[résolu]rootkit - curseur

Donc, voici le lien d'hébergement du fichier contenant le rapport Combofix

Toujours avec ma méthode "littéraire" de découpage


Hache tétépé deuxpoinrs double slahs … auquel on joint : terafiles.net/v-118224.html

Merci pour l’examen

Stef

PS

PS : je dois m'absenter pour tout l'après-midi, je serai de retour ici ce soir

Bonjour COSER
J'ai pu avoir ton rapport sur mon compte hotmail
Tu devrais pouvoir poster des liens maintenant

Lance ZHPDiag, et clique sur la grosse flèche verte
Télécharge et installe la nouvelle version
relance ZHPDiag, et refait moi un scan puis héberge le rapport,
et donne moi le lien si tu peux

Bonjour Jawaryinti

Après avoir effectuer ZHPDiag, j'ai voulu joindre le fichier du rapport, mais cela m'a encore été refusé alors que je suis inscrit depuis 8 jours maintenant.

Nouvelle tentative et voici les remarques du site :

"Le fichier envoyé n'est pas valide: nom du fichier incorrect"

ou

.Impossible d'envoyer le fichier : dépassement de la taille totale de l'espace de stockage. (Espace restant : 0 Ko)

(alors que le fichier ne fait que 104 Ko

Que dois-je faire ? merci de me rappeler le site où je devrais donc à nouveau héberger mon rapport.

Sstef

Bonsoir

Voici le lien où est hébergé le rapport ZHPDiag

Toujours avec ma méthode "littéraire" de découpage

Hache tétépé deuxpoints double slash … auquel on joint : terafiles.net/v-118299.html

Je viens de l’envoyer également à l’adresse mail par un message où j’annonce peut-être un peu prématurément que tout semble être revenu dans l’ordre.

Cordialement

Stef

J'ai pris le rapport sur mon compte hotmail

N'héberge plus les rapports sur terafiles, car je ne les retrouve pas entiers

On va nettoyer les restants d'infections et de logiciel que tu n'as plus :

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier

O4 - Global Startup: C:\Users\as\Desktop\speedyfox -.lnk . (...) -- C:\Users\as\Downloads\speedyfox.exe (.not file.) => Infection Diverse (Trojan.Buzus)
[HKCU\Software\Burn4Free] => Infection PUP (Adware.Burn4Free)
O43 - CFD: 20/01/2011 - 15:48:42 - [593920] ----D- C:\Users\as\AppData\Roaming\moovida-1 => Infection BT (Adware.SPointer)
O43 - CFD: 20/01/2011 - 15:48:02 - [177543] ----D- C:\Users\as\AppData\Local\moovida Air => Infection BT (Adware.SPointer)
O43 - CFD: 20/01/2011 - 15:49:08 - [0] ----D- C:\Program Files (x86)\Fluendo => Infection BT (Adware.SPointer)
[MD5.F7A7DA530618C3700A449FE7971DB924] [SPRF][09/09/2010] (.VSO Software - Helper driver to facilitate play of cd backups.) -- C:\Users\as\AppData\Roaming\ezplay.sys [118400] => Infection Rootkit (Rootkit.TDSS)
C:\Users\as\AppData\Local\moovida air => Infection BT (Adware.SPointer)
O41 - Driver: (SAVRKBootTasks) . (. - .) - C:\Windows\system32\SAVRKBootTasks.sys (.not file.) => Fichier absent
O43 - CFD: 30/07/2011 - 22:02:26 - [2331] ----D- C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy
O43 - CFD: 30/07/2011 - 22:02:26 - [2884779] ----D- C:\Program Files (x86)\Spybot - Search & Destroy => Spybot - Search & Destroy
O52 - TDSD: \Drivers32\"vidc.spv1"="C:\Users\as\AppData\Local\LEARNP~1\SCREEN~1\SCREEN~1.DLL" . (...) -- (.not file.) => Fichier absent

• Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
- Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Redémarre ton PC

Ensuite, poste moi un nouveau rapport ZHPDiag

Bonsoir,

Suite au message de Romain :

Romain a écrit:

COSER : C'est normal, une toute nouvelle fonctionnalité vient d'être mis en place.
Il faut qu'un administrateur supprime cette fonctionnalité (ou attendre que tu sois plus vieux d'1 semaine lol)

Pour des raisons de sécurité, nous ne désactiveront pas cette fonction

Désolé d'avoir chahuté votre fil.

Amicalement

Bonjour Jawaryinti

Suivant tes instructions, j'ai effectué les opérations et je viens de t'envoyer le rapport sur ta messagerie hotmail.

A bientôt et merci

Stef

Bonsoir
ZHPFix a bien supprimé le restant de rootkit

Met à jour ton Malwarebytes et fait un scan complet

Bonjour Jawaryinti

Suivant ta recommandation, j'ai fait un scan complet Malwarebytes et je viens de t'envoyer le rapport sur ta messagerie hotmail.

Je crois que cette fois-ci, mon ordinateur est totalement désinfecté grâce à ton aide précieuse.
Merci beaucoup !

Bien cordialement
Stef


Jeudi 4 août 2011 à 17 h 30

Bonsoir,

Je viens de prendre connaissance de tes dernières instructions que je vais mettre en œuvre rapidement et je t’en rendrai compte dès que j’aurai terminé ces nouvelles opérations.

A bientôt
Stef

Bonjour
Il faut finaliser

Télécharge Del Fix (de Xplode) sur ton bureau

http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/3-delfix

Lance le (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)

Sélectionne Suppression

Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.


Tu dois purger la restauration système, tout est expliqué en cliquant sur ce lien
http://www.forum-fec.net/t142-purger-la-restauration-du-systeme-sous-windows-7

Bonsoir,

Voilà, j'ai fait toutes les opérations que tu m'as indiquées ainsi que celle mentionnées dans la purge de restauration du système.

je colle ci-après le rapport Del Fix (en espérant que tout va rentrer et être accepté en envoi !

Delfix rapport du 4 août 2011
# DelFix v8.3 - Rapport créé le 04/08/2011 à 17:33
# Mis à jour le 04/08/11 à 11h par Xplode
# Système d'exploitation : Windows 7 Ultimate (64 bits) [version 6.1.7601]
# Nom d'utilisateur : as - AS-PC (Administrateur)
# Exécuté depuis : C:\Users\as\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.2.5.1.0_01.07.2011_17.07.37_log.txt
Supprimé : C:\TDSSKiller.2.5.1.0_03.07.2011_16.41.42_log.txt
Supprimé : C:\TDSSKiller.2.5.1.0_03.07.2011_16.42.30_log.txt
Supprimé : C:\TDSSKiller.2.5.11.0_22.07.2011_16.11.04_log.txt
Supprimé : C:\TDSSKiller.2.5.11.0_26.07.2011_17.12.27_log.txt
Supprimé : C:\TDSSKiller.2.5.8.0_01.07.2011_17.08.31_log.txt
Supprimé : C:\TDSSKiller.2.5.8.0_03.07.2011_16.43.25_log.txt
Supprimé : C:\TDSSKiller.2.5.8.0_22.07.2011_16.10.17_log.txt
Supprimé : C:\ZHPExportRegistry-03-08-2011-08-17-50.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\as\Desktop\ComboFix.exe
Supprimé : C:\Users\as\Desktop\MBRCheck_07.31.11_10.00.53.txt
Supprimé : C:\Users\as\Desktop\tdsskiller.exe
Supprimé : C:\Users\as\Desktop\tdsskiller.zip
Supprimé : C:\Users\as\Desktop\ZHPDiag.txt
Supprimé : C:\Users\as\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\as\Downloads\ComboFix.exe
Supprimé : C:\Users\as\Downloads\esetsmartinstaller_fra.exe
Supprimé : C:\Users\as\Downloads\RogueKiller-5.2.7.exe
Supprimé : C:\Users\as\Downloads\RogueKiller.exe
Supprimé : C:\Users\as\Downloads\tdsskiller (1).zip
Supprimé : C:\Users\as\Downloads\ZHPDiag2(2).zip
Supprimé : C:\Users\as\Downloads\ZHPDiag2.zip

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware

~~~~~~ Autre ~~~~~~

-> ESET Online Scanner ... Désinstallé avec succès
-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2768 octets] ##########

Très bien
Tu n'as plus de problème avec le curseur ?

Je te conseillerai de changer tes mots de passe, car tu avais peut-être un enregistreur
de frappe

Bonsoir,

Oui, tout va bien maintenant

je vais suivre ton conseil et changer mes mots de passe !

merci encore pour tous tes conseils et ta disponibilité

Très cordialement

Stéphane