Très gros problème, ordinateur infecté

Résolu
Safius -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
cela fait maintenant deux jours que j'ai un gros problème. En effet, je reçois environ 10 alertes d'un coup de mon Anti virus (Avira AntiVir) me disant que mon ordinateur est infecté. Par ailleurs, j'ai également des alertes venant de Antivirus Vista me disant que j'ai X fichiers infectés mais que ma session a expiré ... Je ne savais même pas que j'avais cet antivirus mais je pense qu'il était inclu avec mon ordinateur que j'ai eu il y a à peu près un mois.
Voilà une capture d'écran pour vous montrer à peu près comment est mon bureau :

J4ai beau supprimer, refuser l'accès, mettre en quarantaine. Rien n'y fait le virus revient !

J'ai vraiment besoin d'aide, je ne peux plus utiliser mon ordinateur correctement & j'en ai vraiment besoin.
Si vous pouviez m'aider ce serait vraiment sympathique de votre part.
Merci !
A voir également:

144 réponses

Précédent
Réponse 41 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,


si possible de faire ceci maintenant , se srait bien :


Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
ou ici https://www.androidworld.fr/

! Ferme toutes applications en cours !

* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

apdproxy.exe,hphc_scheduler.exe,acrotray


* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "


( ne touche à aucun autre réglage )

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ).

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

--> Copie/colle le contenu de ce rapport dans ta prochaine réponse. Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/


0
Réponse 42 / 144
Safius Messages postés 188 Statut Membre 2
 
Désolé hier soir j'avais éteins mon ordi avant de voir le dernier message, j'ai lancé le rapport il y a plus de 2 heures et il était resté bloqué sur l'étape 2 ... Ca me semblait bizarre donc j'ai désactivé l'antivirus parce que j'me suis dis que c'était à cause des alertes intempestives d'Avira. J4ai donc recommencé & ça l'a fait en 2 minutes ^^
DONC voilà le rapport :

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 19:15:43 le 26/03/2010
4.
5. Valeur(s) recherchée(s):
6.
7. apdproxy.exe
8. hphc_scheduler.exe
9. acrotray
10.
11. (!) --- Calcul du Hash "MD5"
12. (!) --- Affichage des ADS
13. (!) --- Informations supplémentaires
14.
15. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
16.
17. "c:\Qoobox\Quarantine\C\Program Files\Adobe\acrotray .exe.vir" [ ----A---- | 27136 ]
18. TC: 15/03/2010,20:39:20 | TM: 18/03/2010,14:14:24 | DA: 15/03/2010,20:39:20
19. MD5: 70c714ef7f5dbff570b507135daa4a3a
20.
21.
22.
23. =========================
24.
25. "c:\Program Files\Hewlett-Packard\HP Health Check\hphc_scheduler.exe" [ ----A---- | 40448 ]
26. TC: 02/06/2008,14:14:04 | TM: 26/03/2010,19:15:11 | DA: 26/03/2010,19:15:11
27. MD5: 8a7fa714a82e83129bff24b81ec1a5e1
28.
29.
30.
31. =========================
32.
33. "c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe.config" [ ----A---- | 151 ]
34. TC: 05/05/2008,08:36:56 | TM: 05/05/2008,08:36:56 | DA: 26/08/2008,22:33:15
35. MD5: ffb49ee58ef3e271aa25f847d3299047
36.
37.
38.
39. =========================
40.
41. "c:\Program Files\Adobe\acrotray .exe" [ ----A---- | 27136 ]
42. TC: 26/03/2010,19:15:50 | TM: 26/03/2010,19:15:50 | DA: 26/03/2010,19:15:50
43. MD5: 70c714ef7f5dbff570b507135daa4a3a
44.
45.
46.
47. =========================
48.
49. "c:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [ ----A---- | 40448 ]
50. TC: 16/03/2007,10:45:30 | TM: 17/03/2010,15:02:59 | DA: 17/03/2010,15:02:59
51. MD5: 8a7fa714a82e83129bff24b81ec1a5e1
52.
53.
54.
55. =========================
56.
57. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
58.
59. Aucun dossier trouvé
60.
61. =========================
62.
63. Fin à: 19:17:37 le 26/03/2010 ( E.O.F )
0
Réponse 43 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ...


la suite dans l'ordre :



1- Supprime manuellement ce fichier :

c:\program files\Windows Live\Messenger\msnmsgr .exe ( celui qui fait 40 Ko uniquement ! )



Puis renome celui qui reste ainsi msnmsgr.exe ( sans espace ) .



=============================

2- Créer un doc texte sur ton bureau:
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


File::
C:\Windows\ctfmon.exe.delme156   
C:\Windows\svx.exe.delme155     
C:\Windows\svw.exe.delme154      
C:\Windows\servicelayer.exe.delme153     
C:\Windows\odbnsy.exe.delme151   
C:\Windows\svc.exe.delme150   
C:\Windows\lsass.exe.delme149       
C:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe	
C:\program files\Hewlett-Packard\HP Health Check\hphc_scheduler.exe
C:\program files\QuickTime\qttask.exe
c:\Program Files\Adobe\acrotray .exe
c:\Program Files\Adobe\acrotray .exe

Rootkit::
C:\Windows\System32\drivers\nfrht.sys

Driver::
nfrht

Fmoved::
c:\program files\QuickTime\qttask .exe | c:\program files\QuickTime\qttask.exe
c:\program files\QuickTime\qttask .exe | c:\program files\QuickTime\qttask.exe




* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )


3- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )





0
Réponse 44 / 144
Safius Messages postés 188 Statut Membre 2
 
Euh par contre y a deux fichiers messenger qui font 40ko je supprime un seul ou les deux ?
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
si y en as deux , supprime les deux ! c'est linfection qui les multiplie ! Et si il y en un autre msnmsgr de 27 KO , tu le supprimes également ...( le fichier légitime msnmsgr.exe doit faire 3883 Ko environ )
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 144
Safius Messages postés 188 Statut Membre 2
 
J'ai supprimé les deux, renommé celui qui restait, lancé le combofix à partir de CFScript, mais au redémarrage l'écran reste au fond noir et j'ai eu un message d'erreur qui s'est affiché :
"C:Windows\system32\app_dll.dll n'est pas conçu pour s'exécuter sous Windows ou il contient une erreur. Installez à nouveau le programme à l'aide du support d'installation d'origine ou bien contactez votre administration système ou le fournisseur du logiciel pour obtenir du support"

J'ai cliqué sur OK & j'ai eu les alertes AVIRA qui sont revenues mais l'écran est toujours noir. Impossible d'aller sur le bureau. J'ai éteins l'ordi, et redemarré, toujours pareil.
Là j'écris à partir d'un ordi portable ...
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Re,

Impossible d'aller sur le bureau

essaye de faire ceci une fois le PC qui bloque sur l'ecran noir :

presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

dis moi si tu as récupéré ton bureau ...
0
Réponse 46 / 144
Safius Messages postés 188 Statut Membre 2
 
J'avais déjà fais ça, je viens de recommencer mais ça ne marche pas, l'écran est toujours noir :s
0
Réponse 47 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,


essaye de redémarrer en mode sans échec pour voir :



/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis l' option : Sans Échec avec prise en charge du réseau , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).


dis moi si tu as pu accèder au bureau dans ce mode ...


Question : as tu ton CD original de Windows ? ...
0
Réponse 48 / 144
Safius Messages postés 188 Statut Membre 2
 
C'est BON !
Par contre, lorsqu'il a eu besoin de faire une analyse poussée et qu'il m'a demandé de vérifier que j'étais bien connectée à internet, j'avais débranché le cable avant, donc là je l'ai rebranché avant de continuer mais apparemment c'était trop tard & une fenêtre est arrivé me disant qu'il avait pas pu aller sur le lien où il voulait et que je devais relancer le fichier à partir de C:\CF-submit.htm
Donc je vais sur le lien, et le lien qui m'est demandé d'analyser mène à dautre fichiers. Je dois analyser chaque fichier ?

Et non je ne crois pas avoir de CD d'installation, il faudrai que je vérifie ça, on en a un obligatoirement quand on achète un nouvel ordi ?


Voilà le compte rendu :

ComboFix 10-03-26.02 - Safia 27/03/2010 11:34:58.4.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2940.1753 [GMT 1:00]
Lancé depuis: c:\users\Safia\Downloads\Safius.exe
Commutateurs utilisés :: c:\users\Safia\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\program files\Adobe\acrotray .exe"
"c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
"c:\program files\Hewlett-Packard\HP Health Check\hphc_scheduler.exe"
"c:\program files\QuickTime\qttask.exe"
"c:\windows\ctfmon.exe.delme156"
"c:\windows\lsass.exe.delme149"
"c:\windows\odbnsy.exe.delme151"
"c:\windows\servicelayer.exe.delme153"
"c:\windows\svc.exe.delme150"
"c:\windows\svw.exe.delme154"
"c:\windows\svx.exe.delme155"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Adobe\acrotray .exe
c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_scheduler.exe
c:\program files\Internet Explorer\js.mui
c:\program files\Internet Explorer\wmpscfgs.exe
c:\program files\QuickTime\qttask.exe
c:\windows\ctfmon.exe.delme156
c:\windows\lsass.exe.delme149
c:\windows\odbnsy.exe.delme151
c:\windows\servicelayer.exe.delme153
c:\windows\svc.exe.delme150
c:\windows\svw.exe.delme154
c:\windows\svx.exe.delme155
c:\windows\system32\app_dll.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-02-27 au 2010-03-27 ))))))))))))))))))))))))))))))))))))
.

2010-03-27 10:40 . 2010-03-27 10:40 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-03-27 10:40 . 2010-03-27 10:40 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-03-26 15:39 . 2010-03-26 18:17 -------- d-----w- c:\program files\SEAF
2010-03-24 20:53 . 2010-03-24 20:59 -------- d-----w- c:\program files\ZHPDiag
2010-03-24 20:05 . 2010-03-24 20:15 -------- d-----w- C:\Safius9136S
2010-03-24 20:03 . 2010-03-24 20:04 -------- d-----w- C:\Safius17104S
2010-03-20 21:17 . 2010-03-20 21:39 -------- d-----w- C:\Safius
2010-03-18 20:08 . 2010-03-20 17:19 -------- d---a-w- C:\Navilog1
2010-03-18 20:08 . 2010-03-20 17:09 -------- d-----w- c:\program files\navilog1
2010-03-18 19:11 . 2010-03-18 19:13 -------- d-----w- C:\rsit
2010-03-18 19:11 . 2010-03-18 19:12 -------- d-----w- c:\program files\trend micro
2010-03-18 17:33 . 2010-03-18 17:33 -------- d-----w- c:\programdata\WindowsSearch
2010-03-17 13:22 . 2010-03-17 13:22 -------- d-----w- c:\users\Safia\AppData\Roaming\Malwarebytes
2010-03-17 13:21 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-17 13:21 . 2010-03-17 13:21 -------- d-----w- c:\programdata\Malwarebytes
2010-03-17 13:21 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-17 13:21 . 2010-03-17 13:22 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-15 19:38 . 2010-03-24 16:42 823296 ----a-w- c:\windows\system32\drivers\nfrht.sys
2010-03-15 19:36 . 2010-03-15 19:36 -------- d-----w- c:\windows\Sun
2010-03-12 08:58 . 2010-02-20 23:39 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-03-12 08:58 . 2010-02-20 21:18 411136 ----a-w- c:\windows\system32\drivers\http.sys
2010-03-12 08:58 . 2010-02-20 23:37 31232 ----a-w- c:\windows\system32\httpapi.dll
2010-03-11 17:49 . 2009-08-24 12:16 378368 ----a-w- c:\windows\system32\winhttp.dll
2010-03-09 11:23 . 2009-06-15 15:21 499712 ----a-w- c:\windows\system32\kerberos.dll
2010-03-09 11:23 . 2009-06-15 15:24 270848 ----a-w- c:\windows\system32\schannel.dll
2010-03-09 09:19 . 2010-02-12 10:48 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-03-06 17:09 . 2009-12-08 20:52 3597912 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-03-06 17:09 . 2009-12-08 20:52 3546200 ----a-w- c:\windows\system32\ntoskrnl.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-27 19:49 . 2008-08-27 06:55 669328 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-27 19:49 . 2008-08-27 06:55 123350 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-27 10:39 . 2009-11-01 12:16 -------- d-----w- c:\program files\QuickTime
2010-03-26 18:15 . 2009-11-01 12:18 -------- d-----w- c:\program files\iTunes
2010-03-24 18:55 . 2009-02-05 19:05 1 ----a-w- c:\users\Safia\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-21 15:27 . 2008-08-26 21:54 -------- d-----w- c:\program files\EasyBits For Kids
2010-03-12 09:17 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-03-12 09:01 . 2009-02-05 18:45 -------- d-----w- c:\programdata\Microsoft Help
2010-03-09 21:19 . 2010-03-09 21:19 653560 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-03-07 10:21 . 2008-08-26 21:54 588472 ----a-w- c:\windows\system32\ezsvc7x.dll
2010-02-25 10:55 . 2010-02-25 10:55 -------- d-----w- c:\programdata\HPSSUPPLY
2010-02-24 12:18 . 2009-02-01 14:17 84552 ----a-w- c:\users\Safia\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-24 09:16 . 2009-10-02 16:56 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-01-25 12:48 . 2010-02-23 18:24 472576 ----a-w- c:\windows\system32\secproc_isv.dll
2010-01-25 12:48 . 2010-02-23 18:24 151040 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2010-01-25 12:48 . 2010-02-23 18:24 151040 ----a-w- c:\windows\system32\secproc_ssp.dll
2010-01-25 12:48 . 2010-02-23 18:24 472064 ----a-w- c:\windows\system32\secproc.dll
2010-01-25 12:45 . 2010-02-23 18:24 329216 ----a-w- c:\windows\system32\msdrm.dll
2010-01-25 08:35 . 2010-02-23 18:24 346624 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2010-01-25 08:35 . 2010-02-23 18:24 523776 ----a-w- c:\windows\system32\RMActivate_isv.exe
2010-01-25 08:34 . 2010-02-23 18:24 511488 ----a-w- c:\windows\system32\RMActivate.exe
2010-01-25 08:34 . 2010-02-23 18:24 347136 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2010-01-23 09:44 . 2010-02-23 18:24 2048 ----a-w- c:\windows\system32\tzres.dll
2009-12-28 12:35 . 2010-02-13 14:00 11776 ----a-w- c:\windows\system32\tsbyuv.dll
2009-12-28 12:35 . 2010-02-13 14:00 1314816 ----a-w- c:\windows\system32\quartz.dll
2009-12-28 12:32 . 2010-02-13 14:00 22528 ----a-w- c:\windows\system32\msyuv.dll
2009-12-28 12:32 . 2010-02-13 14:00 31744 ----a-w- c:\windows\system32\msvidc32.dll
2009-12-28 12:32 . 2010-02-13 14:00 123904 ----a-w- c:\windows\system32\msvfw32.dll
2009-12-28 12:32 . 2010-02-13 14:00 13312 ----a-w- c:\windows\system32\msrle32.dll
2009-12-28 12:31 . 2010-02-13 14:00 82944 ----a-w- c:\windows\system32\mciavi32.dll
2009-12-28 12:31 . 2010-02-13 14:00 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2009-12-28 12:28 . 2010-02-13 14:00 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-12-28 12:28 . 2010-02-13 14:00 65024 ----a-w- c:\windows\system32\avicap32.dll
2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2008-08-27 07:10 . 2008-08-27 07:10 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
[code]<pre>
c:\program files\Hewlett-Packard\HP Advisor\hpadvisor .exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_scheduler .exe
c:\program files\HP\HP Software Update\hpwuschd2 .exe
c:\program files\iTunes\ituneshelper .exe
c:\program files\QuickTime\qttask .exe
c:\program files\Skype\Phone\skype .exe
</pre>/code

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2010-03-26 40448]
"msnmsgr"="c:\program files\windows live\messenger\msnmsgr .exe" [N/A]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-26 40448]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"AdobeUpdater"="c:\program files\Common Files\Adobe\Updater5\AdobeUpdater.exe" [2009-02-02 2356088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2010-03-26 40448]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2010-03-26 40448]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-22 13539872]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-22 92704]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [N/A]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2010-03-26 40448]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2010-03-26 40448]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-03-26 40448]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [N/A]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-03-26 40448]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10b.exe" [2009-02-03 240544]

c:\users\Safia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"HideFastUserSwitching"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-17 108289]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-03-15 216232]
S3 netr73;USB Wireless 802.11 b/g Adaptor Driver for Vista;c:\windows\system32\DRIVERS\netr73.sys [2008-02-26 493568]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - ECACHE

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'

2010-03-27 c:\windows\Tasks\User_Feed_Synchronization-{1455DC82-9BD2-41F9-97CD-BAE51E24FB9D}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Pavilion&pf=cndt
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Pavilion&pf=cndt
uInternet Settings,ProxyOverride = *.local
IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbar\resources\fr-FR\local\search.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Safia\AppData\Roaming\Mozilla\Firefox\Profiles\ra8b2v9s.default\
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-27 21:45
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\helppane.exe
.
**************************************************************************
.
Heure de fin: 2010-03-27 21:51:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-27 20:51
ComboFix2.txt 2010-03-24 20:15
ComboFix3.txt 2010-03-24 16:53
ComboFix4.txt 2010-03-20 21:39

Avant-CF: 242 505 474 048 octets libres
Après-CF: 245 545 717 760 octets libres

- - End Of File - - 176E1EB408DFF475EB7D98C2C7F3D478
0
Réponse 49 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Re,


très bien si tu as retrouvé ton bureau ... Mais les nouvelles ne sont vraiment pas bonne du tout ...

Il y a pas mal de fichiers infectés qui on pris la place de fichiers légitimes !

le rootkit qui est surement à l'origine s'accroche également ....


vraiment pas simple a régler cette histoire !


Donc je vais sur le lien, et le lien qui m'est demandé d'analyser mène à dautre fichiers. Je dois analyser chaque fichier ?


> oui fait le stp ....




la dernière version de ZHPDiag dispo maintenant à subit des correctifs qui pourront peut-être nous permettre de sortir de cette mouise ...


Donc désinstalle la version de ZHPDiag que tu as sur ton PC et on va reprendre avec la dernière version en ligne :



Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....








"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
Réponse 50 / 144
Safius Messages postés 188 Statut Membre 2
 
J'ai analysé chaque fichier comme demandé pour Combofix.

Voilà le rapport de ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201003/cijuELiDrz.txt
0
Réponse 51 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien



la suite dans l'ordre :



1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- c:\hp\support\hpsysdrv.exe   [40448]  
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\HP\KBD\KbdStub.exe   [40448]  
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe   [40448]  
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- c:\Program Files\HP\HP Software Update\HPWuSchd2.exe   [40448]  
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe   [40448]  
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\iTunes\iTunesHelper.exe   [40448]  
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe   [40448]  
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Skype\Phone\Skype.exe   [40448]  
O44 - LFC:[MD5.AE871D1F36B04EB4D6C7CF6C3B05B8C8] - 24/03/2010 - 17:42:41 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\drivers\nfrht.sys   [823296]  
O58 - SDL:[MD5.AE871D1F36B04EB4D6C7CF6C3B05B8C8] - 24/03/2010 - 17:42:41 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\drivers\nfrht.sys




Puis Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


==========================

2- Utilisation de SystemLook

Double-clique sur "SystemLook.exe" pour lancer l'outil .

-> Copies/colle le texte ci-dessous dans la fenêtre :


:dir
C:\hp\support
C:\HP\KBD
C:\Program Files\Java\jre1.6.0_07\bin
C:\Program Files\HP\HP Software Update
C:\Program Files\Adobe\Reader 8.0\Reader
C:\Program Files\iTunes
C:\Program Files\Hewlett-Packard\HP Advisor
C:\program files\Hewlett-Packard\HP Health Check
C:\Program Files\Skype\Phone
C:\program files\QuickTime
C:\program files\windows live\messenger
C:\Qoobox\Quarantine
C:\windows


* Clique sur le bouton [Look] pour lancer l'examen .

Laisse travailler ...

* Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

-> Poste ce rapport via "Cijoint" dans ta prochaine réponse pour analyse ...


( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )


==========================


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
Réponse 52 / 144
Safius Messages postés 188 Statut Membre 2
 
Au moment où je clique sur Nettoyage il y a un message d'erreur qui me dit :
"=1023==> Contacter Nicolas Coolman"
Je fais OK et ça continue 1024, 1025... jusque 1033. Là y a un nouveau message d'erreur : http://www.hostingpics.net/viewer.php?id=979448CAPTUURE.jpg

Impossible de faire le nettoyage donc ...
0
Réponse 53 / 144
Safius Messages postés 188 Statut Membre 2
 
Par contre je vais devoir continuer demain ... Merci beaucoup.
0
Réponse 54 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,


ré-essaye avec ce script alors : 


[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- c:\hp\support\hpsysdrv.exe   
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\HP\KBD\KbdStub.exe   
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe     
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- c:\Program Files\HP\HP Software Update\HPWuSchd2.exe   
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe    
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\iTunes\iTunesHelper.exe   
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe   
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Skype\Phone\Skype.exe    
O44 - LFC:[MD5.AE871D1F36B04EB4D6C7CF6C3B05B8C8] - 24/03/2010 - 17:42:41 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\drivers\nfrht.sys     
O58 - SDL:[MD5.AE871D1F36B04EB4D6C7CF6C3B05B8C8] - 24/03/2010 - 17:42:41 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\drivers\nfrht.sys
0
Réponse 55 / 144
Safius Messages postés 188 Statut Membre 2
 
Re,
Ca me fait à nouveau la même chose ... Sauf que dans le message d'erreur final les chiffres et lettres sont différents.
0
Réponse 56 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bon ...


ne pas oublier avec Vista > Clique droit/"executer en tant qu'admin..."



ci cela ne va pas mieux , tu vas faire ceci à la place de ZHPFix ( et tu continuras le reste de la manipe après ) :



1- Créer un doc texte sur ton bureau :
* pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

* copie/colle tout le texte qui se trouve ci dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


drivers to unload:  
nfrht.sys  
nfrht  

Files to Delete:  
C:\Windows\System32\drivers\nfrht.sys  
C:\hp\support\hpsysdrv.exe     
C:\HP\KBD\KbdStub.exe     
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe       
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe     
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe      
C:\Program Files\iTunes\iTunesHelper.exe     
C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe     
C:\Program Files\Skype\Phone\Skype.exe




Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
Remove puis valide ... ( sauvegarde le bien sur le bureau )



2- Télécharge The Avenger (de Swandog46) :
> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!


Dézippe le sur ton Bureau.
* Clique droit/"executer en tant qu'admin..." sur l'exécutable puis fais "ok".
* Sélectionne Load Script from File et clique sur l'cône en forme de dossier à droite.
* Sélectionne ton fichier Remove.txt se trouvant sur le Bureau.
* Clique sur le feu vert puis sur oui pour lancer le scan ...
Le programme va te demander de redémarrer ton pc, accepte.

> Une fois termniné, poste le rapport C:\avenger.txt pour analyse et fait le reste de la manipe précédente...





"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
Réponse 57 / 144
Safius Messages postés 188 Statut Membre 2
 
Mince j'suis bête, il suffisait que je l'éxecute en tant qu'administrateur ... Une fois le scan terminé j'suis allé cherché le fichier dans le lien que tu m'a donné, mais y avait rien :s Mais je suis bête au lieu de copier coller le rapport qui était sur ZHPFix j'ai refais un scan et cette fois j'ai le rapport :
Mais je vois bien que ça va pa t'aider, parce que c'est le premier scan qui est important, et je crois bien si je me souviens bien que les fichiers absents ont été supprimés ou mis en quarantaine ... Je suis vraiment désolée :s :s

Je passe quand même à la manip' avec System Look ?


ZHPFix v1.12.3081 by Nicolas Coolman - Rapport de suppression du 28/03/2010 11:26:01
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
c:\hp\support\hpsysdrv.exe => Fichier absent
C:\HP\KBD\KbdStub.exe => Fichier absent
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe => Fichier absent
c:\Program Files\HP\HP Software Update\HPWuSchd2.exe => Fichier absent
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe => Fichier absent
C:\Program Files\iTunes\iTunesHelper.exe => Fichier absent
C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe => Fichier absent
C:\Program Files\Skype\Phone\Skype.exe => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\windows\system32\drivers\nfrht.sys => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 8
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 0
Autre : 0


End of the scan
0
Réponse 58 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
vu



ne fait pas la manipe de The Avenger et continue la manipe que j'avais donné ici > https://forums.commentcamarche.net/forum/affich-17041611-tres-gros-probleme-ordinateur-infecte?page=4#83


j'attends donc les rapports de SystemLook et de ZHPDiag ....

0
Réponse 59 / 144
Safius Messages postés 188 Statut Membre 2
 
Voilà le rapport System Look : http://www.cijoint.fr/cjlink.php?file=cj201003/cijyJPiDOc.txt
0
Réponse 60 / 144
Safius Messages postés 188 Statut Membre 2
 
Et le nouveau de ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201003/cij862a4XC.txt
0