probleme virus[resolu]

[diders83]

bonjour
depuis quelque temps j envois des mails a tous mes contact msn par disaines alors que je n envoispas de mailsj ais balaier mon pc plusieur fois avec avast, Malwarebytes' Anti-Malware,Emsisoft Anti-Malware et ils ne trouve rien est ce que s est msn qui est infecter?? mon pc??aider moi sa serai sympas
merci

[bernard53]

Bonsoir

Fait ceci s.t.p

http://www.viruskeeper.com/fr/clean_virus_msn.htm

Puis ceci après.


Télécharges << ZHPDiag>> (de Nicolas Coolman)

dezzipes le fichier sur ton bureau...
Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".


L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau




A la fin de l'installation ZHPDiag va se lancer....

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.
Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

Mets le rapport ici car il prend bien de la place.
http://www.cijoint.fr/index.php

[diders83]

j ai comme tu ma dit quand je touchais la souris ou autre le log buggeret a la seconde fois arriver au 100 pou 100 je pouvais plus rien faire j ai due eteindre le pc manuellement jai enfin reussis a la troisieme
voilas le rapport
http://www.cijoint.fr/cjlink.php?file=c ... bLp3hN.txt
merci a+

[bernard53]

dis moi didiers83 il faut que tu continu à la suite de ton premier post ici.

topic15112.html

[bernard53]

ok voila suite à ton rapport Zhpdiag.
* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

P2 - FPN: [HKCU] [@adobe.com/Acrobat,version=5.1] - (.Adobe Systems Inc. - Adobe Acrobat Plug-In Version 5.10 for Netscape.) -- C:\Program Files\Adobe\Acrobat 5.0\Reader\Browser\nppdf32.dll
R3 - URLSearchHook: Zynga Toolbar - {7b13ec3e-999a-4b70-b9cb-2617b8323822} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files\Zynga\tbZyng.dll
R3 - URLSearchHook: (no name) - {887ad3a9-4662-484c-a889-faaa90413fb6} Clé orpheline
R3 - URLSearchHook: Zynga Toolbar - {7b13ec3e-999a-4b70-b9cb-2617b8323822} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files\Zynga\tbZyng.dll
O2 - BHO: Zynga Toolbar - {7b13ec3e-999a-4b70-b9cb-2617b8323822} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Zynga\tbZyng.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} . (.Pas de propriétaire - ToolBand Module.) -- C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Zynga Toolbar - {7b13ec3e-999a-4b70-b9cb-2617b8323822} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Zynga\tbZyng.dll
O4 - HKLM\..\Run: [UpdatePSTShortCut] Clé orpheline
O4 - Global Startup: C:\Users\tess\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Titan Poker.lnk . (...) -- C:\Poker\Titan Poker\casino.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{D1644961-34DC-462C-A769-F46FA0CFE21B}] (.Pas de propriétaire.) -- c:\Users\tess\Downloads\Daemon Tools 4.06 x86\daemon406-x86.exe (.not file.)
O42 - Logiciel: Favorit (opxii) - (.Pas de propriétaire.) [HKLM] -- opxii
O42 - Logiciel: Search Settings 1.2.1 - (.Spigot, Inc..) [HKLM] -- {0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
[HKCU\Software\AppDataLow\Software\Conduit]
[HKCU\Software\AppDataLow\Toolbar]
[HKCU\Software\C:]
[HKCU\Software\Poker 770]
[HKLM\Software\Conduit]
[HKLM\Software\Search Settings]
[HKLM\Software\Zynga]
O43 - CFD: 16/07/2010 - 07:43:42 - [537696] ----D- C:\Program Files\Conduit
O43 - CFD: 08/12/2010 - 16:04:36 - [1282048] ----D- C:\Program Files\kdisk.co.kr
O43 - CFD: 31/12/2010 - 15:43:24 - [2316280] ----D- C:\ProgramData\PopCap Games
O59 - HSMI:Heuristic Search MagicControl Infection - (.Pas de propriétaire - Pas de description.) -- C:\Users\tess\AppData\Local\qbmobd_nav.dat.vir
O59 - HSMI:Heuristic Search MagicControl Infection - (.Pas de propriétaire - Pas de description.) -- C:\Users\tess\AppData\Local\qbmobd_navps.dat.vir
O61 - LFC:Last File Created 20/08/2009 - 21:24:21 ---A- C:\Users\tess\AppData\Local\qbmobd_nav.dat.vir [484811]
O61 - LFC:Last File Created 23/08/2009 - 23:44:26 ---A- C:\Users\tess\AppData\Local\qbmobd_navps.dat.vir [2796]
O64 - Services: CurCS - (.not file.) - 050c4211 (050c4211) .(...) - LEGACY_050C4211
O64 - Services: CurCS - (.not file.) - 071468e0 (071468e0) .(...) - LEGACY_071468E0
O64 - Services: CurCS - (.not file.) - 08de0a6d (08de0a6d) .(...) - LEGACY_08DE0A6D
O64 - Services: CurCS - (.not file.) - 17425d17 (17425d17) .(...) - LEGACY_17425D17
O64 - Services: CurCS - (.not file.) - 194a82f8 (194a82f8) .(...) - LEGACY_194A82F8
O64 - Services: CurCS - (.not file.) - 220a4121 (220a4121) .(...) - LEGACY_220A4121
O64 - Services: CurCS - (.not file.) - 2c839829 (2c839829) .(...) - LEGACY_2C839829
O64 - Services: CurCS - (.not file.) - 2d129625 (2d129625) .(...) - LEGACY_2D129625
O64 - Services: CurCS - (.not file.) - 32f0d048 (32f0d048) .(...) - LEGACY_32F0D048
O64 - Services: CurCS - (.not file.) - 43ecfde5 (43ecfde5) .(...) - LEGACY_43ECFDE5
O64 - Services: CurCS - (.not file.) - 5f7935c7 (5f7935c7) .(...) - LEGACY_5F7935C7
O64 - Services: CurCS - (.not file.) - 6550e80b (6550e80b) .(...) - LEGACY_6550E80B
O64 - Services: CurCS - (.not file.) - 6c131479 (6c131479) .(...) - LEGACY_6C131479
O64 - Services: CurCS - (.not file.) - 750b2caa (750b2caa) .(...) - LEGACY_750B2CAA
O64 - Services: CurCS - (.not file.) - 823a4fc5 (823a4fc5) .(...) - LEGACY_823A4FC5
O64 - Services: CurCS - (.not file.) - aa82d698 (aa82d698) .(...) - LEGACY_AA82D698
O64 - Services: CurCS - (.not file.) - c38396c5 (c38396c5) .(...) - LEGACY_C38396C5
O64 - Services: CurCS - (.not file.) - c5b321de (c5b321de) .(...) - LEGACY_C5B321DE
O64 - Services: CurCS - (.not file.) - dac648d1 (dac648d1) .(...) - LEGACY_DAC648D1
O64 - Services: CurCS - (.not file.) - dnnpcb (dnnpcb) .(...) - LEGACY_DNNPCB
O64 - Services: CurCS - (.not file.) - e57307fc (e57307fc) .(...) - LEGACY_E57307FC
O64 - Services: CurCS - (.not file.) - fc43742c (fc43742c) .(...) - LEGACY_FC43742C
O64 - Services: CurCS - (.not file.) - fc4f0e71 (fc4f0e71) .(...) - LEGACY_FC4F0E71
O64 - Services: CurCS - (.not file.) - ugrcafob (ugrcafob) .(...) - LEGACY_UGRCAFOB
[MD5.94F8A39AF19178E39A68F9C46C856164] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\tess\AppData\Local\opxii.bat [88]
O87 - FAEL: "{246295CD-16EC-4980-A600-0974A238BF94}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files\Blubster\Blubster.exe (.not file.)
O87 - FAEL: "{67C062A3-3BF6-4056-BB1D-EB2633DBB8E5}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files\Blubster\Blubster.exe (.not file.)
O87 - FAEL: "{BF483B75-B72C-430A-8DAD-32F6A3CB74F3}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\kdisk.co.kr\KDisk(fast2)\KUploadService.exe (.not file.)
O87 - FAEL: "{5EDBCF64-4DFC-4A7B-A645-395DB8AC7023}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\kdisk.co.kr\KDisk(fast2)\KUploadService.exe (.not file.)
O87 - FAEL: "{B98D27AE-C45A-40C3-ABBE-FFE30A40DF51}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\kdisk.co.kr\KDisk(fast2)\KdiskDown.exe (.not file.)
O87 - FAEL: "{8662EFCC-B833-4C9D-9F15-D32F2A02D833}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\kdisk.co.kr\KDisk(fast2)\KdiskDown.exe (.not file.)
FirewallRaz
EmptyFlash
Emptytemp
Mbrfix

Puis Lance ZHPFix depuis le raccourci du bureau.

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [H] ("coller les lignes Helper").

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment qui apparaitront.

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres.

* Puis clique sur le bouton [OK].
> À ce moment là, il apparaitra au début de chaque ligne une petite case vide. Ne touche plus à rien !

!! Déconnecte toi d'internet, désactive tes défenses (anti-virus, anti-spyware) et ferme bien toutes autres applications (navigateurs compris) !!


* Clique sur le bouton [Tous]. Vérifies que toutes les lignes soient bien cochées.

* Enfin clique sur le bouton [Nettoyer].


-> laisse travailler l'outil et ne touche à rien ...


Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)


Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !


Ensuite ceci.


Installe Malewarebytes' Antimalware,

http://www.malwarebytes.org/

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.

INFO/ ne garde pas "Adobe\Acrobat 5.0" qui est complètement obsolète.

choisi plutôt ceci.


http://www.commentcamarche.net/download ... pdf-viewer

ou

http://www.pcastuces.com/logitheque/foxitreader.htm

[nardino]

Bonsoir,
Les deux sujets ont été fusionnés.
@+

[bernard53]

Merci nardino

[diders83]

salut
g fais comme tu ma dit
voilas le rapport zhpfix
Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-05-03-2011-15-55-54.txt
Run by tess at 05/03/2011 15:55:54
Windows Vista Home Basic Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\opxii] => Clé supprimée avec succès
O42 - Logiciel: Search Settings 1.2.1 - (.Spigot, Inc..) [HKLM] -- {0B1AAC97-8563-41D9-AE47-58E6A222F0E1} => Clé supprimée avec succès
P2 - FPN: [HKCU] [@adobe.com/Acrobat,version=5.1] - (.Adobe Systems Inc. - Adobe Acrobat Plug-In Version 5.10 for Netscape.) -- C:\Program Files\Adobe\Acrobat 5.0\Reader\Browser\nppdf32.dll => Clé supprimée avec succès
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{7b13ec3e-999a-4b70-b9cb-2617b8323822}] => Clé supprimée avec succès
[HKCR\CLSID\{7b13ec3e-999a-4b70-b9cb-2617b8323822}] => Clé supprimée avec succès
O2 - BHO: Zynga Toolbar - {7b13ec3e-999a-4b70-b9cb-2617b8323822} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Zynga\tbZyng.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}] => Clé supprimée avec succès
[HKCR\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}] => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Conduit => Clé supprimée avec succès
HKCU\Software\AppDataLow\Toolbar => Clé supprimée avec succès
HKCU\Software\C: => Clé supprimée avec succès
HKCU\Software\Poker 770 => Clé supprimée avec succès
HKLM\Software\Conduit => Clé supprimée avec succès
HKLM\Software\Search Settings => Clé supprimée avec succès
HKLM\Software\Zynga => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 050c4211 (050c4211) .(...) - LEGACY_050C4211 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 071468e0 (071468e0) .(...) - LEGACY_071468E0 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 08de0a6d (08de0a6d) .(...) - LEGACY_08DE0A6D => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 17425d17 (17425d17) .(...) - LEGACY_17425D17 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 194a82f8 (194a82f8) .(...) - LEGACY_194A82F8 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 220a4121 (220a4121) .(...) - LEGACY_220A4121 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 2c839829 (2c839829) .(...) - LEGACY_2C839829 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 2d129625 (2d129625) .(...) - LEGACY_2D129625 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 32f0d048 (32f0d048) .(...) - LEGACY_32F0D048 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 43ecfde5 (43ecfde5) .(...) - LEGACY_43ECFDE5 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 5f7935c7 (5f7935c7) .(...) - LEGACY_5F7935C7 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 6550e80b (6550e80b) .(...) - LEGACY_6550E80B => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 6c131479 (6c131479) .(...) - LEGACY_6C131479 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 750b2caa (750b2caa) .(...) - LEGACY_750B2CAA => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 823a4fc5 (823a4fc5) .(...) - LEGACY_823A4FC5 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aa82d698 (aa82d698) .(...) - LEGACY_AA82D698 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - c38396c5 (c38396c5) .(...) - LEGACY_C38396C5 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - c5b321de (c5b321de) .(...) - LEGACY_C5B321DE => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - dac648d1 (dac648d1) .(...) - LEGACY_DAC648D1 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - dnnpcb (dnnpcb) .(...) - LEGACY_DNNPCB => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - e57307fc (e57307fc) .(...) - LEGACY_E57307FC => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - fc43742c (fc43742c) .(...) - LEGACY_FC43742C => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - fc4f0e71 (fc4f0e71) .(...) - LEGACY_FC4F0E71 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - ugrcafob (ugrcafob) .(...) - LEGACY_UGRCAFOB => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
R3 - URLSearchHook: Zynga Toolbar - {7b13ec3e-999a-4b70-b9cb-2617b8323822} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files\Zynga\tbZyng.dll => Valeur supprimée avec succès
R3 - URLSearchHook: (no name) - {887ad3a9-4662-484c-a889-faaa90413fb6} Clé orpheline => Valeur supprimée avec succès
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} . (.Pas de propriétaire - ToolBand Module.) -- C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll => Valeur supprimée avec succès
O3 - Toolbar: Zynga Toolbar - {7b13ec3e-999a-4b70-b9cb-2617b8323822} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Zynga\tbZyng.dll => Valeur supprimée avec succès
O4 - HKLM\..\Run: [UpdatePSTShortCut] Clé orpheline => Valeur supprimée avec succès
{246295CD-16EC-4980-A600-0974A238BF94} => Valeur supprimée avec succès
{67C062A3-3BF6-4056-BB1D-EB2633DBB8E5} => Valeur supprimée avec succès
{BF483B75-B72C-430A-8DAD-32F6A3CB74F3} => Valeur supprimée avec succès
{5EDBCF64-4DFC-4A7B-A645-395DB8AC7023} => Valeur supprimée avec succès
{B98D27AE-C45A-40C3-ABBE-FFE30A40DF51} => Valeur supprimée avec succès
{8662EFCC-B833-4C9D-9F15-D32F2A02D833} => Valeur supprimée avec succès
FirewallRaz (SP) : C:\Users\tess\AppData\Roaming\IEXPLORE.exe => Valeur supprimée avec succès
FirewallRaz (SP) : C:\Users\tess\AppData\Roaming\svchost.exe => Valeur supprimée avec succès
FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"
FirewallRaz (None) : {49873223-8E9D-4E77-931C-7C5D5467144B} => Valeur supprimée avec succès

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 449

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 893

========== Logiciel(s) ==========
O42 - Logiciel: Favorit (opxii) - (.Pas de propriétaire.) [HKLM] -- opxii => Logiciel supprimé avec succès

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net

Resultat après le fix :
Master Boot Record non infecté

========== Tache planifiée ==========
Task : {D1644961-34DC-462C-A769-F46FA0CFE21B} => Tâche supprimée avec succès


========== Récapitulatif ==========
39 : Clé(s) du Registre
15 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
1 : Logiciel(s)
1 : Tache planifiée
1 : Master Boot Record


End of the scan
merci

[diders83]

et voila le rapport
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5963

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

05/03/2011 17:32:08
mbam-log-2011-03-05 (17-32-08).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 285103
Temps écoulé: 1 heure(s), 27 minute(s), 3 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
et maintenant je fait quoi??

[bernard53]

ok comment ce la se passe pour ta boite Mail maintenant?

[diders83]

salut
j ai laisser passer 2 ou 3 jours et ca a l air d aller pour le moment
es ce que je garde les logs que tu ma fait installer??
je te remerci bc a+

[bernard53]

content que cela aille

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

Télécharge << DelFix >> de Xplode pour supprimer les logiciels qui ont servis a cette désinfection.


* Lance-le.

* A l'invite, [Suppression] ()

* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]


Ensuite::


Bon maintenant on va mettre la restauration du système propre.
Pour cela:

1- Valides les touches Windows et Pause en même temps.

Puis Protection du système

Sur cette fenêtre décoches la case concernant le DD ou est installé ton système normalement C:

Valide et acceptes les demandes suivantes.

***Pour Windows 7** il faut valider l'onglet Configurer puis valider la désactivation de la restauration.

**Toujours sur cette même fenêtre : Il te faut donc maintenant recrée un nouveau point de restauration.

Coche cette même case et valides cela par l’onglet APPLIQUER puis onglet « CREER »

Nommes ce point PC- Clean: Valides.

Vous pouvez maintenant fermer toutes les fenêtres.


PS: Regarde CECI pour marquer <<RESOLU>> à ton post.

[diders83]

salut c est cool tout est fait
merci a toi a+