Rapport hitjackthis/ pc infecté / débutante
krystellou
Messages postés
5
Statut
Membre
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
Nouvelle je viens ici en désespoir de cause chercher de l'aide ....
je viens de faire un rapport "hijackthis" , mais honnêtement .... je n'y comprend pas grand chose ....
j'ai infecté mon pc, le disque dur à été changé , mais comme je suis trop maligne ..j'ai réinfecté le nouveau en récupérant des fichiers ds l'ancien ....
Avast n'a rien pu faire .... j'ai voulu essayer "kapersky" , mais mon gentil virus m'empêche de me connecter à internet et donc d'avoir des clefs , ou des mises à jour etc ........
donc je ne peut pas me débarrasser de me semble t il ce "cheval de troie" qui paralyse mon pc ........
voilà ........bzzzzz HELP me !!! :)
MERCI d'avance à toute âme charitable qui voudra bien se pencher sur mon cas .... ^^
mon petit rapport ;) :
Logfile of random's system information tool 1.06 (written by random/random)
Run by cricri at 2010-01-20 10:44:40
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 423 GB (89%) free of 477 GB
Total RAM: 1022 MB (60% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:44:47, on 20/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\HP\KBD\KBD.EXE
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\cricri\Bureau\RSIT.exe
C:\Program Files\trend micro\cricri.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hmcisw] RUNDLL32.EXE C:\WINDOWS\system32\mskzuecw.dll,w
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\cricri\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
Nouvelle je viens ici en désespoir de cause chercher de l'aide ....
je viens de faire un rapport "hijackthis" , mais honnêtement .... je n'y comprend pas grand chose ....
j'ai infecté mon pc, le disque dur à été changé , mais comme je suis trop maligne ..j'ai réinfecté le nouveau en récupérant des fichiers ds l'ancien ....
Avast n'a rien pu faire .... j'ai voulu essayer "kapersky" , mais mon gentil virus m'empêche de me connecter à internet et donc d'avoir des clefs , ou des mises à jour etc ........
donc je ne peut pas me débarrasser de me semble t il ce "cheval de troie" qui paralyse mon pc ........
voilà ........bzzzzz HELP me !!! :)
MERCI d'avance à toute âme charitable qui voudra bien se pencher sur mon cas .... ^^
mon petit rapport ;) :
Logfile of random's system information tool 1.06 (written by random/random)
Run by cricri at 2010-01-20 10:44:40
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 423 GB (89%) free of 477 GB
Total RAM: 1022 MB (60% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:44:47, on 20/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\HP\KBD\KBD.EXE
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\cricri\Bureau\RSIT.exe
C:\Program Files\trend micro\cricri.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hmcisw] RUNDLL32.EXE C:\WINDOWS\system32\mskzuecw.dll,w
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\cricri\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
A voir également:
- Rapport hitjackthis/ pc infecté / débutante
- Reinitialiser pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
- Double ecran pc - Guide
10 réponses
Bonour,
ouvre l'Explorateur Windows, cherche C:\Program Files\trend micro\cricri.exe
Fais un double clic sur ce fichier pour relancer HijackThis.
Choisis Do a scan only
Coche la case devant les lignes suivantes
O4 - HKLM\..\Run: [hmcisw] RUNDLL32.EXE C:\WINDOWS\system32\mskzuecw.dll,w
Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
Clique sur fix checked.
Ferme Hijackthis.
===
Cherche le fichier C:\WINDOWS\system32\mskzuecw.dll, clic droit et Supprimer.
Vide ta Corbeille.
===
Purge la Restauration Système
Ouvre ce lien :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
dans un premier temps tu le suis pour désactiver la restauration système.
Tu fermes la fenêtre.
Dans un deuxième temps, tu le suis pour réactiver la restauration.
Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.
===
Pour ta connexion Internet, essaye ceci :
Ouvre Internet Explorer, clique sur Outils puis Options Internet.
Clique sur Connexions puis Paramètres réseau.
Si la case devant "utiliser un serveur prixy ..." est cochée décoche la.
ferme toutes les fenêtres par OK.
===
Si tu as récupéré ta connexion (sinon, si tu peux, tu le télécharges sur un ordi sain et tu le copies sur une clé USB pour le recopier sur l'ordi infecté, tu laisse la clé pour la suite des opérations ci-dessous), fais ceci :
--> Télécharge et installe UsbFix (de Chiquitine29) sur ton Bureau :
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
hxxp://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton Bureau .
• Choisis l' option 2 ( Suppression )
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
===
Recommence la purge de la restauration Système.
===
Mets à jour Kaspersky.
===
Fais redémarrer l'ordi.
Refais tourner RSIT et poste le nouveau rapport.
ouvre l'Explorateur Windows, cherche C:\Program Files\trend micro\cricri.exe
Fais un double clic sur ce fichier pour relancer HijackThis.
Choisis Do a scan only
Coche la case devant les lignes suivantes
O4 - HKLM\..\Run: [hmcisw] RUNDLL32.EXE C:\WINDOWS\system32\mskzuecw.dll,w
Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
Clique sur fix checked.
Ferme Hijackthis.
===
Cherche le fichier C:\WINDOWS\system32\mskzuecw.dll, clic droit et Supprimer.
Vide ta Corbeille.
===
Purge la Restauration Système
Ouvre ce lien :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
dans un premier temps tu le suis pour désactiver la restauration système.
Tu fermes la fenêtre.
Dans un deuxième temps, tu le suis pour réactiver la restauration.
Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.
===
Pour ta connexion Internet, essaye ceci :
Ouvre Internet Explorer, clique sur Outils puis Options Internet.
Clique sur Connexions puis Paramètres réseau.
Si la case devant "utiliser un serveur prixy ..." est cochée décoche la.
ferme toutes les fenêtres par OK.
===
Si tu as récupéré ta connexion (sinon, si tu peux, tu le télécharges sur un ordi sain et tu le copies sur une clé USB pour le recopier sur l'ordi infecté, tu laisse la clé pour la suite des opérations ci-dessous), fais ceci :
--> Télécharge et installe UsbFix (de Chiquitine29) sur ton Bureau :
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
hxxp://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton Bureau .
• Choisis l' option 2 ( Suppression )
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
===
Recommence la purge de la restauration Système.
===
Mets à jour Kaspersky.
===
Fais redémarrer l'ordi.
Refais tourner RSIT et poste le nouveau rapport.
Tout d'abord merci pour vos réponse rapides !! vraiment ...
Alors jlpjlp j'ai suivis tes procédures , merci , mais je rencontre quelques problèmes ...c'était trop beau !
Les premières étapes OK : j'ai supprimer "mskzuecw.dl"
Ensuite je n'arrive pas à désactiver la restauration système selon les notes que tu m'a envoyer ce serai parce que je ne suis pas l admin de mon pc .... c'est là que je ne comprend pas .... il n'y a pas d'autres comptes utilisateur sur mon pc , et pourtant je ne trouves pas l'onglet utile ...???
Pour internet ça n'a pas fonctionné la case était déjà décochée ds internet explorer,( info :j'utilisai google chrome).
J'ai installer usbfix, j'ai fait les démarches , mais mon pc plante tellement à chaque démarrage ... il me met des dizaines de messages qd je l ouvre.....BREF ..... je n'arrive pas à envoyer le fichier zip ... il dit que je ne met pas de fichier alors que je sélectionne celui ci ...
J'espère que tu pourras encore m'aider ..??
Merci d'avoir pris le temps.
Alors jlpjlp j'ai suivis tes procédures , merci , mais je rencontre quelques problèmes ...c'était trop beau !
Les premières étapes OK : j'ai supprimer "mskzuecw.dl"
Ensuite je n'arrive pas à désactiver la restauration système selon les notes que tu m'a envoyer ce serai parce que je ne suis pas l admin de mon pc .... c'est là que je ne comprend pas .... il n'y a pas d'autres comptes utilisateur sur mon pc , et pourtant je ne trouves pas l'onglet utile ...???
Pour internet ça n'a pas fonctionné la case était déjà décochée ds internet explorer,( info :j'utilisai google chrome).
J'ai installer usbfix, j'ai fait les démarches , mais mon pc plante tellement à chaque démarrage ... il me met des dizaines de messages qd je l ouvre.....BREF ..... je n'arrive pas à envoyer le fichier zip ... il dit que je ne met pas de fichier alors que je sélectionne celui ci ...
J'espère que tu pourras encore m'aider ..??
Merci d'avoir pris le temps.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
si tu ne peux pas te connecter à Internet, comment communiques tu avec nous ?
Fais ceci (si nécessaire avec transfert du fichier téléchargé sur l'ordi malade via clé USB)
Télécharge la dernière version de ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.
pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur Cijoint
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
PS désolé jlpjlp, je n'ai pas vu que tu avais posté.
si tu ne peux pas te connecter à Internet, comment communiques tu avec nous ?
Fais ceci (si nécessaire avec transfert du fichier téléchargé sur l'ordi malade via clé USB)
Télécharge la dernière version de ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.
pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur Cijoint
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
PS désolé jlpjlp, je n'ai pas vu que tu avais posté.
Je me sers d'un autre PC , connecté en wifi sur ma box ( le PC infecté est connecté par ethernet ) au même modem.
et je me sers d'une clef usb, pour les manips.
voici le lien :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijTGbXP4M.txt
encore merci...
et je me sers d'une clef usb, pour les manips.
voici le lien :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijTGbXP4M.txt
encore merci...
Re,
déconnecte le PC malade d'Internet.
L'infection progresse.
Prends la précaution de ne laisser sur la clé que les fichiers nécessaires (les outils de l'ordi sain vers l'ordi malade, les rapports de l'ordi malade vers l'ordi sain).
Fais un scan de l'ordi sain avec ton antivirus.
===
Ouvre ce lien : http://www.cijoint.fr/cjlink.php?file=cj201001/cijM1az6UQ.txt
Ouvre le fichier.
Copie le sur ta clé.
Sur l'ordi malade,
copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
===
Fais ce qui est au dessus et poste le rapport de ZHPDiag, la manip qui suit va être très longue.
Télécharge DrWeb sur l'ordi sain et transfère le sur l'ordi malade
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
La version est automatiquement à jour.
Tuto https://www.malekal.com/tutorial-et-guidedr-web-cureit/
Installe-le.
==> branche les USB et Disque dur externes .
Déconnecte toi physiquement d'Internet.
Arrête toutes tes application, y compris ton antivirus et ton parefeu.
Tu les réactiveras après.
Ensuite clique sur « cureit.exe » http://img210.imageshack.us/img210/3301/screenshot137xp7.png pour commencer le scan.
• Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton « Oui pour tout » à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; clique sur le "X" pour fermer la fenêtre
• Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
• Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique sur "Ok"
• De retour à la fenêtre principale : clique sur le bouton radio "Analyse complète".
• Clique sur la flèche verte sur la droite, et le scan débutera.
• Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique sur "Désinfecter".
• Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés : http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif
• Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable sauf pour les fichiers de C:\Windows et c:\Windows\System32
• Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
• Ferme Dr.Web Cureit
•
• Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
• Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
déconnecte le PC malade d'Internet.
L'infection progresse.
Prends la précaution de ne laisser sur la clé que les fichiers nécessaires (les outils de l'ordi sain vers l'ordi malade, les rapports de l'ordi malade vers l'ordi sain).
Fais un scan de l'ordi sain avec ton antivirus.
===
Ouvre ce lien : http://www.cijoint.fr/cjlink.php?file=cj201001/cijM1az6UQ.txt
Ouvre le fichier.
Copie le sur ta clé.
Sur l'ordi malade,
copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
===
Fais ce qui est au dessus et poste le rapport de ZHPDiag, la manip qui suit va être très longue.
Télécharge DrWeb sur l'ordi sain et transfère le sur l'ordi malade
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
La version est automatiquement à jour.
Tuto https://www.malekal.com/tutorial-et-guidedr-web-cureit/
Installe-le.
==> branche les USB et Disque dur externes .
Déconnecte toi physiquement d'Internet.
Arrête toutes tes application, y compris ton antivirus et ton parefeu.
Tu les réactiveras après.
Ensuite clique sur « cureit.exe » http://img210.imageshack.us/img210/3301/screenshot137xp7.png pour commencer le scan.
• Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton « Oui pour tout » à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; clique sur le "X" pour fermer la fenêtre
• Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
• Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique sur "Ok"
• De retour à la fenêtre principale : clique sur le bouton radio "Analyse complète".
• Clique sur la flèche verte sur la droite, et le scan débutera.
• Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique sur "Désinfecter".
• Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés : http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif
• Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable sauf pour les fichiers de C:\Windows et c:\Windows\System32
• Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
• Ferme Dr.Web Cureit
•
• Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
• Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
Donc j'ai fait les manip indiquées ci dessus mais une fois , le texte collé , les cases ok, je fais "nettoyer" et là j'ai un message d'erreur qui dit :"
=1023==>contacter nicolas coolman
apres violation d acces à ledresse 00404c22 ds lemodule zhpfix.exe lecture de l adresse 0000005a
heu... j'ai mal fait quelque chose ??
=1023==>contacter nicolas coolman
apres violation d acces à ledresse 00404c22 ds lemodule zhpfix.exe lecture de l adresse 0000005a
heu... j'ai mal fait quelque chose ??
Re,
je vois ça avec lui (Nicolas Coolman).
En attendant, fais la manip avec DrWebCureit.
Dans l'ordi infecté, vide bien la clé USB de tout fichier .exe, .scr, .htm, .html avant de revenir sur l'ordi sain.
Je crains un File Infector.
je vois ça avec lui (Nicolas Coolman).
En attendant, fais la manip avec DrWebCureit.
Dans l'ordi infecté, vide bien la clé USB de tout fichier .exe, .scr, .htm, .html avant de revenir sur l'ordi sain.
Je crains un File Infector.
Re,
la réponse ne donne pas de solution évidente (il n'y a pas de raisons que ce problème arrive).
Quand tu auras fini avec DrWebCureIt, tu relances la procédure avec ZHPFix sur les 10 premières lignes.
Si ça passe, tu gardes le rapport et tu fais passer les 10 suivantes et ainsi de suite.
Tu postes les rapports.
la réponse ne donne pas de solution évidente (il n'y a pas de raisons que ce problème arrive).
Quand tu auras fini avec DrWebCureIt, tu relances la procédure avec ZHPFix sur les 10 premières lignes.
Si ça passe, tu gardes le rapport et tu fais passer les 10 suivantes et ainsi de suite.
Tu postes les rapports.
