Infection AskBarDis.Adw • page 2

[Del-crosseur]

Cool , peut tu refaire un derniers ZHPDiag stp ...

[paradoxal]

voici le rapport:

http://www.cijoint.fr/cjlink.php?file=c ... EWJpts.txt

[Del-crosseur]

Dans "Programmes" tu as ZHPDiag , cliques dessus pour le lancer
Lorsque la fenêtre de l'interface sera ouverte clique sur cette icône -->
Une nouvelle interface va se présenter (tu seras sur ZHPFix), dans celle-ci applique cette procédure :

• Dans la fenêtre d'application (blanche et vierge) copie et colle ceci dedans :

[HKCU\Software\MW]
[HKCU\Software\SAMP]
O43 - CFD: 19/11/2009 - 18:30:52 ----D- C:\Program Files\Circle Developeent

• En haut dans la barre de commandes clique sur --> H
pour activer les lignes Helpers.

Clique sur "OK", puis sur "Tous", et pour terminer le lancement sur "Nettoyer".
Tu obtiendras un rapport de nettoyage.
Poste le rapport.

[paradoxal]

voici le rapport

Code: Tout sélectionner

Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-24-12-2010-13-41-42.txt
Run by dida-59 at 24/12/2010 13:41:42
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\MW  => Clé supprimée avec succès
HKCU\Software\SAMP  => Clé supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Circle Developeent  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Dossier(s)


End of the scan


[Del-crosseur]

Très bien , on va faire impeut de ménage avant de continuer si tu le veut bien

J'aperçois un rootkit dans ton rapport , je me renseigne au près de mes supérieurs si il ne
s'agirait pas d'un faux positif ...

Télécharge ->> DelFix <<- de Xplode

* Lance le.

* Choisit l'option "Suppression"

* Un rapport va s'ouvrir à la fin, colle le dans la réponse ...

Ensuite pour le désinstaller ; tu relances et tu passes à l'option "Désinstallation"

[paradoxal]

voici le rapport delfix

Code: Tout sélectionner

########## DelFix - Nettoyeur d'outils de désinfection ##########
#
# DelFix v6.9 - Rapport créé le 24/12/2010 à 14:19
# Mis à jour le 19/12/10 à 16h40 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : dida-59 - PC-DE-DIDA-59 (Administrateur)
# Exécuté depuis : C:\Users\dida-59\Desktop\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\_OTL
Supprimé : C:\Lop SD
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\trend micro\Hijackthis
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\lopR.txt
Supprimé : C:\ZHPExportRegistry-24-12-2010-13-41-42.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\dida-59\Desktop\LopSD.exe
Supprimé : C:\Users\dida-59\Desktop\ZHPDiag.txt
Supprimé : C:\Users\dida-59\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cfxxe
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSuppr.txt" - [2005 octets] ##########

[Del-crosseur]

OK met le de coter pour l'instant , on l'utilisera en fin de désinfection ...

[Del-crosseur]

Bonjour

Aller on n'y va ...

/!\ Désactive toutes protections Actives ( Antivirus ... ) /!\

_*Télécharge GMER sur ton Bureau en cliquant sur Download EXE .
_*Double-cliquer sur celui-ci pour le lancer .
_*Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
_*Les informations sur le scan s’affichent alors, les éléments détectés comme rootkit apparaissent en rouge dans chaque section.
_*Une fois le Scan Terminer, clique surr le bouton [b]Save[/b qui ]permet l’enregistrement du rapport sur votre disque au format texte.

Poste le rapport ...

[paradoxal]

Bonjour Del-Crosseur ; voici le rapport GMER

Code: Tout sélectionner

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2010-12-25 16:17:10
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 ST9320320AS rev.0303
Running: nzs0jy6b.exe; Driver: C:\Users\dida-59\AppData\Local\Temp\kwliakod.sys


---- Devices - GMER 1.0.15 ----

Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-2                   87D121F8
Device          \Driver\atapi \Device\Ide\IdePort0                            87D121F8
Device          \Driver\atapi \Device\Ide\IdePort1                            87D121F8
Device          \Driver\atapi \Device\Ide\IdePort2                            87D121F8
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1                   87D121F8
Device          \Driver\a69if4ku \Device\Scsi\a69if4ku1Port5Path0Target0Lun0  890BC1F8
Device          \Driver\amay4zzn \Device\Scsi\amay4zzn1Port4Path0Target0Lun0  891AC1F8
Device          \Driver\amay4zzn \Device\Scsi\amay4zzn1                       891AC1F8
Device          \Driver\a69if4ku \Device\Scsi\a69if4ku1                       890BC1F8
Device          \FileSystem\Ntfs \Ntfs                                        87D111F8

AttachedDevice  \FileSystem\Ntfs \Ntfs                                        AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)

Device          \FileSystem\fastfat \Fat                                      A627B1F8

AttachedDevice  \FileSystem\fastfat \Fat                                      fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)
AttachedDevice  \Driver\tdx \Device\Ip                                        kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\tdx \Device\Tcp                                       kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\tdx \Device\Udp                                       kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\tdx \Device\RawIp                                     kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                       Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                       Wdf01000.sys (WDF dynamique/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----


[Del-crosseur]

Bonjours !!

*** Télécharger MBR de GMER sur votre bureau .
/!\ Désactivez vos protections antivirus ... et coupez votre connexion internet /!\

*** Sous Windows XP :

-> Double-cliquez sur mbr.exe

Sous Windows Vista ou Seven:

-> Faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur"

**Un rapport sera généré : mbr.log **

Poste moi le rapport stp ...

[paradoxal]

Par oublie de ma part j'ai été sans antivirus pendant 2jours, le premier jours j'ai eu 3fois la meme pub

voici le rapport mbr:

Code: Tout sélectionner

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: ST9320320AS rev.0303 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


[Del-crosseur]

Pas très concluant , fais ceci ...


Rend toi sur -> VirusTotal
Clique sur choisir un fichier et choisi ce dossier :

C:\Users\dida-59\AppData\Local\Temp\kwliakod.sys

Poste moi le rapport obtenu ...

[paradoxal]

salut, je n'ais pas trouver ce fichier

[Del-crosseur]

Ok , autant pour moi ; se fichier(driver) est inoffensive , il fais partit de MBR ..
Je te donne le reste de la procédure demain ...

Bonne nuit

[Del-crosseur]

Hello

Moi et l'equipe Helper avons conclue que se n'étais juste un faux positif comme beaucoup nous trompe ...

Si tous roule bien pour toi le sujet et Réglé/Résolu ...