Votre question

Cheval de Troie: TR/Vundo.gen

Tags :
  • Dll
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Avril 2011 16:26:10

Bonjour,
Un cheval de Troie s'est mis sur une dll du nom de Magnifyv.dll dans le roaming de mon user principal.
Antivir me le détecte sans cesse et rien ne l'efface.
Auriez vous une technique pour l'éradiquer ?
Merci Infiniment

Autres pages sur : cheval troie vundo gen

17 Avril 2011 20:28:49

Salut,


Donc AntiVir te détecte du Vundo sur cette dll .... intéressant ... :o 


on va contrôler cela ....



dans l'ordre :


1- Si ce n'est pas déjà fait , avoir accès aux fichiers cachés :

Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
--> vas sur l'onglet " Affichage " .
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



2- Rends toi sur ce site :

http://www.virustotal.com/

  • Clique sur "parcourir" et va jusqu' à cette fameuses dll : Magnifyv.dll

    ( désactive AntiVir sinon , il va tilter constemment )

  • Clique sur Send File ( = " Envoyer le fichier " ).

    -> Un rapport va s'élaborer ligne à ligne.

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

  • Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

  • Copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ...

    Petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...



    ===================================


    3- Il me faut un diagnostique précis de l'ordi ; donc fait ceci :


    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html


    !! déconnecte toi, désactive ton antivirus et ferme toutes tes applications en cours !!


  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 066 ( important ! ) .

  • Clique sur le bouton "calendrier" qui est en haut à droite : choisis 15 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
    17 Avril 2011 20:47:10














    File name: Magnifyv.dll
    Submission date: 2011-04-17 18:43:44 (UTC)
    Current status: queued (#41) queued (#40) analysing finished


    Result: 2/ 41 (4.9%)
    -------------------------------
    Antivirus Version Last Update Result
    AhnLab-V3 2011.04.18.00 2011.04.17 -
    AntiVir 7.11.6.145 2011.04.17 TR/Vundo.Gen
    Antiy-AVL 2.0.3.7 2011.04.17 -
    Avast 4.8.1351.0 2011.04.17 -
    Avast5 5.0.677.0 2011.04.17 -
    AVG 10.0.0.1190 2011.04.17 -
    BitDefender 7.2 2011.04.17 -
    CAT-QuickHeal 11.00 2011.04.17 -
    ClamAV 0.97.0.0 2011.04.17 -
    Commtouch 5.2.11.5 2011.04.17 -
    Comodo 8377 2011.04.17 -
    DrWeb 5.0.2.03300 2011.04.17 -
    eSafe 7.0.17.0 2011.04.15 -
    eTrust-Vet 36.1.8274 2011.04.15 -
    F-Prot 4.6.2.117 2011.04.16 -
    F-Secure 9.0.16440.0 2011.04.17 -
    Fortinet 4.2.257.0 2011.04.17 -
    GData 22 2011.04.17 -
    Ikarus T3.1.1.103.0 2011.04.17 Gen.Variant.Vundo
    Jiangmin 13.0.900 2011.04.16 -
    K7AntiVirus 9.96.4404 2011.04.16 -
    Kaspersky 7.0.0.125 2011.04.17 -
    McAfee 5.400.0.1158 2011.04.17 -
    McAfee-GW-Edition 2010.1D 2011.04.17 -
    Microsoft 1.6702 2011.04.17 -
    NOD32 6050 2011.04.17 -
    Norman 6.07.07 2011.04.17 -
    Panda 10.0.3.5 2011.04.17 -
    PCTools 7.0.3.5 2011.04.17 -
    Prevx 3.0 2011.04.17 -
    Rising 23.53.05.03 2011.04.16 -
    Sophos 4.64.0 2011.04.17 -
    SUPERAntiSpyware 4.40.0.1006 2011.04.16 -
    Symantec 20101.3.2.89 2011.04.17 -
    TheHacker 6.7.0.1.175 2011.04.17 -
    TrendMicro 9.200.0.1012 2011.04.17 -
    TrendMicro-HouseCall 9.200.0.1012 2011.04.17 -
    VBA32 3.12.16.0 2011.04.15 -
    VIPRE 9042 2011.04.17 -
    ViRobot 2011.4.16.4414 2011.04.17 -
    VirusBuster 13.6.309.0 2011.04.17 -
    ----------------------------
    MD5 : a877fc4210d517688cd17aed1b4b017a
    SHA1 : ac8f3b8855c0f20fde72ad3d51a0e5f0479729c3
    SHA256: dbf838fedd1a1e3e1bdf0a35a547a3631c1be22eead09322b547693f9bce913a
    ssdeep: 1536:H6Gl7vIQy+pOY6SouSgoV4occn30aPqj9FNSTbUq0m7M9BUbwb:aWVy+gYfouSgomobPPw
    92vUZ4wb
    File size : 143360 bytes
    First seen: 2011-04-17 18:43:44
    Last seen : 2011-04-17 18:43:44
    TrID:
    Win32 Executable MS Visual C++ (generic) (65.2%)
    Win32 Executable Generic (14.7%)
    Win32 Dynamic Link Library (generic) (13.1%)
    Generic Win/DOS Executable (3.4%)
    DOS Executable Generic (3.4%)
    sigcheck:
    publisher....: Nrrzbwhcz Punqnioevvf
    copyright....: (c) Bhfzoulhi Gqpxsdvkjpw. All rights reserved.
    product......: Ffdcakjvi_ Spdsivv_ Kjhvyaaqr Uureen
    description..: Lnhplx object audit names
    original name: msobjs.dll
    internal name: msobjs.dll
    file version.: 6.0.6001.18000 (longhorn_rtm.080118-1840)
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    PEiD: Armadillo v1.xx - v2.xx
    PEInfo: PE structure information

    [[ basic data ]]
    entrypointaddress: 0x354E
    timedatestamp....: 0x3B773510 (Mon Aug 13 02:01:52 2001)
    machinetype......: 0x14c (I386)

    [[ 5 section(s) ]]
    name, viradd, virsiz, rawdsiz, ntropy, md5
    .text, 0x1000, 0x5422, 0x6000, 6.19, 593716ca28756930e7e79ce1e8671fc8
    .rdata, 0x7000, 0x78E, 0x1000, 3.12, ffa1436d0fcce6a9e41b466415c8d863
    .data, 0x8000, 0x13108, 0xB000, 4.51, f8b3a0d5b4cff40f59222d7f59c1168d
    .rsrc, 0x1C000, 0xE398, 0xF000, 3.31, 6287b48574eab2dca52dd2b1ed0040d8
    .reloc, 0x2B000, 0x652, 0x1000, 2.77, 02cb99890bed6294c2802c324fae2b0a

    [[ 1 import(s) ]]
    KERNEL32.dll: VirtualProtect, GetCommandLineA, RtlUnwind, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, GetModuleHandleA, GetModuleFileNameA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, HeapFree, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, WriteFile, HeapAlloc, VirtualAlloc, HeapReAlloc, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW

    ExifTool:
    file metadata
    CharacterSet: Unicode
    CodeSize: 24576
    CompanyName: Nrrzbwhcz Punqnioevvf
    EntryPoint: 0x354e
    FileDescription: Lnhplx object audit names
    FileFlagsMask: 0x003f
    FileOS: Windows NT 32-bit
    FileSize: 140 kB
    FileSubtype: 0
    FileType: Win32 DLL
    FileVersion: 6.0.6001.18000 (longhorn_rtm.080118-1840)
    FileVersionNumber: 6.0.6001.18000
    ImageVersion: 5.1
    InitializedDataSize: 151552
    InternalName: msobjs.dll
    LanguageCode: English (U.S.)
    LegalCopyright: Bhfzoulhi Gqpxsdvkjpw. All rights reserved.
    LinkerVersion: 7.0
    MIMEType: application/octet-stream
    MachineType: Intel 386 or later, and compatibles
    OSVersion: 4.0
    ObjectFileType: Dynamic link library
    OriginalFilename: msobjs.dll
    PEType: PE32
    ProductName: Ffdcakjvi Spdsivv Kjhvyaaqr Uureen
    ProductVersion: 6.0.6001.18000
    ProductVersionNumber: 6.0.6001.18000
    Subsystem: Windows GUI
    SubsystemVersion: 4.0
    TimeStamp: 2001:08:13 04:01:52+02:00
    UninitializedDataSize: 0

    Contenus similaires
    17 Avril 2011 20:52:12

    Je lance ZHPDIAG, dans 5mns j'upload ton fichier. Merci pour ta réponse rapide, je croise les doigts en attendant ;) 
    17 Avril 2011 20:53:06

    hum,


    2 % de détection ... mais au vu de ces informations :

    publisher....: Nrrzbwhcz Punqnioevvf
    copyright....: (c) Bhfzoulhi Gqpxsdvkjpw. All rights reserved.
    product......: Ffdcakjvi_ Spdsivv_ Kjhvyaaqr Uureen


    connais pas cette langue !... :whistle: 

    ça pue donc ...


    As tu des symptomes spécifique hors mis la détection de l' AV ... ?



    ( puis fait la suite stp ... Je regarderais cela après le match de foot ... :p  )
    17 Avril 2011 21:03:01

    Donc en tant que symptome:

    - J'ai donc la fenêtre de pop-up de mon cheval de troie TR/Vundo.gen
    - Parfois quand je click sur un lien, je ne vais pas dessus directement.
    Il me faut parfois revenir en arriere et reclicker 2 / 3 fois sur le lien afin de tomber sur le bon. Ca m'envoie sur des adresses bizarres...

    Je suis infecté depuis que j'ai recherché des noms de plugs sur un site. J'ai eu le malheur de cliquer trop vite sur un fichier qui a pop a l'écran et de la tout est partis.

    La détection de ce fameux Cheval de Troie se manifeste quand j'ouvre le fameux dossier ou il s'est logé ou toutes les 5 minutes environs.

    Quand je suis dans mon logiciel studio en pleine scéance d"enregistrement ca devient très vite "lourd" ;D

    Ps: Bon Match de foot ;)  je patiente en attendant ;) 
    17 Avril 2011 22:02:12

    Mi-temps ....



    des restes d'adwares , des parasite et cette infection Vundo donc ...


    Ton OS 64 bits ne va pas nous faciliter les choses en plus ( pas beaucoup d'outils compatibles ) ...


    /!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================


    Commence par ceci dans l'ordre :


    1- Désactiver le "contrôle des comptes utilisateurs" ou UAC (le réactiver seulement à la fin de la désinfection) :

    regarde ici pour le faire > http://www.teamxscript.org/uacseven.html


  • Important :
    Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
    > clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
    Fais ceci systématiquement ! ...


    une fois ceci fait et pris en compte , enchaines ...


    ===========================

    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://www.teamxscript.org/adremoverTelechargement.html
    ou ici http://forum-aide-contre-virus.be/download/AD-Remover.h...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe pour lancer l'installation .

    Une fois l'outil installé, ce dernier s'ouvre directement ( et un raccourci se crée sur le bureau ).

    • Au menu principal, clique directement sur sur le bouton [Nettoyer] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )



    ========================

    3- Télécharge Malwarebytes :
    ici http://www.commentcamarche.net/telecharger/telecharger-...
    ou ici : http://www.malwarebytes.org/mbam.php
    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

    * Potasse ce tuto pour te familiariser avec le prg :
    http://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance 'Malwarebytes' .

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Poste le rapport généré après la suppression des objets infectés pour analyse ...

    Note importante :
    si MBAM te demande de redémarrer ton PC pour finir le nettoyage, fais le imédiatement après m'avoir fait parvenir le rapport !


    ===============================

    4- Refais un scan ZHPDiag "en tant qu'admin..." .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...













    17 Avril 2011 22:22:54

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:11:17 le 17/04/2011, Mode normal

    Microsoft Windows 7 Édition Intégrale (X64)
    louis@RYU (System manufacturer System Product Name)

    ============== ACTION(S) ==============


    Fichier supprimé: C:\Windows\SysWOW64\f3PSSavr.scr
    Dossier supprimé: C:\Users\louis\AppData\LocalLow\Conduit
    Dossier supprimé: C:\Program Files (x86)\Conduit
    Dossier supprimé: C:\Users\louis\AppData\LocalLow\ConduitEngine
    Dossier supprimé: C:\Program Files (x86)\ConduitEngine
    Dossier supprimé: C:\Program Files (x86)\FunWebProducts
    Dossier supprimé: C:\Program Files (x86)\MyWebSearch
    Dossier supprimé: C:\Users\louis\AppData\LocalLow\PriceGong
    Dossier supprimé: C:\Users\louis\AppData\LocalLow\VMNTOOLBAR

    (!) -- Fichiers temporaires supprimés.


    Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé supprimée: HKLM\Software\Classes\CLSID\{73E19DC7-D7AF-4069-B84B-D0E16B06151A}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{73E19DC7-D7AF-4069-B84B-D0E16B06151A}
    Clé supprimée: HKLM\Software\Classes\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{D518921A-4A03-425E-9873-B9A71756821E}
    Clé supprimée: HKLM\Software\Classes\Conduit.Engine
    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKLM\Software\conduitEngine
    Clé supprimée: HKLM\Software\FocusInteractive
    Clé supprimée: HKLM\Software\Fun Web Products
    Clé supprimée: HKLM\Software\MyWebSearch
    Clé supprimée: HKCU\Software\Conduit
    Clé supprimée: HKCU\Software\AppDataLow\Toolbar
    Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
    Clé supprimée: HKCU\Software\AppDataLow\Software\conduitEngine
    Clé supprimée: HKCU\Software\AppDataLow\Software\Fun Web Products
    Clé supprimée: HKCU\Software\AppDataLow\Software\MyWebSearch
    Clé supprimée: HKCU\Software\AppDataLow\Software\PriceGong
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{AFAD3690-DCEA-41F2-9900-5CE638E2208D}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF6-072E-44CF-8957-5838F569A31D}
    Clé supprimée: HKLM\Software\Classes\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239}
    Clé supprimée: HKLM\Software\Microsoft\Multimedia\WMPlayer\Schemes\f3pss

    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00A6FAF6-072E-44CF-8957-5838F569A31D}
    Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{30F9B915-B755-4826-820B-08FBA6BD249D}
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33}


    ============== SCAN ADDITIONNEL ==============

    **** Internet Explorer Version [8.0.7600.16385] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_URLSearchHooks|{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} (x)
    HKCU_URLSearchHooks|{ba14329e-9550-4989-b3f2-9732e92d17cc} (x)
    HKCU_URLSearchHooks|{4daac69c-cba7-45e2-9bc8-1044483d3352} - "Softonic_France Toolbar" (C:\Program Files (x86)\Softonic_France\tbSoft.dll)
    HKLM_URLSearchHooks|{4daac69c-cba7-45e2-9bc8-1044483d3352} - "Softonic_France Toolbar" (C:\Program Files (x86)\Softonic_France\tbSoft.dll)
    HKCU_SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A} - "Facemoods Search" (hxxp://start.facemoods.com/?a=ddr&s={searchTerms}&f=4)
    HKCU_Toolbar\WebBrowser|{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} (x)
    HKCU_Toolbar\WebBrowser|{BA14329E-9550-4989-B3F2-9732E92D17CC} (x)
    HKCU_Toolbar\WebBrowser|{4DAAC69C-CBA7-45E2-9BC8-1044483D3352} (C:\Program Files (x86)\Softonic_France\tbSoft.dll)
    HKLM_Toolbar|{4daac69c-cba7-45e2-9bc8-1044483d3352} (C:\Program Files (x86)\Softonic_France\tbSoft.dll)
    HKCU_ElevationPolicy\{BAE3E453-14D9-471E-A654-410DBA9D2799} - D:\INTERNET\FlashGet universal\flashget.exe (FLASHGET)
    HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
    HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
    HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
    BHO\{1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - "FG2CatchUrl" (D:\INTERNET\FlashGet universal\ComDlls\bhoCATCH.dll)
    BHO\{4daac69c-cba7-45e2-9bc8-1044483d3352} - "Softonic_France Toolbar" (C:\Program Files (x86)\Softonic_France\tbSoft.dll)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

    ========================================

    C:\Program Files (x86)\Ad-Remover\Quarantine: 230 Fichier(s)
    C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 17/04/2011 22:11:31 (6156 Octet(s))

    Fin à: 22:12:20, 17/04/2011

    ============== E.O.F ==============
    17 Avril 2011 22:27:05

    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 6386

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    17/04/2011 22:26:42
    mbam-log-2011-04-17 (22-26-38).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 166527
    Temps écoulé: 1 minute(s), 41 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\KUGHGZXAKT (Trojan.FakeAlert) -> No action taken.
    HKEY_CURRENT_USER\Software\3D26895M1Z (Trojan.FakeAV) -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    17 Avril 2011 22:33:54

    Voici apre sle reboot, j'ai relancé le logiciel MBAM:

    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 6386

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    17/04/2011 22:33:27
    mbam-log-2011-04-17 (22-33-27).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 166522
    Temps écoulé: 2 minute(s), 15 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    17 Avril 2011 23:11:26

    Apparament il n'y a plus rien !!
    Je n'ai toujours pas recu d'alertes au virus, les pages internets s'affichent directement pas de lien confondu et ca l'air d'aller un poil plus vite qu'auparavant !

    Ca l'air d'être une grande reussite !

    Un très grand MERCI à toi, au temps dont tu as su prendre pour regler mon probleme. Un bravo pour tes compétences ou je n'en reviens toujours pas :o 

    J'attends la réponse finale afin de remettre mes admins comme avant.

    Merci merci merci merci merci ;) ))
    17 Avril 2011 23:40:28

    Yop,



    on a pas encore finit mon ami ! ... :whistle: 

    ( surtout que cette fameuse dll est toujour là ... MBAM n'y a pas touché ! )



    je t'ai demandé de me faire un new ZHPDiag également ... j'attends le rapport obtenu avant de poursuivre ...
    17 Avril 2011 23:48:30

    Quand je lance ZHPDiag il reste sur une fenetre ou il y a des croix vertes a droite et 2 corbeilles rouges en haut etc. je ne peux pas faire le scan comme au début !!
    17 Avril 2011 23:57:55

    MBAM:
    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    17/04/2011 23:56:38
    mbam-log-2011-04-17 (23-56-38).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 168754
    Temps écoulé: 1 minute(s), 42 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    ---------------------------
    La dll n'est meme plus dans le roaming, elle a carrément disparue.
    Je n'arrive pas a faire fonctionner le ZHPFix comme au début :( (
    18 Avril 2011 21:37:50

    Hello,



    qui t'a demandé d'installer cette daube de Spybot dis moi ?! ... :fou: 


    A part nous emmerder pour le nettoyage , alourdir le systeme et la navigation , il sert à que dalle !


    Désinstalle moi ça proprement depuis le panneau de configuration / "prg et fonctionnalité" ...




    Une fois fais , relance un new scan ZHPDiag et fait moi parvenir le nouveau rapport ...


    ( reste pas mal de merde ... domage que la dll soit bouffée; j'aurais bien aimé la faire tester par les collègues ... )






    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS