[Réglé] Infection impossible a enlever...

[Ziiz]

Bonjour,

Je viens vers vous car je n'arrive pas a me débarrasser d'un Trojan que j'ai choper hier ...

Son nom : TR/Crypt.ZPACK.Gen
Son emplacement : C:\Users\Ziiz\AppData\Local\PunkBuster\BF3\pb\PnkBstrk.sys

J'ai fait une analyse ComboFix suivie d'une avec Malware Bytes ... qui n'ont visiblement pas marcher car j'ai encore une alerte...

Ps : Depuis le passe de" ComboxFix et Malware bytes j'ai ce message au démarrage de mon pc :

C:\Users\Ziiz\Appdata\Local\Temp\195816Log.iniis lost

J'attend avec impatience vos directives pour éliminer cette bestiole de mon pc !

Apluch!

Ziiz

[CaSa]

Un trojan sur Linux ? Oula... quelle distribution ? ou alors c'est un poisson d'avril.

[diogene]

Sujet transféré dans la bonne section du forum.

[Ziiz]

Je suis loin d'etre sur Linux ^^ ... je suis bien sur Windows
Aurais-je cliquer au mauvaise endroit ? ... c'est bien possible ca xD...

[Raptor14]

Coucou

Utilises ce logiciel de diagnostic stp un Helper te prendra en charge un fois ceci fais :

• Télécharge ZHPDiag (de Nicolas Coolman)

• Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)

• Il se lancera automatiquement à la fin de l'installation

• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)

• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

• Héberge le rapport ZHPDiag.txt sur cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

++

[Ziiz]

Rapport fait

http://cjoint.com/?BAzs11ENj4p

[bernard53]

bonjour a tous

Suite à ton rapport " Ziiz" fait ceci s.t.p


* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com
R1 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs,Tabs = http://start.facemoods.com
O4 - Global Startup: C:\Users\UpdatusUser\Desktop\SpeedFan.lnk . (...) -- C:\Program Files (x86)\SpeedFan\speedfan.exe (.not file.)
O42 - Logiciel: Facemoods Toolbar - (.Pas de propriétaire.) [HKLM] – facemoods
[HKCU\Software\facemoods.com]
[HKLM\Software\facemoods.com]
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.DNSErrUrl", "http://start.facemoods.com/?a=ddrnw&f=5"); =>
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.aflt", "_#ddrnw");
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.dfltSrch", true);
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.dfltSrchPrvdr", "Facemoods Search");
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.dnsErr", true);
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.fcmdVrsn", "1.2.7.5.4");
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.firstRun", false);
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.first_time", false);
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.hmpg", true);
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.hmpgUrl", "http://start.facemoods.com/?a=ddrnw");
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.id", "_#64c3094600000000000000268336e044");
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.instlDay", "_#15320");
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.mntz", "");
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.newTab", true);
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.newTabUrl", "http://start.facemoods.com/?a=ddrnw&f=2");
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.prtnrId", "_#facemoods.com");
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.searchProviderAdded", true)
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.sid", "_#d2bc945e38e442a59fa83e05fa90a097");
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.tlbrSrchUrl", "http://start.facemoods.com/?a=ddrnw&f=3");
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.uninst", true);
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.update", "_#v1.4.0"
O69 - SBI: prefs.js [Ziiz - bo7suia1.default] user_pref("extensions.facemoods.vrsn", "_#1.4.17.11")
O69 - SBI: SearchScopes [HKCU] {0D7562AE-8EF6-416d-A838-AB665251703A} [DefaultScope] - (Facemoods Search) - http://start.facemoods.com
HKLM\Software\WOW6432Node\Classes\AppID\esrv.EXE]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
[HKLM\Software\WOW6432Node\Classes\Interface\{542FA950-C57A-4E17-B3E1-D935DFE15DEE}]
[HKLM\Software\WOW6432Node\Classes\Interface\{5B035F86-41B5-40F1-AAAD-3D219F30244E}]
[HKLM\Software\WOW6432Node\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}]
[HKLM\Software\WOW6432Node\Classes\Interface\{6365AC7B-9920-4D8B-AF5D-3BDFEAC340A8}]
[HKLM\Software\WOW6432Node\Classes\Interface\{6A934270-717F-4BC3-BA59-BC9BED47A8D2}]
[HKLM\Software\WOW6432Node\Classes\Interface\{74C012C4-00FB-4F04-9AFB-4AD5449D2018}]
[HKLM\Software\WOW6432Node\Classes\Interface\{79B13431-CCAC-4097-8889-D0289E5E924F}]
[HKLM\Software\WOW6432Node\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}]
[HKLM\Software\WOW6432Node\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}]
[HKLM\Software\Classes\TypeLib\{B12E99ED-69BD-437C-86BE-C862B9E5444D}]
[HKLM\Software\WOW6432Node\Classes\Interface\{C1C2FC43-F042-4F17-AEDB-C5ABF3B42E4B}]
[HKLM\Software\WOW6432Node\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}]
[HKLM\Software\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}]
[HKLM\Software\WOW6432Node\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}]
[HKLM\Software\WOW6432Node\Classes\Interface\{F7EC6286-297C-4981-9DCC-FD7F57BC24C9}]
[HKLM\Software\WOW6432Node\Google\Chrome\Extensions\ihflimipbcaljfnojhhknppphnnciiif]
[HKCU\Software\facemoods.com]
[HKLM\Software\WOW6432Node\facemoods.com]
C:\Users\Ziiz\AppData\LocalLow\facemoods.com
FirewallRaz
EmptyFlash
Emptytemp

Puis Lance ZHPFix depuis le raccourci du bureau.

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

-> laisse travailler l'outil et ne touche à rien ...

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !.

Ensuite::
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
http://general-changelog-team.fr/telech ... adwcleaner

Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

[Ziiz]

Rapport ZHPFix : http://cjoint.com/?BAAn5ArTf5x
Rapport AdwCleaner : http://cjoint.com/?BAAobyN3uPg


Un grand merci a toi pour ton aide en tout cas ...
Apluch!

[bernard53]

ok
As tu encore cette alerte s.t.p

[Ziiz]

Non plus plour le moment mais j'ai toujours le meme message lors du démarrage de Windows ...

[bernard53]

Non plus plour le moment mais j'ai toujours le meme message lors du démarrage de Windows ...

OK alors ceci s.t.p


[*]Cliquer ICI,descendre jusqu'à PureRa et cliquer sur Download Windows Binary pour télécharger le fichier (.zip) sur le Bureau.

[*]Cliquer-droit sur le nouveau fichier => "Extraire ici".

[*]Fermer toutes les fenêtres et applications ouvertes et double-cliquer sur PureRa.exe (Vista et Windows 7, cliquer-droit dessus => "Exécuter en tant qu'administrateur") puis cliquer sur Next.

[*]Cocher la case Check All et cliquer sur le bouton Clean

Un rapport sera créé. Inutile de le poster sur le forum

Ensuite::



Tu peux contrôler le démarrage de tous ces processus avec un logiciel comme Starter de Code Stuff.
Télécharge et installe Code Stuff Starter :

http://www.pc-infopratique.com/telechar ... arter.html

Ensuite vas dans l’onglet démarrage et décoches les lignes voulues.

Ne t'inquiète pas si a l'usage tu veux réactiver l'une d'elles, il suffit de la. recocher

Elles sont lancées inutilement au démarrage du système et cela ne comporte aucun danger.


Lignes à décocher qui sont en relation.

O4 - HKLM\..\Run: [RtHDVCpl] . (.Realtek Semiconductor - Gestionnaire audio HD Realtek.) -- C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
O4 - HKLM\..\Run: [AtherosBtStack] . (.Atheros Communications - Serveur Stack Bluetooth.) -- C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe
O4 - HKLM\..\Run: [AthBtTray] . (.Atheros Commnucations - Bluetooth Suite Common Rescource.) -- C:\Program Files (x86)\Bluetooth Suite\AthBtTray.exe
O4 - HKLM\..\Wow6432Node\Run: [Corsair M60 Mouse] . (.Corsair Components Inc - Vengeance Gaming Software.) -- C:\Program Files (x86)\Corsair\M60 Mouse\M60Hid.exe

Redémarres le pc ensuite pour constater le mieux.

[Ziiz]

Merci de ton aide ...

Âpres avoir fais tourner les 2 programmes j'ai un souci ; dans StarterStuff je ne trouve pas les lignes indiquées dans l'onglet démarrage ... =/

et après redémarrage j'ai toujours le message suivant ;

C:\Users\Ziiz\Appdata\Local\Temp\195816Log.iniis lost

Apluch!

[bernard53]

Bizarre car il est dans un dossier Temp et tu l'as vider.

fait ceci alors.

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.


>> Pour VISTA : Clic-droit et choisis "Exécuter en tant qu'administrateur".

>> AVAST reconnait ce logiciel comme un intrus, donc le désactiver le temps des manipulations.

Double-clique sur OTM pour le lancer.

Copie la liste qui se trouve en citation ci-dessous:

:Files
C:\Users\Ziiz\Appdata\Local\Temp\*.iniis lost
:Commands
[purity]
[emptytemp]
[Reboot]

et colle-la dans le cadre de gauche de OTM sous ceci:



Clique sur pour lancer la suppression.
attendre la fin du travail de l'outil puis fermer OTM

Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.

si cela ne fonctionne pas alors voit ceci.
http://forum.zebulon.fr/erreur-00326log ... 90229.html

par contre fait une sauvegarde du registre avant s.t.p. avec ERUNT

http://telechargement.zebulon.fr/erunt.html

[Ziiz]

http://cjoint.com/?BABpTTaqfER Rapport OTM ... probleme toujours ...

Dans le message il dit que le fichier est perdu ... n'est-il pas possible de télécharger le fichier et le coller a la bonne place ?

Edit : et la sauvegarde du registre m'ennui bien ... chaque fichier = Aces refusé ... .

[bernard53]

Dans le message il dit que le fichier est perdu

Non il signale seulement qu'il ne le trouve pas.

Edit : et la sauvegarde du registre m'ennui bien ... chaque fichier = Aces refusé ... .

Que veux tu dire par la

Installe et Exécute ERUNT clique droit exécuter en tant qu'administrateur.