Pc portable infecté

Menzostar -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
J'ai grandement besoin d'aide et il me semble que ce forum soit a la hauteur de mes espérances!
Merci d'avance pour votre service.
Ci joint le log Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:54:34, on 11/01/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\qtplugin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Scierie\quuubij.exe
C:\WINDOWS\msb.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RegistryMonitor1] C:\WINDOWS\system32\qtplugin.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [quuubij] C:\Documents and Settings\Scierie\quuubij.exe
O4 - HKCU\..\Run: [LREC75DND7] C:\DOCUME~1\Scierie\LOCALS~1\Temp\f.exe
O4 - HKCU\..\Run: [Scierie] C:\Documents and Settings\Scierie\Scierie.exe
O4 - HKCU\..\Run: [E8WECRKKMV] C:\WINDOWS\msb.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 5526 bytes
Configuration: Windows XP Internet Explorer 6.0

22 réponses

  • 1
  • 2
Résumé de la discussion

Le sujet concerne l’analyse d’un log HijackThis sur un PC Windows XP SP2 avec des infections suspectées et une demande d’aide pour nettoyer le système. Les réponses les plus pertinentes préconisent d’exécuter Malwarebytes' Anti-Malware en mode rapide, puis de relancer un scan ZHPDiag et de partager le rapport pour analyse. En cas de persistance, la suite évoque l’emploi de ComboFix et la gestion des quarantaines, avec des consignes précises sur l’installation, le redémarrage et le suivi des rapports. Certains échanges évoquent aussi la difficulté de partager des rapports volumineux et la nécessité d’outils compatibles Windows XP, ainsi que de retirer temporairement les périphériques externes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    salut,

    infections multiples ....

    /!\ Pour le bon déroulement de la désinfection :
    * Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
    * N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
    * Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
    * Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    Commence par ceci dans l'ordre :

    1- Important :
    Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
    http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
    ( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

    ou de celui-ci > http://ww11.genproc.com/spybot/spybot.html

    En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

    Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
    /!\ Mais attention :
    à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
    -> il faudra alors les accepter toutes sans exeptions !

    Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .

    ========================

    2- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

    > double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

    > Lance ZHPDiag depuis le raccourci du bureau .

    > Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
    ( celui avec le tournevis )

    Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

    > Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    Laisses travailler l'outil ...

    > Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

    Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    ( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

    Puis ferme le programme ...

    > rends toi ensuite sur ce site : http://www.cijoint.fr/

    Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
    Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
    Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

    ======================

    3- Lance de nouveau ZHPDiag,

    !! déconnecte toi et ferme toutes tes applications en cours !!

    * Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

    > tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.

    Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .

    * Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

    Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

    * Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...

    0
    1. Menzostar
       
      Merci pour cette réponse ultra rapide,
      Ci-joint les 2 liens (étapes 2 et 3) pour les 2 rapport ZHPDiag.

      http://www.cijoint.fr/cjlink.php?file=cj201001/cijavG7wKY.txt
      http://www.cijoint.fr/cjlink.php?file=cj201001/cij0UapNc7.txt

      Menzo
      0
  2. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ....

    pas mal de travail ....

    Commence par ceci dans l'ordre :

    1- Avoir accès aux fichiers cachés :

    Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    -> valide la modif ( "appliquer" puis "ok" ).
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

    2- Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
    C:\Documents and Settings\Scierie\quuubij.exe

    Clique sur Send File ( = " Envoyer le fichier " ).

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

    petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses

    Fais de même pour :

    C:\Documents and Settings\Scierie\Scierie.exe
    C:\setupfre.exe


    Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et fais la suite ...

    ======================

    3- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
    ou ici https://www.ionos.fr/?affiliate_id=77097

    ! Déconnecte toi d'internet et ferme toutes applications en cours !

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Choisis l' option 1 ( Recherche )

    # Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

    0
  3. Menzostar
     
    OK, ci-joint, les 3 rapports de Virustotal.com:

    1: "C:\Documents and Settings\Scierie\quuubij.exe "

    Fichier quuubij.exe_ reçu le 2010.01.11 18:37:15 (UTC)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

    Résultat: 11/41 (26.83%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 4.
    L'heure estimée de démarrage est entre 70 et 100 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.48 2010.01.11 Worm.Win32.VBNA!IK
    AhnLab-V3 5.0.0.2 2010.01.11 -
    AntiVir 7.9.1.134 2010.01.11 TR/Dropper.Gen
    Antiy-AVL 2.0.3.7 2010.01.11 -
    Authentium 5.2.0.5 2010.01.10 -
    Avast 4.8.1351.0 2010.01.11 Win32:VB-ODI
    AVG 9.0.0.725 2010.01.11 -
    BitDefender 7.2 2010.01.11 -
    CAT-QuickHeal 10.00 2010.01.11 -
    ClamAV 0.94.1 2010.01.11 -
    Comodo 3547 2010.01.11 -
    DrWeb 5.0.1.12222 2010.01.11 -
    eSafe 7.0.17.0 2010.01.11 -
    eTrust-Vet 35.2.7229 2010.01.11 -
    F-Prot 4.5.1.85 2010.01.10 -
    F-Secure 9.0.15370.0 2010.01.11 -
    Fortinet 4.0.14.0 2010.01.09 -
    GData 19 2010.01.11 Win32:VB-ODI
    Ikarus T3.1.1.80.0 2010.01.11 Worm.Win32.VBNA
    Jiangmin 13.0.900 2010.01.11 -
    K7AntiVirus 7.10.944 2010.01.11 -
    Kaspersky 7.0.0.125 2010.01.11 Worm.Win32.VBNA.kbj
    McAfee 5858 2010.01.11 -
    McAfee+Artemis 5858 2010.01.11 -
    McAfee-GW-Edition 6.8.5 2010.01.11 Trojan.Dropper.Gen
    Microsoft 1.5302 2010.01.11 -
    NOD32 4762 2010.01.11 a variant of Win32/AutoRun.VB.IH
    Norman 6.04.03 2010.01.11 -
    nProtect 2009.1.8.0 2010.01.11 -
    Panda 10.0.2.2 2010.01.11 -
    PCTools 7.0.3.5 2010.01.11 Downloader.Generic
    Prevx 3.0 2010.01.11 -
    Rising 22.30.00.05 2010.01.11 -
    Sophos 4.49.0 2010.01.11 -
    Sunbelt 3.2.1858.2 2010.01.10 Worm.Win32.Vobfus.gen (v)
    Symantec 20091.2.0.41 2010.01.11 Downloader
    TheHacker 6.5.0.3.146 2010.01.11 -
    TrendMicro 9.120.0.1004 2010.01.11 -
    VBA32 3.12.12.1 2010.01.11 -
    ViRobot 2010.1.11.2130 2010.01.11 -
    VirusBuster 5.0.21.0 2010.01.11 -
    Information additionnelle
    File size: 81920 bytes
    MD5...: 31cdf0a9326b721fcfcac3d06251ceec
    SHA1..: 1cc525d82b89196a2f4bff8d3c0dd53f9bfc528f
    SHA256: 6ce23eed40a5dec4b96931a77149ec9212492b13fb7a3d53eaa6fb35724f3c79
    ssdeep: 1536:z31YBRshbZX4ECHWjJNuItOE405jP/q0UkuOOCN9u00m:B2qhd4e405jP/q
    0UkuOOCND0m

    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x11b4
    timedatestamp.....: 0x4b4200b0 (Mon Jan 04 14:52:32 2010)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x1189c 0x12000 5.20 8906b7b055808a6d7a97755fcccc9026
    .data 0x13000 0x2430 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .rsrc 0x16000 0x270 0x1000 4.28 40c2eb019c62ab6f771a19f02e2ab220

    ( 1 imports )
    > MSVBVM60.DLL: -, -, -, -, MethCallEngine, -, -, -, -, -, -, -, -, -, -, -, EVENT_SINK_AddRef, -, -, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, -, -, ProcCallEngine, -, -, -, -, -, -, -, -, -, -, -, -, -, -

    ( 0 exports )

    RDS...: NSRL Reference Data Set
    -
    sigcheck:
    publisher....: jZvquBAn
    copyright....: n/a
    product......: jZvquBAn
    description..: n/a
    original name: jZvquBAn.exe
    internal name: jZvquBAn
    file version.: 9.96
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    pdfid.: -
    trid..: Win32 Executable Generic (68.0%)
    Generic Win/DOS Executable (15.9%)
    DOS Executable Generic (15.9%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

    2: "C:\Documents and Settings\Scierie\Scierie.exe "

    Fichier non trouvé par virustotal.com...

    3: "C:\setupfre.exe "

    Bigger than max permited size / Mayor del tamaño máximo permitido

    Je fais tout de meme la suite des opérations comme vous me l'avez indiqué.
    Menzo
    0
  4. Menzostar
     
    Et voici le rapport UsbFix:

    ############################## | UsbFix V6.073 |

    User : Scierie (Administrateurs) # LAUNAY
    Update on 09/01/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 21:03:48 | 11/01/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Mobile AMD Sempron(tm) Processor 3000+
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180
    Windows Firewall Status : Disabled
    AV : avast! antivirus 4.8.1368 [VPS 100111-0] 4.8.1368 [ Enabled | Updated ]

    C:\ -> Disque fixe local # 35,7 Go (28,01 Go free) [ACER] # FAT32
    D:\ -> Disque fixe local # 35,87 Go (7,96 Go free) [ACERDATA] # FAT32
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible # 3,76 Go (665,46 Mo free) [INTENSO] # FAT32

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe 564
    C:\WINDOWS\system32\csrss.exe 628
    C:\WINDOWS\system32\winlogon.exe 652
    C:\WINDOWS\system32\services.exe 696
    C:\WINDOWS\system32\lsass.exe 708
    C:\WINDOWS\system32\svchost.exe 848
    C:\WINDOWS\system32\svchost.exe 904
    C:\WINDOWS\System32\svchost.exe 944
    C:\WINDOWS\system32\svchost.exe 1012
    C:\WINDOWS\system32\svchost.exe 1196
    C:\WINDOWS\Explorer.EXE 1264
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1492
    C:\Program Files\Alwil Software\Avast4\ashServ.exe 1540
    C:\WINDOWS\system32\spoolsv.exe 1888
    C:\WINDOWS\system32\svchost.exe 524
    C:\WINDOWS\system32\wdfmgr.exe 972
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 1592
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 1884
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe 124
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 1960
    C:\WINDOWS\AGRSMMSG.exe 152
    C:\WINDOWS\system32\Rundll32.exe 164
    C:\WINDOWS\system32\keyhook.exe 272
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 1452
    C:\WINDOWS\system32\qtplugin.exe 1400
    C:\WINDOWS\System32\alg.exe 1840
    C:\WINDOWS\system32\ctfmon.exe 1388
    C:\Program Files\Messenger\msmsgs.exe 2264
    C:\WINDOWS\System32\svchost.exe 2528
    C:\Program Files\acer\eRecovery\Monitor.exe 2616
    C:\Program Files\Internet Explorer\iexplore.exe 3072
    C:\WINDOWS\system32\wbem\wmiprvse.exe 616

    ################## | Elements infectieux |

    C:\Documents and Settings\Scierie\quuubij.exe
    C:\Documents and Settings\Scierie\quuubij.scr
    C:\Documents and Settings\Scierie\autorun.inf
    C:\WINDOWS\antiv.exe
    C:\WINDOWS\msa.exe
    C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
    C:\WINDOWS\System32\qtplugin.exe
    C:\WINDOWS\temp\vteu.tmp\svchost.exe
    F:\autorun.inf
    F:\Documents .lnk
    F:\Music .lnk
    F:\New Folder .lnk
    F:\Passwords .lnk
    F:\Pictures .lnk
    F:\Video .lnk
    Supprimé ! F:\quuubij.exe
    Supprimé ! F:\quuubij.scr

    ################## | Registre |

    [HKCU\SOFTWARE\LREC75DND7]
    [HKCU\SOFTWARE\Microsoft\Handle]
    [HKCU\SOFTWARE\XML]
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LREC75DND7"
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Scierie"
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "RegistryMonitor1"
    [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]
    [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS]
    [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS]

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{5fa974ec-fae2-11de-a1cd-00c09fcb850a}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MENZOo.exe

    HKCU\..\..\Explorer\MountPoints2\{85f24984-f971-11de-a1c9-00c09fcb850a}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL meNZOo.eXE

    ################## | Cracks > Keygens > Serials |

    "F:\._Serial_IK.Multimedia.ARC.System.VST.RTAS.1.1.45059.exe"
    11/01/2010 02:09 |Size 4096 |Crc32 a433bde1 |Md5 88c787453cbd32f4f263657dc2ae3261

    ################## | ! Fin du rapport # UsbFix V6.073 ! |
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ....

    la suite :

    1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu choisis l' option 2 ( Suppression ) .

    > Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .

    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    /!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\

    ========================

    2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
  7. Menzostar
     
    Voici le rapport de UsbFix apres suppression:

    ############################## | UsbFix V6.073 |

    User : Scierie (Administrateurs) # LAUNAY
    Update on 09/01/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 21:27:18 | 11/01/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Mobile AMD Sempron(tm) Processor 3000+
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180
    Windows Firewall Status : Disabled
    AV : avast! antivirus 4.8.1368 [VPS 100111-0] 4.8.1368 [ Enabled | Updated ]

    C:\ -> Disque fixe local # 35,7 Go (27,98 Go free) [ACER] # FAT32
    D:\ -> Disque fixe local # 35,87 Go (7,96 Go free) [ACERDATA] # FAT32
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible # 3,76 Go (665,62 Mo free) [INTENSO] # FAT32

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe 564
    C:\WINDOWS\system32\csrss.exe 628
    C:\WINDOWS\system32\winlogon.exe 652
    C:\WINDOWS\system32\services.exe 696
    C:\WINDOWS\system32\lsass.exe 708
    C:\WINDOWS\system32\svchost.exe 852
    C:\WINDOWS\system32\svchost.exe 904
    C:\WINDOWS\System32\svchost.exe 944
    C:\WINDOWS\system32\svchost.exe 1040
    C:\WINDOWS\system32\svchost.exe 1148
    C:\WINDOWS\Explorer.EXE 1264
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1468
    C:\Program Files\Alwil Software\Avast4\ashServ.exe 1520
    C:\WINDOWS\system32\spoolsv.exe 184
    C:\WINDOWS\system32\svchost.exe 508
    C:\WINDOWS\system32\wdfmgr.exe 632
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 1648
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 1748
    C:\WINDOWS\System32\alg.exe 444
    C:\WINDOWS\system32\wbem\wmiprvse.exe 612

    ################## | Elements infectieux |

    Supprimé ! C:\Documents and Settings\Scierie\autorun.inf
    Supprimé ! C:\WINDOWS\antiv.exe
    Supprimé ! C:\WINDOWS\msa.exe
    Supprimé ! C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
    Supprimé ! C:\WINDOWS\System32\qtplugin.exe
    Supprimé ! C:\WINDOWS\temp\vteu.tmp\svchost.exe
    Supprimé ! F:\Documents .lnk
    Supprimé ! F:\Music .lnk
    Supprimé ! F:\New Folder .lnk
    Supprimé ! F:\Passwords .lnk
    Supprimé ! F:\Pictures .lnk
    Supprimé ! F:\Video .lnk
    Supprimé ! F:\autorun.inf

    ################## | Registre |

    Supprimé ! [HKCU\SOFTWARE\LREC75DND7]
    Supprimé ! [HKCU\SOFTWARE\Microsoft\Handle]
    Supprimé ! [HKCU\SOFTWARE\XML]
    Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LREC75DND7"
    Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Scierie"
    Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "RegistryMonitor1"
    Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]
    Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS]

    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\{5fa974ec-fae2-11de-a1cd-00c09fcb850a}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{85f24984-f971-11de-a1c9-00c09fcb850a}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [11/03/2005 10:07|-rahs----|75] C:\PRELOAD.AAA
    [07/03/2005 20:06|---hs----|512] C:\BOOTSECT.DOS
    [05/08/2004 05:00|-rahs----|4952] C:\Bootfont.bin
    [05/08/2004 05:00|-rahs----|251712] C:\ntldr
    [05/08/2004 05:00|-rahs----|47564] C:\NTDETECT.COM
    [18/11/2009 12:36|-rahs----|216] C:\boot.ini
    [07/03/2005 20:25|--a------|0] C:\CONFIG.SYS
    [11/03/2005 09:58|--a------|100] C:\AUTOEXEC.BAT
    [07/03/2005 20:25|-rahs----|0] C:\IO.SYS
    [07/03/2005 20:25|-rahs----|0] C:\MSDOS.SYS
    [?|?|?] C:\pagefile.sys
    [?|?|?] C:\hiberfil.sys
    [04/01/2010 22:14|--a------|42849712] C:\setupfre.exe
    [11/01/2010 21:32|--a------|3672] C:\UsbFix.txt
    [16/11/2009 22:38|--ahs----|26112] D:\Thumbs.db
    [11/01/2010 12:26|--a------|16409960] D:\spybotsd162.exe
    [11/01/2010 13:17|--a------|6162112] D:\spybotsd_includes.exe
    [11/01/2010 16:53|--a------|812344] D:\HJTInstall.exe
    [11/01/2010 18:01|--a------|1120127] D:\ZHPDiag.zip
    [11/01/2010 21:02|--a------|1669106] D:\UsbFix.exe
    [06/11/2009 23:08|-r-hs----|40960] F:\steven.exe
    [15/12/2009 20:26|--a------|296] F:\WMPInfo.xml
    [03/12/2009 23:44|--a------|19504] F:\kool shen feat oxmo puccino - dernier round.aup
    [16/12/2009 16:06|--ah-----|4096] F:\._.Trashes
    [06/01/2010 22:21|--a------|17136104] F:\TRTRTR.wav
    [06/01/2010 22:14|--a------|4008244] F:\16juin.wav
    [15/06/2008 11:33|---hs----|52224] F:\Start.exe
    [09/11/2009 01:04|-r-hs----|40960] F:\vincent da cruz.exe
    [30/12/2009 22:50|--ah-----|4096] F:\._sdsetup.exe
    [04/12/2009 00:36|--a------|20226] F:\tandem feat eben kdd et sniper - meilleurs voeux.aup
    [16/03/2006 18:08|--a------|726265856] F:\Alone_In_The_Dark.FRENCH.DVDRip-XViD-GAULOIS.by.eMule-Paradise.com.avi
    [04/12/2009 04:13|--a------|12889] F:\tandem - imagine.aup
    [04/12/2009 04:23|--a------|17411] F:\youssoupha - les apparences nous mentent.aup
    [06/01/2010 22:05|--a------|6350504] F:\7 juin 2009.wav
    [05/01/2010 22:41|--ah-----|4096] F:\._08 The Edge of Heaven.m4a
    [05/01/2010 22:01|--a------|11136474] F:\08 The Edge of Heaven.mp3
    [11/01/2010 01:55|--a------|18809328] F:\IK.Multimedia.ARC.System.VST.RTAS.v1.1.rar
    [25/12/2009 04:39|--ah-----|4096] F:\._WDSmartWare_SoftwareUpdater_for_Windows_1_2_0_7a.exe
    [25/12/2009 04:39|--ah-----|4096] F:\._EssentialEliteFirmwareUpdater_v1005
    [28/12/2009 02:09|--a------|15452364] F:\IZotope_Ozone_VST_DX_RTAS_HTDM_v4.03.rar
    [28/12/2009 02:09|--ah-----|4096] F:\._IZotope_Ozone_VST_DX_RTAS_HTDM_v4.03.rar
    [05/01/2010 22:41|--ah-----|4096] F:\._08 The Edge of Heaven.mp3
    [11/01/2010 02:30|--a------|16409960] F:\spybotsd1.6.2_by_UREZO.exe
    [29/12/2009 19:54|--ah-----|4096] F:\._De.La.Mancha.Gto.VST.v1.0-peace-out.rar
    [11/01/2010 02:09|--ah-----|4096] F:\._IK.Multimedia.ARC.System.VST.RTAS.v1.1.rar
    [29/12/2009 19:54|--ah-----|4096] F:\._AF.FLUX.Spring.Pack.Bundle.VST.RTAS.v1.0.4.14-AiR.rar
    [07/01/2010 00:19|--a------|3805584] F:\delivrance bounce.wav
    [29/12/2009 19:55|--ah-----|4096] F:\._SSL X-ISM Setup.exe
    [11/01/2010 02:30|--ah-----|4096] F:\._spybotsd1.6.2_by_UREZO.exe
    [29/12/2009 19:56|--ah-----|4096] F:\._ApulSoft.apEQ.VST.v1.3.2.Incl.Keygen-AiR.rar
    [21/12/2005 12:42|--a------|702197] F:\SSL LMC-1 Installer.exe
    [29/12/2009 19:56|--ah-----|4096] F:\._SSL LMC-1 Installer.exe
    [29/12/2009 19:57|--ah-----|4096] F:\._Glass_Viper_1_20_VST_WIN
    [29/12/2009 19:57|--ah-----|4096] F:\._UpStereo_2_Win
    [07/01/2010 00:59|--a------|18407060] F:\red warrior.wav
    [29/12/2009 21:17|--ah-----|4096] F:\._IK.Multimedia.T-RackS.Deluxe.v.3.1.1.VST.RTAS.Incl.KeyGen-DYNAMiCS.rar
    [29/12/2009 21:17|--ah-----|4096] F:\._IZotope.Ozone.VST.DX.RTAS.HTDM.v4.0.2.268-AiR.rar
    [11/01/2010 02:09|--ah-----|4096] F:\._Serial_IK.Multimedia.ARC.System.VST.RTAS.1.1.45059.exe
    [29/12/2009 21:17|--ah-----|4096] F:\._IZotope.Ozone.VST.DX.RTAS.HTDM.v4.01.Incl.Keygen-AiR.rar
    [30/12/2009 21:32|--ah-----|4096] F:\._garmin_kgen_1.5.rar
    [18/10/2005 00:18|--a------|715233280] F:\Gangsta Cop.avi

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix.
    # D:\autorun.inf -> Dossier créé par UsbFix.
    # F:\autorun.inf -> Dossier créé par UsbFix.

    ################## | Crack > Keygen > Serial |

    "F:\._Serial_IK.Multimedia.ARC.System.VST.RTAS.1.1.45059.exe"
    11/01/2010 02:09 |Size 4096 |Crc32 a433bde1 |Md5 88c787453cbd32f4f263657dc2ae3261

    ################## | Upload |

    Veuillez envoyer le fichier : C:\DOCUME~1\Scierie\Bureau\UsbFix_Upload_Me_LAUNAY.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.073 ! |
    0
  8. Menzostar
     
    et voici le nouveau scan ZHPDiag:

    http://www.cijoint.fr/cjlink.php?file=cj201001/cijN6xdQAe.txt

    Menzo.
    0
  9. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    arf ....

    la bestiole s'accroche ....

    toujours tes unités externes branchées au PC :

    vérifies ceci sur VirusTotal :

    F:\steven.exe
    F:\Start.exe
    F:\._sdsetup.exe
    F:\._SSL LMC-1 Installer.exe


    poste les 4 rapport obtenus pour analyse et attends la suite ...

    0
    1. menzostar
       
      Bonjour,
      Excusez moi pour le retard.
      Je vais poster les 4 rapports les uns a la suite des autres.
      Merci encore.
      Menzo.
      0
      1. menzostar > menzostar
         
        Fichier steven.exe_ reçu le 2010.01.12 17:45:06 (UTC)
        Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


        Résultat: 31/41 (75.61%)
        en train de charger les informations du serveur...
        Votre fichier est dans la file d'attente, en position: 4.
        L'heure estimée de démarrage est entre 70 et 100 secondes.
        Ne fermez pas la fenêtre avant la fin de l'analyse.
        L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
        Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
        Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
        les résultats seront affichés au fur et à mesure de leur génération.
        Formaté Impression des résultats
        Votre fichier a expiré ou n'existe pas.
        Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

        Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
        Email:


        Antivirus Version Dernière mise à jour Résultat
        a-squared 4.5.0.48 2010.01.12 Worm.Win32.Vobfus!IK
        AhnLab-V3 5.0.0.2 2010.01.12 -
        AntiVir 7.9.1.134 2010.01.12 TR/Dropper.Gen
        Antiy-AVL 2.0.3.7 2010.01.12 -
        Authentium 5.2.0.5 2010.01.12 W32/VBTrojan.6!Maximus
        Avast 4.8.1351.0 2010.01.11 Win32:VB-NSF
        AVG 9.0.0.725 2010.01.12 -
        BitDefender 7.2 2010.01.12 Gen:Trojan.Chinky.2
        CAT-QuickHeal 10.00 2010.01.12 Worm.VBNA.bgm
        ClamAV 0.94.1 2010.01.12 Trojan.Chinky
        Comodo 3558 2010.01.12 Worm.Win32.VBNA.fbu0
        DrWeb 5.0.1.12222 2010.01.12 Trojan.DownLoad.41501
        eSafe 7.0.17.0 2010.01.12 -
        eTrust-Vet 35.2.7232 2010.01.12 Win32/Vobfus!generic
        F-Prot 4.5.1.85 2010.01.12 W32/VBTrojan.6!Maximus
        F-Secure 9.0.15370.0 2010.01.12 Gen:Trojan.Chinky.2
        Fortinet 4.0.14.0 2010.01.12 -
        GData 19 2010.01.12 Gen:Trojan.Chinky.2
        Ikarus T3.1.1.80.0 2010.01.12 Worm.Win32.Vobfus
        Jiangmin 13.0.900 2010.01.12 -
        K7AntiVirus 7.10.944 2010.01.11 -
        Kaspersky 7.0.0.125 2010.01.12 Worm.Win32.VBNA.fbu
        McAfee 5859 2010.01.12 Generic Packed.c
        McAfee+Artemis 5859 2010.01.12 Generic Packed.c
        McAfee-GW-Edition 6.8.5 2010.01.12 Trojan.Dropper.Gen
        Microsoft 1.5302 2010.01.12 Worm:Win32/Vobfus.B
        NOD32 4765 2010.01.12 a variant of Win32/AutoRun.VB.FL
        Norman 6.04.03 2010.01.12 VBWorm.XPH
        nProtect 2009.1.8.0 2010.01.12 Trojan/W32.Agent.40960.AAX
        Panda 10.0.2.2 2010.01.12 W32/Vobfus.gen.worm
        PCTools 7.0.3.5 2010.01.12 Malware.Changeup
        Prevx 3.0 2010.01.12 -
        Rising 22.30.01.03 2010.01.12 -
        Sophos 4.49.0 2010.01.12 W32/SillyFDC-DR
        Sunbelt 3.2.1858.2 2010.01.12 Trojan.Win32.VB.gen.1 (v)
        Symantec 20091.2.0.41 2010.01.12 W32.Changeup!gen
        TheHacker 6.5.0.3.148 2010.01.12 W32/VBNA.fbu
        TrendMicro 9.120.0.1004 2010.01.12 WORM_VB.SMP
        VBA32 3.12.12.1 2010.01.12 Worm.Win32.VBNA.fbu
        ViRobot 2010.1.12.2132 2010.01.12 -
        VirusBuster 5.0.21.0 2010.01.12 Worm.VBNA.Gen
        Information additionnelle
        File size: 40960 bytes
        MD5...: 050dcf501b8b7b965385765d9f0d45dc
        SHA1..: ed2bc9ca691c244f500e76cf44b3a5f3b974c77c
        SHA256: 1d4f3532046136ab2a3fe0fef7d2011fb17dc2def6a65894763971e9b98fdbeb
        ssdeep: 768:6oUN0XPBDEQQeGTwK0NHXsH6bJCYhx8HV0kvc:6o9DEzHTwKqWAxcpvc

        PEiD..: -
        PEInfo: PE Structure information

        ( base data )
        entrypointaddress.: 0x1178
        timedatestamp.....: 0x386dec40 (Sat Jan 01 12:00:00 2000)
        machinetype.......: 0x14c (I386)

        ( 3 sections )
        name viradd virsiz rawdsiz ntrpy md5
        .text 0x1000 0x7ce0 0x8000 5.25 8016fe1342f13eae553b4a9bb310e47d
        .data 0x9000 0x13b4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
        .rsrc 0xb000 0x134 0x1000 0.32 3142a41b0497be45da822abf1b929466

        ( 1 imports )
        > MSVBVM60.DLL: MethCallEngine, -, -, -, -, -, -, -, -, -, EVENT_SINK_AddRef, -, -, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, -, -, -, ProcCallEngine, -, -, -, -, -, -, -, -, -, -, -, -

        ( 0 exports )

        RDS...: NSRL Reference Data Set
        -
        sigcheck:
        publisher....: n/a
        copyright....: n/a
        product......: n/a
        description..: n/a
        original name: n/a
        internal name: n/a
        file version.: n/a
        comments.....: n/a
        signers......: -
        signing date.: -
        verified.....: Unsigned

        pdfid.: -
        trid..: Win32 Executable Generic (68.0%)
        Generic Win/DOS Executable (15.9%)
        DOS Executable Generic (15.9%)
        Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
        0
      2. menzostar > menzostar
         
        F:\Start.exe

        0 bytes size received / Se ha recibido un archivo vacio
        0
  10. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    hello,

    pas de prb , j'attends les résultats .... ;)

    0
    1. menzostar
       
      Fichier ._sdsetup.exe_ reçu le 2010.01.12 17:52:05 (UTC)
      Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


      Résultat: 0/41 (0%)
      en train de charger les informations du serveur...
      Votre fichier est dans la file d'attente, en position: 1.
      L'heure estimée de démarrage est entre 40 et 57 secondes.
      Ne fermez pas la fenêtre avant la fin de l'analyse.
      L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
      Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
      Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
      les résultats seront affichés au fur et à mesure de leur génération.
      Formaté Impression des résultats
      Votre fichier a expiré ou n'existe pas.
      Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

      Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
      Email:


      Antivirus Version Dernière mise à jour Résultat
      a-squared 4.5.0.48 2010.01.12 -
      AhnLab-V3 5.0.0.2 2010.01.12 -
      AntiVir 7.9.1.134 2010.01.12 -
      Antiy-AVL 2.0.3.7 2010.01.12 -
      Authentium 5.2.0.5 2010.01.12 -
      Avast 4.8.1351.0 2010.01.11 -
      AVG 9.0.0.725 2010.01.12 -
      BitDefender 7.2 2010.01.12 -
      CAT-QuickHeal 10.00 2010.01.12 -
      ClamAV 0.94.1 2010.01.12 -
      Comodo 3558 2010.01.12 -
      DrWeb 5.0.1.12222 2010.01.12 -
      eSafe 7.0.17.0 2010.01.12 -
      eTrust-Vet 35.2.7232 2010.01.12 -
      F-Prot 4.5.1.85 2010.01.12 -
      F-Secure 9.0.15370.0 2010.01.12 -
      Fortinet 4.0.14.0 2010.01.12 -
      GData 19 2010.01.12 -
      Ikarus T3.1.1.80.0 2010.01.12 -
      Jiangmin 13.0.900 2010.01.12 -
      K7AntiVirus 7.10.944 2010.01.11 -
      Kaspersky 7.0.0.125 2010.01.12 -
      McAfee 5859 2010.01.12 -
      McAfee+Artemis 5859 2010.01.12 -
      McAfee-GW-Edition 6.8.5 2010.01.12 -
      Microsoft 1.5302 2010.01.12 -
      NOD32 4765 2010.01.12 -
      Norman 6.04.03 2010.01.12 -
      nProtect 2009.1.8.0 2010.01.12 -
      Panda 10.0.2.2 2010.01.12 -
      PCTools 7.0.3.5 2010.01.12 -
      Prevx 3.0 2010.01.12 -
      Rising 22.30.01.03 2010.01.12 -
      Sophos 4.49.0 2010.01.12 -
      Sunbelt 3.2.1858.2 2010.01.12 -
      Symantec 20091.2.0.41 2010.01.12 -
      TheHacker 6.5.0.3.148 2010.01.12 -
      TrendMicro 9.120.0.1004 2010.01.12 -
      VBA32 3.12.12.1 2010.01.12 -
      ViRobot 2010.1.12.2132 2010.01.12 -
      VirusBuster 5.0.21.0 2010.01.12 -
      Information additionnelle
      File size: 4096 bytes
      MD5...: 078b084928ade27655bfe1ca9ef1613d
      SHA1..: a89918f5e70cbf6c376762d47093429aaffe9b87
      SHA256: 35eba5a83e0ee031fd962e708c0c405a7d70c79b761dd9fed6b413769f606bf4
      ssdeep: 6:PgG2z/uOKwviEX62O8smycRgFxi4T8hqHHc4YVp7Z4GVSbt+1SQWZmLmczyqLO
      HT:PgNruORv9R4qHqHHoV58USQ/qtwOVV

      PEiD..: -
      PEInfo: -
      RDS...: NSRL Reference Data Set
      -
      sigcheck:
      publisher....: n/a
      copyright....: n/a
      product......: n/a
      description..: n/a
      original name: n/a
      internal name: n/a
      file version.: n/a
      comments.....: n/a
      signers......: -
      signing date.: -
      verified.....: Unsigned

      pdfid.: -
      trid..: Mac AppleDouble encoded (79.9%)
      MacBinary 2 header (20.0%)
      0
      1. menzostar > menzostar
         
        Fichier ._SSL_LMC-1_Installer.exe_ reçu le 2010.01.12 17:55:15 (UTC)
        Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


        Résultat: 0/41 (0%)
        en train de charger les informations du serveur...
        Votre fichier est dans la file d'attente, en position: 1.
        L'heure estimée de démarrage est entre 40 et 57 secondes.
        Ne fermez pas la fenêtre avant la fin de l'analyse.
        L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
        Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
        Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
        les résultats seront affichés au fur et à mesure de leur génération.
        Formaté Impression des résultats
        Votre fichier a expiré ou n'existe pas.
        Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

        Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
        Email:


        Antivirus Version Dernière mise à jour Résultat
        a-squared 4.5.0.48 2010.01.12 -
        AhnLab-V3 5.0.0.2 2010.01.12 -
        AntiVir 7.9.1.134 2010.01.12 -
        Antiy-AVL 2.0.3.7 2010.01.12 -
        Authentium 5.2.0.5 2010.01.12 -
        Avast 4.8.1351.0 2010.01.11 -
        AVG 9.0.0.725 2010.01.12 -
        BitDefender 7.2 2010.01.12 -
        CAT-QuickHeal 10.00 2010.01.12 -
        ClamAV 0.94.1 2010.01.12 -
        Comodo 3558 2010.01.12 -
        DrWeb 5.0.1.12222 2010.01.12 -
        eSafe 7.0.17.0 2010.01.12 -
        eTrust-Vet 35.2.7232 2010.01.12 -
        F-Prot 4.5.1.85 2010.01.12 -
        F-Secure 9.0.15370.0 2010.01.12 -
        Fortinet 4.0.14.0 2010.01.12 -
        GData 19 2010.01.12 -
        Ikarus T3.1.1.80.0 2010.01.12 -
        Jiangmin 13.0.900 2010.01.12 -
        K7AntiVirus 7.10.944 2010.01.11 -
        Kaspersky 7.0.0.125 2010.01.12 -
        McAfee 5859 2010.01.12 -
        McAfee+Artemis 5859 2010.01.12 -
        McAfee-GW-Edition 6.8.5 2010.01.12 -
        Microsoft 1.5302 2010.01.12 -
        NOD32 4765 2010.01.12 -
        Norman 6.04.03 2010.01.12 -
        nProtect 2009.1.8.0 2010.01.12 -
        Panda 10.0.2.2 2010.01.12 -
        PCTools 7.0.3.5 2010.01.12 -
        Prevx 3.0 2010.01.12 -
        Rising 22.30.01.03 2010.01.12 -
        Sophos 4.49.0 2010.01.12 -
        Sunbelt 3.2.1858.2 2010.01.12 -
        Symantec 20091.2.0.41 2010.01.12 -
        TheHacker 6.5.0.3.148 2010.01.12 -
        TrendMicro 9.120.0.1004 2010.01.12 -
        VBA32 3.12.12.1 2010.01.12 -
        ViRobot 2010.1.12.2132 2010.01.12 -
        VirusBuster 5.0.21.0 2010.01.12 -
        Information additionnelle
        File size: 4096 bytes
        MD5...: a1537a64c69dd3f18b603315fb4dce7f
        SHA1..: 09b1a5d93edc821d9d6180a0db022a4ba05f0b0a
        SHA256: 5ef65d8530c4844a953d2c3a7cfe9e38fe88921c1d7b0a4fde26859c169ef95a
        ssdeep: 6:PgG2z/u5sKwvi2RHRTN91SQWZmLmczyqLOH1V:PgNru5sRvPN3SQ/qtwOVV

        PEiD..: -
        PEInfo: -
        RDS...: NSRL Reference Data Set
        -
        pdfid.: -
        sigcheck:
        publisher....: n/a
        copyright....: n/a
        product......: n/a
        description..: n/a
        original name: n/a
        internal name: n/a
        file version.: n/a
        comments.....: n/a
        signers......: -
        signing date.: -
        verified.....: Unsigned

        trid..: Mac AppleDouble encoded (79.9%)
        MacBinary 2 header (20.0%)
        0
      2. menzostar > menzostar
         
        Voila qui est fait!
        0
  11. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    très bien ....

    la suite :

    Rends sur cette page :
    > https://www.ionos.fr/?affiliate_id=77097

    * clique sur "parcourir" et va jusqu'au fichier UsbFix_Upload_Me_LAUNAY.zip qui est sur ton bureau .

    * puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

    * Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_LAUNAY.zip

    recommence la manipe avec avec ce fichier > F:\steven.exe ( Important ! )

    merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... ^^

    une fois ceci fais , dis le moi et je te donne la suite ...

    0
    1. menzostar
       
      Voila!
      0
  12. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ....

    dans un premier temps , fait ceci dans l'ordre :

    ! toujours tes unités externes branchées au PC !

    1- Télécharge OTM (de Old_Timer) sur ton Bureau.

    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

    * Double clique sur "OTM.exe" pour ouvrir le prg .

    * Ensuite rends toi sur cette page > http://www.cijoint.fr/cj201001/cijzYWnbX2.txt

    * Puis copie tout le texte qui s' y trouve et colle le dans le cadre de gauche de OTM :
    Paste Instructions for items to be moved.
    (ne touche à rien d'autre !)

    ! Déconnecte toi et ferme toutes tes applications en cours ( navigateur compris ) !

    -> clique sur MoveIt! pour lancer la suppression.
    -> laisse travailler l'outil ...

    -> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

    Ton PC va redémarrer de lui même pour finir la suppression ...

    Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

    -->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
    ( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

    ========================

    2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
    1. menzostar
       
      All processes killed
      ========== REGISTRY ==========
      Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\E8WECRKKMV deleted successfully.
      Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\quuubij deleted successfully.
      ========== FILES ==========
      File/Folder C:\Documents and Settings\Scierie\quuubij.exe not found.
      File/Folder C:\WINDOWS\msb.exe not found.
      F:\steven.exe moved successfully.
      F:\vincent da cruz.exe moved successfully.
      F:\._sdsetup.exe moved successfully.
      F:\._08 The Edge of Heaven.m4a moved successfully.
      F:\._WDSmartWare_SoftwareUpdater_for_Windows_1_2_0_7a.exe moved successfully.
      F:\._EssentialEliteFirmwareUpdater_v1005 moved successfully.
      F:\._IZotope_Ozone_VST_DX_RTAS_HTDM_v4.03.rar moved successfully.
      F:\._08 The Edge of Heaven.mp3 moved successfully.
      F:\._De.La.Mancha.Gto.VST.v1.0-peace-out.rar moved successfully.
      F:\._IK.Multimedia.ARC.System.VST.RTAS.v1.1.rar moved successfully.
      F:\._AF.FLUX.Spring.Pack.Bundle.VST.RTAS.v1.0.4.14-AiR.rar moved successfully.
      F:\._SSL X-ISM Setup.exe moved successfully.
      F:\._spybotsd1.6.2_by_UREZO.exe moved successfully.
      F:\._ApulSoft.apEQ.VST.v1.3.2.Incl.Keygen-AiR.rar moved successfully.
      F:\._SSL LMC-1 Installer.exe moved successfully.
      F:\._Glass_Viper_1_20_VST_WIN moved successfully.
      F:\._UpStereo_2_Win moved successfully.
      File/Folder F:\._IK.Multimedia.T-RackS.Deluxe.v.3.1.1.VST.RTAS.Incl.KeyG­en-DYNAMiCS.rar not found.
      F:\._IZotope.Ozone.VST.DX.RTAS.HTDM.v4.0.2.268-AiR.rar moved successfully.
      F:\._Serial_IK.Multimedia.ARC.System.VST.RTAS.1.1.45059.exe moved successfully.
      File/Folder F:\._IZotope.Ozone.VST.DX.RTAS.HTDM.v4.01.Incl.Keygen-AiR.ra­r not found.
      F:\._garmin_kgen_1.5.rar moved successfully.
      ========== COMMANDS ==========

      [EMPTYTEMP]

      User: Default User
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 32768 bytes

      User: All Users

      User: NetworkService
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: LocalService
      ->Temp folder emptied: 65984 bytes
      ->Temporary Internet Files folder emptied: 32902 bytes

      User: Scierie
      ->Temp folder emptied: 189608 bytes
      ->Temporary Internet Files folder emptied: 82285920 bytes

      %systemdrive% .tmp files removed: 0 bytes
      %systemroot% .tmp files removed: 0 bytes
      %systemroot%\System32 .tmp files removed: 3072 bytes
      %systemroot%\System32\dllcache .tmp files removed: 0 bytes
      %systemroot%\System32\drivers .tmp files removed: 0 bytes
      Windows Temp folder emptied: 147904 bytes
      %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
      %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 443947 bytes
      RecycleBin emptied: 0 bytes

      Total Files Cleaned = 79,00 mb


      OTM by OldTimer - Version 3.1.5.0 log created on 01122010_192310

      Files moved on Reboot...
      C:\Documents and Settings\Scierie\Local Settings\Temporary Internet Files\Content.IE5\KX2FK5UB\win_png[1].htc moved successfully.
      C:\Documents and Settings\Scierie\Local Settings\Temporary Internet Files\Content.IE5\SDQF856V\spip[1].php moved successfully.
      File C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
      C:\WINDOWS\temp\Perflib_Perfdata_5e8.dat moved successfully.

      Registry entries deleted on Reboot...
      0
      1. menzostar > menzostar
         
        Et voici le scan ZHPDiag:

        http://www.cijoint.fr/cjlink.php?file=cj201001/cij1yeCtyJ.txt
        0
  13. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    il y en a un qui est passé au travers ! ... grrr l'infection se relance du coup ...

    supprime manuellement ce dernier >
    F:\._IZotope.Ozone.VST.DX.RTAS.HTDM.v4.01.Incl.Keygen-AiR.rar

    puis fait ceci :

    1- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

    > http://www.cijoint.fr/cj201001/cijjtqHDeW.txt

    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres comme sur cette page lorsque tu les copies dans ZHPFix.

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

    Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

    Pense à réactiver tes défenses !...

    ==========================

    2- Télécharge CCleaner :
    https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
    ou https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    ---> Utilisation:
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

    ======================

    3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
    1. menzostar
       
      ZHPFix v1.12.25 by Nicolas Coolman - Rapport de suppression du 12/01/2010 19:56:11
      Fichier d'export Registre : C:\ZHPExportRegistry-12-01-2010-19-56-11.txt
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


      Processus mémoire :
      (Néant)

      Module mémoire :
      C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL QuUUBIj.exE C:\WINDOWS\system32\drivers\str.sys => Fichier absent

      Clé du Registre :
      O51 - MPSK:{faf0f716-d483-11de-a198-00c09fcb850a}\Shell\AutoRun\command - => Clé supprimée avec succès
      O64 - Services: CurCS - oeodqfgmytyxn (oeodqfgmytyxn) - LEGACY_OEODQFGMYTYXN => Clé supprimée avec succès

      Valeur du Registre :
      O4 - HKCU\..\Run: [quuubij] C:\Documents and Settings\Scierie\quuubij.exe => Valeur supprimée avec succès

      Elément de données du Registre :
      (Néant)

      Dossier :
      (Néant)

      Fichier :
      c:\documents and settings\scierie\quuubij.exe => Fichier absent

      Logiciel :
      (Néant)

      Script Registre :
      (Néant)

      Autre :
      (Néant)


      Récapitulatif :
      Processus mémoire : 0
      Module mémoire : 1
      Clé du Registre : 2
      Valeur du Registre : 1
      Elément de données du Registre : 0
      Dossier : 0
      Fichier : 1
      Logiciel : 0
      Autre : 0


      End of the scan
      0
      1. menzostar > menzostar
         
        Et voici le rapport DHPDiag:

        http://www.cijoint.fr/cjlink.php?file=cj201001/cijY6DBuwo.txt
        0
      2. menzostar > menzostar
         
        Avast viens de me trouver deux nouvelles infections:

        C:\WINDOWS\TEMP\2C.tmp\[UPX]
        0
  14. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Bien ....

    on avance .... ^^

    Retire tes unités externes pour le moment et n'y touche plus ! ( si il y a besoin de les rebrancher , je te le dirais )

    la suite :

    1- Télécharges Malwarebytes' :
    ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
    ou ici : http://www.malwarebytes.org/mbam.php
    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

    * Potasse le tuto pour te familiariser avec le prg :
    https://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebytes' .

    Fais un examen dit "RAPIDE" .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

    ======================

    2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
    1. menzostar
       
      Et voici le nouveau rapport ZHPDIag:

      http://www.cijoint.fr/cjlink.php?file=cj201001/cijsSbStDP.txt

      Merci, Menzo.
      0
  15. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Re

    et le rapport MBAM stp ?....

    (Ouvre malwarebytes et va dans l'onglet "rapport/log"de Malwarebytes', le dernier en date)

    0
    1. menzostar
       
      Oh pardon j'ai oublié!
      Le voici:

      Malwarebytes' Anti-Malware 1.44
      Version de la base de données: 3550
      Windows 5.1.2600 Service Pack 2
      Internet Explorer 6.0.2900.2180

      12/01/2010 20:41:37
      mbam-log-2010-01-12 (20-41-37).txt

      Type de recherche: Examen rapide
      Eléments examinés: 102117
      Temps écoulé: 5 minute(s), 20 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 1
      Clé(s) du Registre infectée(s): 2
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 1
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 3

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      C:\WINDOWS\Temp\11.tmp (Backdoor.Bot) -> Delete on reboot.

      Clé(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\E8WECRKKMV (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe rundll32.exe ujvh.dro qulbhx) Good: (Explorer.exe) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\WINDOWS\Temp\11.tmp (Backdoor.Bot) -> Delete on reboot.
      C:\WINDOWS\system32\ujvh.dro (Backdoor.Bot) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\Drivers\str.sys (Rootkit.Agent) -> Delete on reboot.
      0
  16. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    très bien ...

    on continue .... dans l'ordre :

    1- Supprime tout ce qui se trouve dans la quarantaine de Malwarebytes ...

    ==========================

    2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    * Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . Bien vérifier que rien ne soit " bloqué en écriture " ( petit loquet sur certaines clé usb ... ) et que les DD externes soient bien sûr alimentés électriquement ...

    --------------------------------- [ ! ATTENTION ! ] ------------------------------------------
    !! Ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
    en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
    --->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
    Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    --------------------------------------------------------------------------------------------

    Ensuite :
    > Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...

    -- Pour XP, l' installation de la Console de Récupération sera demandé :
    * Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
    image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
    *Une fois la console installée,
    image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
    déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --

    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .

    Poste le rapport Combofix pour analyse et attends la suite ...

    0
    1. menzostar
       
      Bonjour sKe69 et merci pour votre patience :)
      Voici le rapport comfix:

      ComboFix 10-01-12.05 - Scierie 13/01/2010 18:32:00.1.1 - FAT32x86
      Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.446.127 [GMT 1:00]
      Lancé depuis: c:\documents and settings\Scierie\Bureau\ComboFix.exe
      AV: avast! antivirus 4.8.1368 [VPS 100113-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\documents and settings\Scierie\autorun.inf
      c:\documents and settings\Scierie\Documents .lnk
      c:\documents and settings\Scierie\Music .lnk
      c:\documents and settings\Scierie\New Folder .lnk
      c:\documents and settings\Scierie\Passwords .lnk
      c:\documents and settings\Scierie\Pictures .lnk
      c:\documents and settings\Scierie\Video .lnk
      c:\windows\system32\drivers\mnpgk.sys
      c:\windows\system32\drivers\str.sys
      c:\windows\Uninstall.ini

      Une copie infectée de c:\windows\system32\DRIVERS\atapi.sys a été trouvée et désinfectée
      Copie restaurée à partir de - Kitty ate it :p
      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_OEODQFGMYTYXN
      -------\Service_oeodqfgmytyxn


      ((((((((((((((((((((((((((((( Fichiers créés du 2009-12-13 au 2010-01-13 ))))))))))))))))))))))))))))))))))))
      .

      2010-01-12 19:02 . 2010-01-12 19:02 -------- d-----w- c:\program files\CCleaner
      2010-01-12 18:23 . 2010-01-12 18:23 -------- d-----w- C:\_OTM
      2010-01-12 08:30 . 2010-01-12 08:30 -------- d-----w- C:\FOUND.000
      2010-01-11 20:03 . 2010-01-11 20:03 -------- d-----w- C:\UsbFix
      2010-01-11 15:53 . 2010-01-11 15:53 -------- d-----w- c:\program files\Trend Micro
      2010-01-11 11:28 . 2010-01-11 11:28 -------- d-----w- c:\program files\Spybot - Search & Destroy
      2010-01-11 11:28 . 2010-01-11 11:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2010-01-09 16:13 . 2010-01-09 16:13 -------- d-----w- c:\program files\Safer Networking
      2010-01-09 15:06 . 2010-01-09 15:06 -------- d-----w- c:\documents and settings\Scierie\Application Data\Malwarebytes
      2010-01-09 15:06 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
      2010-01-09 15:06 . 2010-01-09 15:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
      2010-01-09 15:06 . 2010-01-09 15:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
      2010-01-09 15:06 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
      2010-01-04 23:14 . 2010-01-04 23:14 -------- d-s---w- c:\windows\system32\config\systemprofile\UserData
      2010-01-04 21:16 . 2009-11-24 23:48 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
      2010-01-04 21:16 . 2009-11-24 23:49 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
      2010-01-04 21:16 . 2009-11-24 23:47 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
      2010-01-04 21:16 . 2009-11-24 23:47 97480 ----a-w- c:\windows\system32\AvastSS.scr
      2010-01-04 21:16 . 2009-11-24 23:51 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
      2010-01-04 21:16 . 2009-11-24 23:51 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
      2010-01-04 21:16 . 2009-11-24 23:50 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
      2010-01-04 21:16 . 2009-11-24 23:50 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
      2010-01-04 21:15 . 2009-11-24 23:54 1280480 ----a-w- c:\windows\system32\aswBoot.exe
      2010-01-04 21:15 . 2010-01-04 21:15 -------- d-----w- c:\program files\Alwil Software
      2010-01-04 21:14 . 2010-01-04 21:14 42849712 ----a-w- C:\setupfre.exe
      2009-12-25 19:05 . 2001-08-23 16:47 5632 ----a-w- c:\windows\system32\ptpusb.dll
      2009-12-25 19:05 . 2004-08-03 23:54 159232 ----a-w- c:\windows\system32\ptpusd.dll
      2009-12-25 17:24 . 2009-12-25 17:25 -------- d-----w- c:\documents and settings\Scierie\Application Data\GARMIN
      2009-12-25 17:18 . 2009-12-25 17:18 -------- d-----w- c:\program files\Garmin GPS Plugin
      2009-12-25 17:08 . 2009-12-25 17:08 -------- d-----w- c:\documents and settings\All Users\Application Data\GARMIN
      2009-12-25 17:08 . 2009-12-25 17:08 -------- d-----w- c:\program files\DIFX
      2009-12-25 17:08 . 2009-12-25 17:08 -------- d-----w- c:\windows\system32\DRVSTORE
      2009-12-25 17:08 . 2009-12-25 17:08 -------- d-----w- c:\program files\Garmin

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-01-13 17:36 . 1979-12-31 23:00 50510 ----a-w- c:\windows\system32\perfc00C.dat
      2010-01-13 17:36 . 1979-12-31 23:00 370898 ----a-w- c:\windows\system32\perfh00C.dat
      2009-12-02 18:41 . 2009-12-02 18:41 1961720 ----a-w- c:\documents and settings\Scierie\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
      2009-12-01 20:03 . 2009-12-01 20:03 -------- d-----w- c:\program files\EasyScan
      2009-12-01 20:03 . 2009-12-01 20:02 1254400 ----a-w- c:\program files\EasyScan_1.12.exe
      2009-12-01 19:08 . 2009-12-01 19:08 -------- d-----w- c:\documents and settings\Scierie\Application Data\EPSON
      2009-11-29 17:50 . 2009-11-29 17:50 -------- d-----w- c:\documents and settings\Scierie\Application Data\dvdcss
      2009-11-22 09:06 . 2009-11-22 09:06 -------- d-----w- c:\documents and settings\Scierie\Application Data\vlc
      2009-11-18 20:54 . 2009-11-18 20:54 -------- d-----w- c:\documents and settings\Scierie\Application Data\InstallShield
      2009-11-18 11:25 . 2009-11-18 11:25 -------- d-----w- c:\documents and settings\Scierie\Application Data\Ahead
      2009-11-18 11:15 . 2009-11-18 11:15 -------- d-----w- c:\program files\Nero
      2009-11-18 11:15 . 2009-11-18 11:15 -------- d-----w- c:\program files\Fichiers communs\Ahead
      2009-11-18 11:15 . 2009-11-18 11:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Nero
      2009-11-18 10:48 . 2009-11-18 10:48 -------- d-----w- c:\program files\EPSON
      2009-11-16 21:36 . 2009-11-16 21:36 -------- d-----w- c:\documents and settings\Scierie\Application Data\AdobeUM
      2009-11-16 21:35 . 2009-11-16 21:35 -------- d-----w- c:\program files\Fichiers communs\Adobe
      2009-11-16 09:41 . 2009-11-16 09:41 -------- d-----w- c:\program files\Microsoft.NET
      2009-11-16 09:33 . 2009-11-16 09:33 -------- d-----w- c:\program files\VideoLAN
      2009-11-16 09:13 . 2009-11-16 09:13 51440 ----a-w- c:\documents and settings\Scierie\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
      2009-11-16 08:07 . 2005-03-07 19:24 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
      2009-11-16 07:56 . 2009-11-16 07:56 -------- d-----w- c:\program files\acer
      2009-11-16 07:56 . 2009-11-16 07:56 -------- d-----w- c:\program files\Launch Manager
      2009-11-16 07:25 . 1979-12-31 23:00 529 ----a-w- c:\windows\CLEANUP.CMD
      2009-11-16 07:25 . 1979-12-31 23:00 690 ----a-w- c:\windows\HOTFIX.BAT
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 98394]
      "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 688218]
      "AGRSMMSG"="AGRSMMSG.exe" [2004-10-07 88363]
      "SiSPower"="SiSPower.dll" [2005-02-25 49152]
      "SiS Windows KeyHook"="c:\windows\system32\keyhook.exe" [2005-03-04 32768]
      "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
      "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
      "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
      "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
      "eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760]
      "EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
      "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
      "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
      "HonorAutoRunSetting"= 0 (0x0)

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "HonorAutoRunSetting"= 0 (0x0)

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Utility Tray.lnk]
      path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Utility Tray.lnk
      backup=c:\windows\pss\Utility Tray.lnkCommon Startup

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchApp]
      Alaunch [X]

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]
      2005-03-28 11:30 315392 ----a-w- c:\program files\Launch Manager\QtZgAcer.EXE

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
      2007-03-01 13:57 153136 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
      2005-02-23 17:13 77824 ----a-w- c:\windows\SOUNDMAN.EXE

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
      "NMIndexingService"=3 (0x3)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=

      R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [04/01/2010 22:16 114768]
      R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [04/01/2010 22:16 20560]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.google.fr/
      uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2010-01-13 18:38
      Windows 5.1.2600 Service Pack 2 FAT NTAPI

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\Alwil Software\Avast4\aswUpdSv.exe
      c:\program files\Alwil Software\Avast4\ashServ.exe
      c:\windows\system32\wdfmgr.exe
      c:\windows\AGRSMMSG.exe
      c:\windows\system32\Rundll32.exe
      c:\program files\Alwil Software\Avast4\ashMaiSv.exe
      c:\program files\Alwil Software\Avast4\ashWebSv.exe
      c:\windows\system32\wscntfy.exe
      c:\program files\acer\eRecovery\Monitor.exe
      c:\\?\c:\windows\system32\WBEM\WMIADAP.EXE
      .
      **************************************************************************
      .
      Heure de fin: 2010-01-13 18:40:03 - La machine a redémarré
      ComboFix-quarantined-files.txt 2010-01-13 17:40

      Avant-CF: 30 045 143 040 octets libres
      Après-CF: 30 063 820 800 octets libres

      WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

      - - End Of File - - 34D4989690D37EA5FEFC6483CD6BB840
      0
  17. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    oki ....

    fais ceci maintenant :

    1- Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe
    ----> Enregistre le sur ton bureau .

    Double clique sur l'icone OAD pour le lancer

    - nom du fichier à rechercher :
    -->tape ou fais un copier coller de :

    oeodq puis tape sur [entrée]

    - Type de recherche : sélectionne l'option 6 puis valide ["entrée"]

    OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
    Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé.

    Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

    ->Sauvegarde ce rapport sur ton Bureau et fais un copier / coller de celui-ci dans ta prochaine réponse ...

    ========================

    2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
    1. menzostar
       
      Voici le rapport OAD

      13/01/2010 ---- 19:50:59,56

      ----------------------------------
      §§§§§§ [oeodq] §§§§§§
      ----------------------------------
      [X] Registre
      [ ] Fichier (rapide)
      [ ] Fichier (disque systeme)
      [X] Fichier (complete)




      ********************
      [Registre]
      ********************

      Aucune entrée détectée

      *******************
      [Fichier]
      *******************



      *********************
      [Même date]
      *********************

      Aucun fichier créé à la même date détecté


      ----------------------------------
      §§§§§ Fin Rapport §§§§§
      ----------------------------------
      0
      1. menzostar > menzostar
         
        et le ZHPDiag:

        http://www.cijoint.fr/cjlink.php?file=cj201001/cijLgkYzT0.txt
        0
  18. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bon .....

    dis moi comment va le PC .... du mieux ?

    puis fait ceci :

    1- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
    http://www.genproc.com/GenProc.exe

    !! ferme tes applications en cours !!

    * double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

    * A la question "faites vous aidez sur un forum..." > clique sur " oui " .

    -> poste le contenu du rapport qui s'ouvre ...

    Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

    IMPORTANT : poste le rapport uniquement ! Ne suis pas les éventuelles consignes qu'il mentionne pour le moment ...

    ==========================

    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici https://www.androidworld.fr/

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis l'option "S" et tape sur [entrée] .

    • le scan démarre , laisse travailler l'outil et ne touche à rien ...

    /!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )

    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
    (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
    Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html

    0
    1. menzostar
       
      Ah oui le pc va beaucoup mieux, le processeur n'est plus constemment bloqué a 100% d'utilisation comme la semaine derniere, et Avast ne detecte plus rien :)
      Je continue les opérations.
      Merci et a tt de suite.
      0
      1. menzostar > menzostar
         
        rapport Ad remover:

        .
        ======= RAPPORT D'AD-REMOVER 1.1.4.6_H | UNIQUEMENT XP/VISTA/7 =======
        .
        Mis à jour par C_XX le 11.01.2010 à 22:29
        Contact: AdRemover.contact@gmail.com
        Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
        .
        Lancé à: 20:54:25, 13/01/2010 | Mode Normal | Option: SCAN
        Exécuté de: C:\Ad-Remover\
        Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
        Nom du PC: LAUNAY | Utilisateur actuel: Scierie

        .
        ============== ÉLÉMENT(S) TROUVÉ(S) ==============
        .

        .
        .
        ============== Scan additionnel ==============
        .
        .
        * Internet Explorer Version 6.0.2900.2180 *
        .
        [HKEY_CURRENT_USER\..\Internet Explorer\Main]
        .
        Do404Search: 01000000
        Local Page: C:\WINDOWS\system32\blank.htm
        Show_ToolBar: yes
        Start Page: hxxp://www.google.fr/
        Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
        .
        [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
        .
        Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
        Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
        Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
        Delete_Temp_Files_On_Exit: yes
        Local Page: %SystemRoot%\system32\blank.htm
        Start Page: hxxp://fr.msn.com/
        .
        [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
        .
        Error: Value: "Tabs" does not exist!
        .
        ===================================
        .
        1343 Octet(s) - C:\Ad-Report-SCAN[1].log
        .
        0 Fichier(s) - C:\DOCUME~1\Scierie\LOCALS~1\Temp
        2 Fichier(s) - C:\WINDOWS\Temp
        129 Fichier(s) - C:\WINDOWS\Prefetch
        .
        1 Fichier(s) - C:\Ad-Remover\BACKUP
        0 Fichier(s) - C:\Ad-Remover\QUARANTINE
        .
        Fin à: 20:57:14 | 13/01/2010 - SCAN[1]
        .
        ============== E.O.F ==============
        .
        0
  19. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    le rapport de genproc ne passe pas .... il doit-être trop long pour le forum ....

    poste le via "Cijoint" stp ....

    0
  20. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    up !

    et ce rapport Genproc alors ( via "Cijoint" ) .... ?

    =)

    0
    1. menzostar
       
      Bonjour,
      Excusez moi pr le délais mais je croyais lavoir deja posté hier...
      Merci, Menzo.

      http://www.cijoint.fr/cjlink.php?file=cj201001/cijkfrxHud.txt
      0
  21. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ....

    la suite dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :

    ( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )

    1- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert :

    !! ferme tes autres applications en cours !!

    A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

    Là tu décoches la case devant ZHPDiag !

    > Enfin clique en bas sur "Nettoyer" .

    laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

    -> Copie/colle le contenu de ce rapport pour analyse ...

    ( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt)

    Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le !

    B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

    Au message de confirmation , clique sur "Ok" .

    Puis ferme ZHPFix ...

    ======================================

    2- Refais un coup de CCleaner ( registre compris ) .

    ======================================

    3- Télécharge et installe le logiciel HijackThis :

    ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
    ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
    ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

    -> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
    A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

    ( ne fais pas de scan pour le moment )

    ======================================

    4- Important :
    Purge de la restauration système
    *Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    *Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
    --->Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

    ======================================

    5- Fais ce scan en ligne pour vérifier :

    ( ne rien faire d'autre avec le PC durant le scan ! )

    Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :

    https://www.bitdefender.fr/

    * Aide :
    - En bas, dans l'encadré "Analyse en ligne gratuite" , clique sur "analyser" .
    - Dans la nouvelle fenêtre, clique sur "j’accepte" .
    > il te sera proposer d'installer un module complémentaire (contrôle ActiveX) pour pouvoir faire le scan > accepte !
    - Puis patiente le temps du chargement .
    - La fenêtre change encore, clique sur "démarrer l'analyse" .
    - Les signatures se chargent, etc ... et le scan démarre ...

    Laisse travailler sans utiliser le PC .

    * pour le rapport : clique sur l'onglet "plus de détailles" . A la fin du scan, clique sur " problème détectés " .
    -> juste au dessus à droite de la fenêtre des résultats , tu as " cliquer ici pour exporter le rapport " .
    -> Clique dessus donc, et choisis d'enregistrer le rapport sur ton bureau .

    --> Ouvre le document html que tu viens de sauvegarder ( le rapport ),
    fais un copier/coller de tout son contenu et poste le dans ta prochaine réponse ...

    Rappel : le scan en ligne ne fonctionne que sous Internet Exploreur ! ( et pas sur FireFox ou autres navigateurs )

    Tutoriel en images ici :
    http://perso.orange.fr/rginformatique/section%20virus/defender.htm (merci à Balltrap34 pour cette réalisation)
    Et ici : https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender

    0
    1. menzostar
       
      Hophophop, scan ZHPFix:)

      ZHPFix v1.12.25 by Nicolas Coolman - Rapport de suppression du 14/01/2010 13:50:54
      Fichier Registre :
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


      Processus mémoire :
      (Néant)

      Module mémoire :
      (Néant)

      Clé du Registre :
      (Néant)

      Valeur du Registre :
      (Néant)

      Elément de données du Registre :
      (Néant)

      Dossier :
      C:\Qoobox => Supprimé et mis en quarantaine
      C:\Genproc => Supprimé et mis en quarantaine
      C:\_OTM => Supprimé et mis en quarantaine
      C:\UsbFix => Supprimé et mis en quarantaine

      Fichier :
      c:\documents and settings\scierie\bureau\ad-r.exe => Supprimé et mis en quarantaine
      c:\combofix.txt => Supprimé et mis en quarantaine
      c:\documents and settings\scierie\bureau\rapport - genproc[1].url => Supprimé et mis en quarantaine
      c:\documents and settings\scierie\bureau\raccourci - genproc.lnk => Supprimé et mis en quarantaine
      c:\documents and settings\scierie\bureau\oad.exe => Supprimé et mis en quarantaine
      c:\resultat.txt => Supprimé et mis en quarantaine
      c:\documents and settings\scierie\bureau\otm.exe => Supprimé et mis en quarantaine
      c:\usbfix.txt => Supprimé et mis en quarantaine

      Logiciel :
      O63 - Logiciel: HijackThis 2.0.2 => Logiciel supprimé avec succès
      O63 - Logiciel: AD-Remover => Logiciel supprimé avec succès
      O63 - Logiciel: ComboFix => Logiciel supprimé avec succès
      O63 - Logiciel: GenProc => Logiciel supprimé avec succès
      O63 - Logiciel: OAD => Logiciel supprimé avec succès
      O63 - Logiciel: OTM => Logiciel supprimé avec succès
      O63 - Logiciel: UsbFix => Logiciel supprimé avec succès

      Script Registre :
      (Néant)

      Autre :
      (Néant)


      Récapitulatif :
      Processus mémoire : 0
      Module mémoire : 0
      Clé du Registre : 0
      Valeur du Registre : 0
      Elément de données du Registre : 0
      Dossier : 4
      Fichier : 8
      Logiciel : 7
      Autre : 0


      End of the scan
      0
  • 1
  • 2