Répondre à : supports externes infectés (fichiers transformés en raccourcis) 2016-09-08T13:39:18+00:00
Photo du profil de VictorVictor
Participant
Post count: 551

Bonjour DDAR,

Plus d’infection MBR dans le rapport zhpdiag :super:

1) On effectue un scan pour supprimer les résidus:

  • Télécharge Malwarebytes Anti-Rootkit (de Malwarebytes) sur ton bureau.
  • Décompresse mbar-¤¤¤¤¤¤.zip
  • Dans le dossier mbar, lance mbar.exe, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
  • [glow=red:3fgd6hh5]Une fenêtre va s'ouvrir, clique sur Non[/glow:3fgd6hh5]
  • Clique sur Next
  • Clique sur Update
  • Une fois la mise à jour faite clique sur Next
  • Clique sur Scan

    Note : Patiente le temps du scan

  • Si aucune menace n’est détectée : :

    • A la fin clique sur Exit
  • Si des menaces sont détectés :
    • Rends toi sur dans le dossier mbar, le fichier mbar-log¤¤¤¤¤¤.txt à été créé.
    • Héberge le rapport mbar-log¤¤¤¤¤¤.txt sur Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

2) Ensuite, effectue cette procédure:

  • Copie les lignes ci dessous :
    script zhpfix
    O4 - HKCU..Run: [Kujytuo] C:UsersdjomaniaAppDataRoamingkujytuo.exe (.not file.)
    O4 - HKUSS-1-5-21-623255347-3519651476-2243752241-1000..Run: [Kujytuo] C:UsersdjomaniaAppDataRoamingkujytuo.exe (.not file.)
    O43 - CFD: 03/05/2014 - 22:10:44 - [0] ----D C:Program FilesWiseEnhance
    [MD5.79111A9913BDE4A9524FE6867C5575B4] [SPRF][06/03/2010] (...) -- C:UsersdjomaniaAppDataRoamingrbuwzv.dat [20]
    [MD5.2F229AD4F63E2354B280409B8826B67E] [SPRF][26/02/2012] (...) -- C:UsersdjomaniaAppDataRoamingXvidSetup.exe [92160]
    [MD5.1F8ABBAE55E0CDA168D382976C6AFC57] [SPRF][25/04/2008] (...) -- C:ProgramDataezsid.dat [32]
    [HKLMSoftwareClassesCLSID{3BF72F68-72D8-461D-A884-329D936C5581}]
    [HKLMSoftwareClassesCLSID{78E9D883-93CD-4072-BEF3-38EE581E2839}]
    [HKLMSoftwareClassesCLSID{83AC1413-FCE4-4A46-9DD5-4F31F306E71F}]
    [HKLMSoftwareClassesAppID{BDB69379-802F-4EAF-B541-F8DE92DD98DB}]
    [HKLMSoftwareClassesProd.cap]
    [HKLMSoftwareClassesCLSID{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}]
    [HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun]:Kujytuo
    C:Program FilesWiseEnhance
    [HKLMSoftwareClassesDTToolbar.ToolBandObj]
    [HKLMSoftwareClassesDTToolbar.ToolBandObj.1]
    [HKCUSoftwareMicrosoftWindowsCurrentVersionApp ManagementARPCache{B4089055-D468-45A4-A6BA-5A138DD715FC}]
    O43 - CFD: 27/07/2013 - 23:53:58 - [] ----D C:ProgramDataAPN
    O42 - Logiciel: Adobe Reader 7.0.9 - Français - (.Adobe Systems Incorporated.) [HKLM] -- {AC76BA86-7AD7-1036-7B44-A70900000002}
    O42 - Logiciel: Java SE Runtime Environment 6 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160000}

    O67 - Shell Spawning: [HKCU..openCommand] (.Not Key.)
    O67 - Shell Spawning: [HKU..openCommand] (.Not Key.)
    O67 - Shell Spawning: [HKU..openCommand] (.Not Key.)
    O51 - MPSK:{0d1e75a2-615b-11df-8653-001f3c121c21}AutoRuncommand. (...) -- G:novirnovir32.exe (.not file.)
    O51 - MPSK:{0e6ef8bd-ce6c-11e1-bf99-001eec327d62}AutoRuncommand - Clé orpheline
    O49 - CSB:Control Safe Boot HKLM...CCSMinimal81309819.sys . (...) -- C:WindowsSystem32Drivers81309819.sys (.not file.)
    O49 - CSB:Control Safe Boot HKLM...CCSNetwork81309819.sys . (...) -- C:WindowsSystem32Drivers81309819.sys (.not file.)
    O43 - CFD: 15/05/2009 - 20:55:51 - [] ----D C:ProgramDataYahoo! Companion
    O39 - APT: GoogleUpdateTaskMachineCore - (.Google Inc..) -- C:WindowsTasksGoogleUpdateTaskMachineCore.job [1052]
    O39 - APT: GoogleUpdateTaskMachineCore - (.Google Inc..) -- C:WindowsSystem32TasksGoogleUpdateTaskMachineCore [1052]
    O39 - APT: GoogleUpdateTaskMachineUA - (.Google Inc..) -- C:WindowsTasksGoogleUpdateTaskMachineUA.job [1056]
    O39 - APT: GoogleUpdateTaskMachineUA - (.Google Inc..) -- C:WindowsSystem32TasksGoogleUpdateTaskMachineUA [1056]
    [MD5.00000000000000000000000000000000] [APT] [{32017F11-BD2A-4706-899B-DF498C2168F9}] (...) -- F:EPSetup.exe (.not file.) [0]
    O4 - HKUSS-1-5-20..Run: [WindowsWelcomeCenter] Clé orpheline
    O4 - HKUSS-1-5-19..Run: [WindowsWelcomeCenter] Clé orpheline


    hiddenfix
    firewallraz
    Shortcutfix
    emptytemp
    emptyflash
    emptyclsid
    emptyprefetch


  • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

    1. Clique sur Importer
    2. Puis Clic sur “GO

  • Confirmes les nettoyages des données en cliquant sur “Oui
  • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
  • Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.

3)

4) Pour finir, refais moi une dernière analyse zhpdiag

A te relire
Héraclès