windows 7 infecté
Répondre à la discussion
Affichage des résultats 1 à 23 sur 23

windows 7 infecté



  1. #1
    invite2594a7b1

    windows 7 infecté


    ------

    Bonjour!

    Mon ordi (Lenovo T410s tournant sous windows 7) a été infecté par le malware Win 7 Security 2012. Actuellement, quand je fais une recherche via google, la mention suivante s'inscrit dans la barre de recherche 95p.com /(+ noms des objets de recherche). De plus, internet est systématiquement coupé après de telles recherches.

    Comme indiqué dans les procédures indiquées en tête de ce forum, j'ai téléchargé RSIT. Les fichiers log et infos sont joints à ce message.
    Comme je soupçonne que ce malware est un rogue, je n'ai pas utilisé ATFcleaner, toujours suivant les indications du forum.

    Que dois-je faire?

    Merci pour votre aide.

    -----
    Fichiers attachés Fichiers attachés

  2. #2
    invitec04351b8

    Re : windows 7 infecté

    Bonsoir,

    Télécharge Roguekiller : http://www.sur-la-toile.com/RogueKiller/

    Si il est bloqué à l'exécution, supprime le et recommence le téléchargement.

    A ce moment là, tu le renommes en winlogon ou iexplore.

    Lance en option 2 (Suppression).

    Poste le rapport ici.

    @+

  3. #3
    invite2594a7b1

    Re : windows 7 infecté

    Bonsoir!

    Merci beaucoup pour cette réponse rapide!

    Voici le rapport que RogueKiller, mode Delete, m'a fourni

    a plus
    Fichiers attachés Fichiers attachés

  4. #4
    invitec04351b8

    Re : windows 7 infecté

    Re,

    Télécharge ZHPDiag

    Enregistre le sur ton Bureau.

    Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

    Double clique sur le raccourci ZHPDiag sur ton Bureau.

    /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

    @+

  5. A voir en vidéo sur Futura
  6. #5
    invite2594a7b1

    Re : windows 7 infecté

    Et voici le rapport de ZHPDiag en pièce jointe.

    Merci et à +
    Fichiers attachés Fichiers attachés

  7. #6
    invitec04351b8

    Re : windows 7 infecté

    Re,

    désinstalle SpyHunter par le Panneau de configuration.

    ===

    Rends toi sur ce site :

    http://www.virustotal.com/

    Clique sur parcourir et cherche ce fichier : C:\Windows\system32\RMSvc.dll

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

    ===

    Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

    Code:
    [MD5.81A3F14E1C212772A8FEF8F3E74FF11E] [SPRF][1/15/2012] (.Microsoft Corporation - Microsoft Hyperlink Library.) -- C:\Users\cyrielle\AppData\Local\Temp\0.4686765427493842.exe   [309248]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}]    => Infection PUP (Adware.Bandoo)
    [HKLM\Software\Classes\Toolbar.CT2613520]
    O69 - SBI: prefs.js [cyrielle - iblhcn49.default] user_pref("CT2801948.RadioStationURL", "http://www.smgradio.com/core/audio/wmp/live.asx?service=vcbb");
    Emptytemp
    Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

    Clique sur "Tous" puis sur "Nettoyer".

    Laisse l'outil travailler.

    Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

    Le rapport d'exécution va apparaître dans la fenêtre.

    Copie le dans ta réponse.

    ===
    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    @+

  8. #7
    invite2594a7b1

    Re : windows 7 infecté

    Bonjour!

    Alors, j'ai désinstallé Spyhunter via le panneau de configuration.

    Par contre, je ne trouve pas le fichier C:\Windows\system32\RMSvc.dll , même en faisant une recherche dans les fichiers cachés.

    Est-ce que je peux déjà passer à la deuxième étape (presse-papiers..)?

    Merci et à plus

    Cyr

  9. #8
    invitec04351b8

    Re : windows 7 infecté

    Bonjour,

    oui, passe à la suite.

    @+

  10. #9
    invite2594a7b1

    Re : windows 7 infecté

    Re!

    alors, voici les résultats des manips que vous m'avez demandées.

    1) Voici le rapport ZHPFix.exe:

    Rapport de ZHPFix 1.12.3378 par Nicolas Coolman, Update du 10/01/2011
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-1-16-2012-3-24-09 PM.txt
    Run by cyrielle at 1/16/2012 3:24:09 PM
    Windows 7 Business Edition, 32-bit Service Pack 1 (Build 7601)
    Web site : http://www.premiumorange.com/zeb-hel...ss/zhpfix.html
    Web site : http://nicolascoolman.skyrock.com/

    ========== Processus mémoire ==========
    SUPPRIME Memory Process: C:\Users\cyrielle\AppData\Loca l\Temp\0.4686765427493842.exe

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: HKCU\Software\Microsoft\Window s\CurrentVersion\Ext\Stats\{88 56F961-340A-11D0-A96B-00C04FD705A2}
    SUPPRIME Key: HKLM\Software\Classes\Toolbar. CT2613520

    ========== Préférences navigateur ==========
    SUPPRIME Mozilla Pref: user_pref("CT2801948.RadioStat ionURL", "http://www.smgradio.com/core/audio/wmp/live.asx?service=vcbb");

    ========== Dossier(s) ==========
    SUPPRIME Temporaires Windows: : 85

    ========== Fichier(s) ==========
    SUPPRIME File*: c:\users\cyrielle\appdata\loca l\temp\0.4686765427493842.exe
    SUPPRIME Temporaires Windows: : 214


    ========== Récapitulatif ==========
    1 : Processus mémoire
    2 : Clé(s) du Registre
    1 : Dossier(s)
    2 : Fichier(s)
    1 : Préférences navigateur


    Et 2) voici le rapport d'AdwCleaner en pièce jointe.

    A+
    Fichiers attachés Fichiers attachés

  11. #10
    invitec04351b8

    Re : windows 7 infecté

    Bonsoir,

    tous les rapports doivent être mis en PJ.

    il y a un problème avec le rapport de AdwCleaner. Il est incomplet.

    @+

  12. #11
    invite2594a7b1

    Re : windows 7 infecté

    Ah flûte!

    désolée pour ces erreurs.

    Voici le rapport AdwCleaner (S2) qui est apparu en même temps sur le bureau lorsque j'ai lancé le programme, et qui semble en effet plus complet que celui que j'ai envoyé juste avant (qui provenait de C:\).

    Est-ce que celui-ci convient mieux?
    Fichiers attachés Fichiers attachés

  13. #12
    invitec04351b8

    Re : windows 7 infecté

    Re,

    tu fais redémarrer l'ordi, tu relances ZHPdiag et tu postes le rapport en PJ.

    On va voir où on en est.

    @+

  14. #13
    invitec04351b8

    Re : windows 7 infecté

    re,

    post en double

  15. #14
    invite2594a7b1

    Re : windows 7 infecté

    Bonsoir,

    Et voilà le nouveau rapport ZHPDiag, en espérant de bonnes nouvelles

    Merci et à plus
    Fichiers attachés Fichiers attachés

  16. #15
    invitec04351b8

    Re : windows 7 infecté

    Bonjour,

    les indications du rapport sont bonnes, mais c'est toi qui sait si l'ordi fonctionne mieux.

    Je suppose que c'est normal de trouver des relations avec l'Université de Lausanne dans le rapport.

    Supprime C:\Program Files\Enigma Software Group\SpyHunter

    On va finir de nettoyer (en particulier les toolbars inutiles).

    Relance ZHPFix avec ces lignes :
    Code:
    [HKCU\Software\f0b9ebdc]
    O43 - CFD: 1/15/2012 - 1:08:20 PM - [0.058] -SH-D- C:\Users\cyrielle\AppData\Local\f0b9ebdc
    EmptyTemp
    O43 - CFD: 10/8/2011 - 2:35:00 PM - [0] ----D- C:\Users\cyrielle\AppData\Local\{2497EEEE-3161-4217-B35D-32B9B5BC3B37}
    O43 - CFD: 1/15/2012 - 1:02:12 PM - [0] ----D- C:\Users\cyrielle\AppData\Local\{A1576DBC-ACC4-4C40-9121-310D01B96154}
    O43 - CFD: 7/17/2011 - 3:53:48 PM - [0] ----D- C:\Users\cyrielle\AppData\Local\{EFEEC819-60BA-459D-916D-7125A2502B62}
    O43 - CFD: 1/15/2012 - 6:34:36 PM - [0] ----D- C:\Users\cyrielle\AppData\Local\{F2C3F1C6-62FF-46AC-9C1D-8603EB2DB38C}
    O44 - LFC:[MD5.BA4E2E5D1DB141553D0B960A20FC7E2E] - 1/15/2012 - 4:52:31 PM ---A- . (...) -- C:\sh4_service.log   [338]
    M2 - MFEP: prefs.js [cyrielle - iblhcn49.default\{37483b40-c254-4a72-bda4-22ee90182c1e}] [] NCH EN Community Toolbar v3.9.0.3 (.Conduit Ltd..)    => Toolbar.Conduit
    R3 - URLSearchHook: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.7.3) -- C:\Program Files\NCH_EN\tbNCH_.dll
    R3 - URLSearchHook: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.7.3) -- C:\Program Files\NCH_EN\tbNCH_.dll
    O2 - BHO: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\NCH_EN\tbNCH_.dll
    O3 - Toolbar: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\NCH_EN\tbNCH_.dll
    O42 - Logiciel: NCH EN Toolbar - (.NCH EN.) [HKLM] -- NCH_EN Toolbar
    [HKCU\Software\AppDataLow\Software\NCH_EN]
    [HKLM\Software\NCH_EN]
    O43 - CFD: 1/20/2011 - 1:18:04 PM - [3.938] ----D- C:\Program Files\NCH_EN
    Poste le rapport dans ta réponse (en PJ).

    @+

  17. #16
    invite2594a7b1

    Re : windows 7 infecté

    Bonjour,

    Alors, le fichier C:\Program Files\Enigma Software Group\SpyHunter a été supprimé

    En PJ, vous trouverez le nouveau rapport de ZHPFix

    Et en ce qui concerne l'Uni de Lausanne, c'est effectivement complètement normal de trouver des relations avec elle.

    Par contre, même maintenant avec le nouveau nettoyage avec ZHPFIx et après redémarrage de l'ordi, j'ai toujours le même problème de redirection des recherches google (vers 95p.com/?search=...). Est-ce que vous auriez une idéée de ce que ça pourrait être?

    Merci et à+
    Fichiers attachés Fichiers attachés

  18. #17
    invitec04351b8

    Re : windows 7 infecté

    Bonjour,

    je suis peut être passé un peu vite sur une information de RogueKiller.

    ===

    Télécharge MBRscan http://eric71.geekstogo.com/tools/MbrScan.exe

    Clique sur Report.

    Poste le rapport dans ta réponse.

    @+

  19. #18
    invite2594a7b1

    Re : windows 7 infecté

    Re,

    Voici le rapport de MBRscan

    A+
    Cyr
    Fichiers attachés Fichiers attachés

  20. #19
    invitec04351b8

    Re : windows 7 infecté

    Bonsoir,

    le MBR des Lenovo est spécifique, ce qui fait que je ne sais pas si le tien est celui d'origine ou si il est modifié.

    Le site de Lenovo donne un correctif du MBR mais qui ne concerne pas Vista ou W7.

    Que dit ton Guide d'utilisation ?

    Quels sont tes mécanismes de sauvegarde et de restauration (par exemple, tu as le DVD de Windows) ?

    @+

  21. #20
    invite2594a7b1

    Re : windows 7 infecté

    Bonjour Lyonnais92,

    Je suis passée ce matin au support informatique de l'Uni de Lausanne (mon employeur) pour éclaircir ces questions de MBR et de mécanismes de sauvegarde et de restauration.

    Et ils m'ont proposé de prendre en main les opérations, qui passent selon eux par une réinstallation complète du système.

    Est-ce que c'est aussi la solution à laquelle vous aviez pensé?

    En tout cas, je vous remercie infiniment pour votre aide

    A plus

  22. #21
    invitec04351b8

    Re : windows 7 infecté

    Bonjour,

    si le support informatique de ton employeur est prêt à te dépanner, je crois que c'est une bonne solution.

    Par contre, il faut que tu fasses (ou fasses faire) une sauvegarde de tes données personnelles (fichiers, photos, vidéos, courriels) sur un autre support que ton DD avant.

    Tiens moi au courant.

    @+

  23. #22
    invite2594a7b1

    Re : windows 7 infecté

    Re!

    effectivement, j'avais aussi pensé à faire un back-up sur mon disque dur externe avant de leur confier mon ordi portable.

    Je vous retiens au courant

    Encore mille mercis

  24. #23
    invitec04351b8

    Re : windows 7 infecté

    Re,

    de rien pour l'aide, c'est avec plaisir.

    On fera de petites choses quand tout sera rentré dans l'ordre.

    @+

Discussions similaires

  1. infecté ou pas infecté
    Par invite0613a5f2 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 22
    Dernier message: 03/01/2012, 22h06
  2. Eviter le blocage sécurité sur fichiers transférés de Windows XP à Windows 7
    Par invite6fbc3329 dans le forum Logiciel - Software - Open Source
    Réponses: 0
    Dernier message: 04/11/2009, 03h21
  3. Impossibilité de télécharger les mises à jour Windows pour Windows XP
    Par invite3750ca14 dans le forum Logiciel - Software - Open Source
    Réponses: 6
    Dernier message: 21/12/2006, 01h37
Dans la rubrique Tech de Futura, découvrez nos comparatifs produits sur l'informatique et les technologies : imprimantes laser couleur, casques audio, chaises gamer...