infection virale du pc

par **laurent38** » 24 Sep 2011, 13:35

bonjour à tout les membres de se forum

j ai une infection virale car le centre de sécurité de Windows n’arrête pas de d apparaitre et de disparaitre tous les 20 secondes dans ma barre stray en bas a droite a coter de l heure. j ai lu un peu votre forum j ai donc essayé d éliminer les virus. j'ai peu être fais une erreur en me lançant seul dans le monde de la suppression de virus et c'est pour cela que je me tourne vers vous

j ai effectué par avance une analyse de zhpdiag dont voici le rapport effectuer aujourd’hui

http://www.cijoint.fr/cjlink.php?file=cj201109/cijROHJ5yH.txt

ayant MBAM j ai fais un scan qui m'a supprimer une clé de registre infecté:

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.

puis je suis passé sur eset online dont voici le rapport

C:\Program Files\Uniblue\RegistryBooster\registrybooster.exe.0 Win32/RegistryBooster application

je me suis arrêté ici es-je bien fais ou pas ?

par **Apollo** » 25 Sep 2011, 07:54

Bonjour,

As-tu supprimé ce qu'Eset a trouvé comme infection?

Poste le rapport de MBAM stp, que tu trouves dans l'interface sous l'onglet rapports/logs.

1) Télécharge AdwCleaner par Xplode: http://general-changelog-team.fr/telech ... adwcleaner

Enregistre-le sur le bureau (et pas ailleurs).

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.
Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

Clique sur Recherche et laisse travailler l'outil.

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

Le rapport est en outre sauvegardé sous C:\AdwCleaner[R1]

-------------------------

2) Relance AdwCleaner et clique cette fois sur Suppression.
A la fin le rapport s'ouvrira; copie/colle tout son contenu dans ta réponse.

Le rapport est également sauvegardé sous c:\AdwCleaner [S1]

---------------------------

3) Désinstalle l'outil avec le bouton prévu à cet effet.

par **laurent38** » 25 Sep 2011, 12:47

rapport MBAM demandé

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7757

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

21/09/2011 01:00:39
mbam-log-2011-09-21 (01-00-39).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 42273
Temps écoulé: 7 minute(s), 27 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

par **laurent38** » 25 Sep 2011, 12:52

résultat adwcleaner

# AdwCleaner v1.307 - Rapport créé le 25/09/2011 à 13:48:45
# Mis à jour le 19/09/11 à 09h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : laurent - ORDI (Administrateur)
# Exécuté depuis : C:\Documents and Settings\laurent\Mes documents\Téléchargements\adwcleaner0(1).exe
# Option [Recherche]

***** [Processus] *****

***** [Services] *****

***** [Fichiers / Dossiers] *****

***** [Registre] *****

***** [Navigateurs] *****

-\\ Internet Explorer v6.0.2900.5512

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v6.0.2 (fr)

Profil : ajtaqijx.default
Fichier : C:\Documents and Settings\laurent\Application Data\Mozilla\Firefox\Profiles\ajtaqijx.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1001 octets] - [23/09/2011 16:29:04]
AdwCleaner[R2].txt - [936 octets] - [25/09/2011 13:48:45]

########## EOF - C:\AdwCleaner[R2].txt - [1063 octets] ##########

par **laurent38** » 25 Sep 2011, 12:57

deuxième rapport adwcleaner

# AdwCleaner v1.307 - Rapport créé le 25/09/2011 à 13:53:52
# Mis à jour le 19/09/11 à 09h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : laurent - ORDI (Administrateur)
# Exécuté depuis : C:\Documents and Settings\laurent\Mes documents\Téléchargements\adwcleaner0(1).exe
# Option [Suppression]

***** [Processus] *****

***** [Services] *****

***** [Fichiers / Dossiers] *****

***** [Registre] *****

***** [Navigateurs] *****

-\\ Internet Explorer v6.0.2900.5512

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v6.0.2 (fr)

Profil : ajtaqijx.default
Fichier : C:\Documents and Settings\laurent\Application Data\Mozilla\Firefox\Profiles\ajtaqijx.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1001 octets] - [23/09/2011 16:29:04]
AdwCleaner[R2].txt - [1064 octets] - [25/09/2011 13:48:45]
AdwCleaner[S1].txt - [998 octets] - [25/09/2011 13:53:52]

*************************

Dossier Temporaire : 5 dossier(s) et 4 fichier(s) supprimé(s)

########## EOF - C:\AdwCleaner[S1].txt - [1219 octets] ##########

par **Apollo** » 26 Sep 2011, 11:23

Bonjour,

ZHPFix :

Ferme toutes les applications ouvertes
Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
Important:
Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
Clique sur H .
Copie-colle les lignes ci-dessous dans la fenêtre

Code: Tout sélectionner: [HKLM\Software\Babylon] O43 - CFD: 21/08/2011 - 19:56:10 - [3916906] ----D- C:\Documents and Settings\laurent\Local Settings\Application Data\Babylon C:\Documents and Settings\laurent\Local Settings\Application Data\Babylon emptytemp emptyflash firewallraz

Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.

Clique sur le bouton GO pour lancer le nettoyage

Valide par Oui la désinstallation des programmes si demandé
Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

++

par **laurent38** » 26 Sep 2011, 11:59

voici le rapport

Rapport de ZHPFix 1.12.3362 par Nicolas Coolman, Update du 23/09/2011
Fichier d'export Registre :
Run by laurent at 26/09/2011 12:54:56
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Babylon

========== Valeur(s) du Registre ==========
SUPPRIME FirewallRaz (SP) : C:\Games\World_of_Tanks\WOTLauncher.exe
SUPPRIME FirewallRaz (SP) : C:\Games\World_of_Tanks\WorldOfTanks.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\World of Warcraft\Launcher.patch.exe
SUPPRIME FirewallRaz (SP) : C:\Documents and Settings\laurent\Local Settings\Temp\DSOClient\app.n3app
SUPPRIME FirewallRaz (SP) : C:\Program Files\ma-config.com\maconfservice.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Easy Downloads\easydownloads.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Easy Downloads\easydl.exe
SUPPRIME FirewallRaz (SP) : C:\Documents and Settings\laurent\Mes documents\Téléchargements\SweetImSetup.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========
SUPPRIME Folder: C:\Documents and Settings\laurent\Local Settings\Application Data\Babylon
SUPPRIME Temporaires Windows: : 85
SUPPRIME Flash Cookies: 374

========== Fichier(s) ==========
ABSENT Folder/File: c:\documents and settings\laurent\local settings\application data\babylon
SUPPRIME Temporaires Windows: : 131
SUPPRIME Flash Cookies: 194

========== Récapitulatif ==========
1 : Clé(s) du Registre
9 : Valeur(s) du Registre
3 : Dossier(s)
3 : Fichier(s)

End of clean in 00mn 36s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 26/09/2011 12:54:56 [1724]

par **Apollo** » 26 Sep 2011, 12:05

Re,

Est-ce que tu as toujours des problèmes avec le centre de sécurité?

++

par **laurent38** » 26 Sep 2011, 12:16

oui j ai toujours des problèmes avec le centre de sécurité Windows au lieu de popper toute les 20 secondes et disparait dans la seconde la c est a peu prêt toute les 3 minutes quand je lance certaine application comme firefox et world of warcraft (le jeu mmorpg)

devons nous relancer quelques examens pour voir si il ne reste pas une ou plusieurs infection ^^

par **Apollo** » 26 Sep 2011, 12:35

ComboFix va rétablir les paramètres de sécurité tout en désinfectant ce qui pourrait encore se planquer.

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure.

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.
Si vous ne savez pas comment faire, reportez-vous à cet article.

Connecter les supports amovibles (clé usb et autres) avant de procéder.

Tutoriel officiel

Télécharge ComboFix sur ton bureau (et pas ailleurs).

Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
Assure toi que tous les programmes soient fermés avant de commencer.
Double-clique ComboFix.exe afin de l'exécuter.
Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
Lorsque l'analyse sera terminée, un rapport apparaîtra.
Copie-colle ce rapport dans ta prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".
apparaissait, redémarrer le pc.

par **laurent38** » 26 Sep 2011, 13:25

j ai un petit soucis je m explique: j ai bien désactivé avg idem pour MBAM et ainsi que tout les programme lancer dans la barre stray .mais voila des que je lance combofix ma connexion internet se déconnecte disparait de la barre stray et impossible de remettre en route la connexion internet. j ai essayé plusieurs fois ,bien relu la procédure a faire rien n'y fais. y a t il un moyen de télécharger la console windows autre que par combofix ?

par **laurent38** » 26 Sep 2011, 20:28

après plusieurs essais combofix c est finalement lancer une première fois sans la console de récupération

http://www.cijoint.fr/cjlink.php?file=cj201109/cijn40sxpc.txt

j ai retenté le coup et la la console de récuperation c est installé

http://www.cijoint.fr/cjlink.php?file=cj201109/cijFaQ5EGM.txt

mais après tout cela après redémarrage du pc mon centre de sécurité apparait et disparait toujours suivant se que je fais démarrage de firefox ça pop démarrage de wow ça pop et au bout de 20-30 seconde de jeux déconnexion intempestive d internet

on va y arriver ^^ et surtout merci de ta patience