Infection par Ituneshelper.vbe 2013-12-16T00:22:26+00:00
  • Auteur
    Messages
  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Bonjour,

    Ma clé usb a été contaminée chez un imprimeur et a touché mon ordinateur. Le virus / malware est ITUNESHELPER.VBE.
    Des recherches sur internet m’ont amené sur votre forum et vers le logiciel usbfix qui m’a bien identifié le virus dans plusieurs fichiers présents sur la clé et qui l’a supprimé.

    Sauf que j’ai redémarré l’ordinateur et par acquis de conscience j’ai refait un coup de usbfix.
    Et je suis tombé sur ça

    https://antimalware.top/log/SosUpload.3d8c74106a876bcbeb12bb7b9ed3d03a.txt” onclick=”window.open(this.href);return false;

    Je suis toujours infecté ici :

    ################## | Recherche générique |

    Présent! C:UsersAdamaAppDataLocalTempavgnt.exe

    Ca correspond à antivir, mais je ne comprends pas, comment il peut rester infecter.

    Ce qui est curieux est que lorsque je désactive avec Usbfix en windows mode sans échec, le fichier vérolé disparait bien !! lorsque je redémarre et que je reboot en mode sans échec, le fichier ne réapparait pas (normal puisque l’antivirus ne se lance pas) mais dès que je boot en normal, hop, le fichier vérolé revient.

    J’ai mis un coup de MAMB, de Roguekiller, de Adwcleaner et ils n’ont rien trouvé

    Merci de votre aide,
    Amaeru

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    :hello: bonjour amaeru
    et :welcome:
    as-tu vidé la quarantaine de l’antivirus ?
    as-tu passer USBFix en suppression ?
    sinon fait moi un ZHPDiag s’il te plait :

    • Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
    • Installe le logiciel.
    • Lance ZHPDiag, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Clique sur Configurer
    • Clique sur l’icône représentant une loupe avec un + (« Lancer le diagnostic »)

      Note : Ne pas fermer le programme même si il est indiqué qu’il ne répond plus.

    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt à été créé.
    • Héberge le rapport ZHPDiag.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    Merci

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Bonjour,

    :merci2: de t’occuper de mon cas.

    as-tu vidé la quarantaine de l’antivirus ?

    > d’antivir ? Je ne crois pas avoir vidé sa quarantaine depuis le temps que je l’ai installé. Mais si tu parles d’USBfix oui je l’ai bien fait.

    as-tu passer USBFix en suppression ?

    Oui, j’ai d’abord scanné, puis j’ai supprimé et j’ai redémarré pour voir si ça réapparaissait. J’ai du faire l’opération 8 fois environ… en mode sans échec et en boot normal.

    Voici mon log ZHPDIAG

    https://antimalware.top/log/SosUpload.f755a90be7edc081b152199980ec155a.txt” onclick=”window.open(this.href);return false;

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Bonjour,

    Je me permets un petit up car je n’arrive vraiment pas à me débarrasser de ce virus :(

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    désolé j’étais parti faire des courses ! :P:
    au vu de ton diag , tu n’as pas passé USBFix !
    recommence en me fournissant les deux rapports , recherche et suppression !
    il faut arreter µtorrent
    pourquoi Eset Online scanner v3 ?
    suis bien le canned , pour recherche c’est pareil sauf qu’il y a recherche donc ….

    • Télécharge UsbFix (de El Desaparecido) sur ton Bureau !
    • Fais clic droit dessus, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc…) sans les ouvrir.
    • Choisis l’option Suppression

      Note : Si UsbFix bloque à 14%, démarrer en mode sans échec. (Voir >> ICI <<)

    • Copie et Colle le contenu du rapport qui apparaît à la fin du scan dans ta réponse

    J’attend les rapports !

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Il n’y a pas de mal, je t’en prie, merci de m’aider. Je suis à la fac, je finis à 17h et je m’en occupe tout de suite en rentrant.

    J’ai bien passé Usbfix une dizaine de fois. D’abord en recherchant, puis en suite en cliquant sur suppression. Je ne comprends pas pourquoi ça ne se voit pas dans le rapport de ZHPDiag. D’ailleurs, j’avais bien les rapports de suppression qui m’ont indiqué que la menace avait été supprimée, mais dès que je rebootais, ça revenait.

    Eset online parce qu’antivir étant corrompu je voulais scanner ma machine avec un antivirus en ligne.

    Merci de ton aide, je reviens vers toi vers 17h ;)

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    ok une fois que tu as passé la suppression acvec tres clés tu passes à la vaccination !
    sinon le diag ne montre pas d’infection !
    µtorrent à virer c’est tout !

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    J’avais déjà fait tout ça. Recherche > suppression > vaccination de tous les supports amovibles.

    Bon je te fais des rapports quand je rentre ;)

    A tout à l’heure

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    si cela ne marche toujours pas , je te ferais un script pour essayer de virer tout ce qui est mauvais !
    tu as des cracks , si je te fais un script , risquent d’être virés ! :
    C:UsersAdamaAppDataLocalGoogleChromeUser DataDefaultLocal Storagehttp_www.cracked.com_0.localstorage
    C:UsersAdamaAppDataLocalGoogleChromeUser DataDefaultLocal Storagehttp_www.cracked.com_0.localstorage
    D:DLNouveau dossierKingdoms.of.Amalur.Reckoning.v1.0.0.2.update.cracked-THETAKingdoms.of.Amalur.Reckoning.v1.0.0.2.update.cracked-THETAReckoning.exe
    H:Kingdoms.of.Amalur.Reckoning.v1.0.0.2.update.cracked-THETAKingdoms.of.Amalur.Reckoning.v1.0.0.2.update.cracked-THETAReckoning.exe
    H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3BinREVOLUTiON_swarmPlayerProfile.dat
    H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3Binsam3.exe
    H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3Binsam3_unrestricted.exe
    H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3ContentSeriousSam3SignatureCatalog.dat
    H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3PlayerProfile.dat
    H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3RedistDirectXDXSETUP.exe
    H:Serious Sam 3 BFE Steam Cracked P2Pss3_dlc_crackonly-neogameBinsam3.exe
    H:Serious Sam 3 BFE Steam Cracked P2Pss3_dlc_crackonly-neogameContentSeriousSam3SignatureCatalog.dat

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Alors voici :)

    Recherche USBFix : https://antimalware.top/log/SosUpload.c4be80bb5670539aec3db8299ddf89c5.txt” onclick=”window.open(this.href);return false;
    Suppression USBFix : https://antimalware.top/log/SosUpload.4125362982fca200f07358f2db0b3a00.txt” onclick=”window.open(this.href);return false;

    Ps : je n’ai pas encore redémarré la machine, j’attends que tu me dises la suite pour savoir si tu veux essayer autre chose avant

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    ok passe à la vaccination avant s’il te plait et après le redémarrage tu me feras un autre ZHPDiag (te trompe pas de rapport != et je te ferais un script si tu veux ?
    je te dirais aussi si tu es encore infecté !

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    ok passe à la vaccination avant s’il te plait et après le redémarrage tu me feras un autre ZHPDiag (te trompe pas de rapport != et je te ferais un script si tu veux ?
    je te dirais aussi si tu es encore infecté !

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    J’ai vacciné, j’ai redémarré et j’ai fait le scan de ZHPDiag. Désolé pour le temps que ça prend, j’ai beaucoup de fichiers.

    Le rapport : https://antimalware.top/log/SosUpload.60966b3704e6229e2c92c6f72ddc815b.txt” onclick=”window.open(this.href);return false;

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    J’ai passé un coup de CCleaner en attendant et de Mbam qui n’ont rien détecté mais bon ça ne veut rien dire, le virus peut très bien passer entre les mailles du filet.

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Pardon d’insister mais c’est mon seul PC pour travailler, je n’ose même plus écrire quoi que ce soit sur PC à cause de ce virus. Je viens seulement sur ce forum. A la fac j’emprunte l’ordi de quelqu’un depuis hier mais c’est pas tenable…

    Si tu n’as pas le temps buckhulk je peux comprendre, tu peux déléguer à un autre helper, le plus important pour moi c’est d’en finir une fois pour toute avec cette mauvaise histoire

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    c’est pas que j’ai pas de temps mais il y a surement eu des bugs car je viens seulement de voir tes messages ! je regarde le diag !
    :hein:

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    ton diag n’est presque pas lisible , heberge le sur cjoint stp !
    tu as déja McAfee et Avira , c’est pas bon , en plus µtorrent c’est vraiment pas bon !
    tu connais ce DNS : DhcpNameServer = 10.188.0.1
    Microsoft est à jour ? bizarre ?
    refais moi un diag hébergé sur Cjoint j’essayerais de te faire un script !
    merci

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    J’ai refait un scan ZHPDiag dont voici le nouveau rapport: http://cjoint.com/?3LtjVUG8oJT” onclick=”window.open(this.href);return false;

    DhcpNameServer = 10.188.0.1 : j’utilise un routeur (d-link) et j’ai wifirst comme FAI, je pense que ça vient de là après avoir cherché sur le net. Mais j’ai un peu peur que ce soit l’adresse (ou une adresse cachée) vers laquelle le hacker s’envoie les données de mon clavier.
    Mcafee ? Je crois avoir seulement utilisé un antivirus en ligne avec peut être l’installation d’un petit fichier (que j’ai pris sur le site officiel) mais je n’ai pas téléchargé l’antivirus complet ou la suite sécurité.
    Microsoft n’est pas à jour de la denière salve de mises à jour parce que je ne rebootais pas ma machine

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    bon ok je regarde le diag mais :
    “DhcpNameServer = 10.188.0.1 : j’utilise un routeur (d-link) et j’ai wifirst comme FAI, je pense que ça vient de là après avoir cherché sur le net. Mais j’ai un peu peur que ce soit l’adresse (ou une adresse cachée) vers laquelle le hacker s’envoie les données de mon clavier.” c’est surement ça !

    Microsoft n'est pas à jour de la denière salve de mises à jour parce que je ne rebootais pas ma machine

    il faut mettre à jour !
    tu peux éteindre ta machine tous les jour !! au contraire cela lui fera du bien , enfin pas de mal ! ^^

    Je te fais un script , je rev iens v ers toi mais il faut que tu chage tes DNS !!
    tu peux passer roguekiller et une fois le scan fait tu clique sur DNS raz normalement il devrait être changer , après tu refais un ZHP pour vérification !
    a tout de suite :!

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Je mettrai à jour promis, c’est vrai que j’ai été un peu paresseux pour le coup ^^

    Pour les DNS, je me suis renseigné, c’est bien lié à Wifirst (mon FAI) mais je vais quand même les supprimer avec ton logiciel.

    Merci pour le script, je l’attends, je reste chez moi toute la journée pour en finir une bonne fois pour toute avec ce virus, donc je reste connecté :)

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    ok je te fais un script tu utilise Firefox ? si oui il faut désactiver tes modules complémentaires :
    Add to Wunderlist v.1.2.2 par exemple !
    et aussi :
    BYTubeD – Bulk YouTube video Downloader v1.1.1
    ces “extensions” ne sont pas reconnues par Microsoft et posent parfois des problèmes !
    beaucoup de programmes au démarrage aussi as-tu fait ce que je t’ai dit avec Ccleaner ?

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    J’utilise également firefox oui.

    Je peux supprimer ByyoutubeD mais pour Wunderlist je m’en sers tous les jours et je n’ai aucun soucis avec. Si c’est vraiment nécessaire je peux le supprimer néanmoins.

    Je suis en train de faire le scan ZHPdiag et je te posterai en même temps le rapport de roguekiller.

    Oui j’ai bien nettoyé avec ccleaner, et les programmes au démarrage ont déjà été sélectionnés par mes soins, ce sont ceux que je veux garder.

    Je te poste les rapports dans 10 mn environ

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    donc roguekiller :

    • Télécharge RogueKiller (de Tigzy) sur ton Bureau.
    • Lance RogueKiller, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      Note : Attends que le PreScan ait fini.

    • Clique sur Scan.
    • Clique sur Supression
    • Une fois le scan terminé rends toi sur le bureau, le rapport RKreport[X]¤D¤.txt à été créé.
    • Héberge le rapport RKreport[X]¤D¤.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    puis le script :

    • Séléctionne et copie le script suivant :

      Script ZHPFix
      µTorrent v3.2.3.28705 =>P2P.µTorrent
      O4 - GSDesktop [Public]: Espace Partagé.lnk - Clé orpheline
      O4 - GSDesktop [Public]: hubiC.lnk . (...) -- C:Program Files (x86)OVHhubiChubiC.exe (.not file.)
      O4 - GSDesktop [Public]: µTorrent.lnk . (.BitTorrent, Inc. - µTorrent.) -- C:Program Files (x86)uTorrentuTorrent.exe =>P2P.BitTorrent
      O4 - GSQuickLaunch [Adama]: µTorrent.lnk . (.BitTorrent, Inc. - µTorrent.) -- C:Program Files (x86)uTorrentuTorrent.exe =>P2P.BitTorrent
      O4 - GSStartup [Public]: hubiC.lnk . (...) -- C:Program Files (x86)OVHhubiChubiC.exe (.not file.)
      O4 - HKLM..Run: [CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}] C:UsersAdamaAppDataLocalTempcisDB7D.exe (.not file.)
      OPT:O4 - HKCU..Run: [RoboForm] . (.Siber Systems - RoboForm TaskBar Icon.) -- C:Program Files (x86)Siber SystemsAI RoboFormRoboTaskBarIcon.exe
      OPT:O4 - HKUSS-1-5-21-1194012132-2350450941-2811439321-1000..Run: [RoboForm] . (.Siber Systems - RoboForm TaskBar Icon.) -- C:Program Files (x86)Siber SystemsAI RoboFormRoboTaskBarIcon.exe
      O44 - LFC:[MD5.1D12DEB6A4AB021772401B162934FFCC] - 18/12/2013 - 00:37:04 ---A- . (...) -- C:WindowsSystem32Driversfvstore.dat [2674]
      C:UsersAdamaAppDataLocalGoogleChromeUser DataDefaultLocal Storagehttp_www.cracked.com_0.localstorage
      C:UsersAdamaAppDataLocalGoogleChromeUser DataDefaultLocal Storagehttp_www.cracked.com_0.localstorage
      D:DLNouveau dossierKingdoms.of.Amalur.Reckoning.v1.0.0.2.update.cracked-THETAKingdoms.of.Amalur.Reckoning.v1.0.0.2.update.cracked-THETAReckoning.exe
      H:Kingdoms.of.Amalur.Reckoning.v1.0.0.2.update.cracked-THETAKingdoms.of.Amalur.Reckoning.v1.0.0.2.update.cracked-THETAReckoning.exe
      H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3BinREVOLUTiON_swarmPlayerProfile.dat
      H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3Binsam3.exe
      H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3Binsam3_unrestricted.exe
      H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3ContentSeriousSam3SignatureCatalog.dat
      H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3PlayerProfile.dat
      H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3RedistDirectXDXSETUP.exe
      H:Serious Sam 3 BFE Steam Cracked P2Pss3_dlc_crackonly-neogameBinsam3.exe
      H:Serious Sam 3 BFE Steam Cracked P2Pss3_dlc_crackonly-neogameContentSeriousSam3SignatureCatalog.dat
      O90 - PUC: "DAEF6B0544DBB084897AF392D2CB3AE5" . (.Dishonored.) -- C:WindowsInstaller{50B6FEAD-BD44-480B-98A7-3F292DBCA35E}icone.exe
      O90 - PUC: "FE0BBED29EA256D4DA99534866464C70" . (.Anno 2070.) -- C:WindowsInstaller{2DEBB0EF-2AE9-4D65-AD99-35846664C407}icone.exe
      OPT:SR - | Auto 30/08/2011 462184 | (Bonjour Service) . (.Apple Inc..) - C:Program FilesBonjourmDNSResponder.exe
      EmptyCLSID
      Emptytemp
      EmptyFlash
      ShortcutFix
    • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      1. Clique sur Importer
      2. Les lignes précedemment copiées doivent être collées dans le cadre
      3. Si c’est le cas, Clic sur “GO


      exemple :

    • Confirmes les nettoyages des données en cliquant sur “Oui
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.
  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Tu viens de m’effacer Utorrent sans me demander si je souhaitais le faire… Je ne voulais pas le supprimer.

    Bon, quoiqu’il en soit, c’est trop tard je pense maintenant! alors voici le premier rapport roguekiller que tu m’as demandé avec suppression : http://cjoint.com/data3/3LtlUnqFFxw.htm” onclick=”window.open(this.href);return false;

    Puis j’ai redémarré la machine.

    J’ai lancé le second scan roguekiller que tu m’as demandé avec suppression : http://cjoint.com/data3/3LtlVWaWzfM.htm” onclick=”window.open(this.href);return false;

    Puis le rapport d’USBFix : http://cjoint.com/data3/3LtlXFScgRV.htm” onclick=”window.open(this.href);return false;

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391
    Tu viens de m'effacer Utorrent sans me demander si je souhaitais le faire... Je ne voulais pas le supprimer.

    lis les messages, je t’ai demandé de le supprimé de puis le début !
    tes liens ne passe pas je suis sur que cela viens du problème de DNS !! page web inaccessible !
    quoiqu’il en soit , tu peux mettre le rapport de ZHPFix ici ^^
    ainsi que ceux de roguekiller et usb il n’y a que les ZHPDiag et autre OTl qui sont trop long !

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Mes liens marchent avec ma connection fixe (Wifirst) et avec la connection de mon téléphone (free mobile).
    J’ai utilisé cjoint parce que tu m’as dit que tu avais un soucis avec sosvirus upload. C’est peut être un problème de DNS avec la réunion (j’ai vu dans ton profil). Je ne sais pas :/

    Pour les autres rapports tu as réussis à en ouvrir certains ?

    Je te c/c/ ici si tu veux le rapport ZHPFix.

    Rapport de ZHPFix 2013.12.14.5 par Nicolas Coolman, Update du 06/12/2013
    Fichier d’export Registre :
    Run by Adama at 19/12/2013 11:43:37
    High Elevated Privileges : OK
    Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)

    Corbeille vidée (00mn 01s)
    Réparation des raccourcis navigateur

    ========== Processus mémoire ==========
    SUPPRIMÉ: Memory Process: C:UsersAdamaAppDataLocalGoogleChromeUser DataDefaultLocal Storagehttp_www.cracked.com_0.localstorage
    SUPPRIMÉ: Memory Process: D:DLNouveau dossierKingdoms.of.Amalur.Reckoning.v1.0.0.2.update.cracked-THETAKingdoms.of.Amalur.Reckoning.v1.0.0.2.update.cracked-THETAReckoning.exe
    SUPPRIMÉ: Memory Process: H:Kingdoms.of.Amalur.Reckoning.v1.0.0.2.update.cracked-THETAKingdoms.of.Amalur.Reckoning.v1.0.0.2.update.cracked-THETAReckoning.exe
    SUPPRIMÉ: Memory Process: H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3Binsam3.exe
    SUPPRIMÉ: Memory Process: H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3Binsam3_unrestricted.exe
    SUPPRIMÉ: Memory Process: H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3RedistDirectXDXSETUP.exe
    SUPPRIMÉ: Memory Process: H:Serious Sam 3 BFE Steam Cracked P2Pss3_dlc_crackonly-neogameBinsam3.exe

    ========== Clés du Registre ==========
    SUPPRIMÉ: [HKLMSoftwareClassesInstallerProducts\DAEF6B0544DBB084897AF392D2CB3AE5]
    SUPPRIMÉ: [HKLMSoftwareClassesInstallerFeaturesDAEF6B0544DBB084897AF392D2CB3AE5]
    SUPPRIMÉ: [HKLMSoftwareClassesInstallerProducts\FE0BBED29EA256D4DA99534866464C70]
    SUPPRIMÉ: [HKLMSoftwareClassesInstallerFeaturesFE0BBED29EA256D4DA99534866464C70]
    SUPPRIMÉ: Service: Bonjour Service

    ========== Valeurs du Registre ==========
    SUPPRIMÉ RunValue: RoboForm

    ========== Dossiers ==========
    Aucun dossiers CLSID Local utilisateur vide
    SUPPRIMÉS Temporaires Windows (248)
    SUPPRIMÉS Flash Cookies (0)

    ========== Fichiers ==========
    SUPPRIMÉ: c:userspublicdesktophubic.lnk
    SUPPRIMÉ: c:userspublicdesktopµtorrent.lnk
    SUPPRIMÉ: c:program files (x86)utorrentutorrent.exe
    SUPPRIMÉ: c:usersadamaappdataroamingmicrosoftinternet explorerquick launchµtorrent.lnk
    SUPPRIMÉ: c:programdatamicrosoftwindowsstart menuprogramsstartuphubic.lnk
    SUPPRIMÉ Redémarrage: c:windowssystem32driversfvstore.dat
    SUPPRIMÉ: H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3BinREVOLUTiON_swarmPlayerProfile.dat
    SUPPRIMÉ: H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3ContentSeriousSam3SignatureCatalog.dat
    SUPPRIMÉ: H:Serious Sam 3 BFE Steam Cracked P2Pserious sam 3PlayerProfile.dat
    SUPPRIMÉ: H:Serious Sam 3 BFE Steam Cracked P2Pss3_dlc_crackonly-neogameContentSeriousSam3SignatureCatalog.dat
    SUPPRIMÉS Temporaires Windows (535) (82 847 240 octets)
    SUPPRIMÉS Flash Cookies (0) (0 octets)

    ========== Autre ==========
    NON TRAITÉ µTorrent v3.2.3.28705

    ========== Récapitulatif ==========
    7 : Processus mémoire
    5 : Clés du Registre
    1 : Valeurs du Registre
    3 : Dossiers
    12 : Fichiers
    1 : Autre

    End of clean in 00mn 06s

    ========== Chemin de fichier rapport ==========
    C:UsersAdamaAppDataRoamingZHPZHPFix[R1].txt – 19/12/2013 11:43:39 [3111]

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    J’ai reçu une notification disant que tu avais posté un message mais je ne le vois pas ici. Je ne sais pas si tu l’as supprimé ou s’il y a un bug de la board

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    pour la notification c’est pas grave !
    pour ZHPFix c’est bon
    bon refait moi un ZHPDiag s’il te plait pour vérifier mais normalement cela devrait être bon !
    met moi aussi ici sur le site les rapports RK et USB !
    merci
    ps : ne te trompe pas en envoyant le rapport ZHPDiag , tu dois en avoir plusieurs sur ton bureau !
    tu as fait dns raz avec Roguekiller ?

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Ok merci. Je m’en occupe mais je te les publie sur quel service ? Sosvirus upload ou cjoint ?

    tu as fait dns raz avec Roguekiller ? > Oui je l’ai fait.

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Je te poste les scans dans l’ordre dans lequel je les ai faits.

    ZHPDiag : https://antimalware.top/log/SosUpload.45557ed616bb19b9e7b60a90bc6ea517.txt” onclick=”window.open(this.href);return false;
    RK suppression : https://antimalware.top/log/SosUpload.39e6ecc838f126d03e9d0c63f1029837.txt” onclick=”window.open(this.href);return false;
    USBFix recherche : https://antimalware.top/log/SosUpload.43e4768527ff2b881edb1ce9d491ba51.txt” onclick=”window.open(this.href);return false;
    USBFix suppression : https://antimalware.top/log/SosUpload.c7883d3ef06e9c71c8ccf8daead3d027.txt” onclick=”window.open(this.href);return false;

    Comme tu peux le voir :

    ################## | Recherche générique |

    Présent! C:UsersAdamaAppDataLocalTempavgnt.exe

    ################## | Recherche générique |

    Supprimé! C:UsersAdamaAppDataLocalTempavgnt.exe

    (!) Fichiers temporaires supprimés. (320 Ko)

    Mais il réapparait à chaque fois que je redémarre l’ordinateur. Donc je suis dans la même situation qu’au début :/

    On en a profité pour nettoyer un peu mon PC mais on a pas agi sur le virus en lui-même malheureusement

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    salut !
    oui tu n’as plus de virus , seul truc les µtorrens que tu as remis !
    regarde
    tes DNS : DhcpNameServer = 10.188.0.1
    il n’y a que cette ligne qui est inconnue : O44 – LFC:[MD5.1D12DEB6A4AB021772401B162934FFCC] – 18/12/2013 – 00:37:04 —A- . (…) — C:WindowsSystem32Driversfvstore.dat
    mais analysée par virus total elle n’est pas infectieuse mais tu peux la virer si tu veux , c ‘est peut-être à cause d’elle (enfin du .bat) que ton ordi déconne !
    tu la met dans un script :

    • Séléctionne et copie le script suivant :

      Script ZHPFix
      O44 - LFC:[MD5.1D12DEB6A4AB021772401B162934FFCC] - 18/12/2013 - 00:37:04 ---A- . (...) -- C:WindowsSystem32Driversfvstore.dat [2674]
      EmptyCLSID
      Emptytemp
      EmptyFlash
      ShortcutFix
    • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      1. Clique sur Importer
      2. Les lignes précedemment copiées doivent être collées dans le cadre
      3. Si c’est le cas, Clic sur “GO


      exemple :

    • Confirmes les nettoyages des données en cliquant sur “Oui
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.

    passes ce script pour voir si c’est ça ! et poste moi le rapport de suppression stp !
    et enlève tes p2p ……

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Je t’assure que je n’ai pas remis utorrent. Il est bien supprimé depuis ton script de la dernière fois. Mais bon, ça ne vient pas de là de toute façon.

    DhcpNameServer = 10.188.0.1 : ça correspond à mon routeur et à mon FAI Wifirst. Je suis allé voir un voisin et il a aussi la ligne dans ses DNS.

    Je pense que tu as oublié un élément important depuis le début. USBFix trouvait le virus dans le fichier avgnet.exe qui est un élément d’antivir. USBFix le supprimait lorsque j’étais en mode sans échec et lorsque je rebootais en windows mode sans échec, il ne réapparaissait pas. Pourquoi ? J’y ai réfléchi et c’est parce qu’en mode sans échec, le système se lance avec le minimum de services et l’antivirus ne fait pas partie de ce minium. C’était donc la raison pour laquelle le virus ne revenait pas dans le scan d’USBFix.

    J’ai donc installé avast et j’ai désinstallé Antivir. J’ai passé un coup d’USBfix et là… le fichier n’est plus du tout apparu! Il a bien disparu et maintenant, même après des reboots windows en mode normal, il n’apparait plus.

    La question principale est donc : est ce que ce fichier avait bien été infecté depuis le début ? Si non, je me suis inquiété pour rien. Si oui, malgré la désinfection et la désinstallation d’Antivir, est ce que le virus est présent ailleurs dans mon système, sous une autre forme, encore non identifiée ?

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391
    La question principale est donc : est ce que ce fichier avait bien été infecté depuis le début ? Si non, je me suis inquiété pour rien. Si oui, malgré la désinfection et la désinstallation d'Antivir, est ce que le virus est présent ailleurs dans mon système, sous une autre forme, encore non identifiée ?

    alors non, tu peux être rassuré, sinon il apparaîtrait dans le ZHPDiag !

    Je t'assure que je n'ai pas remis utorrent. Il est bien supprimé depuis ton script de la dernière fois.

    Alors c’est que le diag que tu m’a remis n’est pas le bon ! ou alors il ya des restes …
    Je t’ai pourtant fait une capture ….!

    DhcpNameServer = 10.188.0.1 : ça correspond à mon routeur et à mon FAI Wifirst. Je suis allé voir un voisin et il a aussi la ligne dans ses DNS. 

    Peut-être que ton voisin à cette ligne dans ses DNS car tu dois être dans une résidanse étudiante Regarde ICI et aussi : ICI

    enfin le principal c’est que ton ordi soit sain !
    tu as changé d’antivirus , Avast est aussi bien qu’Antivir donc maintenant plus de soucis !

    d’ailleurs dans le dernier diag (que tu as envoyé) il n’y a pas Avast c’est toujours Avira !

    si tu ne m’envoie pas les diag après que tu es fait des trucs…..!

    voici donc un “canned” de fin :
    [fin2desinf:1ikg19vr][/fin2desinf:1ikg19vr]

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Alors c’est que le diag que tu m’a remis n’est pas le bon ! ou alors il ya des restes …
    Je t’ai pourtant fait une capture ….!

    J’ai toujours veillé à donner les bons rapports, ça ne vient pas de là :/
    Je pense que ça vient du fait que j’avais installé deux versions d’utorrent à l’époque et je crois qu’il reste l’exécutable d’une version encore quelque part.

    Peut-être que ton voisin à cette ligne dans ses DNS car tu dois être dans une résidanse étudiante Regarde ICI et aussi : ICI

    Effectivement je suis en résidence étudiante. Donc le DNS est normal ou pas ?

    enfin le principal c’est que ton ordi soit sain !

    Je peux te demander ton aide sur les derniers dials s’il te plait ?

    ZHPDiag : https://antimalware.top/log/SosUpload.061cfb879fabd5167d1c193b7e2e2db9.txt” onclick=”window.open(this.href);return false;
    Otl : https://antimalware.top/log/SosUpload.565d01d096e4fd69f4558f994ae6a2c6.txt” onclick=”window.open(this.href);return false;

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    ils ont l’air cool difficultée à voir le ZHP mais plus d’infections
    si tu n’as plus de soucis….

    as-tu fais quelques chose pour tes drivers ?
    la ligne est toujours là :
    O44 – LFC:[MD5.1D12DEB6A4AB021772401B162934FFCC] – 18/12/2013 – 00:37:04 —A- . (…) — C:WindowsSystem32Driversfvstore.dat
    je la trouve bizarre mais elle n’est pas infectieuse !

    Effectivement je suis en résidence étudiante. Donc le DNS est normal ou pas ? 

    Oui ils sont normaux !

    maintenant passe Delfix car les outils utilisés sont rapidement obsolette et peuvent être infectés !:
    Delfix
    Delfix à changé et est devenu plus performant !

    1 – Télécharges DelFix sur votre bureau ICI

    2 – Vous pouvez cocher la case “réactiver l’UAC s’il a été désactivé !

    la case “suprimer les outils de désinfection est cochée par défaut !

    3 – vous pouvez cocher la case “éffectuer une sauvegarde du registre ! (au cas ou il y est un pbl )
    4 – vous pouvez cocher la case “purger la restauration système” tous les anciens points seront supprimés et un nouveau “sain” sera créer !
    5 – enfin cliquez sur : exécuter

    ps : Si c’est en milieu de désinfection ou si ce n’est pas indiqué, le passer comme il est programmé !

    tu peux tout cocher !

    si tu n’as plus de questions …
    :noel7

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Oui j’ai bien supprimé la ligne que tu m’as demandé, tu souhaites que je reposte un dernier rapport ?

    Je vais passer un coup de delfix

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391
    Oui j'ai bien supprimé la ligne que tu m'as demandé, tu souhaites que je reposte un dernier rapport ? 

    après delfix si tu veux :
    mais essayes de le poster correctement car une fois sur 2 je ne peux pas le copier !

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    J’upload les rapports tels qu’ils sont . Je ne copie rien. Je ne fais qu’uploader :/ si tu veux je peux les mettre sur un autre service, mais tu me dis que tu as également des problèmes avec cjoint alors je ne sais pas où les mettre ailleurs :cry:

    Les nouveaux rapports :

    ZHPDiag : https://antimalware.top/log/SosUpload.8db579428d9deeba104a4d12b6176a8e.txt” onclick=”window.open(this.href);return false;
    OTL : https://antimalware.top/log/SosUpload.728154a12075b11d913bf41cbefa59dd.txt” onclick=”window.open(this.href);return false;
    OTL Extras : https://antimalware.top/log/SosUpload.eb464930ee56682760e3ce095f580647.txt” onclick=”window.open(this.href);return false;

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391

    j’ai regardé les rapports , il n’y a plus d’infection , Avast est bien présent !
    si tu n’as plus de problèmes…

    J'upload les rapports tels qu'ils sont . Je ne copie rien. Je ne fais qu'uploader :/ si tu veux je peux les mettre sur un autre service, mais tu me dis que tu as également des problèmes avec cjoint alors je ne sais pas où les mettre ailleurs  :cry:

    sur cjoint , j’en ai réussi à voir et à recopier 1 donc….
    il y a aussi :
    2 pjoint
    3 up2share

    sinon pour moi c’est bon si pour toi aussi , alors …

  • Photo du profil de amaeruamaeru
    Participant
    Post count: 21

    Merci beaucoup de ton aide et d’avoir été si patient avec moi ;)
    Je peux passer des fêtes de fin d’année tranquille maintenant.

    Passe d’excellentes fêtes
    Amaeru

  • Photo du profil de buckhulkbuckhulk
    Participant
    Post count: 2391
    Merci beaucoup de ton aide et d'avoir été si patient avec moi 

    Pas de soucis … ^^

    Je peux passer des fêtes de fin d'année tranquille maintenant. 

    c’est super ! :D

    Passe d'excellentes fêtes

    toi aussi ! :noel7

Le sujet ‘Infection par Ituneshelper.vbe’ est fermé à de nouvelles réponses.