multiples infections

**CRAVENA** le Mer 22 Juin 2011 - 20:25

RogueKiller V5.2.3 [16/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Suppression -- Date : 22/06/2011 21:24:27

Processus malicieux: 0

Entrees de registre: 3
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 hl2rcv.adobe.com
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
[...]

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

**Elowen** le Mer 22 Juin 2011 - 20:32

Relance maintenant une analyse Malwarebytes.

**CRAVENA** le Mer 22 Juin 2011 - 20:43

Malwarebytes s'arrête à : C:\Program Files\Adobe\Acrobat 9.0\Acrobat\plug_ins\SaveAsRTF.deu

**Elowen** le Mer 22 Juin 2011 - 20:54

Laisse tomber malwarebytes pour l'instant.
On sort l'artillerie lourde

- une question avant : ton fichier host est modifié. C'est toi qui l'a modifié ?

Suite :

Démarre ton PC en mode sans échec avec prise en charge réseau pour avoir accès à internet

Télécharge Virus Removal Tool de Kaspersky. Enregistre-le sur ton bureau

SCANNER avec Virus Removal Tool de Kaspersky.

Le scan va ensuite s'effectuer en Mode Sans Echec classique, sans prise en charge réseau.Comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure qu'il faut suivre à la lettre

Une fois l'outil téléchargé, redémarre ton ordinateur en mode sans échec (sans prise en charge réseau cette fois) en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur bipper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Connecte éventuellement tes clés USB et disques externes.
Lance l'exécutable intitulé "setup_9.0xxxxx" en double-cliquant dessus sous XP (Clic droit/exécuter en temps qu'administrateur sous Vista/7).
Réponds "Oui" à la question "Do you want to continue installation?"

L'outil devrait afficher la fenêtre suivante:

Cocher toutes les cases.

Au niveau de la ligne "Réactions aux menaces", choisir "Réparer, si pas possible, Supprimer"

Clique alors sur Lancer l'analyse.

L'analyse commence alors; l'outil agira automatiquement sur chaque détection de nuisibles mais il peut être amené à te demander de choisir une action par l'ouverture d'une fenêtre. (rare).

Il est possible qu'à la fin, il te signale qu'il n'a pas pu traiter certaines infections; dans ce cas, suis ses recommandations.

Clique sur Rapport: développe le menu montrant les détections et les actions effectuées:

Fais un clic droit sur le contenu puis "Sélectionner tout" puis clique sur Copier.

Ouvre le bloc notes et colle-y le contenu du presse-papier:

Enregistre le fichier texte sur le bureau en le nommant Rapport-VRT

Clique alors sur Exit dans la fenêtre du Virus Removal Tool; à la question: "L'application sera arrêtée et supprimée de l'ordinateur. Supprimer l'application?, clique sur OUI.

*** Poste le rapport. (S'il était trop lourd, l'héberger ici stp: http://www.cijoint.fr/)

J'aurai absolument besoin du rapport.

**CRAVENA** le Mer 22 Juin 2011 - 20:56

Je ne sais pas ce que c'est mon fichier host alors si je l'ai modifié moi, c'est une opération divinement mystérieuse

**Elowen** le Mer 22 Juin 2011 - 21:00

CRAVENA a écrit:Je ne sais pas ce que c'est mon fichier host alors si je l'ai modifié moi, c'est une opération divinement mystérieuse

Ok. On va rétablir ça d'abord :

Suis cette procédure dans l'ordre indiqué :

Ce script va cibler certains éléments à supprimer :

• Copie la ligne en gras ci-après située entre les deux traits :

__________________________

HostFix
__________________________

• Lance ZHPFix à partir du raccourci sur ton Bureau ( sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le
• Clique sur le bouton GO pour lancer le nettoyage
• Copie/colle la totalité du rapport dans ta prochaine réponse.

Fais ensuite le scan demandé dans mon précédent post.

Ca peut prendre du temps, ne t'inquiète pas.

**CRAVENA** le Mer 22 Juin 2011 - 21:20

Rapport de ZHPFix 1.12.3322 par Nicolas Coolman, Update du 22/06/2011
Fichier d'export Registre :
Run by Administrateur at 22/06/2011 22:16:43
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Fichier HOSTS ==========
Le fichier Hosts est sain

========== Récapitulatif ==========
1 : Fichier HOSTS

========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt

End of the scan

**Elowen** le Mer 22 Juin 2011 - 21:27

Super

Si l'analyse Virus Removal Tool prend beaucoup de temps, il se peut que j'ai déconnecté pour aller Sleep

Je me reconnecterai demain après le boulot, soit vers 17h45 pour continuer.

**CRAVENA** le Mer 22 Juin 2011 - 21:34

Merci, bonne nuit à demain...

**CRAVENA** le Jeu 23 Juin 2011 - 17:10

Impossible d'installer VRT message
Erreur interne : Expression error Runtime Error (at 48:2178):
Could not call proc.

**Elowen** le Jeu 23 Juin 2011 - 17:16

Bonsoir

Même en mode sans échec ça coince ?
Je pense que ton système est altéré...

Refais moi un ZHPDiag stp.

**CRAVENA** le Jeu 23 Juin 2011 - 17:42

Ouf c'était long

http://www.cijoint.fr/cjlink.php?file=cj201106/cijizRIf2a.txt

**Elowen** le Jeu 23 Juin 2011 - 18:02

Deux questions :

1/ Ta version d'Acrobat est une version pro : elle-est légitime ? (je veux dire, c'est une version que tu as achetée ou c'est un crack ?) : réponds-moi franchement car la réponse, si c'est un crack, a toute son importance. Je ne suis pas là pour juger mais pour t"aider Wink

Si c'est un crack, désinstalle-la maintenant.

2/ As-tu le DVD de Vista

3/ Suite de la procédure de désinfection :

Suis cette procédure dans l'ordre indiqué :

Ce script va cibler certains éléments à supprimer :

• Sélectionne et copie les lignes en gras ci-après situées entre les deux lignes :

-----------------------------------------
O3 - Toolbar: (no name) - {7FED05BE-14FB-4A41-B0D9-79ABBC36FEE4} . (...) -- (.not file.)
O4 - HKLM\..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (.not file.)
O42 - Logiciel: Moovida - (.Fluendo S.L..) [HKLM] -- Moovida
[HKCU\Software\pdfforge.org]
[HKLM\Software\Official-eMule]
[HKLM\Software\pdfforge.org]
O43 - CFD: 11/06/2011 - 12:20:34 - [124640571] ----D- C:\Program Files\Moovida
O43 - CFD: 17/07/2009 - 07:01:02 - [2329] ----D- C:\ProgramData\03B0
O43 - CFD: 17/07/2009 - 12:27:36 - [2329] ----D- C:\ProgramData\22144
O43 - CFD: 17/07/2009 - 06:39:42 - [2329] ----D- C:\ProgramData\281EE
[MD5.AEE02B9D3D9DFE2DFEC230ACE3804BA8] [SPRF] (.Ask - Wrapper Application.) -- C:\Users\Administrateur\AppData\Local\Temp\askToolbarInstaller.exe [3056008]
C:\ProgramData\03B0
C:\ProgramData\22144
C:\ProgramData\281EE
O87 - FAEL: "{55FCC1D9-4466-4C49-9F82-8EF352646DEF}" | In - Private - P6 - TRUE | .(.Pas de propriétaire - Moovida Media Center.) -- C:\Program Files\Moovida\moovida.exe
O87 - FAEL: "{7D37DBB5-62DB-4194-BE40-F5E8AA4AEFC0}" | In - Private - P17 - TRUE | .(.Pas de propriétaire - Moovida Media Center.) -- C:\Program Files\Moovida\moovida.exe
O87 - FAEL: "TCP Query User{91CE4AA3-66CF-47A5-B139-B99EF949B682}C:\program files\moovida\moovida.exe" | In - Public - P6 - TRUE | .(.Pas de propriétaire - Moovida Media Center.) -- C:\program files\moovida\moovida.exe
O87 - FAEL: "UDP Query User{B6282B25-31F0-4382-833D-0724570C46F0}C:\program files\moovida\moovida.exe" | In - Public - P17 - TRUE | .(.Pas de propriétaire - Moovida Media Center.) -- C:\program files\moovida\moovida.exe
[HKLM\Software\Classes\CLSID\{50AD41D2-B1F0-47CC-9EA7-395355EAEEBD}]
[HKLM\Software\Classes\CLSID\{8CEB185E-81A5-46D3-BC20-C555D605AFBD}]
[HKLM\Software\Classes\CLSID\{A72522BA-9FF3-4C83-ABC6-9B476728A396}]
[HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]
[HKLM\Software\Classes\CLSID\{C5762628-AE15-4ca6-96C4-B00DD17F3419}]
[HKLM\Software\Classes\CLSID\{D062E03E-65CA-49E4-9B15-31938BA98922}]
[HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]
[HKCU\Software\pdfforge.org]
[HKLM\Software\pdfforge.org]
C:\Program Files\Moovida
SS - | Auto 0 | (0093731227987859mcinstcleanup) . (...) - C:\Users\GRARDM~1\AppData\Local\Temp\009373~1.exe
C:\Program Files\Softonic_France
Emptytemp
FirewallRaz
SysRestore

----------------------------------------

• Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le
• Clique sur le bouton GO pour lancer le nettoyage
• Copie/colle la totalité du rapport dans ta prochaine réponse.

--> Redémarre ton PC et refais un ZHPDiag pour que je contrôle

--> Retente une analyse complète Malwarebytes

**CRAVENA** le Jeu 23 Juin 2011 - 18:12

1 je n'ai pas de version Acrobat pro et je n'ai pas de "crack", je n'ai rien acheté mais je n'ai pas réussi à désinstaller

2 je n'ai pas le dvd de vista

**Elowen** le Jeu 23 Juin 2011 - 18:26

1/ Ton rapport montre ça :

O42 - Logiciel: Adobe Acrobat 9 Pro Extended - English, Français, Deutsch - (.Adobe Systems.) [HKLM] -- {AC76BA86-1033-F400-7761-000000000004}
O42 - Logiciel: Adobe Acrobat 9 Pro Extended - English, Français, Deutsch - (.Adobe Systems.) [HKLM] -- {AC76BA86-1033-F400-7761-000000000004}{AC76BA86-1033-F400-7761-000000000004}

et tu m'as dit que MBAM bloque sur C:\Program Files\Adobe\Acrobat 9.0\Acrobat\plug_ins\SaveAsRTF.deu

Par ailleurs, ton fichier host était modifié par :

27.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 hl2rcv.adobe.com

Y'a un truc pas clair avec Abode....je serai d'avis de supprimer tout ce qui le concerne, quitte à réinstaller Adobe Reader ensuite à partir d'un lien fiable.

J'attends avant de voir le rapport de ZHPFix et que tu me dises ce qu'il en est de MBAM (Malwarebytes)

[Pris en charge par Elowen] Mutilples infections