FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Andrea-Lou]

Vous allez me dire, je l'ai cherché.
J'ai utilisé outlook et j'etais sur internet explorer toute cette semaine et
un virus est venu me rendre visite, c'est de saison, mais quand même...
alors voici mon rapport et merci de votre aide

Malwarebytes' Anti-Malware 1.51.2.1300
http://www.malwarebytes.org

Version de la base de données: 8252

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

27/11/2011 18:50:36
mbam-log-2011-11-27 (18-50-23).txt

Type d'examen: Examen complet (C:\|D:\|E:\|L:\|)
Elément(s) analysé(s): 420300
Temps écoulé: 22 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
e:\my doc sauv janv 2011\dossier formatage juin 2009\program files\Samsung\samsung pc studio 3\Update\Copyer.exe (Adware.Kraddare) - No action taken.
e:\my doc sauv janv 2011\dossier formatage juin 2009\program files\Samsung\samsung pc studio 3\Update\liveupdate.exe (Adware.Kraddare) - No action taken.
l:\my doc sauv janv 2011\dossier formatage juin 2009\program files\Samsung\samsung pc studio 3\Update\Copyer.exe (Adware.Kraddare) - No action taken.
l:\my doc sauv janv 2011\dossier formatage juin 2009\program files\Samsung\samsung pc studio 3\Update\liveupdate.exe (Adware.Kraddare) - No action taken.

[2011N2]

Salut

Juste pour savoir, c'est le même PC que ici ? http://www.forum-entraide-informatique. ... toyer#6087

Si oui, continue là-bas

@+

Gabriel.

[Andrea-Lou]

non c'est un autre pc donc aucun lien avec le lien

[2011N2]

Ok donc atttends que quelqu'un te prenne en charge

@+, bonne soirée

Gabriel.

[Andrea-Lou]

merci et bonne fin de soirée à toi aussi
J'attends fébrilement un helper

[2011N2]

Ok merci

[Invité]

Bonsoir Andréa-Lou
J'ai été contacté pour te prendre en charge
On a pas finalisé sur l'autre PC
Vide la quarantaine de Malwarebytes.
Pourquoi l'as tu fait en mode sans échec ?

On va examiner le PC
• Télécharge ZHPDiag (de Nicolas Coolman)
http://www.premiumorange.com/zeb-help-p ... pdiag.html

Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
https://www.sosvirus.net/telecharger/zhpdiag/

• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI
Note : Le rapport est sauvegardé dans C:\ZHP\ZHPDiag.txt

[Andrea-Lou]

Comment vider la quarantaine de Malwarebytes ?

Désolé...

[Invité]

Bonjour,
Pour vider la quarantaine, clique sur l'onglet quarantaine, et si tout est coché, clique sur Tout supprimer

[Andrea-Lou]

Voici enfin le fameux rapport ZHPDiag...je suis fébrile

http://up.sur-la-toile.com/iWeU

[Invité]

Bonjour Andréa-Lou
Je te prie de m'excuser, j'avais pas vu que tu avais posté ce rapport

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Recherche] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

[Andrea-Lou]

voici le rapport, c'est grave docteur ?

# AdwCleaner v1.401 - Rapport créé le 09/12/2011 à 11:07:00
# Mis à jour le 06/12/11 à 19h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Hervé - HERVÉ-HP (Administrateur)
# Exécuté depuis : C:\Users\Hervé\Downloads\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4

***** [Registre (x64)] *****

Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v8.0.1 (fr)

Profil : bht5ffoq.default
Fichier : C:\Users\Hervé\AppData\Roaming\Mozilla\Firefox\Profiles\bht5ffoq.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v0.0.0.0

Fichier : C:\Users\Hervé\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1242 octets] - [09/12/2011 11:07:00]

########## EOF - C:\AdwCleaner[R1].txt - [1370 octets] ##########

[Invité]

Bonsoir,
Adw Cleaner n'a pas trouvé grand chose

Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

[Andrea-Lou]

# AdwCleaner v1.401 - Rapport créé le 10/12/2011 à 12:18:23
# Mis à jour le 06/12/11 à 19h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Hervé - HERVÉ-HP (Administrateur)
# Exécuté depuis : C:\Users\Hervé\AppData\Local\Opera\Opera\temporary_downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Object

***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Google\chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{EB132DB0-A4CA-11DF-9732-0E29E0D72085}]

***** [Registre (x64)] *****


***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v0.0.0.0

Fichier : C:\Users\Hervé\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Opera v11.60.1185.0

Fichier : C:\Users\Hervé\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1369 octets] - [09/12/2011 11:07:00]
AdwCleaner[S1].txt - [1524 octets] - [10/12/2011 12:18:23]

*************************

Dossier Temporaire : 21 dossier(s)et 194 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [1746 octets] ##########

[Andrea-Lou]

Aurais tu des conseils à me donner par rapport à ces différents...rapports ?
Merci !

[Heraultais]

Bonsoir Andrea-Lou,

Suite à la proposition de Jawaryinti et de manière à avoir un oeil neuf sur cette infection, je vais reprendre la main si tu es d'accord bien entendu.

Le rapport de ZHPDiag ne relève pas d'infections.
Le rapport d'adwcleaner comme tu peux le constater a supprimé un dossier, nettoyé des clés de registre mais n'est pas très révélateur comme te l'a dit Jawaryinti.

Il faut savoir que MalwareBytes n'est pas l'outil idéal à lancer en première phase de désinfection. Heureusement tu n'as pas lancé cet outil en suppression donc on peut très bien voir ce qui me "chiffonne", c'est à dire les lignes ci-dessous en gras :

e:\my doc sauv janv 2011\dossier formatage juin 2009\program files\Samsung\samsung pc studio 3\Update\Copyer.exe (Adware.Kraddare) - No action taken.
e:\my doc sauv janv 2011\dossier formatage juin 2009\program files\Samsung\samsung pc studio 3\Update\liveupdate.exe (Adware.Kraddare) - No action taken.
l:\my doc sauv janv 2011\dossier formatage juin 2009\program files\Samsung\samsung pc studio 3\Update\Copyer.exe (Adware.Kraddare) - No action taken.
l:\my doc sauv janv 2011\dossier formatage juin 2009\program files\Samsung\samsung pc studio 3\Update\liveupdate.exe (Adware.Kraddare) - No action taken.


No action taken cela veut dire que tu as lancé MalwareBytes sans provoquer la suppression. Alors voilà ce que tu vas faire:

Etape 1:

• Lance Malwarebytes
• Fais la mise à jour du logiciel
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
• Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
• L'analyse peut durer un bon moment.....
• Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
• Vérifie que tout est bien coché et clique sur "Supprimer la sélection" = et ensuite sur "OK"
• Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

Etape 2:

Fais un scan en ligne :

• Désactive ton antivirus
• Rends-toi sur cette page : http://www.eset.com/fr/home/products/online-scanner/
• Clique sur "Lancer ESET Online Scanner"
• Suis l'assistant à la lettre
• A la fin de l'analyse, clique sur « Enregistrer rapport » ou fais une capture d'écran et poste dans ta prochaine réponse.

@ bientôt.

[Andrea-Lou]

1ère étape

Malwarebytes' Anti-Malware 1.51.2.1300
http://www.malwarebytes.org

Version de la base de données: 8351

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

11/12/2011 18:36:01
mbam-log-2011-12-11 (18-35-47).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|)
Elément(s) analysé(s): 363958
Temps écoulé: 46 minute(s), 24 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9193fbaf-bdaf-4751-a99a-1f5ef255c35b} (PUP.FCTPlugin) - No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9193fbaf-bdaf-4751-a99a-1f5ef255c35b} (PUP.FCTPlugin) - No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9193fbaf-bdaf-4751-a99a-1f5ef255c35b} (PUP.FCTPlugin) - No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

[Heraultais]

Bonsoir Andrea-Lou,

Tu n'as pas réalisé ce que je t'ai dit avec MBAM, alors reprend ma réponse précédente, relance MalwareBytes et exécute exactement ce que je t'ai dit.

Ensuite passe à la phase de scan en ligne (détaillée ci-dessous) et envoie-moi le rapport.

Scan en ligne avec NOD32

• Clique sur le bouton vert Eset Online Scanner
• Accepte les conditions d'utilisation, pour cela, coche la case « Oui, j'accepte les termes du contrat de licence »
• Clique ensuite sur le bouton Start
• Accepte l'installation de l'ActiveX NOD32
• Le téléchargement des définitions virales s’effectuent, cela peut prendre du temps selon la vitesse de connexion.
• Coche la case "Supprimer les menaces détectées"
• Clique sur le bouton Démarrer pour lancer le scan
• Le scan du PC se lance, les menaces détectées apparaissent dans la liste en dessous de la barre de progression.
• Laisse l'analyse s'effectuer entièrement
• Clique sur le bouton « liste des menaces » permettant d'exporter la liste dans un fichier texte
• Enregistre celui-ci sur ton bureau
• Envoie le fichier sur ce site

@ bientôt.

[2011N2]

Salut

@Andrea-Lou, des nouvelles ?

Bonne soirée,

Gabriel.

[roro04]

Sujet abandonné par son auteur.

Je vérouille le sujet