VIRUS ??

Résolu
léanah2215 Messages postés 49 Statut Membre -  
léanah2215 Messages postés 49 Statut Membre -
Bonjour, quand je suis sur internet, une alerte de microsoft security essentials me previent qu'il a dectecté une menace ( trojandonwloder: Win 32 ), je mets "nettoyer l'ordinateur " mais l'alerte revient tout le temps.
Est ce que quelqu'un pourrait m'expliquer ce qui se passe ? Et comment faire pour se débarrasser de ce trojan ?
Merci d'avance !

30 réponses

  • 1
  • 2
  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
    1
  2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    • Télécharge Random's System Information Tool (RSIT) de Random/Random.

    http://images.malwareremoval.com/random/RSIT.exe

    • Enregistre le sur ton Bureau.

    • Double clique sur RSIT.exe pour lancer l'outil.

    • Clique sur "Continue" à l'écran Disclaimer.

    • Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande)

    et tu devras accepter la licence.

    • Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

    Les rapports se trouvent à cet endroit:
    C:\rsit\info.txt
    C:\rsit\log.txt

    0
  3. léanah2215 Messages postés 49 Statut Membre 4
     
    J'essaye de telecharger Random's System Information Tool mais je n'y arrive pas. Ca me met un texte en anglais, j'ai mis " continue " mais après un mot s'affiche me disant qu'il y a une erreur
    0
  4. léanah2215 Messages postés 49 Statut Membre 4
     
    Ok voila:

    http://www.cijoint.fr/cjlink.php?file=cj200912/cijxHDMkQa.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Téléchargez USBFIX de Chiquitine29, C_xx

    http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
    ou
    https://www.ionos.fr/?affiliate_id=77097

    /!\ Utilisateur de vista et windows 7 :
    ne pas oublier de désactiver Le contrôle des comptes utilisateurs
    https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    • Double clic sur le raccourci UsbFix présent sur le bureau .

    • Choisir l'option 1 (Recherche)
    (d’autres options disponibles, voir le tutoriel).
    • Laissez travailler l'outil.

    • Ensuite postez le rapport UsbFix.txt qui apparaîtra.

    • Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    • Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    • Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
    0
  7. léanah2215 Messages postés 49 Statut Membre 4
     
    ############################## | UsbFix V6.067 |

    User : noé (Administrateurs) # NOÉ-PC
    Update on 24/12/2009 by Chiquitine29, C_XX & Chimay8
    Start at: 21:07:00 | 26/12/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Atom(TM) CPU N270 @ 1.60GHz
    Microsoft Windows 7 Édition Starter (6.1.7600 32-bit) #
    Internet Explorer 8.0.7600.16385
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 136,95 Go (111,52 Go free) [Packard Bell] # NTFS
    D:\ -> Disque amovible # 953,23 Mo (953,2 Mo free) [STORE'N'GO] # FAT

    ############################## | Processus actifs |

    C:\Windows\System32\smss.exe 292
    C:\Windows\system32\csrss.exe 436
    C:\Windows\system32\wininit.exe 480
    C:\Windows\system32\csrss.exe 488
    C:\Windows\system32\winlogon.exe 544
    C:\Windows\system32\services.exe 584
    C:\Windows\system32\lsass.exe 592
    C:\Windows\system32\lsm.exe 604
    C:\Windows\system32\svchost.exe 700
    C:\Windows\system32\svchost.exe 772
    c:\Program Files\Microsoft Security Essentials\MsMpEng.exe 836
    C:\Windows\System32\svchost.exe 940
    C:\Windows\System32\svchost.exe 992
    C:\Windows\system32\svchost.exe 1016
    C:\Windows\system32\svchost.exe 1180
    C:\Windows\system32\svchost.exe 1332
    C:\Windows\system32\WLANExt.exe 1452
    C:\Windows\system32\conhost.exe 1464
    C:\Windows\System32\spoolsv.exe 1536
    C:\Windows\system32\svchost.exe 1568
    C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe 1680
    C:\Windows\system32\svchost.exe 1712
    C:\Program Files\Packard Bell\Registration\GregHSRW.exe 1740
    C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe 1888
    C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe 1924
    C:\Windows\system32\taskhost.exe 1932
    C:\Windows\system32\Dwm.exe 2108
    C:\Windows\Explorer.EXE 2144
    C:\Windows\system32\taskeng.exe 2160
    C:\Windows\msa.exe 2284
    C:\Users\NOA317~1\AppData\Local\Temp\c.exe 2328
    C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe 2480
    C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe 2488
    C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerTray.exe 2500
    C:\Windows\System32\igfxtray.exe 2516
    C:\Windows\System32\igfxpers.exe 2532
    C:\Program Files\Launch Manager\LManager.exe 2540
    C:\Program Files\VideoWebCamera\VideoWebCamera.exe 2552
    C:\Windows\PLFSetI.exe 2564
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 2576
    C:\Program Files\PackardBellXSync\Deployment\Functions\{AA58F999-6D97-42c2-A69F-8CC04D18D944}\OMEA.exe 2600
    C:\Windows\System32\rundll32.exe 2664
    C:\Program Files\Microsoft Security Essentials\msseces.exe 2692
    C:\Windows\system32\igfxsrvc.exe 2756
    C:\Program Files\Synaptics\SynTP\SynTPHelper.exe 2972
    C:\Windows\system32\igfxext.exe 3092
    C:\Windows\system32\SearchIndexer.exe 3228
    C:\Windows\system32\wbem\unsecapp.exe 3324
    C:\Windows\system32\wbem\wmiprvse.exe 3536
    C:\Program Files\Windows Media Player\wmpnetwk.exe 3844
    C:\Program Files\Mozilla Firefox\firefox.exe 3992
    C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerEvent.exe 4052
    C:\Windows\servicing\TrustedInstaller.exe 2448
    C:\Windows\system32\wuauclt.exe 3532
    C:\Windows\system32\WUDFHost.exe 344
    C:\Windows\system32\conhost.exe 3016
    C:\Windows\system32\taskhost.exe 228
    C:\Windows\system32\wbem\wmiprvse.exe 756

    ################## | Elements infectieux |

    C:\Windows\msa.exe
    C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
    C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
    C:\Windows\System32\sshnas.dll
    C:\Users\NOA317~1\AppData\Local\Temp\a.dat
    C:\Users\NOA317~1\AppData\Local\Temp\a.exe
    C:\Users\NOA317~1\AppData\Local\Temp\b.exe
    C:\Users\NOA317~1\AppData\Local\Temp\c.exe

    ################## | Registre |

    [HKCU\SOFTWARE\J8RPLTROBQ]
    [HKCU\SOFTWARE\XML]
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "J8RPLTROBQ"
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LosAlamos"

    ################## | Mountpoints2 |

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # UsbFix V6.067 ! |
    0
  8. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    dans cet ordre

    1)

    ● Relance UsbFix

    ● Dans le menu principale cette fois choisit l'option2

    Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.

    Si un message te demande de redémarrer l'ordinateur fais le ...

    ● Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

    ● Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

    ...................

    2)
    Téléchargez MalwareByte's Anti-Malware

    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

    0
  9. léanah2215 Messages postés 49 Statut Membre 4
     
    Malwarebytes' Anti-Malware 1.42
    Version de la base de données: 3435
    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    26/12/2009 22:37:34
    mbam-log-2009-12-26 (22-37-34).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 179994
    Temps écoulé: 57 minute(s), 41 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  10. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    as tu fais usbfix option 2 ?

    je n'ai pas le rapport
    0
  11. léanah2215 Messages postés 49 Statut Membre 4
     
    A oui pardon, le voilà:

    ############################## | UsbFix V6.067 |

    User : noé (Administrateurs) # NOÉ-PC
    Update on 24/12/2009 by Chiquitine29, C_XX & Chimay8
    Start at: 21:22:00 | 26/12/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Atom(TM) CPU N270 @ 1.60GHz
    Microsoft Windows 7 Édition Starter (6.1.7600 32-bit) #
    Internet Explorer 8.0.7600.16385
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 136,95 Go (111,24 Go free) [Packard Bell] # NTFS
    D:\ -> Disque amovible # 953,23 Mo (953,2 Mo free) [STORE'N'GO] # FAT

    ############################## | Processus actifs |

    C:\Windows\System32\smss.exe 292
    C:\Windows\system32\csrss.exe 436
    C:\Windows\system32\csrss.exe 480
    C:\Windows\system32\wininit.exe 488
    C:\Windows\system32\services.exe 540
    C:\Windows\system32\lsass.exe 568
    C:\Windows\system32\lsm.exe 576
    C:\Windows\system32\winlogon.exe 584
    C:\Windows\system32\svchost.exe 716
    C:\Windows\system32\svchost.exe 796
    c:\Program Files\Microsoft Security Essentials\MsMpEng.exe 880
    C:\Windows\System32\svchost.exe 976
    C:\Windows\System32\svchost.exe 1036
    C:\Windows\system32\svchost.exe 1076
    C:\Windows\system32\svchost.exe 1200
    C:\Windows\system32\svchost.exe 1340
    C:\Windows\system32\WLANExt.exe 1460
    C:\Windows\system32\conhost.exe 1472
    C:\Windows\System32\spoolsv.exe 1580
    C:\Windows\system32\svchost.exe 1664
    C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe 1780
    C:\Windows\system32\svchost.exe 1808
    C:\Program Files\Packard Bell\Registration\GregHSRW.exe 1836
    C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe 1904
    C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe 1964
    C:\Windows\system32\WUDFHost.exe 1308
    C:\Windows\system32\taskhost.exe 232
    C:\Windows\system32\Dwm.exe 2064
    C:\Windows\system32\taskeng.exe 2076
    C:\Windows\Explorer.EXE 2144
    C:\Users\NOA317~1\AppData\Local\Temp\c.exe 2204
    C:\Windows\system32\runonce.exe 2212
    C:\Windows\msa.exe 2224
    C:\Windows\system32\conhost.exe 2272
    C:\Windows\system32\wbem\wmiprvse.exe 2580

    ################## | Elements infectieux |

    Supprimé ! C:\Windows\msa.exe
    Supprimé ! C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
    Supprimé ! C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
    Supprimé ! C:\Windows\System32\sshnas.dll
    Supprimé ! C:\Users\NOA317~1\AppData\Local\Temp\a.dat
    Supprimé ! C:\Users\NOA317~1\AppData\Local\Temp\a.exe
    Supprimé ! C:\Users\NOA317~1\AppData\Local\Temp\b.exe
    Supprimé ! C:\Users\NOA317~1\AppData\Local\Temp\c.exe
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-122136383-4112408993-3896815540-1000
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-122136383-4112408993-3896815540-500
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-2914344048-111487253-3638464796-500

    ################## | Registre |

    Supprimé ! [HKCU\SOFTWARE\J8RPLTROBQ]
    Supprimé ! [HKCU\SOFTWARE\XML]
    Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "J8RPLTROBQ"
    Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LosAlamos"

    ################## | Mountpoints2 |

    ################## | Listing des fichiers présent |

    [10/06/2009 22:42|--a------|24] C:\autoexec.bat
    [29/10/2009 00:54|-rahs----|8192] C:\BOOTSECT.BAK
    [10/06/2009 22:42|--a------|10] C:\config.sys
    [?|?|?] C:\hiberfil.sys
    [?|?|?] C:\pagefile.sys
    [29/10/2009 00:09|--a------|1937] C:\RHDSetup.log
    [26/12/2009 21:25|--a------|3453] C:\UsbFix.txt
    [16/11/2009 16:41|--a------|167] C:\Webcam.log
    [15/09/2009 17:32|---hs----|88] D:\desktop.ini
    [27/07/2007 19:14|--ah-----|296] D:\WMPInfo.xml

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix.
    # D:\autorun.inf -> Dossier créé par UsbFix.

    ################## | Cracks / Keygens / Serials |
    0
  12. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    il y a en un encore à attraper..

    Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

    ▶ Télécharge et installe List&Kill'em et enregistre le sur ton bureau
    http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    coche la case "creer une icone sur le bureau"

    une fois terminée , clic sur "terminer" et le programme se lancer seul

    choisis la langue puis choisis l'option 1 = Mode Recherche

    ▶ laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    tu peux supprimer le rapport catchme.log de ton bureau maintenant.

    0
  13. léanah2215 Messages postés 49 Statut Membre 4
     
    Comment je fais pour desactiver mon antivirus et mon pare feu ?
    0
  14. léanah2215 Messages postés 49 Statut Membre 4
     
    voila c'est bon :

    List'em by g3n-h@ckm@n 1.1.6.1

    Thx to Chiquitine29.....& CCM team

    User : noé (Administrateurs) # NOÉ-PC
    Update on 24/12/2009 by g3n-h@ckm@n ::::: 20:30
    Start at: 23:28:45 | 26/12/2009
    Contact : g3n-h@ckm@n sur CCM

    Intel(R) Atom(TM) CPU N270 @ 1.60GHz
    Microsoft Windows 7 Édition Starter (6.1.7600 32-bit) #
    Internet Explorer 8.0.7600.16385
    Windows Firewall Status : Disabled

    C:\ -> Disque fixe local | 136,95 Go (111,24 Go free) [Packard Bell] | NTFS
    D:\ -> Disque amovible | 953,23 Mo (953,19 Mo free) [STORE'N'GO] | FAT

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

    C:\Windows\System32\smss.exe 292
    C:\Windows\system32\csrss.exe 436
    C:\Windows\system32\csrss.exe 480
    C:\Windows\system32\wininit.exe 488
    C:\Windows\system32\services.exe 540
    C:\Windows\system32\lsass.exe 568
    C:\Windows\system32\lsm.exe 576
    C:\Windows\system32\winlogon.exe 584
    C:\Windows\system32\svchost.exe 716
    C:\Windows\system32\svchost.exe 796
    c:\Program Files\Microsoft Security Essentials\MsMpEng.exe 880
    C:\Windows\System32\svchost.exe 976
    C:\Windows\System32\svchost.exe 1036
    C:\Windows\system32\svchost.exe 1076
    C:\Windows\system32\svchost.exe 1200
    C:\Windows\system32\svchost.exe 1340
    C:\Windows\system32\WLANExt.exe 1460
    C:\Windows\system32\conhost.exe 1472
    C:\Windows\System32\spoolsv.exe 1580
    C:\Windows\system32\svchost.exe 1664
    C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe 1780
    C:\Windows\system32\svchost.exe 1808
    C:\Program Files\Packard Bell\Registration\GregHSRW.exe 1836
    C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe 1904
    C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe 1964
    C:\Windows\system32\WUDFHost.exe 1308
    C:\Windows\system32\taskhost.exe 232
    C:\Windows\system32\Dwm.exe 2064
    C:\Windows\system32\SearchIndexer.exe 3992
    C:\Windows\explorer.exe 3216
    C:\Windows\system32\wuauclt.exe 3384
    C:\Program Files\Windows Media Player\wmpnetwk.exe 312
    C:\Program Files\Mozilla Firefox\firefox.exe 3924
    C:\Program Files\Microsoft Security Essentials\msseces.exe 2828
    C:\Windows\system32\svchost.exe 3816
    C:\Program Files\List_Kill'em\List_Kill'em.exe 2512
    C:\Windows\system32\conhost.exe 2956
    C:\Windows\system32\cmd.exe 904
    C:\Windows\system32\wbem\wmiprvse.exe 4000
    C:\Users\noé\AppData\Local\Temp\B4CF.tmp\pv.exe 2808

    ======================
    Keys "Run"
    ======================
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    IAAnotif REG_SZ C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
    RtHDVCpl REG_SZ C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    Acer ePower Management REG_SZ C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerTray.exe
    Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    IgfxTray REG_SZ C:\Windows\system32\igfxtray.exe
    HotKeysCmds REG_SZ C:\Windows\system32\hkcmd.exe
    Persistence REG_SZ C:\Windows\system32\igfxpers.exe
    LManager REG_SZ C:\Program Files\Launch Manager\LManager.exe
    VideoWebCamera REG_SZ "C:\Program Files\VideoWebCamera\VideoWebCamera.exe" -a
    PLFSetI REG_SZ C:\Windows\PLFSetI.exe
    SynTPEnh REG_EXPAND_SZ %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
    OMEA REG_SZ "C:\Program Files\PackardBellXSync\Deployment\Functions\{AA58F999-6D97-42c2-A69F-8CC04D18D944}\OMEA.exe"
    MSSE REG_SZ "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    Malwarebytes' Anti-Malware REG_SZ C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

    =====================
    Other Keys
    =====================
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    ConsentPromptBehaviorAdmin REG_DWORD 0 (0x0)
    ConsentPromptBehaviorUser REG_DWORD 3 (0x3)
    EnableInstallerDetection REG_DWORD 1 (0x1)
    EnableLUA REG_DWORD 0 (0x0)
    EnableSecureUIAPaths REG_DWORD 1 (0x1)
    EnableUIADesktopToggle REG_DWORD 0 (0x0)
    EnableVirtualization REG_DWORD 1 (0x1)
    PromptOnSecureDesktop REG_DWORD 0 (0x0)
    ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
    dontdisplaylastusername REG_DWORD 0 (0x0)
    legalnoticecaption REG_SZ
    legalnoticetext REG_SZ
    scforceoption REG_DWORD 0 (0x0)
    shutdownwithoutlogon REG_DWORD 1 (0x1)
    undockwithoutlogon REG_DWORD 1 (0x1)
    FilterAdministratorToken REG_DWORD 0 (0x0)

    ===============
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    NoDriveAutoRun REG_DWORD 128 (0x80)
    NoDriveTypeAutoRun REG_DWORD 128 (0x80)
    HonorAutoRunSetting REG_DWORD 0 (0x0)

    ===============
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    NoDriveAutoRun REG_DWORD 128 (0x80)
    NoDriveTypeAutoRun REG_DWORD 128 (0x80)
    HonorAutoRunSetting REG_DWORD 0 (0x0)

    ===============
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    AppInit_DLLS REG_SZ

    ===============
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\igfxcui]

    ===============
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

    ===============
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    ===============
    BHO :
    ======
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

    ================
    Internet Explorer :
    ================
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ https://www.msn.com/fr-fr

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

    ========
    Services
    ========
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

    Ndisuio : 0x3
    EapHost : 0x3
    Wlansvc : 0x2
    SharedAccess : 0x4
    windefend : 0x3
    wuauserv : 0x2
    wscsvc : 0x2

    =========

    =======
    Drive :
    =======

    D‚fragmenteur de disque Microsoft
    Copyright (c) 2007 Microsoft Corp.

    Invocation de analyse sur Packard Bell (C:)...

    L'op‚ration a r‚ussi.

    Post Defragmentation Report:

    Informations sur le volumeÿ:
    Taille du volume = 136,94 Go
    Espace libre = 111,25 Go
    Quantit‚ totale d'espace fragment‚ = 1%
    Taille maximale d'espace libre = 63,68 Go

    Remarqueÿ: les fragments de fichier de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation.

    Il n'est pas n‚cessaire de d‚fragmenter ce volume.

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    C:\Windows\System32\taskhost.exe

    ¤¤¤¤¤¤¤¤¤¤ Keys :

    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}

    ================
    Other infections
    ================

    catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-12-26 23:34:40
    Windows 6.1.7600 NTFS

    detected NTDLL code modification:
    ZwEnumerateKey 0 != 116, ZwQueryKey 0 != 244, ZwOpenKey 0 != 182, ZwClose 0 != 50, ZwEnumerateValueKey 0 != 119, ZwQueryValueKey 0 != 266, ZwOpenFile 0 != 179, ZwQueryDirectoryFile 0 != 223, ZwQuerySystemInformation 0 != 261Initialization error

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    ==========
    Programs
    ==========

    Adobe
    Common Files
    desktop.ini
    DVD Maker
    Fichiers communs
    InstallShield Installation Information
    Intel
    Internet Explorer
    K-Lite Codec Pack
    Launch Manager
    List_Kill'em
    Malwarebytes' Anti-Malware
    Microsoft
    Microsoft Games
    Microsoft Office
    Microsoft Office Suite Activation Assistant
    Microsoft Security Essentials
    Microsoft Silverlight
    Microsoft SQL Server Compact Edition
    Microsoft Visual Studio 8
    Microsoft Works
    Microsoft.NET
    Mozilla Firefox
    MSBuild
    Packard Bell
    Packard Bell GameZone
    PackardBellXSync
    PB Accessory Store
    Realtek
    Reference Assemblies
    Synaptics
    Temp
    trend micro
    Uninstall Information
    VideoWebCamera
    Windows Defender
    Windows Live
    Windows Live SkyDrive
    Windows Mail
    Windows Media Player
    Windows NT
    Windows Photo Viewer
    Windows Portable Devices
    Windows Sidebar
    ZHPDiag

    ============
    Lecteur C:
    ============

    $Recycle.Bin
    autoexec.bat
    autorun.inf
    BOOTSECT.BAK
    config.sys
    Documents and Settings
    hiberfil.sys
    Intel
    Kill'em
    List'em.txt
    MSOCache
    OEM
    pagefile.sys
    PerfLogs
    Program Files
    ProgramData
    Recovery
    RHDSetup.log
    rsit
    System Volume Information
    UsbFix
    UsbFix.txt
    Users
    Webcam.log
    Windows

    ¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials

    C:\OEM\Preload\PatchLog
    C:\OEM\Preload\PatchLog\CodeTracer
    C:\OEM\Preload\PatchLog\DecompressFM2009-11-16 16-23-56.log
    C:\OEM\Preload\PatchLog\PAP0104V26XX1CE1.csv
    C:\OEM\Preload\PatchLog\PXP00000Z10HF011.csv
    C:\OEM\Preload\PatchLog\CodeTracer\PreloadX_Patch2009-11-16 16-05-39.log
    C:\Program Files\Adobe\Photoshop Elements 7.0\LMResources\SerializationWF.exv
    C:\ProgramData\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.atn
    C:\ProgramData\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.metadata.xml
    C:\ProgramData\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.png
    C:\ProgramData\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.thumbnail.jpg
    C:\Users\All Users\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.atn
    C:\Users\All Users\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.metadata.xml
    C:\Users\All Users\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.png
    C:\Users\All Users\Adobe\Photoshop Elements\7.0\Photo Creations\filters\Patchwork.thumbnail.jpg
    C:\Windows\Patch.log
    C:\Program Files\Microsoft Works\Install.exe

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  15. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Télécharge ComboFix de sUBs sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt
    0
  16. léanah2215 Messages postés 49 Statut Membre 4
     
    Une fois le PC redemarré, le rapport ne s'est pas affiché ...
    0
  17. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Le rapport se trouve également là : C:\ComboFix.txt

    0
  18. léanah2215 Messages postés 49 Statut Membre 4
     
    Mais quand je tape ça dans la barre de recherche : " aucun élément ne correspond a ma recherche" ...
    0
  19. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    il se trouve à la racine de C

    sinon refais moi un nouveau ZHP

    et comment va le pc ?
    0
  20. léanah2215 Messages postés 49 Statut Membre 4
     
    Ok, je pense que le PC va beaucoup mieux car je ne reçois plus aucune alerte de mon antivirus et j'ai fais une analyse rapide qui me dit que tout va bien .
    Le ZHP c'est la derniere procédure envoyée c'est ça ?
    0
  • 1
  • 2