Win32 virus

invite7b23ba70 · 24/07/2011, 14h14

Bonjour,

J'ai mon pc contaminé par un virus win32 et je ne connais pas toute la procédure, j'ai cependant télécharger Hijackthis mais je ne sais pas quoi supprimer, pouvez vous m'aider s'il vous plait ? Je vous met en pièce jointe le rapport Hijackthis.

invitec04351b8 · 24/07/2011, 15h58

Bonjour,

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

● Télécharge Ad-Remover (de Cyrildu17 / C_XX) sur ton Bureau.

/!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\

● Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
● Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
● Au menu principal, choisis l'option Nettoyer.
● Poste le rapport généré (C:\Ad-Report-Scan-(date).log).

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

invite7b23ba70 · 24/07/2011, 19h34

Merci pour la réponse. J'ai suivi ce que tu m'as dis et voici en pièces jointes les rapports demandés.

Cordialement.

invitec04351b8 · 24/07/2011, 20h03

Re,

vérifie si ta version de Avast est le 6.

Si ce n'est pas le cas, mets à jour le programme via l'interface d'Avast.

===

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

M0 - MFSP: prefs.js [Lucie - o7gdk4f4.default] http://search.babylon.com/?babsrc=HP_ss&mntrId=4aa0d39f0000000000000017c4597b26&tlver=1.4.19.19&affID=17159
M2 - MFEP: prefs.js [Lucie - o7gdk4f4.default\ffxtlbr@babylon.com] [] Babylon v1.1.3 (.Babylon.)
O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} . (.Babylon BHO - Pas de description.) -- C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\bh\BabylonToolbar.dll    => Infection BT (Toolbar.Babylon)
O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} . (.Babylon Ltd. - Pas de description.) -- C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarTlbr.dll
O4 - HKLM\..\Run: [BabylonToolbar] . (.Babylon Ltd. - Pas de description.) -- C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe
O15 - Trusted Zone: [HKCU\...\Domains] *.chat-land.org
O15 - Trusted Zone: [HKCU\...\Domains\www] *.chat-land.org
[HKCU\Software\BabylonToolbar]
O43 - CFD: 05/04/2011 - 13:13:44 - [1630587] ----D- C:\Program Files\BabylonToolbar
O43 - CFD: 07/07/2011 - 00:23:36 - [0] ----D- C:\Program Files\Fluendo
O43 - CFD: 02/06/2011 - 22:50:18 - [817371] ----D- C:\Users\Lucie\AppData\Roaming\moovida-1
O43 - CFD: 06/07/2011 - 23:17:30 - [436400] ----D- C:\Users\Lucie\AppData\Local\moovida Air
O51 - MPSK:{d25eabec-078f-11e0-9b37-00238b3edce0}\AutoRun\command. (...) -- F:\DPFMate.exe (.not file.)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[HKLM\Software\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[HKLM\Software\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[HKCU\Software\BabylonToolbar]
[HKLM\Software\BabylonToolbar]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\BabylonToolbar]
C:\Program Files\BabylonToolbar
C:\Users\Lucie\AppData\Local\moovida air
C:\Users\Lucie\AppData\LocalLow\BabylonToolbar
C:\Users\Lucie\AppData\LocalLow\Search Settings
C:\Users\Lucie\AppData\Roaming\Mozilla\Firefox\Profiles\o7gdk4f4.default\Extensions\ffxtlbr@babylon.com
M2 - MFEP: prefs.js [Lucie - o7gdk4f4.default\{59994074-c06d-4a75-9768-49e5a8c21264}] [] Messenger Plus Live France Toolbar v2.6.0.15 (.Conduit Ltd..)
R3 - URLSearchHook: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 0, 10) -- C:\Program Files\Messenger_Plus_Live_France\tbMess.dll
R3 - URLSearchHook: Playdom Toolbar - {69d1a568-ffdf-4ef5-8919-7003582e0ee8} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Playdom\prxtbPla0.dll
R3 - URLSearchHook: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 0, 10) -- C:\Program Files\Messenger_Plus_Live_France\tbMess.dll
R3 - URLSearchHook: Playdom Toolbar - {69d1a568-ffdf-4ef5-8919-7003582e0ee8} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Playdom\prxtbPla0.dll
O2 - BHO: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus_Live_France\tbMess.dll
O2 - BHO: Playdom - {69d1a568-ffdf-4ef5-8919-7003582e0ee8} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Playdom\prxtbPla0.dll
O3 - Toolbar: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus_Live_France\tbMess.dll
O3 - Toolbar: Playdom Toolbar - {69d1a568-ffdf-4ef5-8919-7003582e0ee8} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Playdom\prxtbPla0.dll
O42 - Logiciel: Messenger_Plus_Live_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Messenger_Plus_Live_France Toolbar
O42 - Logiciel: Playdom Toolbar - (.Playdom.) [HKLM] -- Playdom Toolbar
[HKCU\Software\AppDataLow\Software\Messenger_Plus_Live_France]
[HKLM\Software\Messenger_Plus_Live_France]
O43 - CFD: 20/06/2010 - 18:57:22 - [2735086] ----D- C:\Program Files\Messenger_Plus_Live_France
[HKCU\Software\AppDataLow\Software\Messenger_Plus_Live_France]
[HKLM\Software\Messenger_Plus_Live_France]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Messenger_Plus_Live_France Toolbar]
M2 - MFEP: prefs.js [Lucie - o7gdk4f4.default\{69d1a568-ffdf-4ef5-8919-7003582e0ee8}] [] Playdom Community Toolbar v3.1.0.12 (.Conduit Ltd..)
O4 - HKLM\..\Run: [NPSStartup] Clé orpheline
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-21-1474773449-558763035-1364608698-1000\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O43 - CFD: 24/07/2011 - 20:01:22 - [4584456] ----D- C:\Program Files\Spybot - Search & Destroy
O43 - CFD: 24/07/2011 - 20:05:46 - [8473] ----D- C:\ProgramData\Spybot - Search & Destroy
O43 - CFD: 15/05/2011 - 13:48:40 - [0] ----D- C:\Users\Lucie\AppData\Local\{03A6B61A-A3A1-4BE0-9AF2-AF80F356788A}
O43 - CFD: 07/07/2011 - 01:00:46 - [0] ----D- C:\Users\Lucie\AppData\Local\{1D505B09-0142-414E-9435-A42CF64FA312}
O43 - CFD: 03/07/2011 - 22:06:46 - [0] ----D- C:\Users\Lucie\AppData\Local\{2E34E958-30EE-4158-B61D-D97FF4D40269}
O43 - CFD: 05/07/2011 - 23:56:30 - [0] ----D- C:\Users\Lucie\AppData\Local\{2F8ACFCD-D3C9-44C5-87B3-F61D845EA4DE}
O43 - CFD: 10/05/2011 - 17:39:20 - [0] ----D- C:\Users\Lucie\AppData\Local\{378BF114-357D-406A-AA9B-0396413569BD}
O43 - CFD: 02/06/2011 - 19:56:38 - [0] ----D- C:\Users\Lucie\AppData\Local\{3A1A6E20-B98C-4261-8522-4A5286481CC7}
O43 - CFD: 03/06/2011 - 07:57:24 - [0] ----D- C:\Users\Lucie\AppData\Local\{4F629332-AF97-492E-895B-D5E9D91E8B52}
O43 - CFD: 05/04/2011 - 13:13:14 - [0] ----D- C:\Users\Lucie\AppData\Local\{A024F553-0EB4-486E-92EF-161ECC3957C0}
O43 - CFD: 06/07/2011 - 13:00:16 - [0] ----D- C:\Users\Lucie\AppData\Local\{DADCB45D-C6A1-4382-8FF5-8C64CACE2A8F}
O51 - MPSK:{5bd84c3c-7d2e-11e0-a118-00238b3edce0}\AutoRun\command. (...) -- I:\MediaManager.exe (.not file.)
O52 - TDSD: \drivers.desc\"huffyuv.dll"="Huffyuv Lossless Codec 2.2.0.1" . (...) -- (.not file.) 
O87 - FAEL: "{2CFCDE19-053B-4A09-851F-DE82208E4574}" |In - Public - P6 - TRUE | .(...) -- D:\data\eSKernel.exe (.not file.) 
O87 - FAEL: "{D490730C-C089-44B0-A145-939DD2FABEB7}" |In - Public - P17 - TRUE | .(...) -- D:\data\eSKernel.exe (.not file.)
O87 - FAEL: "TCP Query User{03EE229D-4009-4DDD-A89C-F31C8272156A}C:\users\lucie\appdata\local\temp\3665135197137.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\lucie\appdata\local\temp\3665135197137.exe (.not file.)
O87 - FAEL: "UDP Query User{2D89385C-CDF1-4723-B211-A42B2C7CD72F}C:\users\lucie\appdata\local\temp\3665135197137.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\lucie\appdata\local\temp\3665135197137.exe (.not file.) 
O87 - FAEL: "{4F660485-BF35-42C8-9DAA-33A0082E9CB4}" |In - Public - P6 - TRUE | .(...) -- C:\Users\Lucie\AppData\Local\Temp\Update_20d9.exe (.not file.)
O87 - FAEL: "{9C11EDA0-7DA3-4293-BF52-D8185D13B229}" |In - Public - P17 - TRUE | .(...) -- C:\Users\Lucie\AppData\Local\Temp\Update_20d9.exe (.not file.)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

A voir en vidéo sur Futura · Aujourd'hui

invite7b23ba70 · 25/07/2011, 11h18

Re,

Voilà, j'ai suivi la procédure, voici le rapport en pièce jointe.

Cordialement.

invitec04351b8 · 25/07/2011, 11h58

Bonjour,

as tu vérifié pour Avast ?

@+

invite7b23ba70 · 26/07/2011, 16h12

Bonjour,
Oui j'ai effectué la vérification et ma version de Avast est 6.0.1203. Est ce bien la bonne ?

Cordialement.

invitec04351b8 · 28/07/2011, 13h20

Bonjour,

oui, c'est OK pour Avast.

fais redémarrer l'ordi et poste un nouveau rapport ZHPDiag.

@+

Win32 virus

Win32 virus

Re : Win32 virus

Re : Win32 virus

Re : Win32 virus

Re : Win32 virus

Re : Win32 virus

Re : Win32 virus

Re : Win32 virus

Discussions similaires

Virus win32

virus win32

Virus Win32

J'ai besoin d'aide, virus Virus Win32:Agent-ACUC [Trj]

Virus Win32 de m...