ZHPDiag pour analyse Fermé

Question

Bonjour,
Avast a décelé le virus Winesm32, j'ai réalisé un ZHPDiag, je sollicite votre aide pour effecteur l'analyse et m'indiquer la marche à suivre.
Le lien: http://www.cijoint.fr/cjlink.php?file=cj201003/cijXGOktCw.txt
Merci et bonne journée.

sKe69 · Answer

Hello,



plusieurs infecitons ! ....



/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).


Commence par ceci dans l'ordre :


1- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau  :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3
ou ici http://eric71.geekstogo.com/tools/ToolBarSD.exe

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !! 

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...  
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée]. 

Le nettoyage commence .

! ne touche à rien lors de la suppression ! 

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
pour analyse ... 

( le rapport est en outre sauvegardé ici -> C:\TB.txt )


==========================

2- Infecté par Navipromo .

-------------------------------------

Pour info,
Les programmes suivants installent cette infection : 
- Funky Emoticons 
- Games-Attack
- Original-Solitaire  
- Go-Astro 
- GoRecord 
- HotTVPlayer 
- Live-Player 
- MailSkinner 
- Messenger Skinner 
- Instant Access 
- InternetGameBox 
- Sudoplanet 
- WebMediaPlayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/

---------------------------------------

Télécharge Navilog1 sur ton bureau : 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!
  
Ensuite double clique sur navilog1.exe pour lancer l'outil . 

Laisse-toi guider. Au menu principal, choisis 1 et valide . 
(ne fais pas le choix 2 notre avis/accord) .

Patiente le temps du scan ...

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) .

Note : 
Si l'outil de demande d'effectuer la manipe en mode sans echec, fais le (  /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).
 

Patiente jusqu'au message : 
*** Scan Terminé le ..... *** 

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir. 
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite . 

(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" ) 


========================


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

sKe69 · Answer

salut,


je regarde cela et te dis quoi faire .... ;)

sKe69 · Answer

re,

mon message est resté bloqué ...


je fait le nécssaire pour que la procédure puisse être postée ... dès que c'est OK , je te fait signe ...

A tout de suite ... ;)

( désolé pour le désagrément )...

sKe69 · Answer

yop,


c'est tout bon ! ...


donc pour commencer, c'est ici > https://forums.commentcamarche.net/forum/affich-16879111-zhpdiag-pour-analyse#1


j'attends les rapports demandés ...

landrezac · Answer

Bonjour,
Merci beaucoup pour ces recherches.
Je dois m'absenter 3 jours, je commencerai la procédure mardi et je reprendrai contact avec vous.
Bien cordialement et bon WE.

sKe69 · Answer

re,



on continue .... dans l'ordre :




1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal ( qui est vierge ),  copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> http://www.cijoint.fr/cj201003/cijCyAThJm.txt


Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres comme sur cette page lorsque tu les copies dans ZHPFix.


* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 


=============================

2- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


==========================

3- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

sKe69 · Answer

re,

Je suis allé dans ZHPFIX, j'ai cliqué sur le H mais je ne vois aucun texte apparaitre pour faire copier coller comme vous me l'indiquez. 

et ben oui, c'est normal qui n'y est rein ! ... il faut que tu colles le texte qui se trouve sur cette page > http://www.cijoint.fr/cj201003/cijCyAThJm.txt



^^'

sKe69 · Answer

re,


il me faut le rapport de ZHPFix que tu as obtenu ! .... 

si tu ne l'a pas sauvegardé de toi même , il se trouve également ici :

C:\Program files\ZHPDiag\ZHPFixReport.txt



Une fois ce rapport posté , fait la suite :




1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\ 


=======================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

landrezac · Answer

Ci-jooint rapport
ZHPFix v1.12.3072  by Nicolas Coolman - Rapport de suppression du 10/03/2010 09:10:01
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\RXToolBar\sfcont.dll  => Clé supprimée avec succès
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} () - https://www.afternic.com/domains/errorsafe.com  => Clé supprimée avec succès
O16 - DPF: {C1029C96-C060-44EA-9752-502B62E6C8C4} (PGLoader Class) - (.not file.) - D:\plugins\pgldr.cab  => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{C1029C96-C060-44EA-9752-502B62E6C8C4}]  => Clé supprimée avec succès
[HKCR\CLSID\{C1029C96-C060-44EA-9752-502B62E6C8C4}]  => Clé supprimée avec succès
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} () - https://www.afternic.com/domains/errorsafe.com  => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\RXToolBar\sfcont.dll  => Donnée non supprimée

Dossier :
C:\Program Files\RXToolBar  => Dossier absent

Fichier :
c:\program files\rxtoolbar\sfcont.dll  => Fichier absent
c:\windows\system32\fjhdyfhsn.bat  => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 6
Valeur du Registre : 0
Elément de données du Registre : 1
Dossier : 1
Fichier : 2
Logiciel : 0
Autre : 0


End of the scan

sKe69 · Answer

vu ....



fait la suite donc ....



j'attends les rapports obtenus ...

sKe69 · Answer

hello,


impec pour UsbFix ....


parcontre , j'avais demandé ceci également :


Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

sKe69 · Answer

très bien ....




on continue ..... dans l'ordre :


1- Télécharges Malwarebytes' : 
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

 
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


===========================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

sKe69 · Answer

bien ....



on avance .... ;)



dans l'ordre :


1- Supprime tout ce qui se trouve dans la quarantaine de malwarebytes .



=============================


2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
•  Ferme tes applications en cours ( ainsi que ton navigateur ) .
•  DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .  
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
•  Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
•  Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour  XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation. 
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png  
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan -- 


Notes importantes : 
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment  : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée ici : C:\Combofix.txt 

Réactive bien tes défenses .

 
Poste le rapport Combofix pour analyse et attends la suite ...

landrezac · Answer

ci-joinrapport:
ComboFix 10-03-16.05 - utilisateur 17/03/2010  12:56:53.1.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1022.491 [GMT 1:00]
Lancé depuis: c:\documents and settings\utilisateur\Mes documents\Virus\ComboFix.exe
AV: avast! antivirus 4.8.1351 [VPS 100317-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NDISRD


(((((((((((((((((((((((((((((   Fichiers créés du 2010-02-17 au 2010-03-17  ))))))))))))))))))))))))))))))))))))
.

2010-03-17 09:17 . 2010-03-17 09:17	--------	d-----w-	c:\documents and settings\utilisateur\Application Data\Malwarebytes
2010-03-17 09:17 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-17 09:17 . 2010-03-17 09:17	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-17 09:17 . 2010-03-17 09:17	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-03-17 09:17 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-03-14 16:16 . 2010-03-14 16:16	1426	----a-w-	C:\UsbFix_Upload_Me_PORTABLE.zip
2010-03-13 12:28 . 2007-01-26 14:06	34816	------w-	c:\windows\system32\BrWiaNCp.dll
2010-03-13 12:28 . 2006-12-26 18:39	37376	------w-	c:\windows\system32\Brnsplg.dll
2010-03-13 12:28 . 2007-02-06 18:50	61952	------w-	c:\windows\system32\BrNetSti.dll
2010-03-13 12:28 . 2006-11-20 19:48	9728	------w-	c:\windows\system32\BrSti07a.dll
2010-03-13 12:28 . 2010-03-13 12:28	--------	d-----w-	C:\Brother
2010-03-13 12:28 . 2003-11-28 17:57	0	------w-	c:\windows\brdfxspd.dat
2010-03-13 12:28 . 2006-01-17 00:03	126976	------w-	c:\windows\system32\BrfxD05a.dll
2010-03-13 12:28 . 2007-01-26 13:42	61440	------w-	c:\windows\system32\BrMfNt.dll
2010-03-13 12:28 . 2006-07-07 11:40	73728	------w-	c:\windows\system32\BRCrypt.dll
2010-03-13 12:28 . 2002-11-26 12:43	106496	------w-	c:\windows\system32\BrMuSNMP.dll
2010-03-11 07:39 . 2010-03-11 07:39	--------	d-----w-	c:\documents and settings\All Users\Application Data\PC Drivers HeadQuarters
2010-03-11 07:23 . 2009-10-23 15:28	3558912	------w-	c:\windows\system32\dllcache\moviemk.exe
2010-03-10 08:26 . 2010-03-14 16:16	--------	d-----w-	C:\UsbFix
2010-03-10 06:57 . 2010-03-10 08:10	--------	d-----w-	c:\program files\ZHPFix
2010-03-09 14:57 . 2010-03-09 15:03	--------	d---a-w-	C:\Navilog1
2010-03-09 14:57 . 2010-03-09 14:57	--------	d-----w-	c:\program files
avilog1
2010-03-09 14:47 . 2010-03-09 14:51	--------	d-----w-	C:\ToolBar SD
2010-03-04 11:23 . 2010-03-17 08:55	--------	d-----w-	c:\program files\ZHPDiag
2010-03-04 08:45 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-03-02 13:33 . 2010-03-02 13:33	--------	d-----w-	c:\program files\CCleaner
2010-02-28 14:06 . 2010-03-02 13:33	--------	d-----w-	c:\program files\USBToolbox
2010-02-28 14:06 . 2010-02-28 14:06	45	----a-w-	c:\windows\DelToolbox.bat
2010-02-27 16:19 . 2010-02-27 16:19	--------	d-----w-	c:\windows\l2schemas
2010-02-27 16:19 . 2010-02-27 16:19	--------	d-----w-	c:\windows\system32\fr
2010-02-27 16:19 . 2010-02-27 16:19	--------	d-----w-	c:\windows\system32\bits
2010-02-27 15:59 . 2010-02-27 15:59	--------	d-----w-	c:\windows\EHome
2010-02-27 08:15 . 2008-04-13 18:40	34688	----a-w-	c:\windows\system32\drivers\lbrtfdc.sys
2010-02-27 08:15 . 2008-04-13 18:41	8576	----a-w-	c:\windows\system32\drivers\i2omgmt.sys
2010-02-27 08:13 . 2008-04-13 18:40	8192	----a-w-	c:\windows\system32\drivers\changer.sys

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-17 11:26 . 2007-12-29 10:13	--------	d-----w-	c:\documents and settings\utilisateur\Application Data\Skype
2010-03-17 10:43 . 2007-12-29 11:36	--------	d-----w-	c:\documents and settings\utilisateur\Application Data\skypePM
2010-03-17 10:29 . 2007-04-21 13:03	--------	d-----w-	c:\program files\Mozilla Thunderbird
2010-03-13 12:30 . 2008-07-30 13:27	50	----a-w-	c:\windows\system32\bridf07a.dat
2010-03-11 07:39 . 2007-06-30 10:12	49976	----a-w-	c:\documents and settings\utilisateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-03-04 10:49 . 2006-01-27 09:38	--------	d-----w-	c:\program files\Alice_Triway_WiFi
2010-03-02 13:33 . 2005-12-26 10:31	--------	d-----w-	c:\program files\ComfyWare
2010-03-02 13:31 . 2005-05-18 02:47	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-02-28 07:40 . 2004-08-17 09:31	85550	----a-w-	c:\windows\system32\perfc00C.dat
2010-02-28 07:40 . 2004-08-17 09:31	512014	----a-w-	c:\windows\system32\perfh00C.dat
2010-02-27 16:29 . 2004-08-17 09:30	79431	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-02-27 07:22 . 2010-02-27 07:22	12	----a-w-	c:\documents and settings\LocalService\Application Databuwzv.dat
2010-02-26 19:39 . 2010-02-26 19:39	8	----a-w-	c:\windows\system32\config\systemprofile\Application Databuwzv.dat
2010-02-11 16:55 . 2010-02-11 16:55	356352	----a-w-	c:\documents and settings\utilisateur\Local Settings\Application Data\idfike.exe
2010-02-06 09:11 . 2006-12-16 10:26	--------	d-----w-	c:\program files\Google
2010-01-17 11:46 . 2010-01-17 11:46	--------	d-----w-	c:\program files\Samsung
2010-01-05 09:56 . 2004-08-05 08:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-01-05 09:56 . 2004-08-05 08:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-01-05 09:56 . 2004-08-05 08:00	17408	----a-w-	c:\windows\system32\corpol.dll
2009-12-31 16:50 . 2004-08-05 08:00	353792	----a-w-	c:\windows\system32\drivers\srv.sys
2006-01-27 20:12 . 2006-01-27 20:12	7902377	----a-w-	c:\program files\brest_adsl.rm
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 68856]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2007-12-12 21686568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 339968]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 49263]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-04-11 794624]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2004-10-13 278528]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-02-16 282624]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2005-02-17 233534]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"BigDogPath"="c:\windows\VM_STI.EXE" [2004-06-09 40960]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]
"PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"USB Storage Toolbox"="c:\program files\USBToolbox\Res.EXE" [2004-08-12 122880]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Microsoft Office\Office10\WINWORD.EXE"=
"c:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1700:TCP"= 1700:TCP:MioNet Remote Drive Access
"1641:TCP"= 1641:TCP:MioNet Remote Drive Verification

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [07/04/2008 16:51 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [07/04/2008 16:51 20560]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22/03/2005 15:39 200192]
S2 gupdate1ca210db582f852;Service Google Update (gupdate1ca210db582f852);c:\program files\Google\Update\GoogleUpdate.exe [19/08/2009 21:43 133104]
.
Contenu du dossier 'Tâches planifiées'

2010-03-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 14:42]

2010-03-17 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-25 20:42]

2010-03-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-19 20:43]

2010-03-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-19 20:43]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mWindow Title = 
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q305&bd=presario&pf=laptop
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
DPF: {952F9A71-131A-11D5-8404-00500445A7D0} - hxxps://intranet.unss.org/plugins/mplugax.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-17 13:06
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????4?6?5?5??p???? ???B?????????????hLC? ?????? 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(540)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'Explorer.EXE'(1296)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Brother\ControlCenter3\brccMCtl.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\Brother\Brmfcmon\BrMfcmon.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\HPQ\SHARED\HPQWMI.exe
.
**************************************************************************
.
Heure de fin: 2010-03-17  13:11:04 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-03-17 12:11

Avant-CF: 23 029 559 296 octets libres
Après-CF: 23 005 503 488 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

Current=2 Default=2 Failed=1 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 3F2516240B4C2BF374BDA27A0D73006D

sKe69 · Answer

bon ....



plusieurs trucs louches à contrôler encore ...



fait ceci :



1- Avoir accès aux fichiers cachés :
 
Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 



2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
c:\windows\pchealth\helpctr\OfflineCach­e\index.dat       

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

c:\documents and settings\LocalService\Application Data\rbuwzv.dat     
c:\windows\system32\config\systemprofile\Ap­plication Data\rbuwzv.dat     
c:\documents and settings\utilisateur\Local Settings\Application Data\idfike.exe 
      

Poste moi donc ces 4 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

landrezac · Answer

ci-joint:

c:\windows\pchealth\helpctr\OfflineCach­e\index.dat 

0 bytes size received / Se ha recibido un archivo vacio

c:\documents and settings\LocalService\Application Data\rbuwzv.dat 

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.50 2010.03.02 - 
AhnLab-V3 5.0.0.2 2010.03.02 - 
AntiVir 8.2.1.180 2010.03.02 - 
Antiy-AVL 2.0.3.7 2010.03.02 - 
Authentium 5.2.0.5 2010.03.02 - 
Avast 4.8.1351.0 2010.03.02 - 
AVG 9.0.0.730 2010.03.02 - 
BitDefender 7.2 2010.03.02 - 
CAT-QuickHeal 10.00 2010.03.02 - 
ClamAV 0.96.0.0-git 2010.03.02 - 
Comodo 4091 2010.02.28 - 
DrWeb 5.0.1.12222 2010.03.02 - 
eSafe 7.0.17.0 2010.03.02 - 
eTrust-Vet 35.2.7335 2010.03.02 - 
F-Prot 4.5.1.85 2010.03.02 - 
F-Secure 9.0.15370.0 2010.03.02 - 
Fortinet 4.0.14.0 2010.02.28 - 
GData 19 2010.03.02 - 
Ikarus T3.1.1.80.0 2010.03.02 - 
Jiangmin 13.0.900 2010.03.02 - 
K7AntiVirus 7.10.987 2010.03.02 - 
Kaspersky 7.0.0.125 2010.03.02 - 
McAfee 5908 2010.03.02 - 
McAfee+Artemis 5908 2010.03.02 - 
McAfee-GW-Edition 6.8.5 2010.03.02 - 
Microsoft 1.5502 2010.03.02 - 
NOD32 4909 2010.03.02 - 
Norman 6.04.08 2010.03.02 - 
nProtect 2009.1.8.0 2010.03.02 - 
Panda 10.0.2.2 2010.03.01 - 
PCTools 7.0.3.5 2010.03.02 - 
Prevx 3.0 2010.03.02 - 
Rising 22.37.01.04 2010.03.02 - 
Sophos 4.50.0 2010.03.02 - 
Sunbelt 5727 2010.03.02 - 
Symantec 20091.2.0.41 2010.03.02 - 
TheHacker 6.5.1.7.218 2010.03.02 - 
TrendMicro 9.120.0.1004 2010.03.02 - 
VBA32 3.12.12.2 2010.03.02 - 
ViRobot 2010.3.2.2208 2010.03.02 - 
VirusBuster 5.0.27.0 2010.03.02 - 
Information additionnelle 
File size: 12 bytes 
MD5   : bd053092ff53f6c1934293bcc0346377 
SHA1  : de737d5a70b29c317736038d6884233cec649088 
SHA256: 3ae2971a7bf837dadddad90dac13f77524f375eb9c69460dc612249a53c3d0e0 
TrID  : File type identification
Unknown! 
ssdeep: 3:Iu5u:Iuw 
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
PEiD  : - 
RDS   : NSRL Reference Data Set
- 


c:\windows\system32\config\systemprofile\Ap­plication Data\rbuwzv.dat 

0 bytes size received / Se ha recibido un archivo vacio


c:\documents and settings\utilisateur\Local Settings\Application Data\idfike.exe 
Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.50 2010.03.17 - 
AhnLab-V3 5.0.0.2 2010.03.16 - 
AntiVir 8.2.1.194 2010.03.17 - 
Antiy-AVL 2.0.3.7 2010.03.17 - 
Authentium 5.2.0.5 2010.03.17 W32/Skintrim.1!Generic 
Avast 4.8.1351.0 2010.03.17 - 
Avast5 5.0.332.0 2010.03.17 - 
AVG 9.0.0.787 2010.03.17 Skintrim 
BitDefender 7.2 2010.03.17 Gen:Heur.NaviPromo.3 
CAT-QuickHeal 10.00 2010.03.17 Win32.Trojan.Hrup.aah.3 
ClamAV 0.96.0.0-git 2010.03.17 - 
Comodo 4294 2010.03.17 - 
DrWeb 5.0.1.12222 2010.03.17 - 
eSafe 7.0.17.0 2010.03.16 - 
eTrust-Vet 35.2.7369 2010.03.17 - 
F-Prot 4.5.1.85 2010.03.17 W32/Skintrim.1!Generic 
F-Secure 9.0.15370.0 2010.03.17 Gen:Heur.NaviPromo.3 
Fortinet 4.0.14.0 2010.03.15 - 
GData 19 2010.03.17 Gen:Heur.NaviPromo.3 
Ikarus T3.1.1.80.0 2010.03.17 - 
Jiangmin 13.0.900 2010.03.17 - 
K7AntiVirus 7.10.999 2010.03.16 - 
Kaspersky 7.0.0.125 2010.03.17 Trojan.Win32.Hrup.aah 
McAfee 5922 2010.03.16 - 
McAfee+Artemis 5922 2010.03.16 - 
McAfee-GW-Edition 6.8.5 2010.03.17 Heuristic.LooksLike.Win32.Downloader.I 
Microsoft 1.5605 2010.03.17 Trojan:Win32/Skintrim.C 
NOD32 4951 2010.03.17 a variant of Win32/Skintrim.GB 
Norman 6.04.08 2010.03.16 - 
nProtect 2009.1.8.0 2010.03.17 - 
Panda 10.0.2.2 2010.03.17 - 
PCTools 7.0.3.5 2010.03.17 - 
Prevx 3.0 2010.03.17 - 
Rising 22.39.02.04 2010.03.17 - 
Sophos 4.51.0 2010.03.17 Mal/Hrup-A 
Sunbelt 5932 2010.03.17 - 
Symantec 20091.2.0.41 2010.03.17 Suspicious.Insight 
TheHacker 6.5.2.0.235 2010.03.17 Trojan/Crypt.gen 
TrendMicro 9.120.0.1004 2010.03.17 - 
VBA32 3.12.12.2 2010.03.17 Malware-Cryptor.Win32.Palka 
ViRobot 2010.3.17.2232 2010.03.17 - 
VirusBuster 5.0.27.0 2010.03.16 - 
Information additionnelle 
File size: 356352 bytes 
MD5...: 21adda58998df5c4d9bb4b957ec68daf 
SHA1..: be9f3e3e101495e7498d1266a1a463e43623d7e9 
SHA256: f9b78f7a7f5c175e5ccd94625067b99837cf3ed80b68117045ba7e02a6556d8b 
ssdeep: 6144:brzPFdYnDSnYKREYtoIixCB1xd5GjkpeyNHFs3CpWbc2ZBTtks6QOHfGg:7
vgGnYKeYICzj5GgpBHFvpWblhWQa
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1860
timedatestamp.....: 0x46737660 (Sat Jun 16 05:34:24 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1640 0x2000 4.65 d2196f305ef335eee4388fb10417e640
.data 0x3000 0x523ce 0x53000 7.22 653d4f187365b83413d8d65a2ebdf946
.rsrc 0x56000 0x6a0 0x1000 1.62 1953bf8ca27f0ec7cc957415f3d315f9

( 1 imports ) 
> KERNEL32.dll: LCMapStringA, GetStringTypeW, GetACP, TerminateProcess, GetEnvironmentStringsW, HeapDestroy, SetUnhandledExceptionFilter, FreeLibrary, GetCommandLineW, FindFirstFileA, SetFilePointer, WideCharToMultiByte, LCMapStringW, GetStdHandle, HeapFree, CompareStringW, DeleteCriticalSection, GetCurrentThread, GetLastError, GetTickCount, GetVersion, GetCommandLineA, GetCurrentThreadId, GetModuleHandleA, GetCurrentProcessId, ExitProcess, VirtualAlloc

( 0 exports ) 
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

sKe69 · Answer

re,


c'est bien ce qu'il me semblait .... dans l'ordre :



1- On va ré-utiliser Navilog1 ainsi :


!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!
  
Ensuite double clique sur navilog1.exe pour lancer l'outil . 

Laisse-toi guider. Au menu principal, choisis 2 et valide . 
(ne fais pas le choix 1 notre avis/accord) .

> L'outil va te demander de saisir un nom de fichier. Saisis ce qui est en gras ci-dessous et rien d'autre :


idfike


--->puis valide .

L'outil va te demander de le re-saisir encore une fois. Fais le et valide.

Laisse faire le nettoyage et laisse toi guider ...

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuelement (c'est important !) .

Note : 
Si l'outil de demande d'effectuer la manipe en mode sans echec, fais le (  /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).

 
Patiente jusqu'au message : 
*** Scan Terminé le ..... *** 

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir. 
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite . 

(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" ) 



=============================

2- Créer un doc texte sur ton bureau: 
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" . 

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


File:: 
c:\documents and settings\LocalService\Application Data\rbuwzv.dat 
c:\windows\system32\config\systemprofile\Ap­plication Data\rbuwzv.dat 
c:\UsbFix_Upload_Me_PORTABLE.zip 

Driver::
SYMTDI      


* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
 

3- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


===============================


4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

sKe69 · Answer

re,


tu n'as pas fait la manipe de Navilog ? ...

fait là stp et poste le rapport ...



Pour ComboFix , tu as du faire une erreur de manipe ... recommence également ....

sKe69 · Answer

bon ,


je répète donc :



tu n'as pas fait la manipe de Navilog ? ... 

Pour ComboFix , tu as du faire une erreur de manipe ...




Donc recommence l'ensemble de cette manipe et dans l'ordre > https://forums.commentcamarche.net/forum/affich-16879111-zhpdiag-pour-analyse#34


j'attends les nouveaux rapports ....

sKe69 · Answer

vu,


continue ... ;)

landrezac · Answer

Bonjour,
J'ai besoin d'une précision pour: Créer un doc texte sur ton bureau:
Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valide ... ( sauvegarde le bien sur le bureau 

Le fichier faut il le nommer CFScript ou CFScript.txt
Merci de votre réponse

sKe69 · Answer

re,  



tu peux encore recommencer la procédure complète ( sauf Navilog ) ! ...  


si tu crées un doc txt , pas besoin de rajouté le ."txt" lorsque tu sauvegardes ! ... sinon tu vas te retrouver avec un fichier qui aura pour nom et extention :  

CFScript.txt.txt ( avec 2 fois ".txt." )  

et c'est pour cela que ça foire ...  


;o)  



j'attends les nouveaux rapports ...   



"Baby, I'm going on an airplane, And I don't know if I'll be back again"  
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne   
vous l'a pas dit !

sKe69 · Answer

Re,


il faut vraiment le nommé CFScript à la lettre et à la majuscule prés ! .... et dans le script , il faut que le " File:: " se trouve sur la première ligne du doc txt ...


recomence la procédure , il y a eu forcement une erreur quelque part ...

sKe69 · Answer

hello,



bizard ce petit fichier qui s'accroche ....



fait ceci :


1- Télécharge OTM (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

 
Double clique sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 

:Files
c:\WINDOWS\system32\config\systemprofile\Application Data\rbuwzv.dat

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).


=========================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

sKe69 · Answer

bien ...



dis moi comment va le PC .... du mieux ?



puis fait ceci :


Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/ 

! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) ! 

* Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
* Une fois l'outil ouvert, clique sur le bouton [Scan] .

* Laisse travailler l'outil et ne touche à rien ... 


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...


( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

sKe69 · Answer

re,


la seule difficulté est qu'il met environ 10' pour démarrer

> 10 minutes ????


est il utile de continuer ? 


OUI ! .... j'attends le rapport Ad-R stp ...

sKe69 · Answer

hello,


la suite dans l'ordre :



1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) ! 
 

*  Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
*  Clique cette fois sur [Nettoyer]" .

*  Le nettoyage débute >  Laisse travailler l'outil et ne touche à rien !... 


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 


================================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

sKe69 · Answer

oki ...



Fais ce qui suit dans l'ordre ( si le dernier rapport est clean, on pourra finaliser ) :



( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag ! 


> Enfin clique en bas sur "Nettoyer" . 


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ... 

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt) 

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le ! 



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ). 

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...
 

======================================

2- Refais un coup de CCleaner ( registre compris ) .


======================================

3- Télécharge et installe le logiciel HijackThis : 

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

======================================

4- Important :
Purge de la restauration système 
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec " Panda " :

> https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
( clique sur "scan your PC now" )

tuto : 
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368 


poste moi le rapport obtenu pour analyse ...

sKe69 · Answer

bon ....



quelques clé de registre infectieuses à nettoyer ....



fait ceci :


Télécharge OTM (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

 
Double clique sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 

:Reg
[-hkey_local_machine\software\cydoor] 
[-hkey_classes_root\adm25.adm25] 
[-hkey_local_machine\software\classes\appid\adm.exe] 
[-hkey_classes_root\appid\adm.exe] 
[-hkey_local_machine\software\classes\adm25.adm25] 
[-hkey_local_machine\software\classes\adm25.adm25.1] 
[-hkey_local_machine\software\classes\adm4.adm4] 
[-hkey_local_machine\software\classes	opsearch.tslink] 
[-hkey_local_machine\software\classes	opsearch.tslink.1] 
[-hkey_classes_root	opsearch.tslink.1] 
[-hkey_classes_root\adm25.adm25.1] 
[-hkey_classes_root\adm4.adm4] 
[-hkey_classes_root\adm4.adm4.1] 
[-hkey_classes_root	opsearch.tslink] 
[-hkey_classes_root\interface\{582ab125-1403-42fb-9efb-198690ba1496}] 
[-hkey_current_user\software
eed2find] 
[-hkey_classes_root\interface\{4d1c4e8a-a32a-416b-bcdb-33b3ef3617d3}]

:Files
c:\documents and settings\utilisateur\mes documents\ma musique\amelie\amelie\jah-victory---alpha-blondy-[-full-album-].zip

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).

sKe69 · Answer

hello,


recommence en collant ce script dans OTM :


:Reg 
[-HKEY_LOCAL_MACHINE\software\cydoor] 
[-HKEY_CLASSES_ROOT\adm25.adm25] 
[-HKEY_LOCAL_MACHINE\software\classes\appid\adm.exe] 
[-HKEY_CLASSES_ROOT\appid\adm.exe] 
[-HKEY_LOCAL_MACHINE\software\classes\adm25.adm25] 
[-HKEY_LOCAL_MACHINE\software\classes\adm25.adm25.1] 
[-HKEY_LOCAL_MACHINE\software\classes\adm4.adm4] 
[-HKEY_LOCAL_MACHINE\software\classes	opsearch.tslink] 
[-HKEY_LOCAL_MACHINE\software\classes	opsearch.tslink.1] 
[-HKEY_CLASSES_ROOT	opsearch.tslink.1] 
[-HKEY_CLASSES_ROOT\adm25.adm25.1] 
[-HKEY_CLASSES_ROOT\adm4.adm4] 
[-HKEY_CLASSES_ROOT\adm4.adm4.1] 
[-HKEY_CLASSES_ROOT	opsearch.tslink] 
[-HKEY_CLASSES_ROOT\interface\{582ab125-1403-42fb-9efb-198690ba1496}] 
[-HKEY_CURRENT_USER\software
eed2find] 
[-HKEY_CLASSES_ROOT\interface\{4d1c4e8a-a32a-416b-bcdb-33b3ef3617d3}] 

:Commands 
[emptytemp] 
[Reboot]



Poste le nouveau rapport obtenu ....

sKe69 · Answer

laisse tomber OTM ...


10 min ! .... t'exagère pas un peu par hasard .... -_-


?


Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 


> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

sKe69 · Answer

bon ...


possible que tu te soit ré-infecté ... ^^"




dans l'ordre :



1- Désinstalle ta version de ZHPDiag qui est obsolette :

* utilise l'utilitaire de désinstalle Unins000.exe qui se trouve dans ce dossier >  C:\Program files\ZHPDiag 

* Supprime ensuite le dossier  C:\Program files\ZHPDiag


============================


2- On va reprendre avec la dernière version de UsbFix qui est disponible

( donc si tu l' as encore sur le PC , suppirme le  )


Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

sKe69 · Answer

Salut,



1- Utilise OTM ainsi :

Double clique sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 


:Reg
[-HKEY_CURRENT_USER\Software\Need2Find]

:Files
C:\UsbFix_Upload_Me_PORTABLE.zip

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).


==================================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/ 

! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) ! 

* Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
* Une fois l'outil ouvert, clique sur le bouton [Scanner] .

* Laisse travailler l'outil et ne touche à rien ... 


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...


( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

sKe69 · Answer

re,



vu pour les rapports ... refais moi un topo sur les différents disfonctionnements que le PC rencontre encore éventuellement ...



Puis refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

sKe69 · Answer

bien ... 



on va finaliser et faire un check-up ... on verra ensuite si les prb de démarrage persite .... 



dans l'ordre : 


1- La place libre sur ton disque dur est insufisante pour le systeme tourne correctement ( et les lenteurs de démarrage peuvent provenir de là également ) . 


System drive C: has 7 GB (9%) free of 75 GB  


> il faut ramener ce pourcentage à 20 % minimun ( il faut donc supprimer ou déplacer environs 9 Go de données inutiles )   


une fois ceci fait au mieux , fait la suite .... 


========================= 

2- Mets à jour ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) : 

Version Console Java à jour > 6 Update 20 
Version Adobe Reader à jour > v 9.3.2 
Version Internet Explorer à jour > v 8 
Version FireFox à jour > v 3.6.3 


* pour la console Java : 
-> désinstalle toutes les versions antérieurs  via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) . 

tes anciennes versions sont : 
J2SE Runtime Environment 5.0 Update 2  
J2SE Runtime Environment 5.0 Update 6  
J2SE Runtime Environment 5.0 Update 9 


-> Puis télécharge et installe la dernière version ici : 
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/ 
ou https://www.java.com/fr/ 

( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions  
avec l'outil Javara : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara ) 

-> Enfin contrôle ceci :  
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour". 


* Adobe Reader : 
-> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) . 
-> Note : si tu as une imprimante ,éteinds la et débranche la du PC avant de faire la mise à jour. 
-> télécharge et installe la dernière version ici :  
https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/ 


* Internet Explorer : 
Même si tu utilises un autre Navigateur , il faut tenir IE à jour ! ( sinon faille de sécurité ) . 
->Télécharge le ici : https://support.microsoft.com/fr-fr/allproducts 
ou ici : https://www.commentcamarche.net/telecharger/web-internet/12477-internet-explorer-11/ 


 ! Ferme toutes applications en cours ( navigateurs compris ), désactive toutes tes défenses ( antivirus , pare feu , guarde anti-spyware ...), et en restant connecté ! 

> puis lance l'installe de IE8 et laisse toi guider ...( regarde bien le du tuto ci-dessous ) 

->Pourquoi mettre à jours IE et tuto ici : 
https://forum.malekal.com/viewtopic.php?f=45&t=12405 


 * FireFox : 
Télécharge et installe la dernière version ici > http://www.mozilla-europe.org/fr/ 
  

============================ 


3- Une fois ceci fait , utilise Hijackthis ainsi : 

tuto pour utilisation : 
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),  
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm  
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement ) 

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg :  
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"  

---> Poste le rapport généré pour analyse ...   



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

ZHPDiag pour analyse

35 réponses

Discussions similaires