> Tous les forums > Forum Sécurité
 Supprimer Win32/Spy.Zbot.AAO
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
cefabien
  Posté le 23/10/2012 @ 20:05 
Aller en bas de la page 

Bonjour,

à priori je viens d'etre infecté en mémoire par ce trojan dixit ESET antivirus.

J'ai vu que c'était super compliqué pour l'éradiquer et que la méthode était différente pour chaque pc.

Est-ce que quelqu'un pourrait m'aider ?

Merci

Publicité
Anonyme
 Posté le 23/10/2012 à 20:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
cefabien
 Posté le 23/10/2012 à 21:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

merci pour tonaide, voici les rapports:

- MalwareBytes

Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.10.23.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
FabZ
FABZ-PC [administrateur]

Protection: Activé

23/10/2012 20:29:32
mbam-log-2012-10-23 (20-29-32).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 222755
Temps écoulé: 4 minute(s), 30 seconde(s)

Processus mémoire détecté(s): 1
C:\Program Files (x86)\BrowserCompanion\BCHelper.exe (PUP.Blabbers) -> 380 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 1
C:\Program Files (x86)\BrowserCompanion\sqlite3.dll (PUP.Blabbers) -> Suppression au redémarrage.

Clé(s) du Registre détectée(s): 22
HKCR\CLSID\{00cbb66b-1d3b-46d3-9577-323a336acb50} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{8830DDF0-3042-404D-A62C-384A85E34833} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\wit4ie.WitBHO.2 (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\wit4ie.WitBHO (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{830B56CB-FD22-44AA-9887-7898F4F4158D} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\tdataprotocol.CTData.1 (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\tdataprotocol.CTData (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\updatebho.TimerBHO.1 (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\updatebho.TimerBHO (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BrowserCompanion (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\PROTOCOLS\HANDLER\BASE64 (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\PROTOCOLS\HANDLER\CHROME (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
HKCR\PROTOCOLS\HANDLER\PROX (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 5
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Browser companion helper (PUP.Blabbers) -> Données: C:\Program Files (x86)\BrowserCompanion\BCHelper.exe /T=3 /S=7 -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{6150CC81-C867-5CE5-D996-A405BDC69AAE} (Trojan.VBKrypt) -> Données: C:\Users\FabZ\AppData\Roaming\Kuacl\noilr.exe -> Mis en quarantaine et supprimé avec succès.
HKCR\protocols\Handler\base64|CLSID (PUP.Blabbers) -> Données: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Mis en quarantaine et supprimé avec succès.
HKCR\protocols\Handler\chrome|CLSID (PUP.Blabbers) -> Données: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Mis en quarantaine et supprimé avec succès.
HKCR\protocols\Handler\prox|CLSID (PUP.Blabbers) -> Données: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Program Files (x86)\BrowserCompanion (PUP.Blabbers) -> Suppression au redémarrage.

Fichier(s) détecté(s): 12
C:\Program Files (x86)\BrowserCompanion\BCHelper.exe (PUP.Blabbers) -> Suppression au redémarrage.
C:\Users\FabZ\AppData\Roaming\Kuacl\noilr.exe (Trojan.VBKrypt) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\BrowserCompanion\jsloader.dll (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\BrowserCompanion\tdataprotocol.dll (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\BrowserCompanion\updatebhoWin32.dll (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\BrowserCompanion\blabbers-ff-full.xpi (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\BrowserCompanion\logo.ico (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\BrowserCompanion\sqlite3.dll (PUP.Blabbers) -> Suppression au redémarrage.
C:\Program Files (x86)\BrowserCompanion\toolbar.dll (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\BrowserCompanion\uninstall.exe (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\BrowserCompanion\updater.ini (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\BrowserCompanion\widgetserv.exe (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.

(fin)

- AdwCleaner

# AdwCleaner v2.005 - Rapport créé le 23/10/2012 à 20:46:48
# Mis à jour le 14/10/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : FabZ - FABZ-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\FabZ\Desktop\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Program Files (x86)\BrowserCompanion
Dossier Présent : C:\Program Files (x86)\DAEMON Tools Toolbar
Dossier Présent : C:\Program Files (x86)\Free Offers from Freeze.com
Dossier Présent : C:\ProgramData\boost_interprocess
Dossier Présent : C:\ProgramData\Partner
Dossier Présent : C:\Users\FabZ\AppData\Local\Linkury
Dossier Présent : C:\Users\FabZ\AppData\LocalLow\bbrs_002.tb
Fichier Présent : C:\Users\FabZ\AppData\Roaming\Mozilla\Firefox\Profiles\82cexn2n.default\searchplugins\Plusnetwork.xml

***** [Registre] *****

Clé Présente : HKCU\Software\BrowserCompanion
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Présente : HKCU\Software\Softonic
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{4327FABE-3C22-4689-8DBF-D226CF777FE9}
Clé Présente : HKLM\Software\BrowserCompanion
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{20EDC024-43C5-423E-B7F5-FD93523E0D9F}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{373ED12D-B306-43AC-9485-A7C5133DC34C}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{ED6535E7-F778-48A5-A060-549D30024511}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\tdataprotocol.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\updatebho.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\wit4ie.DLL
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Présente : HKU\S-1-5-21-1171329006-1186504073-1731546860-1000\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Clé Présente : HKU\S-1-5-21-1171329006-1186504073-1731546860-1000\Software\Microsoft\Internet Explorer\SearchScopes\{4327FABE-3C22-4689-8DBF-D226CF777FE9}
Valeur Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{32099AAC-C132-4136-9E9A-4E364A424E17}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[HKCU\Software\Microsoft\Internet Explorer\Main - Search Page] = hxxp://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus
[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.plusnetwork.com/?sp=hp
[HKCU\Software\Microsoft\Internet Explorer\Main - Search Bar] = hxxp://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus
[HKCU\Software\Microsoft\Internet Explorer\Search - Default_Search_URL] = hxxp://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus
[HKCU\Software\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus

-\\ Mozilla Firefox v9.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\FabZ\AppData\Roaming\Mozilla\Firefox\Profiles\82cexn2n.default\prefs.js

Présente : user_pref("keyword.URL", "hxxp://www.plusnetwork.com/?sp=addr&q=");
Présente : user_pref("browser.search.selectedEngine", "Plus! Network");

-\\ Google Chrome v22.0.1229.94

Fichier : C:\Users\FabZ\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [4651 octets] - [23/10/2012 20:46:48]

########## EOF - C:\AdwCleaner[R1].txt - [4711 octets] ##########

- ZHPDiag
Merci
Anonyme
 Posté le 23/10/2012 à 21:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Re,

relance AdwCleaner
Sur le menu principal, clique sur Suppression
Poste le rapport

cefabien
 Posté le 23/10/2012 à 21:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Et voici :

# AdwCleaner v2.005 - Rapport créé le 23/10/2012 à 21:29:44
# Mis à jour le 14/10/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : FabZ - FABZ-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\FabZ\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\BrowserCompanion
Dossier Supprimé : C:\Program Files (x86)\DAEMON Tools Toolbar
Dossier Supprimé : C:\Program Files (x86)\Free Offers from Freeze.com
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\ProgramData\Partner
Dossier Supprimé : C:\Users\FabZ\AppData\Local\Linkury
Dossier Supprimé : C:\Users\FabZ\AppData\LocalLow\bbrs_002.tb
Fichier Supprimé : C:\Users\FabZ\AppData\Roaming\Mozilla\Firefox\Profiles\82cexn2n.default\searchplugins\Plusnetwork.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\BrowserCompanion
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{4327FABE-3C22-4689-8DBF-D226CF777FE9}
Clé Supprimée : HKLM\Software\BrowserCompanion
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{20EDC024-43C5-423E-B7F5-FD93523E0D9F}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{373ED12D-B306-43AC-9485-A7C5133DC34C}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{ED6535E7-F778-48A5-A060-549D30024511}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\tdataprotocol.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\updatebho.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\wit4ie.DLL
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{32099AAC-C132-4136-9E9A-4E364A424E17}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Page] = hxxp://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.plusnetwork.com/?sp=hp --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Bar] = hxxp://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Default_Search_URL] = hxxp://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus --> hxxp://www.google.com

-\\ Mozilla Firefox v9.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\FabZ\AppData\Roaming\Mozilla\Firefox\Profiles\82cexn2n.default\prefs.js

Supprimée : user_pref("keyword.URL", "hxxp://www.plusnetwork.com/?sp=addr&q=");
Supprimée : user_pref("browser.search.selectedEngine", "Plus! Network");

-\\ Google Chrome v22.0.1229.94

Fichier : C:\Users\FabZ\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [4760 octets] - [23/10/2012 20:46:48]
AdwCleaner[R2].txt - [4820 octets] - [23/10/2012 20:51:09]
AdwCleaner[S2].txt - [4680 octets] - [23/10/2012 21:29:44]

########## EOF - C:\AdwCleaner[S2].txt - [4740 octets] ##########

Anonyme
 Posté le 23/10/2012 à 21:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

+Télécharge RogueKiller (merci Tigzy) sur ton Bureau : Ici
Ferme tous les programmes en cours et lance-le
Attends la fin du prescan puis clique sur scan
Poste le rapport


cefabien
 Posté le 23/10/2012 à 21:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Voici :

RogueKiller V8.2.0 [22/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : FabZ [Droits d'admin]
Mode : Recherche -- Date : 23/10/2012 21:52:33

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 5 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : BlueMtnAPODWallpaper (C:\Users\FabZ\Desktop\APODWallpaper.exe) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1171329006-1186504073-1731546860-1000[...]\Run : BlueMtnAPODWallpaper (C:\Users\FabZ\Desktop\APODWallpaper.exe) -> TROUVÉ
[TASK][SUSP PATH] {D0807ED3-8739-4D65-84AF-54C1AE5433AD} : C:\Windows\system32\pcalua.exe -a C:\Users\FabZ\Desktop\AA5SP1Setup.exe -d C:\Users\FabZ\Desktop -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 activate.adobe.com
127.0.0.1 activation.guitar-pro.com
127.0.0.1 localhost
127.0.0.1 localhost#Modifiche per risolvere errore 81000378 di MSN Messenger (da eliminare se l'errore sparisce)
65.54.239.80 messenger.hotmail.com
65.54.239.80 dp.msnmessenger.akadns.net


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9320325AS +++++
--- User ---
[MBR] 86d7de98c5c45fcf506725bb61b516ac
[BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 22003 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 45062325 | Size: 76308 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 201342976 | Size: 206932 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

cefabien
 Posté le 23/10/2012 à 22:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Je viens de revérifier avec ESET et il me dit plus qu'il y a une infection...

J'avais ça au départ :

23/10/2012 19:32:22Analyseur au démarragefichierMémoire vive = C:\Windows\SysWOW64\svchost.exe une variante de Win32/Spy.Zbot.AAO cheval de troie impossible de nettoyer

23/10/2012 19:32:22Analyseur au démarragefichierMémoire vive = C:\Users\FabZ\AppData\Local\Google\Chrome\Application\chrome.exe une variante de Win32/Spy.Zbot.AAO cheval de troie impossible de nettoyer

et maintenant ESET dit que la mémoire vive est clean...

Vous pensez que c'est résolu ?

Anonyme
 Posté le 24/10/2012 à 08:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
cefabien a écrit :

> Vous pensez que c'est résolu ?

Bonjour,

> Non, pas tout à fait.

Relance RogueKiller et clique sur Host RAZ
Poste le rapport

A+

Publicité
cefabien
 Posté le 24/10/2012 à 08:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Le voici:

RogueKiller V8.2.0 [22/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : FabZ [Droits d'admin]
Mode : HOSTS RAZ -- Date : 24/10/2012 08:29:47

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 activate.adobe.com
127.0.0.1 activation.guitar-pro.com
127.0.0.1 localhost
127.0.0.1 localhost#Modifiche per risolvere errore 81000378 di MSN Messenger (da eliminare se l'errore sparisce)
65.54.239.80 messenger.hotmail.com
65.54.239.80 dp.msnmessenger.akadns.net


¤¤¤ Nouveau fichier HOSTS: ¤¤¤


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Anonyme
 Posté le 24/10/2012 à 13:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Re,

fais un scan antivirus avec Eset.
Tuto : https://forum.pcastuces.com/eset_online_scanner___nouvelle_version___tutoriel-f31s56.htm
Poste le rapport.

cefabien
 Posté le 24/10/2012 à 22:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Voici le rapport: A priori rie de menaçant

C:\Program Files (x86)\Ultimate Multi Tool\bin\apk\com.modaco.visionaryplus.r14.apk Android/Exploit.RageCage.A cheval de troie
C:\Program Files (x86)\Ultimate Multi Tool\bin\apk\GingerBreak.apk Android/Exploit.Lotoor.AH cheval de troie
C:\Program Files (x86)\Ultimate Multi Tool\bin\tools\GingerBreak Android/Exploit.Lotoor.AF cheval de troie
C:\Users\FabZ\AppData\Local\Temp\Update_9693.exe une variante de Win32/MessengerPlus.A Application
C:\Users\FabZ\AppData\Local\Temp\Update_b116.exe une variante de Win32/MessengerPlus.A Application
C:\Users\FabZ\AppData\Local\Temp\Update_cd12.exe une variante de Win32/MessengerPlus.A Application

Anonyme
 Posté le 25/10/2012 à 07:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
cefabien a écrit :

> A priori rie de menaçant

Bonjour,

> Ben supprime tout ça quand même!

1) Télécharge :
CCleaner : Ici
Lance-le puis clique sur Options>Avancé et décoche Effacer uniquement les fichiers Temp de Windows datant de plus de 24 heures. Ferme le programme.

2) Lance CCleaner :
Dans le menu Nettoyeur, clique sur Analyse (laisse-le travailler) puis sur le bouton Lancer le nettoyage.
Fais cela plusieurs fois.

A+

cefabien
 Posté le 25/10/2012 à 19:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Re-bonjour,

voilà c'est fait plusieurs fois...

Anonyme
 Posté le 25/10/2012 à 22:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Re,

il faut mettre à jour Java (faille de sécurité) : http://www.java.com/fr/download/manual.jsp
Clique sur Windows Hors ligne
Décoche Installer la barre d' outils

cefabien
 Posté le 25/10/2012 à 22:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

fredericx a écrit :

Re,

il faut mettre à jour Java (faille de sécurité) : http://www.java.com/fr/download/manual.jsp
Clique sur Windows Hors ligne
Décoche Installer la barre d' outils

Fait aussi

Anonyme
 Posté le 25/10/2012 à 22:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Comment va le Pc?

Poste un rapport ZHPDiag.

Publicité
cefabien
 Posté le 25/10/2012 à 23:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Et voici le rapport : http://cjoint.com/?0JzxmWSxidM

:)

Anonyme
 Posté le 26/10/2012 à 08:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Virus variante de WIN32/spy.zbot.zr
Infection Win32:Zbot-AVH(Trj)
win32.joleee.k comment le supprimer efficacement?
win32 trojan impossible à supprimer
Comment supprimer Win32:SysPatch [Wrm]?
supprimer Virus win32:Trojan-gen. {Other}
avast ne veux pa supprimer win32:trojan-gen
Win32:Small-JHM, cmt le supprimer?
n'arrive pas à supprimer win32/slagent sous vista
Adware win32 slagent - Impossible a supprimer
Plus de sujets relatifs à Supprimer Win32/Spy.Zbot.AAO
 > Tous les forums > Forum Sécurité