mdm.exe ? virus ? bug ordi ?Résolu/Fermé

Question

Bonjour,
voila j'ai un problème à cause de mdm.exe. Avast n'arrete pas de m'informer que j'ai un virus/ver et quel vien de ce fichier. chaque fois je selectionne supprimé mais il revient tout le temps et j'ai remarqué que mon ordinateur commence à bugué  après que j'ai sa (il devient lent, UC utilisée 100%). j'ai cherché comment résoudre mais je ne réussi pas. 
J'ai un windows 7
Pouvez-vous m'aider SVP =( ?
c'est vraiment enervant quand il me fait sa, surtout quand je parle à quelqu'un et que j'écrit je ne sais pas quoi à cause de ce bug 

Merci de bien me répondre (^^)

jacques.gache · Answer

bonjour, on peut toujours essayer mais avec windows 7 certain outils ne fonctionnent pas 
tu essais de faire un RSIT il faudrais déactiver le comptes d'utilisateur je pense que cela doit être pareil que vista je te mets cela 

Désactive le contrôle des comptes utilisateurs 
(tu le réactiveras après ta désinfection): 

* Vas dans démarrer puis panneau de configuration 
* Double Clique sur l'icône "Comptes d'utilisateurs" 
* Cliques ensuite sur désactiver et valide.
* si il de demande de redémarrer fais le 



• Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
•  cliques droit  sur RSIT.exe et exécuter en tant que administrateur pour lancer l'outil.
* laisses le chois 1 month 
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

ps:Les rapports se trouvent à cet endroit:

C:\rsit\info.txt

C:\rsit\log.txt


Tutoriel pour t'aider




si le rapport ne passe pas sur le forum à cause de sa longeur envoie-le sur : http://www.cijoint.fr/index.php , 

fais parcourir recherche le rapport 

puis sélectionne le rapport en double cliquand dessus

et puis sur " cliquer ici pour déposer le fichier "

un lien bleu de cette forme va apparaitre :

Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier. 
C'est ce même lien que vous devrez transmettre à vos correspondants
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 

renvoie le lien tout frais dans ta prochaine reponse .

gilou106 · Answer

Merci jacques 
mais quand je clique sur "comptes d'utilisateurs" il y a rien (pas de lien où je dois cliqué sur désactivé).
ce qu'il y a c'est :
"créer un mot de passe pour votre compte";
"Modifier votre image";
"Modifier votre nom de compte";
"Modifier votre type de compte";

"Gérer un autre compte";
"Modifier les paramètres de contrôme de compte d'utilisateur".

Voila !
et dans le coté gauche de la fenetre il y a :
"Page d'accueil du panneau de conf..."
"Gérer vos informations d'identification"
"Créer un disque de réinitialisation de mot de passe"
"Lire des ID en ligne"
"Gérer vos certificats de chiffrement de fichier"
"Configurer les propriétés de profil utilisateur avancées"
"Modifier mes variables d'environnement"


"Contrôle parental".

Voila c'est tout =S
je sais pas si sa peut aidé mais bon

Merci
(desolé pour le lien frais puisque je ne peut pas le faire lol, merci comme meme jacques)

jacques.gache · Answer

bonjour, regarde si ce tutoriel peut t'aider http://trucs-astuces-windows7.skynetblogs.be/post/6887528/desactivation--uac-dans-windows-7  tu as les explication pour déactiver uac

gilou106 · Answer

re salut Jacques
j'ai fait sa aussi, après j'ai fait comme t'a dit en haut mais sa fait erreur quand la fenetre RSIT fait une recherche ou je sais pas quoi (après avoir cliqué sur "J'accepte") =( 
merci
vai reessayer et si sa marche je te le dirait ;-)

Voila l'erreur : 
Line -1:

Error: Variable used without being declared.

jacques.gache · Answer

bon , comme on arrive pas avec RSIT tu essais en ayant déactivé l'uac et avec un clique droit et en tant que administrateur de faire un zhpdiag , merci 

Ouvre ce lien et télécharge ZHPDiag : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


cliques sur télécharger celui de droite 
 

Enregistres le sur ton Bureau. 

Une fois le téléchargement achevé,

fais un double cliques sur ZHPDiag.exe et suis les instructions. 

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 

Double cliques sur le raccourci ZHPDiag sur ton Bureau. 

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix. 

Clique sur le Tournevis puis sur Tous pour cocher toutes les cases des options. 

Décoches les cases O45 et O61. 

Cliques sur la loupe pour lancer l'analyse. 

Laisses l'outil travailler, il peut être assez long. 

Fermes ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

 http://www.cijoint.fr/index.php

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien bleu de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

gilou106 · Answer

slt jacques encore (^^)
voila le lien comme tu l'a dit =D

http://www.cijoint.fr/cjlink.php?file=cj200911/cijc8NXJQd.txt

jacques.gache · Answer

ok je mange et je regarde cela , zhp est passé c'est déjà pas mal !!

gilou106 · Answer

LOL
d'accord =) bonne appetit (^^)

jacques.gache · Answer

bon, tu vas passer malwarebytes , je pense que après il faudra passer usbfix , mais on refera un contrôle au vu de ce que malwareb ytes aura touvé et viré !!

Télécharge Malwarebytes' Anti-Malware: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation  de se connecter pour malwarebytes, acceptes
. rend-toi dans l'onglet, Recherche
. Sélectionnes  Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré  double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

gilou106 · Answer

voila Jacques :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3224
Windows 6.1.7100

24/11/2009 22:09:21
mbam-log-2009-11-24 (22-09-21).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 189037
Temps écoulé: 43 minute(s), 52 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
C:\Users\gilou\AppData\Roaming\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rvydhko (Trojan.Agent.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\comrepl (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\mqtgsvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\spool (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\dllhst (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Heuristics.Reserved.Word.Exploit) -> Data: c:\users\gilou\appdata\roaming\spoolsv.exe -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\gilou\Local Settings\Application Data\rvydhko_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\gilou\Local Settings\Application Data\rvydhko_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\gilou\Local Settings\Application Data\rvydhko.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\gilou\Local Settings\Application Data\rvydhko.exe (Adware.Navipromo.H) -> Delete on reboot.
c:\Users\gilou\AppData\Local\rvydhko.exe (Trojan.Agent.H) -> Delete on reboot.
C:\Windows\system\comrepl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\gilou\Local Settings\Application Data\Microsoft\mqtgsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\gilou\AppData\Local\Temp\spoolsv.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\dllhst3g.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\gilou\AppData\Roaming\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

jacques.gache · Answer

Adware.Navipromo.H  pour être sur que plus rien le consernant tu passes navilog

Désactive le contrôle des comptes utilisateurs  l'UAC (tu le réactiveras après ta désinfection): 


Télécharge maintenant Navilog1 depuis-ce lien : 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 

Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter 

en tant qu'administrateur". 

Au menu principal, Fais le choix 1 
Laisse toi guider et patiente. 
Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche le blocnote va s'ouvrir. 
Copie-colle l'intégralité du rapport dans une réponse. 
Referme le blocnote 
Le rapport cleannavi.txt est en outre sauvegardé dans C:(cleannavi.txt) 

pour comprendre: http://www.malekal.com/Adware.Magic_Control.php


tuto : https://kerio.probb.fr/t3324-tuto-navilog

gilou106 · Answer

Voila encore (^^) :

Fix Navipromo version 4.0.5 commencé le 24/11/2009 22:47:23,46

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 10.11.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows 7 Édition Intégrale  ( v6.1.7100 ) 
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ )
BIOS : BIOS Date: 12/04/07 17:40:55 Ver: 08.00.12
USER : gilou ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:148 Go (Free:54 Go)
D:\ (CD or DVD)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (CD or DVD)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


C:\ProgramData\Games-Attack supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\gilou\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 24/11/2009 22:49:52,17 ***

jacques.gache · Answer

tu essais de faire le Rsit si il est présent sur ton pc vire le et retélécharge le car l'infection peut l'avoir corompu

gilou106 · Answer

desolé 
c'est quoi le Rsit
il faut que je refasse ?

jacques.gache · Answer

ce qui est dans le premier message !!

gilou106 · Answer

=S
sa marche toujours pas 
toujours le meme message d'erreur
(image de l'erreur)
http://www.cijoint.fr/cjlink.php?file=cj200911/cijCjxwDwE.png

jacques.gache · Answer

ok possible que RSIT ne soit pas compatible avec seven je vérifirait postes un nouveau zhp comme dans le message 5  je regarderais demain la dodo !!

gilou106 · Answer

d'accord (^^) 
merci comme meme de ton aide =D
dort bien

jacques.gache · Answer

bonjour, rsit est bien compatible avec seven mais il y a une mise en  mode de compatibilité ; bon si tu peux essayer , tu déactives l'uac cela tu sais le faire , et puis tu cliques droit sur RSIT et sur propriétés, et puis onglet compatibilité, tu coches la case "Exécuter ce programme en mode de compatibilité pour :" et choisissez la version du système d'exploitation antérieur le plus proche du votre actuellement. C'est à dire pour Vista, choisissez Windows XP par exemple. https://forums.cnetfrance.fr/tutoriels-logiciels-et-applis/200513-executer-un-programme-en-mode-de-compatibilite
si tu choisis vista si présent dans la liste ou xp sp2 ou 3 selon ce que tu as comme propositions , tu cliques sur appliquer et ok, et tu le lances avec un clique droit et en tant que administrateur !!!

gilou106 · Answer

sa a marché (^^)
un très grand merci Jacques 
voici les 2 rapports :

-log.txt:
http://www.cijoint.fr/cjlink.php?file=cj200911/cijkXbKcJH.txt

-info.txt:
http://www.cijoint.fr/cjlink.php?file=cj200911/cijqJ66Agp.txt


merci encore 
j'espere que sa pourra résoudre mon problème =S

jacques.gache · Answer

bonjour, tu vas passer usbfix option 2 , tu postes le rapport et tu passeras malwarebytes

tu déactives l'UAC pour t'aider : http://pagesperso-orange.fr/NosTools/uac_win7.html

tu le lanceras avec un cliques droit et en tant que administrateur


1) pour usbfix 

• Telecharges et installes: https://www.ionos.fr/?affiliate_id=77097 de C_XX & Chiquitine29


 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

• choisi l'option 2 ( Suppression )

• Laisse travailler l outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html



2) pour malwarebytes

Télécharge Malwarebytes' Anti-Malware: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
. cliques droit et " exécuter en tant que aministrateur" sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation  de se connecter pour malwarebytes, acceptes
. rend-toi dans l'onglet, Recherche
. Sélectionnes  Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré  double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

gilou106 · Answer

salut 

voila : 
voici le rapport de usbfix
http://www.cijoint.fr/cjlink.php?file=cj200911/cijCLxCyNt.txt

et le rapport de malwarebytes

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3224
Windows 6.1.7100

24/11/2009 22:09:21
mbam-log-2009-11-24 (22-09-21).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 189037
Temps écoulé: 43 minute(s), 52 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
C:\Users\gilou\AppData\Roaming\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rvydhko (Trojan.Agent.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\comrepl (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\mqtgsvc (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\spool (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\dllhst (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Heuristics.Reserved.Word.Exploit) -> Data: c:\users\gilou\appdata\roaming\spoolsv.exe -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\gilou\Local Settings\Application Data\rvydhko_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\gilou\Local Settings\Application Data\rvydhko_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\gilou\Local Settings\Application Data\rvydhko.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\gilou\Local Settings\Application Data\rvydhko.exe (Adware.Navipromo.H) -> Delete on reboot.
c:\Users\gilou\AppData\Local\rvydhko.exe (Trojan.Agent.H) -> Delete on reboot.
C:\Windows\system\comrepl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\gilou\Local Settings\Application Data\Microsoft\mqtgsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\gilou\AppData\Local\Temp\spoolsv.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\dllhst3g.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\gilou\AppData\Roaming\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

jacques.gache · Answer

bon , je vois que malwarebytes à bien travailler mais il a trouver des chose que l'on va vériffier pour être sur que plus rien ,mais il serait bon de voir si tu as besion de cela sur ton pc ???

################## | Cracks / Keygens / Serials |

"C:\Program Files\EA SPORTS\LFP MANAGER 10\Crack\Manager10.exe"  
27/10/2009 18:22 |Size 15724544 |Crc32 7e858c09 |Md5 17779988d5725fff98a5818c07f2f207  
 
"C:\Users\gilou\AppData\Roaming\IMVUClient\GeckoBin\TestPlainTextSerializer.exe"  
26/10/2009 19:09 |Size 9728 |Crc32 3bae3044 |Md5 6ae5d434716dfff2d6e1ee0ced0e74eb  
 
"C:\Users\gilou\Jeux PC\Les.Sims.3.Fr-Hedy80\The.Sims.3.Crack\rld-sim3.exe"  
16/05/2009 18:56 |Size 8192 |Crc32 9e4592e6 |Md5 42173a315cd5cb97ee2bdb1269c8f683  
 
"C:\Users\gilou\Jeux PC\Les.Sims.3.Fr-Hedy80\The.Sims.3.Crack\TS3.exe"  
17/05/2009 18:28 |Size 29761224 |Crc32 c01afd0c |Md5 ee52c5a22080e20858da01d91fc0f7c3  
 
"C:\Users\gilou\Jeux PC\star wars\Crack\SWTFU.exe"  
30/10/2009 22:56 |Size 16207872 |Crc32 70d21c8d |Md5 9367d8817fbe8d8d2af24585ec081372  
 
"C:\Users\gilou\Logiciel\Microsoft.Office.Professional.2007.Francais + Key la bonne par sergio Crack (OK).rar" 
-> contain :  SaveAsPDFandXPS.exe

"C:\Users\gilou\Logiciel\Microsoft.Office.Professional.2007.Francais + Key la bonne par sergio Crack (OK).rar" 
-> contain :  SETUP.EXE

"C:\Users\gilou\Logiciel\Microsoft.Office.Professional.2007.Francais + Key la bonne par sergio Crack (OK).rar" 
-> contain :  OFFICE.FR-FR\DW20.EXE

"C:\Users\gilou\Logiciel\Microsoft.Office.Professional.2007.Francais + Key la bonne par sergio Crack (OK).rar" 
-> contain :  OFFICE.FR-FR\DWTRIG20.EXE

"C:\Users\gilou\Logiciel\Microsoft.Office.Professional.2007.Francais + Key la bonne par sergio Crack (OK).rar" 
-> contain :  PROPLUS.WW\OSE.EXE


qui sont des sources de réinfectionss !! mais bon c'est ton pc !!

sinon comme malwarebytes nous montre Adware.Navipromo.H

je préfèrerais que tu passes navilog pour être sur que rien ne reste consernant cette infection pour écarter tout risque de réinfections, donc tu fais navilog et tu relancera RSIT pour poster le log.txt pour contrôle , merci


1) passes navilog  option 1

assure toi que l'UAC est bien déactivé !!

Télécharge maintenant Navilog1 depuis-ce lien : 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 

Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter en tant qu'administrateur". 

Au menu principal, Fais le choix 1 
Laisse toi guider et patiente. 
Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche le blocnote va s'ouvrir. 
Copie-colle l'intégralité du rapport dans une réponse. 
Referme le blocnote 
Le rapport cleannavi.txt est en outre sauvegardé dans C:(cleannavi.txt) 

pour comprendre: http://www.malekal.com/Adware.Magic_Control.php


tuto : https://kerio.probb.fr/t3324-tuto-navilog


2) relances RSIT en tant que administrateur et postes le nouveau log.txt

gilou106 · Answer

voila (^^):

1)Navilog

Fix Navipromo version 4.0.5 commencé le 26/11/2009 22:08:23,70

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 10.11.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows 7 Édition Intégrale  ( v6.1.7100 ) 
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ )
BIOS : BIOS Date: 12/04/07 17:40:55 Ver: 08.00.12
USER : gilou ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:148 Go (Free:52 Go)
D:\ (CD or DVD)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (CD or DVD)


Recherche executée en mode normal 


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 26/11/2009 22:08:47,78 ***

2)Rsit

http://www.cijoint.fr/cjlink.php?file=cj200911/cijuKhCgWx.txt

Merci beaucoup (^^)

jacques.gache · Answer

bon il me reste ces lignes la O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\Users\gilou\AppData\Local\Temp\dllhst3g.exe /waitservice     
O4 - HKCU\..\Policies\Explorer\Run: [MqtgSVC] C:\Users\gilou\AppData\Roaming\mqtgsvc.exe /waitservice     
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [rsvp] C:\Users\gilou\LOCALS~1\APPLIC~1\rsvp.exe /waitservice (User 'Système')     
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [rsvp] C:\Users\gilou\LOCALS~1\APPLIC~1\rsvp.exe /waitservice (User 'Default user')     

pour moi sont pas bonne mais comme tu est avec seven et que cet os est tout nouveau et que perso je le connais pas trop bien , je vais contacter plus compétant pour savoir si néfaste ou pas , je reviens dés que j'ai la réponse , merci de ne rien modiffier sur le pc en attendant !!

jacques.gache · Answer

bonjour,

tu va fixer les lignes donnés avec hijackthis il est présent sur ton pc puisque RSIT le télécharge pour créer le log.txt .
tu le trouvera ici: C:\Program Files	rend micro\gilou.exe

moi pendant ce temps je vais faire valider un script pour OTM afin d'être sur que c'est bon 



.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux 
.rends toi dans program files dans le dossier trend micro
.Lances HijackThis  ou pour toi gilou.exe avec un clique droit et en tant que administrateur
.Cliques sur "Do a system scan only" 
.Tu coches les lignes suivantes : 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\Users\gilou\AppData\Local\Temp\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [MqtgSVC] C:\Users\gilou\AppData\Roaming\mqtgsvc.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [rsvp] C:\Users\gilou\LOCALS~1\APPLIC~1svp.exe /waitservice (User 'Système')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [rsvp] C:\Users\gilou\LOCALS~1\APPLIC~1svp.exe /waitservice (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Users\gilou\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe

.Tu cliques sur "Fix Checked" 
.Tu fermes HijackThis 

des expliquations en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm

gilou106 · Answer

voila 
c'est fait (^^)
c'est bon ?

jacques.gache · Answer

ok je suis en cour de validation pour le script je te le donne dés que j'ai l'accord !!

jacques.gache · Answer

bon je viens d'avoir l'accord pour le script avec en prime du supplement que j'avais pas vu tu fais ce qui suit pour OTM , tu posteras le rapport , et tu relanceras RSIT et tu posteras le log.txt pour contrôle , Merci

1) déactive l'UAC


2) fais OTM

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


 fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

 



:files
C:\Users\gilou\AppData\Roaming\MICROS~1\cisvc.exe
C:\Users\gilou\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe
C:\Users\gilou\AppData\Local\Temp\dllhst3g.exe
C:\Users\gilou\AppData\Roaming\mqtgsvc.exe
C:\Users\gilou\LOCALS~1\APPLIC~1\rsvp.exe

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 
"ClipSrv"=-
"DllHst"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 
"MqtgSVC"=-

:commands
[emptytemp]
[Reboot]
 


Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTM\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.



3) relances RSIT en tant que administrateur et postes le nouveau log.txt

gilou106 · Answer

voici le OTM : 

All processes killed
========== FILES ==========
C:\Users\gilou\AppData\Roaming\MICROS~1\cisvc.exe moved successfully.
C:\Users\gilou\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe moved successfully.
C:\Users\gilou\AppData\Local\Temp\dllhst3g.exe moved successfully.
C:\Users\gilou\AppData\Roaming\mqtgsvc.exe moved successfully.
File/Folder C:\Users\gilou\LOCALS~1\APPLIC~1svp.exe not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ClipSrv deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\DllHst not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\MqtgSVC not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: gilou
->Temp folder emptied: 9373732 bytes
->Temporary Internet Files folder emptied: 24708672 bytes
->Java cache emptied: 18310345 bytes
->FireFox cache emptied: 83186710 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 10740 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 129,34 mb
 
 
OTM by OldTimer - Version 3.1.2.0 log created on 11272009_215326

Files moved on Reboot...
C:\Users\gilou\AppData\Local\Temp\~DF48B8F14340E25709.TMP moved successfully.
File move failed. C:\Windows	emp\_avast4_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

et le rsit

http://www.cijoint.fr/cjlink.php?file=cj200911/cij9Lqj4gn.txt

jacques.gache · Answer

bonjour, il y a des choses que je ne m'explique pas sur ton dernier log.txt il y a des choses qui sont présente qui n'étaient pas sur l'autre comme si ce que nous avoins fixer avec hijackthis et viré avec OTM c'était regénéré et en changeant de nom !! généralement cela est du à un rootkie !! j'ai demandé à plus compétant que moi de venir voire cela , mais en attendant et pour voir si on trouve une cause et une liaison à cela tu peux si tu veux faire une recherche avec SEAF , merci 

Lien de téléchargement : http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

Miroir : https://www.androidworld.fr/ ... X/SEAF.exe


Double cliquez sur SEAF.exe (Exécuter en tant qu'administrateur pour Vista et Seven) .

Une fenêtre "cmd" va s'ouvrir .

Tapez le script demandé dans cette fenêtre tu fais un copier coller de se qui est en gras en dessous

pour toi tu mets : cmstp;comrepl;logman;sessmgr;esentutl

et Entrée.

Patientez pendant la recherche.

Une fenêtre avec un log .txt va s'afficher.

Copies/colles ce rapport dans ta réponce, si trop long postes le sur cijoint

gilou106 · Answer

voila Jacques (^^) :

SEAF
http://www.cijoint.fr/cjlink.php?file=cj200911/cijDB9tkMv.txt

jacques.gache · Answer

bon désolé mais j'attend de savoir ce que en pense Anthony5151 à qui j'ai demandé de venir voir, ton seven c'est un 32 ou 64 bits ??  pour savoir regarde https://www.commentcamarche.net/informatique/windows/169-32-bits-ou-64-bits-comment-savoir/ 

bon moi dodo on voit cela demain en espérant avoir des nouvelle de anthony5151

gilou106 · Answer

Système d'exploitation 32bits

Bonne nuit Jacques et merci à toi et Anthony5151
prenné votre temps (^^)

jacques.gache · Answer

gilou106 bonjour, je n'ai pas de nouvelle de anthony, en attendant tu fais une analyse avec  DR weeb 

• Télécharge: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe sur ton bureau. 
• clique droit sur drweb-cureit.exe et " exécuter en tant que admininstrateur "
. clique sur Commencer le scan. 
• Si il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite. 
• Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration. 
• Choisis l'onglet Scanner, et décoche Analyse heuristique. 
• De retour à la fenêtre principale : choisis Analyse complète. 
• Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la. 
• Clique Oui pour Tout si un fichier est détecté. 
• A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis sur Désinfecter. 
• Si la désinfection est impossible, clique sur Quarantaine. 
• Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. 
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv. 
• Ferme Dr.Web CureIt! 
• /!\ Important /!\ Redémarre ton ordinateur car certains fichiers peuvent être déplacés/réparés au redémarrage. 
• Après le redémarrage, fais un copié/collé du rapport dans ta prochaine réponse

jacques.gache · Answer

gilou106 bon anthony5151 va surement prendre le relai car il va utiliser un outil et des scripts que persoje ne maîtrise pas , donc il attent que tu est fais DR weeb et il te proposera son aide , je vais suivre et apprendre encore !!

gilou106 · Answer

Voici le résultat (desolé d'avoir pris du temp, j'étaie occupé en plus le scan dans l'analyse complet sa a duré longtemp, désolé)

SEAF.exe\data007;C:\Documents and Settings\gilou\Downloads\SEAF.exe;Adware.Urlblazer.origin;

SEAF.exe;C:\Documents and Settings\gilou\Downloads;L'archive contient des éléments infectés;Quarantaine.;

UsbFix.exe\Tools\Kill_P.exe;C:\Documents and Settings\gilou\Downloads\UsbFix.exe;Tool.Prockill;

UsbFix.exe;C:\Documents and Settings\gilou\Downloads;L'archive contient des éléments infectés;Quarantaine.;

ScanReg.exe;C:\Program Files\SEAF;Adware.Urlblazer.origin;Irréparable.Supprimé.;

Kill_P.exe;C:\UsbFix\Tools;Tool.Prockill;Irréparable.Supprimé.;


merci Jacques pour ton aide
et merci à toi aussi anthony
(^^)

jacques.gache · Answer

bon sur ce que tu nous donnes rien d'inquiettant ce qu'il nous montre c'est des choses qui sont lié au outils utilisé, bon j'espère que anthony va passer , je vais l'avancer dans ce qu'il fera on va nettoyer le pc en supprimant les outils utilisé car l'outil que va te faire utiliser anthony les détecteraient aussi comme des menace et cela pourra aider dans un gain de temp de l'analyse et surtout dans la lecture du rapport .

tu vas utiliser toolscleaner pour cela, tu passeras ccleaner et puis je pense que anthony sera dans les parrages 

1) Télécharge toolscleaner sur ton Bureau :  http://bibou0007.com/outils-specifiques-f78/tutorial-toolscleaner-2-t375.htm

si le lien ne marche pas essais avec celui ci  https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

. cliques droit et en tant que administrateur sur ToolsCleaner2.bat et laisse le travailler 
. Cliques sur Recherche et laisse le scan se terminer. 
. Cliques sur Suppression pour finaliser. 
. Tu peux, si tu le souhaites, te servir des Options facultatives. 
. Clique sur Quitter, pour que le rapport puisse se créer. 
. Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse


2) fais un nettoyage avec ccleaner


télécharges Ccleaner à partir de cette adresses

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/


.enregistres le sur le bureau
.cliques droit et exécuter en tant que administrateur sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la 
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant  rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé  tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner

pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

ou plus ici: http://www.lescofofides.fr/forum/viewtopic.php?f=30&t=96

anthony5151 · Answer

Bonjour à vous deux,


gilou106
Une fois que tu auras utilisé ToolsCleaner et CCleaner comme Jacques te l'a indiqué ici, fais ce qui suit stp



/!\ Attention /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

gilou106 · Answer

en faite 
Ccleaner je l'ai sur mon ordi depuis très longtemps et des fois je fait le nettoyage (1 fois/semaine) et meme chercher les erreurs dans registre 
Vous voulez que je fasse toujours comme Jacques l'a dit ?

anthony5151 · Answer

Oui, fais un nettoyage avec la version de CCleaner que tu as, puis utilises ToolsCleaner stp.
Ensuite, tu pourras passer à Combofix

gilou106 · Answer

Voici le rapport de ToolsCleaner :

http://www.cijoint.fr/cjlink.php?file=cj200911/cij0eKJjjL.txt

pour le combofix, désolé mais sa marche pas je croi, j'ai pas envi de prendre des risques car il y a une fenetre erreur qui est apparu http://www.cijoint.fr/cjlink.php?file=cj200911/cij1jU4MDt.png . 
J'ai windows seven

jacques.gache · Answer

bon j'avais dis que je n'interviendrais pas en laissant anthony travailler , mais la je pense pas que je vais interférer avec lui , concernant combofix essais de le lancer comme nous avons fait avec rsit avec les explications du message 19 , en le mettant en mode compatibilité et avec un clique droit et en tant que administrateur, il est vrais que seven n'ai pas encore très répandu !! et les caaneds non plus ne sont pas forcément à jour !!! 

donc tu essais de faire la mise en compatibilité comme expliqué pour RSIT dans le message 19 et tu lances combofix en tant que administrateur

gilou106 · Answer

Sa ne marche pas =S
j'ai fait ce que jacques à dit et l'erreur n'apparait plus mais il y a rien qui apparait après .
j'ai tout désactivé et tout fermé (meme la fenetre d'internet) mais rien . au début il y a un petit rectangle qui apparait et qui charge avec le nom et en bas la barre et après qu'il ait fini rien (http://www.cijoint.fr/cjlink.php?file=cj200911/cijSvPtB7J.png)

anthony5151 · Answer

C'est bizarre !  Sur d'autres sujets, Combofix fonctionne sous Windows 7...


On va essayer autrement, mais je ne te garantis pas que ça réussisse :

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

jacques.gache · Answer

bonjour, gilou, tu dis que quand il a fini il ne se passe rien , donc tu veux dire que combofix aurait travaillé mais pas afficher le rapport , peux tu regarder dans ton disque dure  si tu n'aurais pas un document texte bloc notes (C:\Combofix.txt)

gilou106 · Answer

Bonjour Jacques
le rapport n'est pas dans le disque, j'ai meme regardé quand je l'vait fait mais il n'y avait rien .
vais faire comme Anthony l'a dit e je vous remettrait le résultat 

merci encore de votre aider (^^)

gilou106 · Answer

Voila le rapport Anthony 

http://www.cijoint.fr/cjlink.php?file=cj200911/cijFLVNhEz.txt

anthony5151 · Answer

• Lance ZHPFix (via le raccourci sur ton Bureau, soit via ZHPDiag)
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
• Copie/colle toutes les lignes contenues dans ce document et place les dans ZHPFix
• Clique sur « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse


Puis relance ZHPDiag et poste un nouveau rapport (hébergé sur ci-joint) stp

Evite de faire redémarrer ton ordinateur avant que je te confirme que l'infection a été supprimée.

gilou106 · Answer

sa marche pas =S 
quand je colle les lignes et après je fait "tous" et "nettoyer" il me dit que c'est impossible 
http://www.cijoint.fr/cjlink.php?file=cj200911/cijPr035s0.png

anthony5151 · Answer

Désactive l'UAC (Tutoriel)

Ensuite, réessaye en exécutant ZHP en temps qu'administrateur stp

gilou106 · Answer

sa marche (^^)
voila le rapport pour ZHPFix :

ZHPFix v1.12.22  by Nicolas Coolman - Rapport de suppression du 30/11/2009 01:14:25
Fichier d'export Registre : C:\ZHPExportRegistry-30-11-2009-01-14-25.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
O4 - HKLM\..\policies\Explorer\Run: [CmSTP] C:\Windows\System32\drivers\cmstp.exe /waitservice  => Valeur supprimée avec succès
O4 - HKLM\..\policies\Explorer\Run: [Mstsc] C:\Users\gilou\LOCALS~1\APPLIC~1\mstsc.exe /waitservice  => Valeur supprimée avec succès
O4 - HKLM\..\policies\Explorer\Run: [Logman] C:\Users\gilou\LOCALS~1\APPLIC~1\MICROS~1\logman.exe /waitservice  => Valeur supprimée avec succès

Elément de données du Registre :
F3 - REG:win.ini: load=C:\Windows\System32\drivers\cmstp.exe  => Donnée supprimée avec succès

Dossier :
(Néant)

Fichier :
c:\windows\system32\drivers\cmstp.exe  => Supprimé et mis en quarantaine
c:\windows\system32\drivers\cmstp.exe  => Fichier absent
c:\users\gilou\locals~1\applic~1\mstsc.exe  => Supprimé et mis en quarantaine
c:\users\gilou\locals~1\applic~1\micros~1\logman.exe  => Supprimé et mis en quarantaine
c:\windows\esentutl.exe  => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 3
Elément de données du Registre : 1
Dossier : 0
Fichier : 5
Logiciel : 0
Autre : 0


End of the scan

le rapport pour ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj200911/cijyjjyiIf.txt

anthony5151 · Answer

Utilise à nouveau ZHPFix, de la même façon, mais avec cette seule ligne :

F3 - REG:win.ini: load=C:\Users\gilou\AppData\Roaming\ieudinit.exe     


Poste le rapport, suivi d'un nouveau rapport ZHPDiag stp.

gilou106 · Answer

Voila le rapport pour ZHPFix :

ZHPFix v1.12.22  by Nicolas Coolman - Rapport de suppression du 30/11/2009 02:13:22
Fichier d'export Registre : C:\ZHPExportRegistry-30-11-2009-02-13-22.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
F3 - REG:win.ini: load=C:\Users\gilou\AppData\Roaming\ieudinit.exe  => Donnée supprimée avec succès

Dossier :
(Néant)

Fichier :
c:\users\gilou\appdata\roaming\ieudinit.exe  => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 1
Dossier : 0
Fichier : 1
Logiciel : 0
Autre : 0


End of the scan

et voici le rapport de ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj200911/cijrNc26vN.txt

anthony5151 · Answer

L'infection a recréé d'autres fichiers :(
Je ne sais pas si on arrivera à s'en débarrasser avec ZHPFix !


Maintenant que tu as désactivé l'UAC, on va réessayer Combofix. Supprime d'abord la précédente version de Combofix de ton Bureau, puis fais ce qui suit stp :


/!\ Attention /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix de sUBs sur ton Bureau (je l'ai renommé gilou106.exe).
• Fais un clic-droit sur Combofix --> Exécuter en temps qu'administrateur
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

gilou106 · Answer

Bonjour anthony
combofix ne marche pas comme dans tutoriel le dit. C'est comme dans la réponse 42 (https://forums.commentcamarche.net/forum/affich-15329003-mdm-exe-virus-bug-ordi?page=3#42) mais j'ai remarqué que dans mon disque il y a un dossier qui c'est rajouté quand j'ai fait sa et que sa concerne 
http://www.cijoint.fr/cjlink.php?file=cj200911/cij3ehxQVS.png ( c'est le fichier sélectionner en bleu )

anthony5151 · Answer

Supprime le dossier dont tu parles, ainsi que le dossier Qoobox (ils correspondent tous les deux à Combofix)

Fais redémarrer ton ordinateur en mode sans échec (utilise la méthode avec la touche F8 et pas l'autre !)
Puis essaye de relancer Combofix en temps qu'administrateur, depuis le mode sans échec.

gilou106 · Answer

j'ai supprimé les 2 dossiers comme tu l'a dit

j'ai fait le mode sans échec et j'ai relancer le Combofix et sa a marché mais il y a aucun rapport =S et sur le disque il y a encore les meme dossiers 

Vai essayé encore une fois et je vous redirait

gilou106 · Answer

Enfin (^^)
sa a marché http://www.cijoint.fr/cjlink.php?file=cj200911/cije0I6Czh.txt

anthony5151 · Answer

Le rapport de Combofix ne montre pas les lignes néfastes qui étaient visibles sur ZHPDiag... Je ne comprends pas !

Poste un nouveau rapport ZHPDiag stp

gilou106 · Answer

voila :

http://www.cijoint.fr/cjlink.php?file=cj200911/cijbSolwfB.txt

anthony5151 · Answer

Apparemment on a réussi à tout supprimer :)
Je n'ai pas bien compris pourquoi ZHPDiag montrait encore des lignes néfastes sur le dernier rapport, alors qu'il ne montre plus rien maintenant... Tu as fait d'autres choses que ce que je t'ai indiqué ici ?


On va faire un nouveau scan de contrôle :
Fais redémarrer ton ordinateur, puis lance MalwareBytes. Mets le à jour et fais un examen complet

gilou106 · Answer

Voila le rapport après l'analyse de Malwarebytes :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3270
Windows 6.1.7100

02/12/2009 02:00:35
mbam-log-2009-12-02 (02-00-35).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 187386
Temps écoulé: 39 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


D'après ce que je voit, le problème est résolu ???

anthony5151 · Answer

On va pouvoir passerà la finition ;)

• Télécharge hijackthis sur ton Bureau.
• Installe le, lance le et clique sur "Do a system scan and save a logfile". 
• Fais un copier-coller du rapport entier sur le forum

gilou106 · Answer

Voila :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:04:56, on 02/12/2009
Platform: Unknown Windows (WinNT 6.01.3004)
MSIE: Internet Explorer v8.00 (8.00.7100.0000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askhost.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32	askhost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32
SvcAppFlt.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32
SvcIp.exe

anthony5151 · Answer

Très bien, ton ordinateur n'est plus infecté :)

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;)  Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur 

• Logiciels de protection : 
* Avast était un antivirus convenable il y a quelques années, mais il est dépassé aujourd'hui. Il existe d'autres antivirus gratuits plus efficaces (Antivir ou MSE)
Désinstalle Avast : Commence par supprimer ce qu'il y a en quarantaine, puis fais clic droit sur l'icone d'Avast près de l'horloge --> désactive la protection résidente. Puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle Avast. Si ça ne fonctionne pas, consulte ce lien : Désinstallation d'Avast
* Si tu choisis Antivir pour le remplacer, télécharge le ici.
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)



2) Relance Hijackthis (pour la dernière fois), choisis "Do a system scan only" et coche les lignes suivantes qui sont inutiles : 



Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"



3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé.
Fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ». Puis clique sur Recherche et patiente pendant le scan. A la fin, clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe CCleaner, puis lance le. 
Clique sur Option &#8594; avancé &#8594; décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur &#8594; Analyse &#8594; Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre &#8594; corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



7) Pour finir, je t'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre. 




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

gilou106 · Answer

Merci beaucoup Anthony et Jacques (^^)
j'ai fait quelques conseils que tu m'a dit pour protèger mon ordi et je recommande à tout le monde d'utiliser antivir comme anti-virus  

Merci encore ;)

anthony5151 · Answer

C'était un plaisir de t'aider ;)

Bonne continuation !

jacques.gache · Answer

bonjour, merci anthony pour ton aide , gillou106, bon surf

Mdm.exe ? virus ? bug ordi ?

69 réponses

Discussions similaires

Newsletters