Problème de trojans et PC Lent (rapport ZHPDIAG)

[chantal86060759]

Bonjour,

J'ai besoin d'aide pour mon PC de bureau , j'ai sans cesse des fenetres de pub qui s'ouvre.
J'ai éliminé plusieurs "trojans" mais je ne sais pas si c'est bon.

Je vous transmet le rapport ZHPDIAG
http://www.cijoint.fr/cjlink.php?file=c ... TO6o2C.doc

Merci bien de m'aider a y voir clair et à trouver une solution

Merci a tous d'avance

Chantal

[Del-crosseur]

Bonjour et bienvenue sur pc-i. !!

J'examine ton rapport et je posterais une procédure...

Bonne fin de journée.

[Del-crosseur]

Bonsoir ,

Ton pc est vraiment malade...

On va y aller progressivement , suit bien à la lettre la/les procédures que je vais donner.

*/1/*

• Télécharge AD-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
• Double-clique sur l'icône AD-Remover
• Au menu principal, clique sur "Nettoyer"
• Confirme le lancement de l'analyse et laisse l'outil travailler , ne touche surtout pas au pc pendant l'opération.
• Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-Clean.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

*/2/*

Télécharge puis installe :

par Marcin Kleczynski

*** Met-le à jour(très important ) , puis coche, "Exécuter un examen complet"

*** Si une infection est trouvée, coche la case à coté et valide avec l’Onglet Supprimer la sélection

*** Après la suppression , l'outil va surement te demander de redémarrer l'ordinateur -->accepte<--

*** il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.

Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) ? cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.

Poste le rapport final.

Ps:Au cas ou tu n'a pas le rapport suite à une erreur de manipulation ; relance Malwarebytes puis rends toi dans l'onglet "rapports/Logs" selectionne le dernier puis Copier/Coller dans ta réponse

*/3/*

Nous allons effectuer un Scan avec NOD32

*** Scan en ligne ->

_->Cliquez sur le bouton

_->Accepter les conditions d’utilisation, pour cela, cochez la case « Oui, j’accepte les termes du contrat de licence »
_->Cliquez ensuite sur le bouton Start
_->Acceptez l’installation de l’ActiveX NOD32
_->Le téléchargement des définitions virales s’effectuent, cela peut prendre du temps selon la vitesse de connexion.
_->Cocher la case "Supprimer les menaces détectées"
_->Clique sur le bouton Démarrer pour lancer le scan
_->Le scan du PC se lance, les menaces détectées apparaissent dans la liste en dessous de la barre de progression.
_->Laissez l’analyse s’effectuer entièrement
_->Cliquer sur le bouton « liste des menaces » permettant d’exporter la liste dans un fichier texte
_->Enregistrer celui-ci sur votre bureau par exemple

Poste moi le rapport

J'attends donc le rapport de: AD-REMOVER / Malwarebytes / NOD32
Une fois tous ceci posté nous continuerons la décontamination ...

Bonne soirée

[chantal86060759]

Bonjour

Je vous remercie pour votre aide.

Je vous donne mes analyses
AD REMOVER (SCANN)
http://www.cijoint.fr/cjlink.php?file=c ... KofzPD.doc

AD REMOVER CLEAN c'est le 2eme "clean" le 1er j'ai jamais trouvé le rapport donc j'ai recommencé
ca va surement faussé les données
http://www.cijoint.fr/cjlink.php?file=c ... gVAjJD.doc

MALWAREBYTES (rapport)
http://www.cijoint.fr/cjlink.php?file=c ... y7Y8sx.doc

Scan avec NOD32
Je n'ai pas eu le temps de le terminé je devais m'en aller et je reviens qu'a minuit ce soir
donc je prefère pas laisser tourner mon PC tout seul.
Voici ce qu'il a detecté à (36%) Je referais un autre scanne si necessaire demain
Menaces détectées :
Win32/toolbar.AskSBar application

Merci encore pour votre aide, j'attends la suite pour savoir ce que je dois faire

Chantal

[Del-crosseur]

Bonjour Chantal ,

Pour AD-REMOVER regarde ici -> C:\Ad-report-Clean[1].txt
ou Démarré -> Ordinateur -> Disque dur C -> programmes -> AD-REMOVER -> Cherche le premier rapport.

Concernant NOD32 il faut attendre la fin du Scan complet du pc afin qu'il supprimer toutes les menaces détectées .

J'attends ces deux rapport afin de continuer la désinfection... Bonne ( amusement ) & à demain

[chantal86060759]

Bonjour,

J'ai laissé scanné mon PC toute la nuit pour gagné du temps et voila le résultat concernant NOD32 (jai recopié ):

C.windows\ systèm32\drivers\ethc...a variant of win32/Bubnix.BM trojan cleaned by detecting - quarantaine
C.windows\temp\bvcx\setup.exe a variant of win32/nervos.c trojan cleaned by détecting (after the next


Pour AD-REMOVER, c'est bien C:\Ad-report-Clean[1].txt ... que je t'ai donné car j'ai retrouvé le C:\Ad-report-Clean[2].txt

Merci pour la suite .....

Chantal

[Del-crosseur]

Bonjour Chantal ,

Effectivement c'est bien le premier rapport d' AD-REMOVER ; autant pour moi

NOD32 nous a fais de beaux nettoyage , dont un ici -> win32/Bubnix.BM qui est un rootkit
Mais j'aurais voulu avoir la fin du chemin de ceci -> C.windows\ systèm32\drivers\ethc ... ?

On continue...

Télécharge TDSSKiller sur ton Bureau.

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.
Lance load_tdsskiller en double-cliquant dessus.
Clic droit et"exécuter en tant qu'administrateur" avec Vista/Seven

A cette fenêtre lance le scan.



-Récupérer le rapport en validant Report
Poste-le moi

-Si une détection est faite valide Cure puis



redémarres le pc pour confirmer la suppression de celle-ci.


info supplémentaire -> http://support.kaspersky.com/viruses/so ... =208280684

Puis ::

Refais un ZHPDiag pour voir l’évolution de la désinfection stp...

Bonne journée

[chantal86060759]

Re- Bonjour

Voici le rapport TDSSKiller
http://www.cijoint.fr/cjlink.php?file=c ... BgQ46A.doc

Et le rapport ZHPDiag
http://www.cijoint.fr/cjlink.php?file=c ... BgQ46A.doc

Déjà il marche nettement mieux, il rame plus !

J'attends le nouveau diagnostique ! merci

chantal

[Del-crosseur]

re ,

Ok pour TDSSKiller -> a tu bien redémarré l'ordinateur afin de valider la suppression du Rootkit ?

Tu a mit deux fois le rapport de TDSSKiller au lieu de mettre ZHPDiag , tu t'est emmêlé les pinceaux dirais-je

J'attends donc le nouveau rapport de ZHPDiag puis on continue...

[chantal86060759]

Oui j'ai bien redémarrée l'ordi apres TDSSKiller

Désolée, effectivement je me suis emmélée dans les fichiers : voici le rapport ZHPDiag http://www.cijoint.fr/cjlink.php?file=cj201106/cij4gDL05J.doc

[chantal86060759]

Rapport ZHPDiag
http://www.cijoint.fr/cjlink.php?file=c ... gDL05J.doc

[Del-crosseur]

re,

Il reste des infections... Fais ceci:


***Dans "Programmes" tu as ZHPDiag , cliques dessus pour le lancer
Lorsque la fenêtre de l'interface sera ouverte clique sur cette icône -->
Une nouvelle interface va se présenter (tu seras sur ZHPFix), dans celle-ci applique cette procédure :

• Dans la fenêtre d'application (blanche et vierge) copie et colle ceci dedans :

G2 - GCE: Preference [User Data\Default] [bjeikeheijdjdfjbmknpefojickbkmom] Offerbox v.2.1.3714.137 (Activé)
O43 - CFD: 20/04/2009 - 00:31:38 - [2183952] ----D- C:\Program Files\Babylon
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Classes\AppID\SoftwareUpdate.exe]
C:\Program Files\Babylon
O64 - Services: CurCS - (.not file.) - 05897113 (05897113) .(...) - LEGACY_05897113
O69 - SBI: SearchScopes [HKCU] {413C2FB3-8392-4103-8850-09572B352DC1}
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F}
O51 - MPSK:{044563e8-b002-11dd-bed8-0002e3437929}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\autorun.exe (.not file.)
O51 - MPSK:{f73e5a64-c95a-11dd-bf70-0002e3437929}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- K:\autorun.exe (.not file.)
R3 - URLSearchHook: PHPNukeFR Toolbar - {1c491116-c175-45e1-a570-6fb14fea8b7b} . (.Pas de propriétaire - Pas de description.) (No version) -- C:\Program Files\PHPNukeFR\tbPHPN.dll
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Softonic_France\prxtbSof0.dll
R3 - URLSearchHook: Elf 1.13 Toolbar - {b80f591e-fe9a-46cf-a13e-180377240586} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Elf_1.13\prxtbElf0.dll
O2 - BHO: Softonic_France - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\prxtbSof0.dll
O2 - BHO: Elf 1.13 - {b80f591e-fe9a-46cf-a13e-180377240586} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Elf_1.13\prxtbElf0.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Yahoo! Inc. - Yahoo! Toolbar.) -- C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: PHPNukeFR Toolbar - {1c491116-c175-45e1-a570-6fb14fea8b7b} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\PHPNukeFR\tbPHPN.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\prxtbSof0.dll
O3 - Toolbar: Elf 1.13 Toolbar - {b80f591e-fe9a-46cf-a13e-180377240586} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Elf_1.13\prxtbElf0.dll
O42 - Logiciel: Elf 1.13 Toolbar - (.Elf 1.13.) [HKLM] -- Elf_1.13 Toolbar
O42 - Logiciel: PHPNukeFR Toolbar - (.Pas de propriétaire.) [HKLM] -- PHPNukeFR Toolbar
O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM] -- Softonic_France Toolbar
[HKCU\Software\Elf_1.13]
[HKCU\Software\PHPNukeFR]
[HKCU\Software\Softonic_France]
[HKLM\Software\Elf_1.13]
[HKLM\Software\PHPNukeFR]
[HKLM\Software\Productivity_2.1]
[HKLM\Software\Softonic_France]
O43 - CFD: 21/04/2011 - 10:00:28 - [13139727] ----D- C:\Program Files\Elf_1.13
O43 - CFD: 28/04/2011 - 10:03:28 - [16176091] ----D- C:\Program Files\Softonic_France
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]
[HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook]
[HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
[HKCR\CLSID\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
[HKLM\Software\Classes\CLSID\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
[HKCR\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}]
[HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}]
[HKCR\Interface\{4897bba6-48d9-468c-8efa-846275d7701b}]
[HKLM\Software\Classes\Interface\{4897bba6-48d9-468c-8efa-846275d7701b}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[HKCR\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[HKLM\Software\Classes\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
[HKCR\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
[HKCU\Software\PHPNukeFR]
[HKLM\Software\PHPNukeFR]
[HKCU\Software\Softonic_France]
[HKLM\Software\Softonic_France]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic_France Toolbar]
C:\Program Files\Softonic_France
C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\PHPNukeFR
C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Softonic_France
O58 - SDL:[MD5.BDA9B6E9A4C750140FF2B35A130A4B7D] - 27/11/2010 - 09:21:34 RSH-- . (...) -- C:\WINDOWS\system32\51D7A20B1D.sys [88]
O58 - SDL:[MD5.21DF6DCA0CDE41F2936D8A787B8D267B] - 27/11/2010 - 09:21:43 -SHA- . (...) -- C:\WINDOWS\system32\KGyGaAvL.sys [2828]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\PHPNukeFR Toolbar]
EmptyFlash
Emptytemp

• En haut dans la barre de commandes clique sur --> H
pour activer les lignes Helpers.

***Clique sur "OK", puis sur "Tous", et pour terminer le lancement sur "Nettoyer".
/!\Ne touche pas au pc pendant que ZHPFix travail , risque de plantage du logiciel./!\
Une fois le Scan terminer , tu obtiendras un rapport de nettoyage.
Poste-moi le rapport.

A toute

[Ask to Old Man]

Bonsoir

J'ai commencé a faire ce que tu m'as demandé mais lorsque je clique sur "nettoyer" j'ai une question qui m'ai posée :
" are you sure want to unistall undefined Communauty Toolbar " oui ou non ?

je ne souhaite pas vraiment desinstaller mes barres d'outils, j'ai cliqué sur "non " et recommencer 2 fois car ca plante le logiciel

que dois faire ? Merci

Chantal

Edit AtOM: Fusion des message, merci de penser à utiliser le bouton "Editer"...

Voila ce que ca me dis si je clique sur non ou sur oui :
"violation d'accès à l'adresse 004227C82 dans le module ZHPfix.exe lecture de l'adresse 00000017"

je préfére attendre tes conseils avant de continuer ....

[Del-crosseur]

Bonjour Chantal ,

Il faut impérativement cliquer sur "oui" ; la plupart des toolbars que tu possède sont infectieux ou servent de conduit...
Si tu veut ; une fois qu'on auras terminé la désinfection on réinstalleras les toolbars sain au système .

Néanmoins il faut que tu fasse la procédure de ZHPFix pour tuer le reste des infections car il en reste un paquet !
Une fois que tu a cliqué sur nettoyer , ne touche surtout pas au pc , y compris la souris .

Bonne fin de matinée

[chantal86060759]

Ouf ! j'y suis quand même arrivée a faire le scanne avec ZHPfix , en plusieurs fois car il plantait mais
ca a fini par fonctionner.
Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=c ... YS0hnA.doc

A toute .....