windows 7 infecté

[invite2594a7b1]

Bonjour!

Mon ordi (Lenovo T410s tournant sous windows 7) a été infecté par le malware Win 7 Security 2012. Actuellement, quand je fais une recherche via google, la mention suivante s'inscrit dans la barre de recherche 95p.com /(+ noms des objets de recherche). De plus, internet est systématiquement coupé après de telles recherches.

Comme indiqué dans les procédures indiquées en tête de ce forum, j'ai téléchargé RSIT. Les fichiers log et infos sont joints à ce message.
Comme je soupçonne que ce malware est un rogue, je n'ai pas utilisé ATFcleaner, toujours suivant les indications du forum.

Que dois-je faire?

Merci pour votre aide.
-----

[invitec04351b8]

Bonsoir,

Télécharge Roguekiller : http://www.sur-la-toile.com/RogueKiller/

Si il est bloqué à l'exécution, supprime le et recommence le téléchargement.

A ce moment là, tu le renommes en winlogon ou iexplore.

Lance en option 2 (Suppression).

Poste le rapport ici.

@+

[invite2594a7b1]

Bonsoir!

Merci beaucoup pour cette réponse rapide!

Voici le rapport que RogueKiller, mode Delete, m'a fourni

a plus

[invitec04351b8]

Re,

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[A voir en vidéo sur Futura]

[invite2594a7b1]

Et voici le rapport de ZHPDiag en pièce jointe.

Merci et à +

[invitec04351b8]

Re,

désinstalle SpyHunter par le Panneau de configuration.

===

Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier : C:\Windows\system32\RMSvc.dll

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

===

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

[MD5.81A3F14E1C212772A8FEF8F3E74FF11E] [SPRF][1/15/2012] (.Microsoft Corporation - Microsoft Hyperlink Library.) -- C:\Users\cyrielle\AppData\Local\Temp\0.4686765427493842.exe   [309248]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\Toolbar.CT2613520]
O69 - SBI: prefs.js [cyrielle - iblhcn49.default] user_pref("CT2801948.RadioStationURL", "http://www.smgradio.com/core/audio/wmp/live.asx?service=vcbb");
Emptytemp

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

@+

[invite2594a7b1]

Bonjour!

Alors, j'ai désinstallé Spyhunter via le panneau de configuration.

Par contre, je ne trouve pas le fichier C:\Windows\system32\RMSvc.dll , même en faisant une recherche dans les fichiers cachés.

Est-ce que je peux déjà passer à la deuxième étape (presse-papiers..)?

Merci et à plus

Cyr

[invitec04351b8]

Bonjour,

oui, passe à la suite.

@+

[invite2594a7b1]

Re!

alors, voici les résultats des manips que vous m'avez demandées.

1) Voici le rapport ZHPFix.exe:

Rapport de ZHPFix 1.12.3378 par Nicolas Coolman, Update du 10/01/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-1-16-2012-3-24-09 PM.txt
Run by cyrielle at 1/16/2012 3:24:09 PM
Windows 7 Business Edition, 32-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-hel...ss/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\cyrielle\AppData\Loca l\Temp\0.4686765427493842.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Window s\CurrentVersion\Ext\Stats\{88 56F961-340A-11D0-A96B-00C04FD705A2}
SUPPRIME Key: HKLM\Software\Classes\Toolbar. CT2613520

========== Préférences navigateur ==========
SUPPRIME Mozilla Pref: user_pref("CT2801948.RadioStat ionURL", "http://www.smgradio.com/core/audio/wmp/live.asx?service=vcbb");

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 85

========== Fichier(s) ==========
SUPPRIME File*: c:\users\cyrielle\appdata\loca l\temp\0.4686765427493842.exe
SUPPRIME Temporaires Windows: : 214


========== Récapitulatif ==========
1 : Processus mémoire
2 : Clé(s) du Registre
1 : Dossier(s)
2 : Fichier(s)
1 : Préférences navigateur


Et 2) voici le rapport d'AdwCleaner en pièce jointe.

A+

[invitec04351b8]

Bonsoir,

tous les rapports doivent être mis en PJ.

il y a un problème avec le rapport de AdwCleaner. Il est incomplet.

@+

[invite2594a7b1]

Ah flûte!

désolée pour ces erreurs.

Voici le rapport AdwCleaner (S2) qui est apparu en même temps sur le bureau lorsque j'ai lancé le programme, et qui semble en effet plus complet que celui que j'ai envoyé juste avant (qui provenait de C:\).

Est-ce que celui-ci convient mieux?

[invitec04351b8]

Re,

tu fais redémarrer l'ordi, tu relances ZHPdiag et tu postes le rapport en PJ.

On va voir où on en est.

@+

[invitec04351b8]

re,

post en double

[invite2594a7b1]

Bonsoir,

Et voilà le nouveau rapport ZHPDiag, en espérant de bonnes nouvelles

Merci et à plus

[invitec04351b8]

Bonjour,

les indications du rapport sont bonnes, mais c'est toi qui sait si l'ordi fonctionne mieux.

Je suppose que c'est normal de trouver des relations avec l'Université de Lausanne dans le rapport.

Supprime C:\Program Files\Enigma Software Group\SpyHunter

On va finir de nettoyer (en particulier les toolbars inutiles).

Relance ZHPFix avec ces lignes :

Code:

[HKCU\Software\f0b9ebdc]
O43 - CFD: 1/15/2012 - 1:08:20 PM - [0.058] -SH-D- C:\Users\cyrielle\AppData\Local\f0b9ebdc
EmptyTemp
O43 - CFD: 10/8/2011 - 2:35:00 PM - [0] ----D- C:\Users\cyrielle\AppData\Local\{2497EEEE-3161-4217-B35D-32B9B5BC3B37}
O43 - CFD: 1/15/2012 - 1:02:12 PM - [0] ----D- C:\Users\cyrielle\AppData\Local\{A1576DBC-ACC4-4C40-9121-310D01B96154}
O43 - CFD: 7/17/2011 - 3:53:48 PM - [0] ----D- C:\Users\cyrielle\AppData\Local\{EFEEC819-60BA-459D-916D-7125A2502B62}
O43 - CFD: 1/15/2012 - 6:34:36 PM - [0] ----D- C:\Users\cyrielle\AppData\Local\{F2C3F1C6-62FF-46AC-9C1D-8603EB2DB38C}
O44 - LFC:[MD5.BA4E2E5D1DB141553D0B960A20FC7E2E] - 1/15/2012 - 4:52:31 PM ---A- . (...) -- C:\sh4_service.log   [338]
M2 - MFEP: prefs.js [cyrielle - iblhcn49.default\{37483b40-c254-4a72-bda4-22ee90182c1e}] [] NCH EN Community Toolbar v3.9.0.3 (.Conduit Ltd..)    => Toolbar.Conduit
R3 - URLSearchHook: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.7.3) -- C:\Program Files\NCH_EN\tbNCH_.dll
R3 - URLSearchHook: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.7.3) -- C:\Program Files\NCH_EN\tbNCH_.dll
O2 - BHO: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\NCH_EN\tbNCH_.dll
O3 - Toolbar: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\NCH_EN\tbNCH_.dll
O42 - Logiciel: NCH EN Toolbar - (.NCH EN.) [HKLM] -- NCH_EN Toolbar
[HKCU\Software\AppDataLow\Software\NCH_EN]
[HKLM\Software\NCH_EN]
O43 - CFD: 1/20/2011 - 1:18:04 PM - [3.938] ----D- C:\Program Files\NCH_EN

Poste le rapport dans ta réponse (en PJ).

@+

[invite2594a7b1]

Bonjour,

Alors, le fichier C:\Program Files\Enigma Software Group\SpyHunter a été supprimé

En PJ, vous trouverez le nouveau rapport de ZHPFix

Et en ce qui concerne l'Uni de Lausanne, c'est effectivement complètement normal de trouver des relations avec elle.

Par contre, même maintenant avec le nouveau nettoyage avec ZHPFIx et après redémarrage de l'ordi, j'ai toujours le même problème de redirection des recherches google (vers 95p.com/?search=...). Est-ce que vous auriez une idéée de ce que ça pourrait être?

Merci et à+

[invitec04351b8]

Bonjour,

je suis peut être passé un peu vite sur une information de RogueKiller.

===

Télécharge MBRscan http://eric71.geekstogo.com/tools/MbrScan.exe

Clique sur Report.

Poste le rapport dans ta réponse.

@+

[invite2594a7b1]

Re,

Voici le rapport de MBRscan

A+
Cyr

[invitec04351b8]

Bonsoir,

le MBR des Lenovo est spécifique, ce qui fait que je ne sais pas si le tien est celui d'origine ou si il est modifié.

Le site de Lenovo donne un correctif du MBR mais qui ne concerne pas Vista ou W7.

Que dit ton Guide d'utilisation ?

Quels sont tes mécanismes de sauvegarde et de restauration (par exemple, tu as le DVD de Windows) ?

@+

[invite2594a7b1]

Bonjour Lyonnais92,

Je suis passée ce matin au support informatique de l'Uni de Lausanne (mon employeur) pour éclaircir ces questions de MBR et de mécanismes de sauvegarde et de restauration.

Et ils m'ont proposé de prendre en main les opérations, qui passent selon eux par une réinstallation complète du système.

Est-ce que c'est aussi la solution à laquelle vous aviez pensé?

En tout cas, je vous remercie infiniment pour votre aide

A plus

[invitec04351b8]

Bonjour,

si le support informatique de ton employeur est prêt à te dépanner, je crois que c'est une bonne solution.

Par contre, il faut que tu fasses (ou fasses faire) une sauvegarde de tes données personnelles (fichiers, photos, vidéos, courriels) sur un autre support que ton DD avant.

Tiens moi au courant.

@+

[invite2594a7b1]

Re!

effectivement, j'avais aussi pensé à faire un back-up sur mon disque dur externe avant de leur confier mon ordi portable.

Je vous retiens au courant

Encore mille mercis

[invitec04351b8]

Re,

de rien pour l'aide, c'est avec plaisir.

On fera de petites choses quand tout sera rentré dans l'ordre.

@+