Impossible d'installer un antivirus

Fermé
min_max Messages postés 14 Date d'inscription mercredi 28 octobre 2009 Statut Membre Dernière intervention 29 octobre 2009 - 28 oct. 2009 à 09:29
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 30 oct. 2009 à 08:08
Bonjour à tous,

Me voilà en désespoir de cause. Voici mon problème depuis hier je trouve que mon pc utilise une pourcentage cpu vraiment trop important 100% en continue presque sans application d'ouverte, j'ai essayer de regarder les processus ouvert et je ne trouve rien de particulier. Je décide de faire un scan avec AVG mais il refuse de s'ouvrir je m'aperçoit alors qu'il n'est plus activé et en voulant télécharger un autre logiciel tel que Avast rien que l'ouverture d'une page internet comprenant le mot avast ou hijackthis entraine la fermeture du navigateur (chrome, Firefox, opera, safari,IE...) autant dire que je suis un peu perdu et j'aimerais savoir quoi faire ?

Merci d'avance pour vos réponses

min_max
A voir également:

33 réponses

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 oct. 2009 à 10:46
re,


et bien ... plusieurs infections ! .... y a du travail ! ....

et une fois le PC clean , on verra pour t'installer des défenses , car là , t'es tout nu !!!



/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .


On commence ...


Infection par un Bagle :

1-IMPORTANT :
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire :
Essaye surtout de te rappeler si récemment tu n'as pas cliquer sur un "patch" ou un "keygen" pour installer un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)



2- Télécharge FindyKill ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/FindyKill.exe
ou ici https://www.androidworld.fr/

Si tu as le prg Elibagla sur ton PC , supprime le ( risque de conflit entre les deux outils ) .


! Déconnecte toi d'internet, désactives ton antivirus et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur FindyKill.exe présent sur ton bureau pour lancer l'outil.

( sur la 1er fenêtre , tapes f puis [entrèe] pour la version en français ).

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport FindyKill.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\FindyKill.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/findykill.html


2
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 oct. 2009 à 10:04
Salut,


si Loicdem n' y voit pas d'inconveignant , essaye ceci pour avoir un diagnostique du PC :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


1
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
29 oct. 2009 à 08:13
Re,


il y a une petite chose euh je n'ai toujours pas de défenses à activer ou à désactiver

> dis moi , c'était quoi ton antivirus à la base avant que tu soient infecté ? ... car la je vois des restes de AVG, Kaspersky , Norton , Avast et AntiVir !!!!! .... c'est du n'importe quoi ... ^^'



puis fait ceci maintenant :


1- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe

!! ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

========================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis l'option "S" et tape sur [entrée] .

• le scan démarre , laisse travailler l'outil et ne touche à rien ...

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html


1
Utilisateur anonyme
28 oct. 2009 à 09:38
Bonjour,
télécharge Hijackthis sur ton bureau
Installe le puis lance le, fais "Do a system scan and save a logfile"
Copie-colle le rapport sur le forum !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
min_max Messages postés 14 Date d'inscription mercredi 28 octobre 2009 Statut Membre Dernière intervention 29 octobre 2009
28 oct. 2009 à 10:01
Merci Locidem pour ta réponse rapide !

Mon problème est que si je clique sur ton lien Hijackthis le navigateur se ferme automatiquement et j'ai le même problème quand je tape dans google avast j'obtient la page avec les résultats et dès que je clique sur un de ces résultats le navigateur se ferme automatiquement et ce aussi bien sur google chrome, Firefox , IE7 ,Safari...

Je ne sais plus quoi faire ?

Merci d'avance
0
Utilisateur anonyme
28 oct. 2009 à 10:05
Je veux bien mais n'oublie pas de lui faire faire ça :

Je pense que tu as un rootkit,
Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 oct. 2009 à 10:12
re,

je suis d'accord avec toi pour le rootkit ... mais j'aimerais savoir ce qui se passe avec ZHPDiag avant ... ;)

d'ailleur , il y a de grandes chances pour que gmer foire également ... ;)


Donc min_max,

* fait tout d'abors ZHPDiag > https://forums.commentcamarche.net/forum/affich-14932253-impossible-d-installer-un-antivirus#3
poste le rapport via "Cijoint" ( si cela à marché ) ...


* puis fait GMER > https://forums.commentcamarche.net/forum/affich-14932253-impossible-d-installer-un-antivirus#4
poste le rapport obtenu si cela à fonctionné ...


A tout' ... ^^

0
min_max Messages postés 14 Date d'inscription mercredi 28 octobre 2009 Statut Membre Dernière intervention 29 octobre 2009
28 oct. 2009 à 10:40
Me revoilà,

Voilà j'ai réussi à obtenir le rapport de ZHPDiag voici donc le lien que j'ai obtenu :

http://www.cijoint.fr/cjlink.php?file=cj200910/cijFwpADZ9.txt

Cependant concernant GMER impossible d'obtenir le télécharger la page se ferme instantanément sans pouvoir le télécharger...

J'espère que ce n'est pas catastrophique j'attend la suite des démarches

A tout de suite ;)
0
Utilisateur anonyme
28 oct. 2009 à 10:42
Déjà, tu as réussi a télécharger et exécuter ZHPDiag, attend sKe69 car je ne c'est pas lire ses rapports
0
Utilisateur anonyme
28 oct. 2009 à 10:47
Ah, mon bon vieux Bagle, c'est un crack qui est en cause ?
0
min_max Messages postés 14 Date d'inscription mercredi 28 octobre 2009 Statut Membre Dernière intervention 29 octobre 2009
28 oct. 2009 à 15:49
Re,

Merci sKe69 alors l'analyse fut assez longue il vient juste de terminer ça nous fait quand même presque 4h lol
Voici le résultat du travail d'analyse :


############################## | FindyKill V5.016 |

# User : Utilisateur (Administrateurs) # YOUR-E7F2723B7A
# Update on 26/10/2009 by Chiquitine29
# Start at: 10:50:29 | 28/10/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Genuine Intel(R) CPU T2050 @ 1.60GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 57,74 Go (3,55 Go free) [BART] # NTFS
# D:\ # Disque fixe local # 7,25 Go (1,33 Go free) [HP_RECOVERY] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 465,76 Go (247,93 Go free) [LISA] # NTFS
# G:\ # Disque CD-ROM
# H:\ # Disque amovible # 7,47 Go (2,26 Go free) [MAGGIE] # FAT32
# I:\ # Disque amovible # 1,88 Go (1,88 Go free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
F:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
F:\Program Files\Adobe\Photoshop Elements 6.0\apdproxy.exe
F:\Program Files\Dassault Systemes\B18\intel_a\code\bin\CATSysDemon.exe
C:\Program Files\Bonjour\mDNSResponder.exe
F:\Program Files\FileZilla Server\FileZilla Server.exe
F:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
F:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe
F:\PROGRA~2\MICROS~1\rapimgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\DNA\btdna.exe
C:\Documents and Settings\Utilisateur\Application Data\drivers\winupgro.exe
C:\WINDOWS\system32\lkcitdl.exe
C:\WINDOWS\system32\lkads.exe
C:\Documents and Settings\Utilisateur\Application Data\hidires\flec003.exe
C:\WINDOWS\system32\lktsrv.exe
F:\Program Files\National Instruments\Shared\Security\nidmsrv.exe
C:\WINDOWS\system32\nisvcloc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\AeroSnap\AeroSnap.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
f:\wamp\apache2\bin\httpd.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\Program Files\WinZip\WZQKPICK.EXE
F:\wamp\wampmanager.exe
C:\WINDOWS\system32\Pen_Tablet.exe
f:\wamp\mysql\bin\mysqld-nt.exe
F:\wamp\apache2\bin\httpd.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\PROGRA~1\COMMON~2\X10\Common\x10nets.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Documents and Settings\Utilisateur\Application Data\m\flec006.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

############################## | Processus infectieux stoppés |

"C:\Documents and Settings\Utilisateur\Application Data\drivers\winupgro.exe" (624)
"C:\Documents and Settings\Utilisateur\Application Data\hidires\flec003.exe" (2116)
"C:\Documents and Settings\Utilisateur\Application Data\m\flec006.exe" (4264)
"C:\WINDOWS\system32\wintems.exe" (5196)

################## | C: |

Présent ! D:\autorun.inf

################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |

Présent ! C:\WINDOWS\system32\ban_list.txt
Présent ! C:\WINDOWS\system32\mdelk.exe
Présent ! C:\WINDOWS\system32\srosa2.sys
Présent ! C:\WINDOWS\system32\wfsintwq.sys
Présent ! C:\WINDOWS\system32\wintems.exe

################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Utilisateur\Application Data |

Présent ! C:\Documents and Settings\Utilisateur\Application Data\drivers
Présent ! C:\Documents and Settings\Utilisateur\Application Data\drivers\downld
Présent ! C:\Documents and Settings\Utilisateur\Application Data\drivers\winupgro.exe
Présent ! C:\Documents and Settings\Utilisateur\Application Data\hidires
Présent ! C:\Documents and Settings\Utilisateur\Application Data\hidires\config
Présent ! C:\Documents and Settings\Utilisateur\Application Data\hidires\downloads.bak
Présent ! C:\Documents and Settings\Utilisateur\Application Data\hidires\downloads.txt
Présent ! C:\Documents and Settings\Utilisateur\Application Data\hidires\file.exe
Présent ! C:\Documents and Settings\Utilisateur\Application Data\hidires\flec003.exe
Présent ! C:\Documents and Settings\Utilisateur\Application Data\hidires\Incoming
Présent ! C:\Documents and Settings\Utilisateur\Application Data\hidires\lang
Présent ! C:\Documents and Settings\Utilisateur\Application Data\hidires\names.txt
Présent ! C:\Documents and Settings\Utilisateur\Application Data\hidires\server.txt
Présent ! C:\Documents and Settings\Utilisateur\Application Data\hidires\skins
Présent ! C:\Documents and Settings\Utilisateur\Application Data\hidires\Temp
Présent ! C:\Documents and Settings\Utilisateur\Application Data\hidires\WDIR
Présent ! C:\Documents and Settings\Utilisateur\Application Data\hidires\webserver
Présent ! C:\Documents and Settings\Utilisateur\Application Data\m
Présent ! C:\Documents and Settings\Utilisateur\Application Data\m\data.oct
Présent ! C:\Documents and Settings\Utilisateur\Application Data\m\flec006.exe
Présent ! C:\Documents and Settings\Utilisateur\Application Data\m\list.oct
Présent ! C:\Documents and Settings\Utilisateur\Application Data\m\srvlist.oct
Présent ! C:\Documents and Settings\Utilisateur\Application Data\m\shared

################## | Références de comparaison Bagle MD5 : |

File : C:\Documents and Settings\Utilisateur\Application Data\drivers\winupgro.exe
-> Crc32 : 3fcc619a | Md5 : 67c3bac9d1ded1123da62f948fc6d773

################## | Autres detections ... |

Bagle ! "C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe"
-> Size : 843776 | Crc32 : 3fcc619a | Md5 : 67c3bac9d1ded1123da62f948fc6d773

Bagle ! "C:\Documents and Settings\Utilisateur\Mes documents\Downloads\Copie (16) de 1\crack\crack.exe"
-> Size : 864256 | Crc32 : bcef6734 | Md5 : bc4507c3f58115890285446d6002217b

Bagle ! "C:\Documents and Settings\Utilisateur\Mes documents\Downloads\Copie (17) de 1\patch\patch.exe"
-> Size : 864256 | Crc32 : bcef6734 | Md5 : bc4507c3f58115890285446d6002217b

Bagle ! "F:\Program Files\eMule\Incoming\ADOBE OVATION\setup.exe"
-> Size : 843776 | Crc32 : 3fcc619a | Md5 : 67c3bac9d1ded1123da62f948fc6d773

Bagle ! "F:\Program Files\eMule\Incoming\ADOBE OVATION\Adobe Ovation 1.0.zip"
-> Contain setup.exe | Size : 843776 | with Bagle Crc32 : 3fcc619a

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet002\Services\srosa]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\srosa]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\DateTime4]
Présent ! [HKCU\Software\MuleAppData]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-1786359172-773914255-748483096-1006\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKU\S-1-5-21-1786359172-773914255-748483096-1006\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-1786359172-773914255-748483096-1006\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "flec003.exe"
Présent ! [HKU\S-1-5-21-1786359172-773914255-748483096-1006\Software\Microsoft\Windows\CurrentVersion\Run] "flec003.exe"
Présent ! [HKU\S-1-5-21-1786359172-773914255-748483096-1006\Software\bisoft]
Présent ! [HKU\S-1-5-21-1786359172-773914255-748483096-1006\Software\DateTime4]
Présent ! [HKU\S-1-5-21-1786359172-773914255-748483096-1006\Software\MuleAppData]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-1786359172-773914255-748483096-1006\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Utilisateur\Bureau\?IPC\COURS EIPC\Minitab.v15.1.1.Incl.Keymaker-CORE\keygen.exe"
06/08/2007 21:09 |Size 134656 |Crc32 b7139c3b |Md5 a25bad39926a7a16c134d05032a14f92

"C:\Documents and Settings\Utilisateur\Mes documents\Downloads\Copie (16) de 1\crack\crack.exe"
17/06/1981 00:03 |Size 864256 |Crc32 bcef6734 |Md5 bc4507c3f58115890285446d6002217b

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced ACE Password Recovery v1.01\archpr2.exe"
05/03/2001 03:47 |Size 1016832 |Crc32 167523a1 |Md5 0fc7fccc6319c1622618c6eb9f5f3beb

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced ACE Password Recovery v1.01\DiSTiNCT.EXE"
05/03/2001 03:50 |Size 175967 |Crc32 59324b21 |Md5 6208076aad24bb7806f9ad0e87976f89

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced Archive Password Recovery v1.0 Beta\archpr.exe"
04/03/2001 21:27 |Size 1016832 |Crc32 84c3580b |Md5 e3e620f7c4f143786622e9712972d187

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced Archive Password Recovery v1.0 Beta\DiSTiNCT.EXE"
04/03/2001 21:27 |Size 175972 |Crc32 476ca738 |Md5 5077589e462243486be2432a7de012fa

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced Excel 97 Password Recovery v1.31\ae97pr-cracked.exe"
04/03/2001 01:02 |Size 1740288 |Crc32 b06f5370 |Md5 283057beadb14a37ac2e3df16725b2d3

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced Excel 97 Password Recovery v1.31\DiSTiNCT.EXE"
04/03/2001 01:29 |Size 175968 |Crc32 31b17146 |Md5 1dddb2c8a51a3e06117515144a5df034

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced ICQ Password Recovery v1.0\DiSTiNCT.EXE"
04/03/2001 02:22 |Size 175965 |Crc32 a83fca7b |Md5 26e4aba4100ace7a6bc8f8e51cb26ac4

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced Office 2000 Password Recovery v1.02\ao2000pr.exe"
05/03/2001 12:21 |Size 877056 |Crc32 ab83ba0b |Md5 850a682620569216b90dc0e0c532ea62

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced Office 2000 Password Recovery v1.02\DiSTiNCT.EXE"
05/03/2001 12:21 |Size 175996 |Crc32 3c27ccc8 |Md5 f516ecc73563fa9f7f20050a5646b084

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced Outlook Password Recovery v1.11\Aolpr2.exe"
05/03/2001 01:44 |Size 1034240 |Crc32 e6ece548 |Md5 5202052950cb504cdc88e8aeaa346b57

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced Outlook Password Recovery v1.11\DiSTiNCT.EXE"
05/03/2001 01:50 |Size 175969 |Crc32 5e9494f5 |Md5 57eebaff0fcb306b169d8e4fccc840a4

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced Outlook Password Recovery v1.11\setup.exe"
27/09/2000 12:36 |Size 639898 |Crc32 12e92098 |Md5 6b8add2ac8832f5ff10e73e0b4038f13

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced PDF Password Recovery v1.0\oddcrc.exe"
22/05/2000 22:57 |Size 22016 |Crc32 bdbfc327 |Md5 afaf13ffa4f23a5ef445230cf9eaa035

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced PDF Password Recovery v1.21\apdfpr.exe"
05/03/2001 12:37 |Size 582656 |Crc32 68597788 |Md5 dd046c377cba875f488ad8f2be8f9d6f

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced PDF Password Recovery v1.21\DiSTiNCT.EXE"
05/03/2001 12:37 |Size 175967 |Crc32 7c8d54a2 |Md5 eb0533e9a4a71adf7ba671a0009c98aa

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced PDF Password Recovery v1.21\DISTINCT\setup.exe"
26/01/2001 15:37 |Size 653841 |Crc32 2113dbc9 |Md5 7ba6e0084e90e25b0654532b1132022a

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced QuickBooks Password Recovery v1.05\DiSTiNCT.EXE"
04/03/2001 01:35 |Size 175969 |Crc32 ce0a96cc |Md5 96905e6e8f168c0565bd9bf1763a1ab1

"F:\BUREAU SAUVEGARDE\SAUVEGARDE\stockage\PROGRAMME CRUISE\crack outlook\CRACK_2\AdvPassw\Advanced Rar Password Recovery v1.11\arpr2.exe"
05/03/2001 03:27 |Size 236544 |Crc32 4defa39f |Md5 07f7c1eb96b9612eff70f528e66434a4

"F:\CrAcK\prog\Exescope\EXEBAT.EXE"
12/03/2000 21:38 |Size 105472 |Crc32 ba31ae61 |Md5 9db7146b5e567655ae7fcc21f1157678

"F:\CrAcK\prog\Exescope\EXESCOPE.EXE"
12/03/2000 21:44 |Size 659968 |Crc32 21e4dd7b |Md5 2cd2d803602b9a2dc8667e4111e7fe52

"F:\CrAcK\prog\Exescope\Crack\ECLES512.EXE"
13/03/2000 03:42 |Size 46080 |Crc32 5a9b202a |Md5 0b9f48d8b1f605a7cc80e225f1b06ea4

"F:\CrAcK\prog\OllyDbg 1.10\OLLYDBG.EXE"
23/05/2004 01:10 |Size 1117696 |Crc32 c8d3ce67 |Md5 bd3abb4ac01da6edb30006cc55953be8

"F:\CrAcK\prog\ResHack\ResHacker.exe"
16/05/2008 16:19 |Size 881664 |Crc32 ca0c362e |Md5 66064dbdb70a5eb15ebf3bf65aba254b

"F:\CrAcK\prog\Win32Dasm893\W32DSM89.EXE"
26/07/1998 04:55 |Size 1032224 |Crc32 ea55661c |Md5 4737ca2024ec961c668ca7bdfd06c233

"F:\CrAcK\prog\Win32Dasm893\rva\rva.EXE"
23/04/2000 17:36 |Size 8704 |Crc32 88374cef |Md5 10bdaa56fd8429dfa2fb1c073065c02a

"F:\Incoming\NFS.Carbon-Serial-Patch.FR-Crack-par.NXS\Crack\nfsc.exe"
06/11/2006 17:42 |Size 8904704 |Crc32 1567ba3f |Md5 c540d0fa9c6d8506e848110ff9bfa0ad

"F:\ISTALLAZIONE TOM TOM 7\MAPPE 7\TomTom-Mappe-Italia-v7.10.1561\Meta keygen\tt7_keygen.exe"
05/01/2008 14:00 |Size 50176 |Crc32 117aea66 |Md5 33304d0e03ec268066dcebb9d1492674

"F:\ISTALLAZIONE TOM TOM 7\MAPPE 7\Western and Central Europe tomtom 7.201803\meta keygen\tt7_keygen.exe"
05/01/2008 00:53 |Size 50176 |Crc32 117aea66 |Md5 33304d0e03ec268066dcebb9d1492674

"F:\jeu\counter strike\Crack\czero.exe"
25/09/2003 23:00 |Size 81920 |Crc32 f08729a2 |Md5 c9a0178749c229eb2a11b3e9e9514dab

"F:\jeu\counter strike\Crack\hl.exe"
25/09/2003 23:00 |Size 77824 |Crc32 b8a2ec47 |Md5 4e9bc06b3fd3f745b155c4db3a44c2be

"F:\jeu\DOOM\crack\Crack Brothers in Arms\bia.exe"
15/03/2005 20:58 |Size 262144 |Crc32 65eac3e2 |Md5 aaf4fed15e27d5a0cd8b20b97987a949

"F:\jeu\DOOM\crack\Crack Brothers in Arms\brothers_in_arms_1.02_fr.exe"
25/04/2005 16:50 |Size 3103408 |Crc32 c26204b8 |Md5 006ea277e8d1052e985bfb9d2f2b2461

"F:\jeu\DOOM\crack\Crack Doom 3 + Serial\doom 3 crack fr + keygen par redtraxx\Doom3.exe"
01/08/2004 12:22 |Size 5427200 |Crc32 ae52b677 |Md5 bb23c474e30335ed2ab41fe1237505ba

"F:\jeu\DOOM\crack\Crack Doom 3 + Serial\doom 3 crack fr + keygen par redtraxx\RLD-D3KG.EXE"
01/08/2004 12:54 |Size 2657 |Crc32 cfd760b6 |Md5 36547f7304b27e4891f84966a66a7a3a

"F:\jeu\DOOM\crack\Crack PES6 + Serial\pes6-keygen.exe"
27/10/2006 14:26 |Size 105472 |Crc32 d0399ec4 |Md5 edb55f20bfcf48bd4f84b965d9605e25

"F:\jeu\DOOM\crack\Crack PES6 + Serial\pes6.exe"
26/10/2006 16:58 |Size 21880832 |Crc32 1e20b06a |Md5 bf39628cef60df46d0c8e1b4e220ffe6

"F:\jeu\Need For Speed Carbon\Crack\rld-nfsc.exe"
31/10/2006 15:52 |Size 8192 |Crc32 fc092185 |Md5 90665028717f87a6be92e1c0fb87639d

"F:\LOGICIEL\solid works\SolidWorks 2007\Crack\sw2007cr.exe"
19/06/2006 15:48 |Size 18002 |Crc32 0e0f2ae8 |Md5 69e0c5b6cf6bc0fe6abcdbc4332d5ecc

"F:\Program Files\BumpTop\BumpTop_crack.exe"
11/11/2008 14:40 |Size 3518976 |Crc32 19aa4ffd |Md5 7cc0cdc034b4a8fc3bcbd90f7ae3962e

"F:\Program Files\eMule\Incoming\Grand Theft Auto San Andreas Crack (No-CD)\gta_sa.EXE"
07/06/2005 17:59 |Size 14383616 |Crc32 acff1f28 |Md5 170b3a9108687b26da2d8901c6948a18

"F:\Program Files\eMule\Incoming\ISTALLAZIONE TOM TOM 7\MAPPE 7\TomTom-Mappe-Italia-v7.10.1561\Meta keygen\tt7_keygen.exe"
05/01/2008 14:00 |Size 50176 |Crc32 117aea66 |Md5 33304d0e03ec268066dcebb9d1492674

"F:\Program Files\eMule\Incoming\ISTALLAZIONE TOM TOM 7\MAPPE 7\Western and Central Europe tomtom 7.201803\meta keygen\tt7_keygen.exe"
05/01/2008 00:53 |Size 50176 |Crc32 117aea66 |Md5 33304d0e03ec268066dcebb9d1492674

"F:\Program Files\eMule\Incoming\minitab 15.1 + crack\MTB15_StandardSetup.exe"
03/02/2007 09:28 |Size 68162420 |Crc32 33408478 |Md5 d3aa09851ef9361d780f64794b767d7e

"F:\Program Files\eMule\Incoming\minitab 15.1 + crack\MINITAB.v15.1-EQUiNOX\Mtb.exe"
31/01/2007 17:58 |Size 9932800 |Crc32 0fec6462 |Md5 1fd7c523b9c30bca10211c3f0475966b

"F:\RECYCLER\S-1-5-21-854116850-2735241154-67239593-1006\Df50\SolidWorks 2007\Crack\sw2007cr.exe"
19/06/2006 15:48 |Size 18002 |Crc32 0e0f2ae8 |Md5 69e0c5b6cf6bc0fe6abcdbc4332d5ecc


################## | ! Fin du rapport # FindyKill V5.016 ! |

Merci d'avance pour cette aide précieuse
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 oct. 2009 à 16:02
re,

si tu veux que mon aide soit efficace , supprime tout , et je dis bien tout tes cracks et autres keygens ! Sinon on est encore là dans un mois ! ... l'infection se relancera ...



la suite ( cela risque d'être aussi long , t'inquiète pas ) :


1- ! Déconnecte toi d'internet, désactives ton antivirus et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur FindyKill.exe présent sur ton bureau pour lancer l'outil.

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , Findykill scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport Findykill.txt qui apparaitra avec le bureau .

( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\Findykill.txt ).

Note :
Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tape explorer.exe et valide .


===================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
Nicolas Coolman Messages postés 1104 Date d'inscription dimanche 25 mai 2008 Statut Contributeur sécurité Dernière intervention 5 octobre 2014 27
28 oct. 2009 à 16:50
Hello,

POUR INFO : La prochaine version de ZHP prendra en compte le seuil critique de RAM & DD fourni par ZHPDiag.

Aussi en analysant ce rapport, je viens d'avoir une alerte sur le DD:
System drive C: has 4 GB (6%) free of 58 GB => Seuil critique dépassé

Je vous retransmet l'information si vous ne l'avez pas déjà pris en compte.

Bonne désinfection et à bientôt...
0
min_max Messages postés 14 Date d'inscription mercredi 28 octobre 2009 Statut Membre Dernière intervention 29 octobre 2009
28 oct. 2009 à 18:22
Re sKe69,

Bon me revoilà j'ai fait tous ce que tu m'avais demander de faire cependant il reste un crack qui apparait dans le rapport de FindyKill mais je ne le retrouve pas dans le répertoire...

Voici les rapports que tu m'as demandés :

FindyKill : http://www.cijoint.fr/cjlink.php?file=cj200910/cijXmhtvrI.txt

ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj200910/cijgfy1aKS.txt

J'attend maintenant ton verdict et la suite des opérations ^^
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 oct. 2009 à 18:36
bien ...


comme l'as dis Nicolas plus haut, ton DD systeme ( disque C ) est archi plein ! Il faut absolument que tu vires des prg / des fichiers ! ... le seuil qu'il faudrai avoir est de 15 % d'espace libre minimun ...


la suite dans l'ordre :


1- Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,


:Files
F:\RECYCLER\S-1-5-21-854116850-2735241154-67239593-1006\Df50\SolidWorks 2007\Crack\sw2007cr.exe
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\_A00FF5F7FAB.exe
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\_A00FFBE8B07.exe
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\_A00F103D55E4.exe

:Commands
[purity]
[emptytemp]
[Reboot]




et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


==================

2- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

===================

3- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].

Le nettoyage commence .

! ne touche à rien lors de la suppression !

Un rapport sera généré à la fin du processus : poste son contenu pour analyse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )


=================


4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
min_max Messages postés 14 Date d'inscription mercredi 28 octobre 2009 Statut Membre Dernière intervention 29 octobre 2009
28 oct. 2009 à 20:43
Me revoilà avec quelques rectificatifs et quelques rapports !

Alors tout d'abord pour commencer le rapport de OTM :

All processes killed
========== FILES ==========
F:\RECYCLER\S-1-5-21-854116850-2735241154-67239593-1006\Df50\SolidWorks 2007\Crack\sw2007cr.exe moved successfully.
File/Folder C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\_A00FF5F7FAB.exe not found.
File/Folder C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\_A00FFBE8B07.exe not found.
File/Folder C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\_A00F103D55E4.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes

User: hp
->Temp folder emptied: 1715499 bytes
->Temporary Internet Files folder emptied: 3670310 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 469821 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 16786 bytes

User: Propriétaire
->Temp folder emptied: 724 bytes

User: Utilisateur
->Temp folder emptied: -393711167 bytes
->Temporary Internet Files folder emptied: 356879021 bytes
->Java cache emptied: 50611915 bytes
->FireFox cache emptied: 59713034 bytes
->Google Chrome cache emptied: 237116324 bytes
->Apple Safari cache emptied: 46298275 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 51704394 bytes
RecycleBin emptied: 1679147298 bytes

Total Files Cleaned = 1996,71 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10282009_191553

Files moved on Reboot...

Registry entries deleted on Reboot...

Ensuite le rapport de ToolBar S&D :


-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Genuine Intel(R) CPU T2050 @ 1.60GHz )
BIOS : Ver 1.00PARTTBL
USER : Utilisateur ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:57 Go (Free:19 Go)
D:\ (Local Disk) - FAT32 - Total:7 Go (Free:1 Go)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:465 Go (Free:241 Go)
G:\ (CD or DVD)
H:\ (USB) - FAT32 - Total:7654 Mo (Free:2 Go)
I:\ (USB) - FAT - Total:1927 Mo (Free:1 Go)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 28/10/2009|20:18 )

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\AskBarDis\bar
Supprime! - C:\Program Files\AskBarDis\unins000.dat
Supprime! - C:\Program Files\AskBarDis\unins000.exe
Supprime! - C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
Supprime! - C:\DOCUME~1\UTILIS~1\APPLIC~1\Search Settings\kb128
Supprime! - C:\Program Files\AskBarDis
Supprime! - C:\DOCUME~1\UTILIS~1\APPLIC~1\Search Settings

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ Extensions

(Utilisateur) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user
(Utilisateur) - {E9A1DEE0-C623-4439-8932-001E7D17607D} => ajtoolbar


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.google.fr/?gws_rd=ssl"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="https://fr.search.yahoo.com/?fr=cb-hp06"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.msn.com/fr-fr/"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "C:\ToolBar SD\TB_1.txt" - 28/10/2009|20:21 - Option : [2]

-----------\\ Fin du rapport a 20:21:46,15

Et pour finir le rapport de ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj200910/cijAaCREDD.txt

Désole pour le dernier rapport ZHPDiag :s

Merci encore pour l'aide que vous pouvez m'apporter !
J'ai fais de la place comme me la fait remarquer Nicolas ;)

Que dois je faire maintenant ?

Merci ^^
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 oct. 2009 à 20:47
re,


pour le rapport ZHPDiag , fait comme je te l'ai demandé > utilise "Cijoint" ! ( il est trop long pour le forum )


^^

0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 oct. 2009 à 20:54
pas grave , on va poursuivre :



1- Télécharge Malwarebytes' :
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


=================



2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...






0
min_max Messages postés 14 Date d'inscription mercredi 28 octobre 2009 Statut Membre Dernière intervention 29 octobre 2009
28 oct. 2009 à 21:40
Me rerere voilà :

Commençons avec le rapport de Malwarebytes :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3048
Windows 5.1.2600 Service Pack 2

28/10/2009 21:23:50
mbam-log-2009-10-28 (21-23-50).txt

Type de recherche: Examen rapide
Eléments examinés: 113606
Temps écoulé: 5 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00fab91 (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\NetPumper (Adware.NetPumper) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\__c0095D5E.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

Et enfin le ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj200910/cijE3tVwva.txt

Merci ^^
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 oct. 2009 à 21:44
bien ...


on avance ... :)



la suite dns l'ordre :


1- Supprime tout ce qui se trouve dans la quarantaine de Malwarebytes .

===============

2- Refais un coup de CCLeaner ( registre compris ) .


===============

3- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


Poste le rapport Combofix pour analyse ...


0