Mon PC de nouveau infecté dans un dossier temp[Résolu] • page 2

[julien006]

Voilà. A noter que ZHPDiag et ZHPFix ne se sont pas désinstallés. Dois-je le faire?

Le rapport:

# DelFix v7.5 - Rapport créé le 23/03/2011 à 22:53
# Mis à jour le 15/03/11 à 16h30 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : jepa - PAJE (Administrateur)
# Exécuté depuis : C:\Users\jepa\Desktop\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\tdsskiller
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\TDSSKiller.2.4.21.0_21.03.2011_16.01.34_log.txt
Supprimé : C:\ZHPExportRegistry-21-03-2011-15-57-55.txt
Supprimé : C:\Users\jepa\Desktop\Load_tdsskiller.exe
Supprimé : C:\Users\jepa\Desktop\ZHPDiag.txt
Supprimé : C:\Users\jepa\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\jepa\Desktop\ZHPDiag2.zip
Supprimé : C:\Users\jepa\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\jepa\Desktop\TFC.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1391 octets] ##########

[bernard53]

bizarre car le rapport indique leur suppression.

Supprimé : C:\Program Files\ZHPDiag

Pas grave en soit car fini la suppression manuellement au besoin

Bonne journée

[julien006]

bizarre car le rapport indique leur suppression.

Supprimé : C:\Program Files\ZHPDiag

Pas grave en soit car fini la suppression manuellement au besoin

Bonne journée

En fait, c'était les raccourcis qui n'étaient pas supprimés

J'ai fait une analyse Malwarebytes de contrôle ce soir pendant que je m'absentais, et il a trouvé 18 infections
Ca veut dire quoi???
J'ai tout supprimé. J'en ai marre de ça!!!

Voilà le rapport:

Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Version de la base de données: 6172

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

26/03/2011 01:03:49
mbam-log-2011-03-26 (01-03-49).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 409997
Temps écoulé: 1 heure(s), 40 minute(s), 51 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\Users\jepa\AppData\Local\nscher.dll (Trojan.Hiloti) -> Delete on reboot.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Fzuqiwareheguri (Trojan.Hiloti) -> Value: Fzuqiwareheguri -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\jepa\AppData\Local\nscher.dll (Trojan.Hiloti) -> Delete on reboot.
c:\Users\jepa\AppData\Local\temp\setup1907431744.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\jepa\AppData\Local\temp\setup213506256.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\jepa\AppData\Local\temp\setup2739116864.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\jepa\AppData\Local\temp\setup3954817616.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\jepa\AppData\Local\temp\setup4103216976.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\jepa\AppData\Local\temp\setup4205995840.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\jepa\AppData\Local\temp\setup468761424.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\jepa\AppData\Local\temp\21A5.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\jepa\AppData\Local\temp\21B6.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\jepa\AppData\Local\temp\2983.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\jepa\AppData\Local\temp\4B3.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\jepa\AppData\Local\temp\arexnwmsco.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\Users\jepa\AppData\Local\temp\CD.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\jepa\AppData\Local\temp\setup567277136.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\jepa\AppData\Local\temp\wornsacmex.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.

[bernard53]

Houla tu as réinstallé quelques choses

fait ceci.


* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
vstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Mets le rapport ici car il prend bien de la place.

http://www.cijoint.fr/index.php

[julien006]

Voilà

Désolé pour les réponses tardives, mais j'ai été absent toute la journée

Voilà le rapport OTL.txt:

http://www.cijoint.fr/cjlink.php?file=c ... vkcS0R.txt

Et Extras.txt:

http://www.cijoint.fr/cjlink.php?file=c ... ZJX9RG.txt

PS: à noter que le rapport MBAM après suppression de toutes les cochonneries était pafaitement clean...

[bernard53]

Ok malwaresByes a déjà bien fait les choses.


[*]Cliquer ICI,descendre jusqu'à PureRa et cliquer sur Download Windows Binary pour télécharger le fichier (.zip) sur le Bureau.

[*]Cliquer-droit sur le nouveau fichier => "Extraire ici".

[*]Fermer toutes les fenêtres et applications ouvertes et double-cliquer sur PureRa.exe (Vista et Windows 7, cliquer-droit dessus => "Exécuter en tant qu'administrateur") puis cliquer sur Next.

[*]Cocher la case Check All et cliquer sur le bouton Clean

Un rapport sera créé. Inutile de le poster sur le forum

Puis::


* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL
[2011/02/06 01:32:45 | 000,000,126 | ---- | C] () -- C:\Users\jepa\AppData\Roaming\svchost.jxe
:Commands
[emptytemp]
[purity]

* Cliques sur l'icône Correction (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport s'ouvrir "OTL.log"
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Mets le rapport ici car il prend bien de la place.
http://www.cijoint.fr/index.php

[julien006]

Voilà

Cijoint.fr n'acceptant pas les fichiers log, j'ai renommé le fichier 03272011_150223.log en 03272011_150223.txt

Voilà le rapport:

http://www.cijoint.fr/cjlink.php?file=c ... BoUFO2.txt

[bernard53]

ok dis moi comment va ton pc s.t.p

[julien006]

ok dis moi comment va ton pc s.t.p

Ca va
Tout se passe très bien...

[bernard53]

Super supprime juste OTL.

Bonne soirée

[julien006]

C'est bon...

Merci énormément pour ton aide et bonne continuation...