× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Infections virus de Police et divers trojans.Sujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
papylou
  Posté le 10/05/2013 @ 18:34 
Aller en bas de la page 
Astucien

Bonjour la Sécurité ,

J'ai un gros problème sous le bras, ma Belle-fille m'a déposé son pc car il est sérieusement infecté par divers virus, le fameux de la police ainsi que divers trojans .

C'est un pc Toshiba portable qui tourne sous Vista et IE9, un gros soucis avec son antivirus Avira qui était installé en plusieurs versions et mal désinstallés manifestement, ceci pour dire que pour le moment je ne trouve qu'un résidu dans ProgramFiles désintallable car le chemin est rompu.

Perso j'ai voulu réinstallé la nouvelle version mais elle m'est refusé également pour la même raison que je dois désinstaller manuellement ce fichier avant la suite de linstallation, donc je suis déjà la dans un sacré sac noeuds ! donc pas d'antivirus d'activé en ce moment !

Voici un scan rapide de MalwaereBytes après la suppréssion....

Heureusement que j'ai fait une capture d'écran du rapport car il est introuvable dans le fichier Rap/Log de MalwaereBytes, devant m'absenter après ce résultat et ne sachant pas ouvrir ce forum manque de temps ce matin....

Et voici le rapport d'AdwCleaner après la suppression également

# AdwCleaner v2.300 - Rapport créé le 10/05/2013 à 17:37:27 # Mis à jour le 28/04/2013 par Xplode # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits) # Nom d'utilisateur : cecile - PC-DE-CECILE # Mode de démarrage : Normal # Exécuté depuis : C:\Users\cecile\Desktop\adwcleaner.exe # Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Babylon Dossier Supprimé : C:\Users\cecile\AppData\Local\Ilivid Dossier Supprimé : C:\Users\cecile\AppData\LocalLow\ilividtoolbarguid Dossier Supprimé : C:\Users\cecile\AppData\LocalLow\searchresultstb Dossier Supprimé : C:\Users\cecile\AppData\Roaming\Babylon Dossier Supprimé : C:\Users\cecile\AppData\Roaming\PerformerSoft Supprimé au redémarrage : C:\Program Files\search results toolbar Supprimé au redémarrage : C:\ProgramData\BrowserProtect

***** [Registre] *****

Clé Supprimée : HKCU\Software\5e55d6ddb134e810 Clé Supprimée : HKCU\Software\APN DTX Clé Supprimée : HKCU\Software\APN PIP Clé Supprimée : HKCU\Software\AppDataLow\Software\ilividtoolbarguid Clé Supprimée : HKCU\Software\Ask.com.tmp Clé Supprimée : HKCU\Software\BabylonToolbar Clé Supprimée : HKCU\Software\DataMngr Clé Supprimée : HKCU\Software\DataMngr_Toolbar Clé Supprimée : HKCU\Software\ilivid Clé Supprimée : HKCU\Software\ilividtoolbarguid Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9} Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Delta Chrome Toolbar Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ilivid Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ilividtoolbarguid Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings Clé Supprimée : HKCU\Software\PIP Clé Supprimée : HKCU\Software\Softonic Clé Supprimée : HKLM\SOFTWARE\5e55d6ddb134e810 Clé Supprimée : HKLM\Software\Babylon Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56} Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D97A8234-F2A2-4AD4-91D5-FECDB2C553AF} Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BrowserConnection.dll Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\secman.DLL Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9FF9AE6F-4553-41A7-B645-B0E88850EABF} Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CE4DB5A3-58E6-41F1-8761-47238DF4F468} Clé Supprimée : HKLM\SOFTWARE\Classes\iLividIEHelper.DNSGuard Clé Supprimée : HKLM\SOFTWARE\Classes\iLividIEHelper.DNSGuard.1 Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C} Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE} Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785} Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994} Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{75E8DA27-44AF-40AE-927C-F2EEC99D65B1} Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3} Clé Supprimée : HKLM\Software\DataMngr Clé Supprimée : HKLM\Software\iLividSRTB Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ilivid Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ilividtoolbarguid Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Search Results Toolbar Clé Supprimée : HKLM\Software\PIP Clé Supprimée : HKLM\SOFTWARE\Software Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = c:\progra~2\browse~1\261125~1.80\{c16c1~1\browse~1.dll Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Main [bprotector start page] Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [bProtectorDefaultScope] Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{30F9B915-B755-4826-820B-08FBA6BD249D}] Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10] Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16476

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\cecile\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [6260 octets] - [10/05/2013 17:36:38] AdwCleaner[S1].txt - [5444 octets] - [10/05/2013 17:37:27]

########## EOF - C:\AdwCleaner[S1].txt - [5504 octets] ##########

Je ne serais pas je pense en mesure de vous envoyer le troisième rapport, celui de ZHPDiag mais plutôt demain.

Merci déjà par avance pour le Groupe Sécurité de leur prècieuse aide .....



Modifié par papylou le 11/05/2013 17:42
Publicité
Evasion60
 Posté le 10/05/2013 à 22:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Papylou

/!\ Avant de lancer ZHPDiag, fait ci dessous =>

Télécharger => RogueKiller de Tigzy sur le bureau
(A partir d'une clé USB et d'un autre pc si le Rogue empêche l'accès au net ou en mode sans échec avec prise en charge réseau) .

Quitte tous les programmes en cours
Lance RogueKiller.exe en cliquant sur l'icône.

image

Un pre-scan va s'effectuer rapidement.
Quand il sera terminé, clique sur le bouton Scan

image

Clique sur le bouton Suppression

image

Clique sur le bouton Rapport quand le nettoyage sera terminé.

image

Envoie une copie du rapport RKreport[1].txt qui va s'afficher.
Il sera enregistré sur le bureau.

image

/!\ Si l'affichage des icônes du bureau, seulement dans ce cas, ne se fait pas correctement, clique sur le bouton Racc. RAZ

Remarque.
Il est possible de faire un don au créateur de l'outil par le bouton PayPal - Donate.

Reviens dans ta réponse avec son rapport de Suppression



Modifié par Evasion60 le 10/05/2013 22:41
papylou
 Posté le 10/05/2013 à 23:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir Evasion ,

De passage car j'ai des invités ce soir, mais je suis super content que tu vas t'occuper de ce problème d'infection du pc de ma Belle-fille qui s'inquiète (un peu tard ) pour son pc mais qui sera plus vigilante à l'avenir....

Je suivrai tes opérations à effectuer à la lettre dès demain.

Très bonne soirée et encore un grand merci à toi pour ton aide....

papylou
 Posté le 10/05/2013 à 23:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Voici les deux rapports de Roguekiller,

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : cecile [Droits d'admin] Mode : Recherche -- Date : 10/05/2013 23:20:39 | ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤ [STARTUP][BLACKLISTDLL] msconfig.lnk @cecile : C:\Windows\System32\rundll32.exe|C:\PROGRA~2\4ribq.dat,FG00 -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ DLL][SUSP PATH] HKLM\[...]\ControlSet001\Services\winmgmt\Parameters : ServiceDll (C:\ProgramData\4ribq.dat) [x] -> TROUVÉ [HJ DLL][SUSP PATH] HKLM\[...]\ControlSet002\Services\winmgmt\Parameters : ServiceDll (C:\ProgramData\4ribq.dat) [x] -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[75] : NtCreateSection @ 0x83281FA5 -> HOOKED (Unknown @ 0x8D74BCF6) SSDT[276] : NtRequestWaitReplyPort @ 0x83294142 -> HOOKED (Unknown @ 0x8D74BD00) SSDT[289] : NtSetContextThread @ 0x832E325F -> HOOKED (Unknown @ 0x8D74BCFB) SSDT[314] : NtSetSecurityObject @ 0x83210027 -> HOOKED (Unknown @ 0x8D74BD05) SSDT[332] : NtSystemDebugControl @ 0x83248EF1 -> HOOKED (Unknown @ 0x8D74BD0A) SSDT[334] : NtTerminateProcess @ 0x83241173 -> HOOKED (Unknown @ 0x8D74BC97) S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8D74BD1E) S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8D74BD23)

¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost ::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++ --- User --- [MBR] 1ae78e2bda4327d2466d731b9c02f254 [BSP] d9b6c24425c52666d68fc41c1a824e72 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 152463 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 315318272 | Size: 151280 Mo User = LL1 ... OK! User = LL2 ... OK!

Termine : << RKreport[1]_S_10052013_232039.txt >> RKreport[1]_S_10052013_232039.txt

Le deuxième,

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : cecile [Droits d'admin] Mode : Suppression -- Date : 10/05/2013 23:24:10 | ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤ [STARTUP][BLACKLISTDLL] msconfig.lnk @cecile : C:\Windows\System32\rundll32.exe|C:\PROGRA~2\4ribq.dat,FG00 -> SUPPRIMÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) [HJ DLL][SUSP PATH] HKLM\[...]\ControlSet001\Services\winmgmt\Parameters : ServiceDll (C:\ProgramData\4ribq.dat) [x] -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll) [HJ DLL][SUSP PATH] HKLM\[...]\ControlSet002\Services\winmgmt\Parameters : ServiceDll (C:\ProgramData\4ribq.dat) [x] -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[75] : NtCreateSection @ 0x83281FA5 -> HOOKED (Unknown @ 0x8D74BCF6) SSDT[276] : NtRequestWaitReplyPort @ 0x83294142 -> HOOKED (Unknown @ 0x8D74BD00) SSDT[289] : NtSetContextThread @ 0x832E325F -> HOOKED (Unknown @ 0x8D74BCFB) SSDT[314] : NtSetSecurityObject @ 0x83210027 -> HOOKED (Unknown @ 0x8D74BD05) SSDT[332] : NtSystemDebugControl @ 0x83248EF1 -> HOOKED (Unknown @ 0x8D74BD0A) SSDT[334] : NtTerminateProcess @ 0x83241173 -> HOOKED (Unknown @ 0x8D74BC97) S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8D74BD1E) S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8D74BD23)

¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost ::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++ --- User --- [MBR] 1ae78e2bda4327d2466d731b9c02f254 [BSP] d9b6c24425c52666d68fc41c1a824e72 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 152463 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 315318272 | Size: 151280 Mo User = LL1 ... OK! User = LL2 ... OK!

Termine : << RKreport[2]_D_10052013_232410.txt >> RKreport[1]_S_10052013_232039.txt ; RKreport[2]_D_10052013_232410.txt

Bonne nuit et à demain si tu en as le temps bien entendu....

Evasion60
 Posté le 11/05/2013 à 00:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Tes rapports sont illisibles

Mets IE en mode compatible => Au bout de la barre d'adresse, clique sur le dossier bleu déchiré
Dans format du bloc-notes, décoche "Retour auto à la ligne"

A demain

papylou
 Posté le 11/05/2013 à 14:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour Evasion ,

Excuse moi pour ces rapports mal envoyés, j'ai rectifié selon tes conseils....

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : cecile [Droits d'admin]
Mode : Recherche -- Date : 10/05/2013 23:20:39
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤
[STARTUP][BLACKLISTDLL] msconfig.lnk @cecile : C:\Windows\System32\rundll32.exe|C:\PROGRA~2\4ribq.dat,FG00 -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DLL][SUSP PATH] HKLM\[...]\ControlSet001\Services\winmgmt\Parameters : ServiceDll (C:\ProgramData\4ribq.dat) [x] -> TROUVÉ
[HJ DLL][SUSP PATH] HKLM\[...]\ControlSet002\Services\winmgmt\Parameters : ServiceDll (C:\ProgramData\4ribq.dat) [x] -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x83281FA5 -> HOOKED (Unknown @ 0x8D74BCF6)
SSDT[276] : NtRequestWaitReplyPort @ 0x83294142 -> HOOKED (Unknown @ 0x8D74BD00)
SSDT[289] : NtSetContextThread @ 0x832E325F -> HOOKED (Unknown @ 0x8D74BCFB)
SSDT[314] : NtSetSecurityObject @ 0x83210027 -> HOOKED (Unknown @ 0x8D74BD05)
SSDT[332] : NtSystemDebugControl @ 0x83248EF1 -> HOOKED (Unknown @ 0x8D74BD0A)
SSDT[334] : NtTerminateProcess @ 0x83241173 -> HOOKED (Unknown @ 0x8D74BC97)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8D74BD1E)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8D74BD23)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 1ae78e2bda4327d2466d731b9c02f254
[BSP] d9b6c24425c52666d68fc41c1a824e72 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 152463 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 315318272 | Size: 151280 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_10052013_232039.txt >>
RKreport[1]_S_10052013_232039.txt

Et le deuxième rapport avec suppréssion,

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : cecile [Droits d'admin]
Mode : Suppression -- Date : 10/05/2013 23:24:10
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤
[STARTUP][BLACKLISTDLL] msconfig.lnk @cecile : C:\Windows\System32\rundll32.exe|C:\PROGRA~2\4ribq.dat,FG00 -> SUPPRIMÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DLL][SUSP PATH] HKLM\[...]\ControlSet001\Services\winmgmt\Parameters : ServiceDll (C:\ProgramData\4ribq.dat) [x] -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll)
[HJ DLL][SUSP PATH] HKLM\[...]\ControlSet002\Services\winmgmt\Parameters : ServiceDll (C:\ProgramData\4ribq.dat) [x] -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x83281FA5 -> HOOKED (Unknown @ 0x8D74BCF6)
SSDT[276] : NtRequestWaitReplyPort @ 0x83294142 -> HOOKED (Unknown @ 0x8D74BD00)
SSDT[289] : NtSetContextThread @ 0x832E325F -> HOOKED (Unknown @ 0x8D74BCFB)
SSDT[314] : NtSetSecurityObject @ 0x83210027 -> HOOKED (Unknown @ 0x8D74BD05)
SSDT[332] : NtSystemDebugControl @ 0x83248EF1 -> HOOKED (Unknown @ 0x8D74BD0A)
SSDT[334] : NtTerminateProcess @ 0x83241173 -> HOOKED (Unknown @ 0x8D74BC97)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8D74BD1E)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8D74BD23)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 1ae78e2bda4327d2466d731b9c02f254
[BSP] d9b6c24425c52666d68fc41c1a824e72 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 152463 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 315318272 | Size: 151280 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_10052013_232410.txt >>
RKreport[1]_S_10052013_232039.txt ; RKreport[2]_D_10052013_232410.txt

Je m'occupe maintenant du rapport de ZHPDiag.

papylou
 Posté le 11/05/2013 à 14:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Fichier joint : ZHPDiag.txt

Evasion60
 Posté le 11/05/2013 à 18:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

---\\ Software Update
Adobe Flash Player 11 Plugin => Adobe Systems // OK
Adobe Reader X => V:11.0.2
Java 7 Update 17 => Oracle // 7u21
A mettre à jour !

Applique ce correctif =>

Lance ZHPFix par l'icône sur le bureau, par un double clic

image

* Dans la fenêtre qui s'ouvre, valide par " OK "
Elle a été créée lors de l'installation de ZHPDiag


A l'aide de la souris (clic gauche maintenu), sélectionne et copie (clic droit/copier) le contenu de l'encadré ci-dessous

Code


[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Infection Diverse (Disabled.SecurityCenter)
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Infection Diverse (Disabled.SecurityCenter)
O4 - GS\QuickLaunch: iLivid.lnk . (...) -- C:\Users\cecile\AppData\Local\iLivid\iLivid.exe (.not file.) => Infection PUP (Adware.Bandoo)*
[HKCU\Software\AppDataLow\Software\Eazel-FR] => Toolbar.Eazel
O43 - CFD: 10/05/2013 - 17:37:38 - [7,524] ----D C:\Program Files\Search Results Toolbar => Infection PUP (Adware.IMBooster)*
O43 - CFD: 23/03/2013 - 9:33:51 - [2,454] ----D C:\ProgramData\BrowserProtect => Infection PUP (Hijacker.Eazel)*
O43 - CFD: 19/02/2011 - 19:37:06 - [23,499] ----D C:\Users\cecile\AppData\Roaming\LimeWire => LimeWire Java PeerToPeer
O43 - CFD: 5/02/2011 - 14:48:14 - [0,030] ----D C:\Users\cecile\AppData\Local\Ares => Ares Galaxy PeerToPeer
[MD5.B28C334C03CEE7C5E829C43AE75DAE5A] [SPRF][28/01/2013] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\cecile\AppData\Local\Temp\AskSLib.dll [248008]
O87 - FAEL: "{34315438-F8FE-4E85-9AA1-8879D23BA97F}" | In - Private - P6 - TRUE | .(.APN LLC - DtUser.) -- C:\Program Files\Search Results Toolbar\Datamngr\SRTOOL~1\dtUser.exe => Infection PUP (PUP.BearShare)*
O87 - FAEL: "{0082F93E-93D4-473D-AA23-920E24EA9D25}" | In - Private - P17 - TRUE | .(.APN LLC - DtUser.) -- C:\Program Files\Search Results Toolbar\Datamngr\SRTOOL~1\dtUser.exe => Infection PUP (PUP.BearShare)*
[HKLM\Software\Classes\Interface\{8DEC3C75-9A5D-446C-B7B5-E4AB4FDD6309}] => Infection PUP (Adware.Bandoo)
C:\Program Files\Search Results Toolbar => Infection PUP (Adware.IMBooster)*
C:\ProgramData\BrowserProtect => Infection PUP (Hijacker.Eazel)*
EmptyCLSID
Emptytemp
EmptyFlash


Clique sur le bouton Presse-papier encadré en rouge sur l'image.


Les lignes contenues dans le presse-papier vont s'afficher.

Clique sur le bouton GO en bas à gauche.

Note: Si l'UAC est active, après le clic sur "GO", un message va apparaître du style "Voulez-vous autoriser le programme...." qu'il faudra valider :

Puis ZHPFix se relance, il faudra à nouveau cliquer sur le bouton "Presse-papier" pour coller les lignes, puis sur le bouton "GO"

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil (en haut à doite).

image
Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.



image


papylou
 Posté le 11/05/2013 à 19:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Evasion,

J'ai bien fait la mise à jour d'Adobe Reader 11.0.2 ainsi que celle de Java7 Update 17 Oracle u21.

Et voici le rapport d' ZHPFix,

Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
Fichier d'export Registre :
Run by cecile at 11/05/2013 19:19:53
High Elevated Privileges : OK
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

Corbeille vidée

========== Module(s) mémoire ==========
SUPPRIME Memory Module: C:\Users\cecile\AppData\Local\Temp\AskSLib.dll

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\AppDataLow\Software\Eazel-FR
SUPPRIME Key: HKLM\Software\Classes\Interface\{8DEC3C75-9A5D-446C-B7B5-E4AB4FDD6309}

========== Valeur(s) du Registre ==========
SUPPRIME {34315438-F8FE-4E85-9AA1-8879D23BA97F}
SUPPRIME {0082F93E-93D4-473D-AA23-920E24EA9D25}

========== Elément(s) de donnée du Registre ==========
REMPLACE Value AntiVirusOverride : Good (0) - Bad (1)
REMPLACE Value FirewallOverride : Good (0) - Bad (1)

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\cecile\AppData\Local\{0FB7426F-629A-4373-B4DD-42585FAD4BD8}
SUPPRIME Folder: C:\Users\cecile\AppData\Local\{23C43F69-F4E8-478C-A04E-2A07BBEC3098}
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichier(s) ==========
SUPPRIME File: c:\users\cecile\appdata\roaming\microsoft\internet explorer\quick launch\ilivid.lnk
ABSENT File: c:\users\cecile\appdata\local\ilivid\ilivid.exe
SUPPRIME File: c:\users\cecile\appdata\local\temp\askslib.dll
ABSENT Folder/File: c:\program files\search results toolbar
ABSENT Folder/File: c:\programdata\browserprotect
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies


========== Récapitulatif ==========
1 : Module(s) mémoire
2 : Clé(s) du Registre
2 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
4 : Dossier(s)
7 : Fichier(s)


End of clean in 00mn 25s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 11/05/2013 19:19:54 [1838]

Qu'en pense tu ?

Publicité
Evasion60
 Posté le 11/05/2013 à 20:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Papylou

Si plus de problème, nous terminons =>

1/

Télécharger => TFC de OldTimer


Sous XP => Double clic, ou Démarrer // Tous les programmes // Accéssoires ---> "Invite de commandes", clic droit et "Exécuter en tant qu'administrateur"
Sous Vista/Win7 => Dans le menu Windows, Tous les programmes, Accessoires, clic droit sur "Invite de commandes" et "Exécuter en tant qu'administrateur.
Sous Win8 => Barre de charme // Rechercher => Taper « Invite de commandes » l'épingler par un clic droit. En bas à gauche "Exécuter en tant qu'administrateur"

Ferme toutes applications en sauvegardant le travail en cours sinon l'outil le fera.
Clique sur l'icône en forme de poubelle et sur le bouton Start.
Quand le nettoyage sera terminé, clique sur le bouton Exit pour quitter l'outil.

2/

image DelFix (d'Xplode)


Citation
DelFix va supprimer les outils utilisés pour cette désinfection.(quarantaines comprises)
DelFix va purger la restauration systéme potentiellement infectée et créer un nouveau point de restauration propre.
Ce point de restauration sera nommé "Fin de désinfection"
A l'issue Delfix s'auto-supprime.



  • Téléchargez et enregistrez DelFix sur votre bureau.
  • Cliquez sur Delfix pour le lancer.
  • Vista/ 7 et 8, faites un clic droit et choisissez "Exécuter en tant qu'administrateur"
  • Cochez les cases : "Supprimer les outils de désinfections" et "Purger la restauration système"


    image
  • Cliquez sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
  • Pour avoir le rapport de l'outils qui est enregistré dans le presse papier Windows.
  • Faites un clic droit de souris dans votre bloc notes (Notepad) ouvert et sélectionnez "Coller".
  • Ou Appuyez simultanément sur les touches CTRL et V pour coller le contenu du presse-papier.

    Le rapport ressemblera à ceci....

    Code
    # DelFix v10.0 - Rapport créé le 28/01/2013 à 18:18:59
    # Mis à jour le 04/01/2013 par Xplode
    # Nom d'utilisateur : Patrick - PORTABLE

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\ZHP
    Supprimé : C:\PhysicalDisk0_MBR.bin

    ~ Purge de la restauration système ...

    Supprimé : RP #20 [Fin de désinfection | 01/28/2013 17:18:29]

    Nouveau point de restauration créé !

    ########## - EOF - ##########
Vous pouvez maintenant l'enregistrer et poster son contenu.

Tu peux mettre ton sujet en "Résolu"
Bonne continuation
papylou
 Posté le 11/05/2013 à 22:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Evasion,

J'ai bien effectué les DelFix opérations que tu m'a demandé, et voici le rapport de DelFix,

# DelFix v10.2 - Rapport créé le 11/05/2013 à 22:33:57
# Mis à jour le 02/04/2013 par Xplode
# Nom d'utilisateur : cecile - PC-DE-CECILE

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\Users\cecile\Desktop\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\cecile\Desktop\adwcleaner.exe
Supprimé : C:\Users\cecile\Desktop\RKreport[1]_S_10052013_232039.txt
Supprimé : C:\Users\cecile\Desktop\RKreport[2]_D_10052013_232410.txt
Supprimé : C:\Users\cecile\Desktop\RogueKiller.exe
Supprimé : C:\Users\cecile\Desktop\TFC.exe
Supprimé : C:\Users\cecile\Desktop\ZHPDiag.txt
Supprimé : C:\Users\cecile\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\cecile\Downloads\ZHPDiag2.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #507 [Windows Update | 04/02/2013 18:31:42]
Supprimé : RP #508 [Point de contrôle planifié | 04/06/2013 07:57:51]
Supprimé : RP #509 [Windows Update | 04/09/2013 18:42:45]
Supprimé : RP #510 [Windows Update | 04/11/2013 18:54:00]
Supprimé : RP #511 [Point de contrôle planifié | 04/13/2013 09:07:19]
Supprimé : RP #512 [Windows Update | 04/16/2013 14:16:03]
Supprimé : RP #513 [Windows Update | 04/19/2013 18:31:50]
Supprimé : RP #514 [Point de contrôle planifié | 04/21/2013 09:28:28]
Supprimé : RP #515 [Windows Update | 04/23/2013 19:03:51]
Supprimé : RP #516 [Windows Update | 04/23/2013 20:13:03]
Supprimé : RP #517 [Point de contrôle planifié | 04/28/2013 09:22:34]
Supprimé : RP #518 [Windows Update | 04/30/2013 18:28:36]
Supprimé : RP #519 [Installed QuickTime | 05/01/2013 17:41:30]
Supprimé : RP #520 [Installation du package de pilote logiciel : Apple, Inc. Contrôleurs de bus USB | 05/01/2013 17:55:44]
Supprimé : RP #521 [Installation du package de pilote logiciel : Apple Cartes réseau | 05/01/2013 17:56:02]
Supprimé : RP #522 [Windows Update | 05/03/2013 19:02:57]
Supprimé : RP #523 [Windows Update | 05/10/2013 08:41:31]
Supprimé : RP #525 [Revo Uninstaller's restore point - Avira Free Antivirus | 05/10/2013 15:10:54]
Supprimé : RP #526 [Installed Java 7 Update 21 | 05/11/2013 16:51:24]
Supprimé : RP #527 [Installed Adobe Reader XI - Français. | 05/11/2013 17:10:36]

Nouveau point de restauration créé !

########## - EOF - ##########

Je tiens vivement à te remercier pour ton aide rondement menée d'une main de Grand Maître.....

A première vue le pc me semble fonctionner normalement, je le vérifirai mieux cela demain à tête reposée, raison pour laquelle j'attendrai pour mettre le sujet en résolu ce soir.

J'aimerai te poser encore une question, comment résoudre le gros oucis d'installer à nouveau un antivirus encore toujours absent actuellement et en l'occurence " Antivir Personal Edition free ? (voir mon premier message du sujet )

Je te souhaite une très bonne fin de soirée et certainement à demain...

Evasion60
 Posté le 11/05/2013 à 23:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Pour désinstaller antivir, il faut le faire soit via le panneau de configuration, soit avec un "outil" spécifique =>

AntiVir (Avira GmbH)
Instructions for manual uninstallation
Avira uninstaller and registry cleaning tools: Avira RegistryCleaner + Uninstallation packages
FAQ (Ang) http://www.avira.com/en/support/faq.html

papylou
 Posté le 12/05/2013 à 11:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour Evasion,

Concernant le fonctionnement du pc je pense que c'est Ok bien qu'il est très lent au démarrage mais cela à toujours été le cas avec cet appareil, pourtant il n'y a plus que trois programmes d'activé au démarrage au lieu de 19 précédement.

Mais le problème persiste de ne pouvoir supprimer le gros fichier encore existant d'Avira visible uniquement dans ProgramFiles et nulle part ailleurs.

Et quand je veux réinstaller la nouvelle version l'on m'indique que je dois supprimer manuellement les fichiers existant....

J'ai même utilisé le logiciel de déinstallation spécial d'Avira mais rien n'y fait !

http://www.avira.com/fr/download?product=avira-registrycleaner

Je ne sais plus quoi faire, me conseilles tu ? d'ouvrir un nouveau sujet sur le forum Vista pour une aide plus spécifique pour ne pas encombrer ce forum de la sécurité ?

Je te remercie encore Evasion pour ta super aide de désinfection rapide et efficace ...

Evasion60
 Posté le 12/05/2013 à 13:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Fait le avec Revouninstall en mode "Avancé "

Bon dimanche

papylou
 Posté le 12/05/2013 à 14:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Evasion,

J'avais déjà essayé de le supprimer à l'aide de Revo Unictaller sans succés mais pas en mode Avancé, je ferai l'essai taout à l'heure.

Merci pour ton conseil, je mets sujet en résolu pour la désinfection et quitte ce forum Sécurité sur la pointe des pieds.

Encore bravo à toi pour ton secours très précieux....



Modifié par papylou le 12/05/2013 14:39
Evasion60
 Posté le 12/05/2013 à 16:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Ok !

Tu peux mettre ton sujet en "Résolu"
Bonne continuation

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
29,49 €51 Worldwide Games sur Switch à 29,49 €
Valable jusqu'au 02 Octobre

Amazon fait une promotion sur le jeu Switch 51 Worldwide Games qui passe à 29,49 € livré gratuitement au lieu de 40 €. Echecs, dominos, fléchettes, poker, bowling, solitaire, mah-jong, … les plus grands jeux classiques du monde entier se donnent rendez-vous votre Nintendo switch avec 51 worldwide games !


> Voir l'offre
63,67 €Kit de 16 Go (2 x 8 Go) de mémoire DDR4 Corsair Vengeance LPX 3200 MHz à 63,67 €
Valable jusqu'au 04 Octobre

Amazon fait une belle promotion sur le kit de 16 Go (2x8 Go) de mémoire DDR4 Corsair Vengeance LPX 3200 MHz qui passe à 63,67 € livrée gratuitement.


> Voir l'offre
7,57 €Clé USB 3.0 Sandisk Ultra 32 Go à 7,57 €
Valable jusqu'au 04 Octobre

Amazon propose la clé USB Sandisk Ultra d'une capacité de 32 Go à 7,57 €. Cette clé USB 3.0 est compatible USB 2.0 et offre de bons débits d'environ 80 Mo/s en lecture et en écriture. Le connecteur est rétractable pour éviter qu'il prenne la poussière.


> Voir l'offre

Sujets relatifs
virus police nationale
virus de la police
Ami infecté par virus police....
virus police nationale
se préserver des virus "Gendarmerie,Police etc.."
Virus Police Judiciare UKASH écran blanc
PC infecté par virus police gendarmerie
Infection virus ukash police nationale
Virus Cyber Police Patrol
Virus de la police
Plus de sujets relatifs à Infections virus de Police et divers trojans.
 > Tous les forums > Forum Sécurité