Il y a actuellement 447 visiteurs
Dimanche 22 Décembre 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

Infection Win32:Bubak[rtk]

Un ordinateur qui ralentit, des écrans publicitaires qui apparaissent, des applications qui refusent de démarrer ou encore votre navigateur qui s'obstine à ouvrir une page douteuse sont autant d'éléments qui indiquent que l'intégrité de votre ordinateur est menacée par un virus. Vous trouverez dans ce forum quelques conseils et logiciels pour surfer tranquillement.
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...)‎, veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel

Infection Win32:Bubak[rtk]

Message le 28 Fév 2011 16:33

Bonjour,
cela fait quelques semaines que j'ai un virus sur mon ordinateur "Win32:Bubak[rtk]". Avast le détecte en m'annonçant qu'une "menace" a été détectée mais il n'est pas fichu de me le supprimer. Mon pc ne fait que ça de redémarrer après un écran bleu avec des tas de messages dont le nom "okhrbs.sys" apparaît tout le temps. De plus quand je fais une analyse j'ai ce message : "Nom du fichier : C:\Windows\System32\drivers\okhrbs.sys Etat : Un périphérique attaché au système ne fonctionne pas correctement".
J'ai téléchargé ComboFix et il m'a envoyé ce rapport :
Code: Tout sélectionner
"ComboFix 11-02-27.02 - Deborah 28/02/2011  15:52:49.2.2 - x86
Microsoft Windows 7 Édition Starter   6.1.7600.0.1252.33.1036.18.1014.278 [GMT 1:00]
Lancé depuis: c:\users\Deborah\Downloads\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
c:\programdata\FullRemove.exe
c:\programdata\HotbarSA
c:\programdata\HotbarSA\HotbarSA.dat
c:\programdata\HotbarSA\HotbarSA_kyf.dat
c:\programdata\HotbarSA\HotbarSAAbout.mht
c:\programdata\HotbarSA\HotbarSAau.dat
c:\programdata\HotbarSA\HotbarSAEULA.mht
c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar
c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\About Hotbar.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Customer Support Center.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Games!.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Hotbar Videos!.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Reset Cursor.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\Hotbar\Weather.lnk
c:\users\Deborah\AppData\Roaming\.#
c:\users\Deborah\AppData\Roaming\WeatherDPA

.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-01-28 au 2011-02-28  ))))))))))))))))))))))))))))))))))))
.

2011-02-28 15:10 . 2011-02-28 15:10   --------   d-----w-   c:\users\Default\AppData\Local\temp
2011-02-28 13:31 . 2011-02-23 14:56   371544   ----a-w-   c:\windows\system32\drivers\aswSnx.sys
2011-02-25 11:16 . 2011-02-11 06:54   5943120   ----a-w-   c:\programdata\Microsoft\Windows Defender\Definition Updates\{8AB1981D-F7A3-4718-AC63-808F4E9406ED}\mpengine.dll
2011-02-23 20:07 . 2010-09-14 06:07   276992   ----a-w-   c:\windows\system32\wcncsvc.dll
2011-02-22 21:56 . 2011-01-07 07:31   442880   ----a-w-   c:\windows\system32\XpsPrint.dll
2011-02-22 21:56 . 2011-01-07 07:31   288256   ----a-w-   c:\windows\system32\XpsGdiConverter.dll
2011-02-21 10:29 . 2011-02-28 13:22   --------   d-----w-   C:\Docs à conserver
2011-02-10 18:01 . 2010-12-18 05:29   163328   ----a-w-   c:\program files\Internet Explorer\ieproxy.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-23 15:04 . 2010-09-04 18:48   40648   ----a-w-   c:\windows\avastSS.scr
2011-02-23 15:04 . 2010-04-20 14:10   190016   ----a-w-   c:\windows\system32\aswBoot.exe
2011-02-23 14:56 . 2010-04-20 14:11   301528   ----a-w-   c:\windows\system32\drivers\aswSP.sys
2011-02-23 14:55 . 2010-04-20 14:11   49240   ----a-w-   c:\windows\system32\drivers\aswTdi.sys
2011-02-23 14:55 . 2010-04-20 14:11   25432   ----a-w-   c:\windows\system32\drivers\aswRdr.sys
2011-02-23 14:55 . 2010-04-20 14:11   53592   ----a-w-   c:\windows\system32\drivers\aswMonFlt.sys
2011-02-23 14:54 . 2010-04-20 14:11   19544   ----a-w-   c:\windows\system32\drivers\aswFsBlk.sys
2011-02-02 16:11 . 2010-04-20 15:28   222080   ------w-   c:\windows\system32\MpSigStub.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-02-23 15:04   122512   ----a-w-   c:\program files\Alwil Software\Avast5\ashShell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension1]
@="{fe25455d-b4c2-4e32-97d2-92632ec1c224}"
[HKEY_CLASSES_ROOT\CLSID\{fe25455d-b4c2-4e32-97d2-92632ec1c224}]
2009-11-25 10:47   297808   ----a-w-   c:\windows\System32\mscoree.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayIconExtension2]
@="{1fae2d88-a78e-4f03-909f-be818a3c1ce6}"
[HKEY_CLASSES_ROOT\CLSID\{1fae2d88-a78e-4f03-909f-be818a3c1ce6}]
2009-11-25 10:47   297808   ----a-w-   c:\windows\System32\mscoree.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"WahOO"="c:\users\Deborah\AppData\Local\WahOO\WahOO.exe" [2011-02-23 2268672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-05 186904]
"HotkeyMon"="AsusSender.exe" [2009-09-11 33768]
"HotkeyService"="AsusSender.exe" [2009-09-11 33768]
"SuperHybridEngine"="AsusSender.exe" [2009-09-11 33768]
"ASUS Screen Saver Protector"="c:\windows\AsScrPro.exe" [2009-11-30 3058304]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]
"Eee Docking"="c:\program files\ASUS\Eee Docking\Eee Docking.exe" [2009-09-25 402608]
"LiveUpdate"="AsusSender.exe" [2009-09-11 33768]
"LivCam"="c:\program files\ASUS\LivCam\LivCam.exe" [2009-11-19 284160]
"EeeStorageBackup"="c:\program files\ASUS\Asus WebStorage\BackupService.exe" [2009-08-25 947472]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-10-05 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-10-05 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-10-05 150552]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-09-29 7744032]
"OOBESetup"="c:\program files\asus\OOBERegBackup\OOBERegBackup.exe" [2009-09-30 338096]
"Boingo Wi-Fi"="c:\program files\Boingo\Boingo Wi-Fi\Boingo.lnk" [2010-04-07 2429]
"ASUS VIBE"="c:\program files\ASUS\ASUS VIBE\ASUS VIBE.exe" [2010-03-02 102400]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-02-23 3451496]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-06-15 141624]

c:\users\Deborah\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-8-3 795936]
tmchlang.lnk - c:\program files\Trend Micro\Internet Security\TmChLang.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv

R2 AsusService;Asus Launcher Service;c:\windows\System32\AsusService.exe [2009-08-19 219136]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2009-07-01 43944]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2009-04-07 29472]
R3 Samsung UPD Service;Samsung UPD Service;c:\windows\System32\SUPDSvc.exe [2010-03-16 132464]
S1 AsUpIO;AsUpIO;c:\windows\system32\drivers\AsUpIO.sys [2009-07-06 11448]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-02-23 53592]
S2 OberonGameConsoleService;Oberon Media Game Console service;c:\program files\Asus\Game Park\GameConsole\OberonGameConsoleService.exe [2009-09-15 44312]
S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x86.sys [2009-07-27 51712]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - okhrbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation   REG_MULTI_SZ      SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
HPZ12   REG_MULTI_SZ      Pml Driver HPZ12 Net Driver HPZ12
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://mivolo.com
mStart Page = hxxp://mivolo.com
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Deborah\AppData\Roaming\Mozilla\Firefox\Profiles\xsdoawl6.default\
FF - prefs.js: network.proxy.type - 4
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-Locked - (no file)
HKLM-Run-SynTPEnh - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
HKLM-Run-SynAsusAcpi - %ProgramFiles%\Synaptics\SynTP\SynAsusAcpi.exe
HKLM-Run-UfSeAgnt.exe - c:\program files\Trend Micro\Internet Security\UfSeAgnt.exe
AddRemove-Scribus 1.3.3.14 - c:\program files\Scribus 1.3.3.14\uninst.exe



[HKEY_LOCAL_MACHINE\system\ControlSet001\services\okhrbs]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2011-02-28  16:18:14
ComboFix-quarantined-files.txt  2011-02-28 15:18

Avant-CF: 60 456 112 128 octets libres
Après-CF: 60 377 374 720 octets libres

- - End Of File - - 9D7F6ADB796F9657F86BF17CAC8E7557"


Il ne me semble pas qu'il ai fait quoi que ce soit pour ce virus : pouvez-vous m'aider ?
Merci !!
Dernière édition par Skynet le 01 Mar 2011 06:39, édité 1 fois.
Raison: Balises [code] ajoutées.
oodebysoo
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 10
Inscription: 28 Fév 2011 16:21
 


Re: Infection Win32:Bubak[rtk]

Message le 28 Fév 2011 19:44

Bonsoir

Je regarde ton rapport et te donne la suite.

OK tu as un Rootkit en place donc voila la suite ::

Ouvre le Menu Démarrer > Exécuter (Touche Windows+ R : en raccourci)

Dans la boîte de dialogue, copie/colle tout ce qui est en citation ci-dessous :
fsutil file createnew "%userprofile%\desktop\CFScript.txt" 0


Puis valide

2/ Ouvre CFScript.txt (sur ton Bureau) . > copie dedans cette nouvelle citation :
KillAll::
Rootkit::
C:\Windows\system32\Drivers\okhrbs.sys
RegLockDel::
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\okhrbs]



Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture:

Image



Une fenêtre bleue va apparaître et ComboFix vas de nouveau faire une analyse.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Ensuite ceci:
Télécharges << ZHPDiag>> (de Nicolas Coolman)

dezzipes le fichier sur ton bureau...
Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".


L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

Image


A la fin de l'installation ZHPDiag va se lancer....

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.
Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

Mets le rapport ici car il prend bien de la place.
http://www.cijoint.fr/index.php

PS:: N'oublies de mettre tes rapports comme cela s.t.p

Image
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Infection Win32:Bubak[rtk]

Message le 28 Fév 2011 21:08

Bonsoir, merci de cette réponse rapide.
Par contre je bloque déjà à la première étape : la création du fichier CFScript.txt sur le bureau. Peut-être parce que je suis sur vista 7 ? I don't know.
Merci d'avance !
oodebysoo
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 10
Inscription: 28 Fév 2011 16:21
 

Re: Infection Win32:Bubak[rtk]

Message le 28 Fév 2011 21:21

oodebysoo a écrit:Bonsoir, merci de cette réponse rapide.
Par contre je bloque déjà à la première étape : la création du fichier CFScript.txt sur le bureau. Peut-être parce que je suis sur vista 7 ? I don't know.
Merci d'avance !


Pas de soucis j'ai testé cette commande fonctionne sous Vista et sous Seven.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Infection Win32:Bubak[rtk]

Message le 28 Fév 2011 21:53

Cette commande est censée créer un fichier sur le bureau c'est ça ? Je ne le vois pas et quand je fais une recherche non plus :-S
oodebysoo
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 10
Inscription: 28 Fév 2011 16:21
 

Re: Infection Win32:Bubak[rtk]

Message le 28 Fév 2011 21:57

oodebysoo a écrit:Cette commande est censée créer un fichier sur le bureau c'est ça ? Je ne le vois pas et quand je fais une recherche non plus :-S


tu fait un copier coller de ma commande via éxécuter et un fichier CFScript.txt va se créé automatiquement sur ton bureau. il te suffiras juste de rajouter ceci dedans.
KillAll::
Rootkit::
C:\Windows\system32\Drivers\okhrbs.sys
RegLockDel::
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\okhrbs]



Edit récupères le fichier ici je l'ai créé pour toi.

http://mydoc.tk/3/CFScript.txt

Ensuite clique droit sur la page--enregistrer sous.
mets le sur ton bureau a coté de Combofix pour continuer la manip
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Infection Win32:Bubak[rtk]

Message le 28 Fév 2011 23:13

Voilà le rapport obtenu :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijks9JLal.txt

Pour le moment pas de redémarrage mais ça ne saurait tarder...
Je continue la manip.
oodebysoo
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 10
Inscription: 28 Fév 2011 16:21
 

Re: Infection Win32:Bubak[rtk]

Message le 28 Fév 2011 23:46

oodebysoo
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 10
Inscription: 28 Fév 2011 16:21
 

Re: Infection Win32:Bubak[rtk]

Message le 01 Mar 2011 07:08

ok fait ceci s.t.p dans cet ordre.

INFO:: ce fichier qui te pose soucis a été installé le "2/28/2011 - 10:54:49" peux être que cela te dis quelques choses :cry:

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau
http://fradesch.perso.cegetel.net/trans ... killer.exe

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

Lance load_tdsskiller en double-cliquant dessus. Clic droit et exécuter en tant qu'administrateur avec Vista/Seven

A cette fenêtre lance le scan.

Image

Tu peux récupérer le rapport en validant Report

Si une détection est faire redémarres le pc pour valider la suppression de celle-ci.


INFO::

http://support.kaspersky.com/viruses/so ... =208280684


Puis::



* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)
c:\windows\system32\drivers\okhrbs.sys
[MD5.4B2E8296040CB2BEF3A3F432BB3C3813] - (.Kow Media - WahOO.) -- C:\Users\Deborah\AppData\Local\WahOO\WahOO.exe [2268672]
P2 - FPN:Firefox Plugin Navigator . (.Pinball Corporation. - Hotbar Firefox Plugin.) -- C:\Program Files\Mozilla Firefox\Plugins\npclntax_HotbarSA.dll
O4 - HKCU\..\Run: [WahOO] . (.Kow Media - WahOO.) -- C:\Users\Deborah\AppData\Local\WahOO\WahOO.exe
O4 - HKUS\S-1-5-21-3421328646-1208662512-3339403230-1000\..\Run: [WahOO] . (.Kow Media - WahOO.) -- C:\Users\Deborah\AppData\Local\WahOO\WahOO.exe
O4 - Global Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\tmchlang.lnk . (...) -- C:\Program Files\Trend Micro\Internet Security\TmChLang.exe (.not file.)
O42 - Logiciel: Java 6 Update 18 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216018FF}
O42 - Logiciel: WahOO - (.Pas de propriétaire.) [HKLM] -- {0271A4CB-D48C-4CDF-826F-62EE8D91663F}_is1
[HKCU\Software\AppDataLow\Software\Hotbar]
[HKCU\Software\JRMX9X1GML]
[HKCU\Software\WahOO]
[HKCU\Software\ZE18MW23GY]
O44 - LFC:[MD5.24A4E266E67ED0FE5B6362579ED3B461] - 2/28/2011 - 10:54:49 PM ---A- . (.Windows Codename Longhorn DDK provider - BBU QYVVGBO TY AVQT JDUNLEGQT.) -- C:\windows\System32\drivers\okhrbs.sys [762368]
O87 - FAEL: "TCP Query User{4D0EB93E-C968-42E3-987B-4FC5F0916A2C}C:\users\deborah\appdata\local\wahoo\wahoo.exe" | In - Public - P6 - TRUE | .(.Kow Media - WahOO.) -- C:\users\deborah\appdata\local\wahoo\wahoo.exe
O87 - FAEL: "UDP Query User{ECBF196D-D956-4F7C-8DBE-25D2F622CB17}C:\users\deborah\appdata\local\wahoo\wahoo.exe" | In - Public - P17 - TRUE | .(.Kow Media - WahOO.) -- C:\users\deborah\appdata\local\wahoo\wahoo.exe
FirewallRaz
EmptyFlash
Emptytemp


Puis Lance ZHPFix depuis le raccourci du bureau.

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [H] ("coller les lignes Helper").

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment qui apparaitront.

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres.

* Puis clique sur le bouton [OK].
> À ce moment là, il apparaitra au début de chaque ligne une petite case vide. Ne touche plus à rien !

!! Déconnecte toi d'internet, désactive tes défenses (anti-virus, anti-spyware) et ferme bien toutes autres applications (navigateurs compris) !!


* Clique sur le bouton [Tous]. Vérifies que toutes les lignes soient bien cochées.

* Enfin clique sur le bouton [Nettoyer].


-> laisse travailler l'outil et ne touche à rien ...


Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)


Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

Puis::

Installe Malewarebytes' Antimalware,

http://www.malwarebytes.org/

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Infection Win32:Bubak[rtk]

Message le 01 Mar 2011 11:12

Merci, je vais essayer cela.
Mais je ne pense pas que ce soit un fichier a cette date qui pose problème à la base car cela fait des semaines que l'ordinateur me fait ça.
oodebysoo
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 10
Inscription: 28 Fév 2011 16:21
 

Re: Infection Win32:Bubak[rtk]

Message le 01 Mar 2011 11:35

Voici le rapport de ZHPFix :
Code: Tout sélectionner
Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-3-1-2011-11-28-58 AM.txt
Run by Deborah at 3/1/2011 11:28:57 AM
Windows 7 Starter Edition, 32-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: Java 6 Update 18 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216018FF}  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Hotbar  => Clé supprimée avec succès
HKCU\Software\JRMX9X1GML  => Clé supprimée avec succès
HKCU\Software\WahOO  => Clé absente
HKCU\Software\ZE18MW23GY  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [WahOO] . (.Kow Media - WahOO.) -- C:\Users\Deborah\AppData\Local\WahOO\WahOO.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-3421328646-1208662512-3339403230-1000\..\Run: [WahOO] . (.Kow Media - WahOO.) -- C:\Users\Deborah\AppData\Local\WahOO\WahOO.exe  => Valeur absente
TCP Query User{4D0EB93E-C968-42E3-987B-4FC5F0916A2C}C:\users\deborah\appdata\local\wahoo\wahoo.exe  => Valeur supprimée avec succès
UDP Query User{ECBF196D-D956-4F7C-8DBE-25D2F622CB17}C:\users\deborah\appdata\local\wahoo\wahoo.exe  => Valeur supprimée avec succès
FirewallRaz : Aucune valeur présente dans la clé de registre "Standard Profile"
FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"
FirewallRaz (None) : {F13E3E8B-113F-462F-A6FA-6F0D9D216932}  => Valeur supprimée avec succès

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 70

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 71

========== Logiciel(s) ==========
O42 - Logiciel: WahOO - (.Pas de propriétaire.) [HKLM] -- {0271A4CB-D48C-4CDF-826F-62EE8D91663F}_is1  => Logiciel supprimé avec succès


========== Récapitulatif ==========
5 : Clé(s) du Registre
7 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
1 : Logiciel(s)


End of the scan


Je poursuis..
oodebysoo
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 10
Inscription: 28 Fév 2011 16:21
 

Re: Infection Win32:Bubak[rtk]

Message le 01 Mar 2011 14:22

Voila le rapport final :
Code: Tout sélectionner
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5914

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

01/03/2011 13:49:22
mbam-log-2011-03-01 (13-49-22).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 265757
Temps écoulé: 58 minute(s), 44 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\HotbarAx.Info (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\HotbarAx.Info.1 (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\HotbarWeather.WeatherController (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\HotbarWeather.WeatherController.1 (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Word\Addins\HostOL.MailAnim (Adware.Hotbar) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\ZHPDiag\quarantine\npclntax_hotbarsa.dll.vir (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\program files\konvertor\Kawd.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\Users\Deborah\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
oodebysoo
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 10
Inscription: 28 Fév 2011 16:21
 

Re: Infection Win32:Bubak[rtk]

Message le 01 Mar 2011 19:34

ok pour les rapports :wink:

Qu'a donné TDSSKiller?
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Infection Win32:Bubak[rtk]

Message le 01 Mar 2011 22:14

Rien pour TDSSKiller..

Bon je ne sais pas si mon problème est entièrement résolu, mais depuis hier plus de re-démarrage de l'ordinateur non programmé (je touche du bois !). J'ai refais une analyse avec Avast et il m'a dit que la menace était encore là mais cette fois-ci j'ai pu mettre le fichier en quarantaine et il m'a refait une analyse en redémarrant l'ordinateur et a encore trouvé des choses qu'il a supprimées sans difficulté.
J'espère être tranquille !! On verra mais pour l'instant je suis confiante !

Merci pour tout en tout cas !
oodebysoo
Visiteur Confirmé
Visiteur Confirmé
 
Messages: 10
Inscription: 28 Fév 2011 16:21
 

Re: Infection Win32:Bubak[rtk]

Message le 02 Mar 2011 12:47

Bonne nouvelle :wink:

fait ceci en complément .


Installe Malewarebytes' Antimalware,

http://www.malwarebytes.org/

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Suivante


Sujets similaires

Message [Résolu] infection probable
Bonjour à tousalors voila, je pense être infecter par virus et ou malware, ou quelqu'un, depuis un bon moment j'ai des bannières qui viennent ce glisser et entrer sur mon écran à droite, elles apparaissent par 3 l'une sur l'autre, je peut les fermer, mais elles reviennent,principalement ca concerne ...
Réponses: 22

Message Suspicion d'infection
Bonjour,Il y a peu mon PC m'a paru ralenti et répondant bizarrement.Voici les rapports FRST.Merci d'avance.JF
Réponses: 3

Message [Réglé] infection probable
Bonjour à tousalors voila, je pense être infecter par virus et ou malware, ou quelqu'un, depuis un bon moment j'ai des bannières qui viennent ce glisser et entrer sur mon écran en bas à droite, dans la journée elles apparaissent par 3 l'une sur l'autre, je peut les fermer, mais sitôt que je quitte ...
Réponses: 12

Message [Résolu] Ordinateur infecté par : Program:Win32/Uwasson.A!ml
Bonjour, Je me permet de vous contacter car je n'arrive pas à me débarrasser d'un virus sur mon ordinateur, je n'arrive pas à la supprimer ou mettre en quarantaine.Si j'ai bien compris le fichier porteur n'est plus sur l'ordinateur mais la menace est toujours là.Merci de votre aide.
Réponses: 7

Message [Réglé] vérification possible infection ou autres
bonjour a tous, j'ai mon PC qui ralenti fort en ce moment, un disque qui est a 100% d'activité alors qu'il est a 50% sur le processus et une impossibilité de désinstaller CCLEANER et MALWARmerci de votre aide
Réponses: 28

Message Démarrage étrange + Win32:Evo-gen [Susp]
Bonjour ! J'ai besoin d'aide pour mon PC :/Ce matin il a fait un truc assez étrange :Quand je l'ai allumé l?écran restait noir au lieu de 'démarrer windows' ( alors que le petit voyant de l?écran était vert ).J'ai donc redémarré le PC et pareil, écran noir, pas de démarrage de windows. Par hasard j' ...
Réponses: 12

Message [Résolu] Win32/Bitrep.A
Bonjour,Tous les samedis soir, je fais une analyse de mon PC avec "MS Sécurité Essential".Ce matin il m'a trouvé "Bitrep.A" qualifié de grave. Je l'ai donc supprimer, mais la rapidité a laquelle ça se fait me fait douter de l'efficacité.Pourriez-vous me dire si il y a des manips ...
Réponses: 15


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 10 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.