search Results Toolbar   =>Adware.Bandoo 


EmptyCLSID
Emptytemp
EmptyFlash

Clique sur le bouton Presse-papier encadré en rouge sur l'image.




Les lignes contenues dans le presse-papier vont s'afficher.

Clique sur le bouton GO en bas à gauche.

Note: Si l'UAC est active, après le clic sur "GO", un message va apparaître du style "Voulez-vous autoriser le programme...." qu'il faudra valider :
Puis ZHPFix se relance, il faudra à nouveau cliquer sur le bouton "Presse-papier" pour coller les lignes, puis sur le bouton "GO"

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil (en haut à doite).

Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.




Le rapport se trouve aussi à cet emplacement => C:\ZHP\ZHPFix.txt



Reviens dans ta réponse avec son rapport

[akiyola971]

re
voilà le rapport

[Evasion60]

Bonsoir

• Télécharges
• Procèdes à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware PRO"
• Sélectionne Examen complet
• Cliques sur Rechercher
• Supprimes tout les éléments trouvés !
• Postes le rapport sur le forum

[akiyola971]

j'avais omis de signaler que je n'ai pas pu desinstaller Search Results Toolbar ça dit cette action ne peut pas etre realisé, l'un des dossiers est ouvert dans un autre programme
sinon voila pour MALWAREBYTES

Code: Tout sélectionner

Malwarebytes Anti-Malware (PRO) 1.75.0.1300
https://www.malwarebytes.org

Version de la base de données: v2013.06.02.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Annick :: ANNICK-HP [administrateur]

Protection: Activé

02/06/2013 21:14:31
mbam-log-2013-06-02 (21-14-31).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 362384
Temps écoulé: 1 heure(s), 6 minute(s), 42 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

[Evasion60]

Bonsoir

j'avais omis de signaler que je n'ai pas pu desinstaller Search Results Toolbar ça dit cette action ne peut pas etre realisé

ZHPFix l'a shooté

Comment fonctionne ta machine ?

Passe ce scanner en ligne =>

• Télécharge (de ESET) sur ton bureau.
• Lance ESET Online Scanner, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche "Oui, j'accepte les condiftions d'utilisation"
• Clic sur Démarrer
• Laisse cocher la case "Supprimer menaces détectés"
• Coche "Analyser les archives"
  
  Note : Tout les éléments néfastes seront supprimés automatiquement
• Si aucune menace n'est détectée :
  • Dit le moi simplement dans ta réponse.
• Si des menaces sont détectés :
  • Clique sur "Liste des menaces détectées"
  • Clique sur Exporter vers ...
  • Copie et colle le contenue du rapport sur le forum.

A demain, avec son rapport, et la réponse à ma question

[akiyola971]

bonjour et merci
mon pc se comporte bien,pas de soucis
je vous mets le rapport d'Eset

Code: Tout sélectionner

C:\$Recycle.Bin\S-1-5-21-2930511292-3146635974-3655741256-1001\$R9S0HGH.exe menaces multiples nettoyé par suppression - mis en quarantaine
C:\Program Files (x86)\ChrisPC Free Anonymous Proxy\ChrisPC Proxy.exe NewHeur_PE virus probablement inconnu supprimé - mis en quarantaine

[Evasion60]

Bonjour

Ok, avec le scanner en ligne siffle

Nous terminons !
Téléchargez => DelFix de xplode et enregistrez DelFix sur votre bureau.
Cliquez sur Delfix pour le lancer.
Vista/ 7 et 8, faites un clic droit et choisissez "Exécuter en tant qu'administrateur"
Cochez les cases : "Supprimer les outils de désinfections" et "Purger la restauration système"



Cliquez sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
Pour avoir le rapport de l'outils qui est enregistré dans le presse papier Windows.
Faites un clic droit de souris dans votre bloc notes (Notepad) ouvert et sélectionnez "Coller".
Ou Appuyez simultanément sur les touches CTRL et V pour coller le contenu du presse-papier
Le rapport ressemblera à ceci....

# DelFix v10.0 - Rapport créé le 28/01/2013 à 18:18:59
# Mis à jour le 04/01/2013 par Xplode
# Nom d'utilisateur : Patrick - PORTABLE

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\PhysicalDisk0_MBR.bin

~ Purge de la restauration système ...

Supprimé : RP #20 [Fin de désinfection | 01/28/2013 17:18:29]

Nouveau point de restauration créé !
########## - EOF - ##########

Vous pouvez maintenant l'enregistrer et poster son contenu.

Infos =>

/!\ Le meilleur antivirus, c'est le comportement entre l'écran, la page Web et la souris => Ne pas cliquer sur n'importe quoi // Prendre le temps de lire avant de cliquer !

- A l'installation d'un logiciel, bien choisir le site de téléchargement /!\ ne plus télécharger sur 01Net et Softonic ( pourris => question de "Gros sous" ! )
- Préfère des Serveurs propres => PCAstuces // Zebulon // CCM // etc ...
- Tjrs préférer les sites Editeurs des softs
- Bien lire avant installation les options à décocher => AskBar // Google Chrome // GoogleToolBar // Etc ...

/!\ En aucun cas télécharger/pomper en sites Warez // P2P // Cracks // Keygens
/!\ Banir les sites pornos, sources de grosses mde !! // Ils installent de faux codecs // Attention à votre carte bancaire !!!

Ensuite en résidents =>
- Un anti virus à jour
- Un FireWall
- MalwareBytes AM est un bon produit // La version Pro coute 27euros mises à jour automatique + résident // Pour la Free, la tenir à jour en manuel et un scan par semaine
- CCleaner ( vidage des fichiers temporaire de navigation ) // Tous les trois jours
- Spyware Blaster reste aussi un bon produit free, il n'est pas "dépassé" (navigateurs Web est IE et Firefox)
/!\ Tenir à jour ses logiciels de Sécurité ( Java // Adobe Reader // FlashPlayer // etc ...... )
/!\ Vacciner les HDD, et supports externes USB, contre les infections venant de support externe USB infectés, avec MKV

Nota =>
pour les mises à jour =>


Pour vacciner les supports externes USB, et disques durs =>
Télécharge => de El Desaparecido, sur le bureau


Je mets ton sujet en " Résolu "
Bonne continuation, et bon surf

[akiyola971]

voilà DelFix

Code: Tout sélectionner

DelFix v10.2 - Rapport créé le 03/06/2013 à 13:13:55
# Mis à jour le 02/04/2013 par Xplode
# Nom d'utilisateur : Annick - ANNICK-HP
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\USBFix
Supprimé : C:\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\AdwCleaner[R14].txt
Supprimé : C:\AdwCleaner[S14].txt
Supprimé : C:\AdwCleaner[S15].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Annick\Desktop\esetsmartinstaller_fra.exe
Supprimé : C:\Users\Annick\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Annick\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Annick\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Annick\Downloads\AdwCleaner.exe
Supprimé : C:\Users\Annick\Downloads\ZHPDiag2.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #137 [HPSF Applying updates | 05/23/2013 14:11:08]
Supprimé : RP #138 [Installed AVG 2013 | 05/23/2013 15:00:44]
Supprimé : RP #139 [Installed AVG 2013 | 05/23/2013 15:01:16]
Supprimé : RP #140 [HPSF Applying updates | 05/24/2013 12:47:19]
Supprimé : RP #141 [Removed HP Quick Launch | 05/24/2013 12:49:19]
Supprimé : RP #142 [Installed HP Quick Launch | 05/24/2013 12:49:40]
Supprimé : RP #143 [Installé AVG PC TuneUp | 05/25/2013 14:33:29]
Supprimé : RP #144 [Supprimé AVG PC TuneUp Language Pack (fr-FR) | 05/25/2013 14:33:55]
Supprimé : RP #145 [Point de contrôle planifié | 06/02/2013 11:05:15]

Nouveau point de restauration créé !

########## - EOF - ##########