Très gros problème, ordinateur infecté

Résolu
Safius -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
cela fait maintenant deux jours que j'ai un gros problème. En effet, je reçois environ 10 alertes d'un coup de mon Anti virus (Avira AntiVir) me disant que mon ordinateur est infecté. Par ailleurs, j'ai également des alertes venant de Antivirus Vista me disant que j'ai X fichiers infectés mais que ma session a expiré ... Je ne savais même pas que j'avais cet antivirus mais je pense qu'il était inclu avec mon ordinateur que j'ai eu il y a à peu près un mois.
Voilà une capture d'écran pour vous montrer à peu près comment est mon bureau :

J4ai beau supprimer, refuser l'accès, mettre en quarantaine. Rien n'y fait le virus revient !

J'ai vraiment besoin d'aide, je ne peux plus utiliser mon ordinateur correctement & j'en ai vraiment besoin.
Si vous pouviez m'aider ce serait vraiment sympathique de votre part.
Merci !
A voir également:

144 réponses

Précédent
Réponse 61 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
et beh ...


c'est reparti pour un tour ...



dans l'ordre :


1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe   [40448]   [MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe   [40448]
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\program files\windows live\messenger\msnmsgr     .exe   [40448] 
[MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe   [40448]
O4 - HKCU\..\Run: [msnmsgr] . (.Pas de propriétaire - Pas de description.) -- C:\program files\windows live\messenger\msnmsgr     .exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] . (.Pas de propriétaire - Pas de description.) -- c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
O4 - HKCU\..\Run: [AdobeUpdater] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At1.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At10.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At11.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At12.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At13.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At14.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At15.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At16.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At17.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At18.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At19.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At2.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At20.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At21.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At22.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At23.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At24.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At25.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At26.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At27.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At28.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At29.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At3.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At30.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At31.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At32.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At33.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At34.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At35.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At36.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At37.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At38.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At39.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At4.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At40.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At41.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At42.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At43.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At44.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At45.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At46.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At47.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At48.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At5.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At6.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At7.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At8.job  
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\At9.job




Puis Lance ZHPFix "en tant qu'admin ..." depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...


==========================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
Réponse 62 / 144
Safius Messages postés 188 Statut Membre 2
 
Rapport ZHPFix :

ZHPFix v1.12.3081 by Nicolas Coolman - Rapport de suppression du 28/03/2010 18:44:02
Fichier d'export Registre : C:\ZHPExportRegistry-28-03-2010-18-44-02.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe [40448] [MD5.8A7FA714A82E83129BFF24B81EC1A5E1] - (.Pas de propriétaire - Pas de description.) => Fichier absent
C:\program files\windows live\messenger\msnmsgr .exe [40448] => Supprimé et mis en quarantaine
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe [40448] => Supprimé et mis en quarantaine

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
O4 - HKCU\..\Run: [msnmsgr] . (.Pas de propriétaire - Pas de description.) -- C:\program files\windows live\messenger\msnmsgr .exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [HP Health Check Scheduler] . (.Pas de propriétaire - Pas de description.) -- c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Photo Downloader] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [AdobeUpdater] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\program files\windows live\messenger\msnmsgr .exe => Fichier absent
c:\program files\hewlett-packard\hp health check\hphc_scheduler.exe => Supprimé et mis en quarantaine
c:\program files\adobe\photoshop album edition découverte\3.2\apps\apdproxy.exe => Supprimé et mis en quarantaine
c:\program files\common files\adobe\updater5\adobeupdater.exe => Fichier absent
c:\windows\tasks\at1.job => Supprimé et mis en quarantaine
c:\windows\tasks\at10.job => Supprimé et mis en quarantaine
c:\windows\tasks\at11.job => Supprimé et mis en quarantaine
c:\windows\tasks\at12.job => Supprimé et mis en quarantaine
c:\windows\tasks\at13.job => Supprimé et mis en quarantaine
c:\windows\tasks\at14.job => Supprimé et mis en quarantaine
c:\windows\tasks\at15.job => Supprimé et mis en quarantaine
c:\windows\tasks\at16.job => Supprimé et mis en quarantaine
c:\windows\tasks\at17.job => Supprimé et mis en quarantaine
c:\windows\tasks\at18.job => Supprimé et mis en quarantaine
c:\windows\tasks\at19.job => Supprimé et mis en quarantaine
c:\windows\tasks\at2.job => Supprimé et mis en quarantaine
c:\windows\tasks\at20.job => Supprimé et mis en quarantaine
c:\windows\tasks\at21.job => Supprimé et mis en quarantaine
c:\windows\tasks\at22.job => Supprimé et mis en quarantaine
c:\windows\tasks\at23.job => Supprimé et mis en quarantaine
c:\windows\tasks\at24.job => Supprimé et mis en quarantaine
c:\windows\tasks\at25.job => Supprimé et mis en quarantaine
c:\windows\tasks\at26.job => Supprimé et mis en quarantaine
c:\windows\tasks\at27.job => Supprimé et mis en quarantaine
c:\windows\tasks\at28.job => Supprimé et mis en quarantaine
c:\windows\tasks\at29.job => Supprimé et mis en quarantaine
c:\windows\tasks\at3.job => Supprimé et mis en quarantaine
c:\windows\tasks\at30.job => Supprimé et mis en quarantaine
c:\windows\tasks\at31.job => Supprimé et mis en quarantaine
c:\windows\tasks\at32.job => Supprimé et mis en quarantaine
c:\windows\tasks\at33.job => Supprimé et mis en quarantaine
c:\windows\tasks\at34.job => Supprimé et mis en quarantaine
c:\windows\tasks\at35.job => Supprimé et mis en quarantaine
c:\windows\tasks\at36.job => Supprimé et mis en quarantaine
c:\windows\tasks\at37.job => Supprimé et mis en quarantaine
c:\windows\tasks\at38.job => Supprimé et mis en quarantaine
c:\windows\tasks\at39.job => Supprimé et mis en quarantaine
c:\windows\tasks\at4.job => Supprimé et mis en quarantaine
c:\windows\tasks\at40.job => Supprimé et mis en quarantaine
c:\windows\tasks\at41.job => Supprimé et mis en quarantaine
c:\windows\tasks\at42.job => Supprimé et mis en quarantaine
c:\windows\tasks\at43.job => Supprimé et mis en quarantaine
c:\windows\tasks\at44.job => Supprimé et mis en quarantaine
c:\windows\tasks\at45.job => Supprimé et mis en quarantaine
c:\windows\tasks\at46.job => Supprimé et mis en quarantaine
c:\windows\tasks\at47.job => Supprimé et mis en quarantaine
c:\windows\tasks\at48.job => Supprimé et mis en quarantaine
c:\windows\tasks\at5.job => Supprimé et mis en quarantaine
c:\windows\tasks\at6.job => Supprimé et mis en quarantaine
c:\windows\tasks\at7.job => Supprimé et mis en quarantaine
c:\windows\tasks\at8.job => Supprimé et mis en quarantaine
c:\windows\tasks\at9.job => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 3
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 4
Elément de données du Registre : 0
Dossier : 0
Fichier : 52
Logiciel : 0
Autre : 0


End of the scan
0
Réponse 63 / 144
Safius Messages postés 188 Statut Membre 2
 
& le rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201003/cijRp5GgYF.txt
0
Réponse 64 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ...


on continue .... dans l'ordre :



1- Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Clique droit / "executer en tant qu'admin ..." sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,


:Files
C:\Windows\Tasks\At*.job

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


=======================

2- suprime la version de Navilog1 que tu as sur ton PC ainsi que le dossier de ce dernier présent dans "porgram files".


puis reprends :

Télécharge Navilog1 sur ton bureau :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil .

Laisse-toi guider. Au menu principal, choisis 1 et valide .
(ne fais pas le choix 2 notre avis/accord) .

Patiente le temps du scan ...

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) .

Note :
Si l'outil te demande d'effectuer la manipe en mode sans echec, fais le ( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).


Patiente jusqu'au message :
*** Scan Terminé le ..... ***

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" )


====================

3- On va réutiliser Malwarebytes ainsi :

mets le à jour ! ( onglet "mise à jour" ).


! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


==========================

4- on va réutiliser SystemLook


* Clique doit / "executer en tant qu'admin.." sur "SystemLook.exe" pour lancer l'outil .

-> Copies/colle le texte ci-dessous dans la fenêtre :


:dir
c:\hp\support
C:\HP\KBD
c:\Program Files\HP\HP Software Update
C:\Program Files\iTunes
C:\Program Files\Windows Sidebar
C:\Program Files\Hewlett-Packard\HP Advisor
C:\Program Files\Skype\Phone
C:\Windows\ehome
C:\Program Files\Common Files\Apple\Mobile Device Support\bin
C:\Program Files\Bonjour
c:\Program Files\Hewlett-Packard\HP Health Check
c:\Program Files\Common Files\LightScribe
C:\Program Files\Java\jre1.6.0_07\bin
C:\Program Files\Adobe\Reader 8.0\Reader
c:\program files\Adobe
c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps
C:\program files\windows live\messenger
C:\Windows\Tasks


* Clique sur le bouton [Look] pour lancer l'examen .

Laisse travailler ...

* Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

-> Poste ce rapport dans ta prochaine réponse pour analyse ...


( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )


=========================

5- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 65 / 144
Safius Messages postés 188 Statut Membre 2
 
Rapport OTM :

All processes killed
========== FILES ==========
C:\Windows\Tasks\At1.job moved successfully.
C:\Windows\Tasks\At10.job moved successfully.
C:\Windows\Tasks\At11.job moved successfully.
C:\Windows\Tasks\At12.job moved successfully.
C:\Windows\Tasks\At13.job moved successfully.
C:\Windows\Tasks\At14.job moved successfully.
C:\Windows\Tasks\At15.job moved successfully.
C:\Windows\Tasks\At16.job moved successfully.
C:\Windows\Tasks\At17.job moved successfully.
C:\Windows\Tasks\At18.job moved successfully.
C:\Windows\Tasks\At19.job moved successfully.
C:\Windows\Tasks\At2.job moved successfully.
C:\Windows\Tasks\At20.job moved successfully.
C:\Windows\Tasks\At21.job moved successfully.
C:\Windows\Tasks\At22.job moved successfully.
C:\Windows\Tasks\At23.job moved successfully.
C:\Windows\Tasks\At24.job moved successfully.
C:\Windows\Tasks\At3.job moved successfully.
C:\Windows\Tasks\At4.job moved successfully.
C:\Windows\Tasks\At5.job moved successfully.
C:\Windows\Tasks\At6.job moved successfully.
C:\Windows\Tasks\At7.job moved successfully.
C:\Windows\Tasks\At8.job moved successfully.
C:\Windows\Tasks\At9.job moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

User: Safia
->Temp folder emptied: 721020 bytes
->Temporary Internet Files folder emptied: 162251930 bytes
->Java cache emptied: 2977839 bytes
->FireFox cache emptied: 79124512 bytes
->Apple Safari cache emptied: 108183 bytes
->Flash cache emptied: 16067 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4215395 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 14570628 bytes
RecycleBin emptied: 63971 bytes

Total Files Cleaned = 252,00 mb


OTM by OldTimer - Version 3.1.10.1 log created on 03282010_200620

Files moved on Reboot...
File C:\Windows\temp\TMP000000479F9892540414B68D not found!
File C:\Windows\temp\TMP00000048E1B68B836DD6A48A not found!
File C:\Windows\temp\TMP0000004958B146277647E5C6 not found!
File C:\Windows\temp\TMP0000004ABE6888ED5F57336F not found!
File C:\Windows\temp\TMP0000004B3D02CC9F79E31284 not found!
File C:\Windows\temp\TMP0000004C34F5A4A89B2DC27E not found!
File C:\Windows\temp\TMP0000004D050D3C816EFC88D5 not found!
File C:\Windows\temp\TMP00000058FAB9D6522BA4C5AB not found!

Registry entries deleted on Reboot...
0
Réponse 66 / 144
Safius Messages postés 188 Statut Membre 2
 
Rapport Navilog :

Fix Navipromo version 4.0.8 commencé le 28/03/2010 20:17:21,61

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\navilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual CPU E2200 @ 2.20GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Safia ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:322 Go (Free:226 Go)
D:\ (Local Disk) - NTFS - Total:12 Go (Free:1 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)


Recherche executée en mode normal

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Users\Safia\AppData\Local\egeiq.bat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Safia\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 28/03/2010 20:19:34,15 ***
0
Réponse 67 / 144
Safius Messages postés 188 Statut Membre 2
 
Rapport Malware :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3923
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

28/03/2010 20:38:17
mbam-log-2010-03-28 (20-38-17).txt

Type de recherche: Examen rapide
Eléments examinés: 110270
Temps écoulé: 3 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Internet Explorer\js.mui (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\wmpscfgs.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\Adobe\acrotray .exe (Trojan.Agent) -> Quarantined and deleted successfully.
0
Réponse 68 / 144
Safius Messages postés 188 Statut Membre 2
 
Rapport Systemlook :

http://www.cijoint.fr/cjlink.php?file=cj201003/cij4rjWiG4.txt
0
Réponse 69 / 144
Safius Messages postés 188 Statut Membre 2
 
& enfin rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201003/cijL1xuDWf.txt
0
Réponse 70 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,


quelle galère ... ^^'


1- supprime manuellement ce récalcitrant :

c:\Program Files\Hewlett-Packard\HP Health Check\hphc_scheduler .exe

( celui qui fait 40 Ko ! )


Puis vide ta corbeille ...


=========================

Une salté qui avais été supprimé par Combo au début vient de réapparaitre avec MBAM ... c'est pas bon .... donc fait ceci :


2- Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) :

http://www2.gmer.net/gmer.zip

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!!


* Clique droit / "executer en tant qu'admin..." sur gmer.exe pour lancer l'outil .
* Mets toi bien sur l'onglet "rootkit", puis clique sur scan.

> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )

* A la fin du scan, clique sur le bouton copy.
* Puis va dans "démarrer" > "programmes" > "accessoires" : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. Enfin sauvegarde ce rapport de manière à le retrouver ....

> poste le rapport stp ...



"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
Réponse 71 / 144
Safius Messages postés 188 Statut Membre 2
 
Re !
Quand je veux supprimer le fichier manuellement, il y a un message d'erreur qui me dit que je ne dispose pas d'autorisation pour faire ça ...
0
Réponse 72 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
hello,


m'étoone pas ... ^^


fait ceci donc :


Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) :

http://www2.gmer.net/gmer.zip

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!!


* Clique droit / "executer en tant qu'admin..." sur gmer.exe pour lancer l'outil .
* Mets toi bien sur l'onglet "rootkit".
* A droite, coche seulement Files, Services & Registry.
* puis clique sur scan.

> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )

* A la fin du scan, clique sur le bouton copy.
* Puis va dans "démarrer" > "programmes" > "accessoires" : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. Enfin sauvegarde ce rapport de manière à le retrouver ....

> poste le rapport stp ...

0
Réponse 73 / 144
Safius Messages postés 188 Statut Membre 2
 
Re ! Désolé de ne le poster que maintenant mais j'ai fais heir deux scans qui en fait n'était pas bon -_-
Voilà voilà :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-30 20:02:50
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\Safia\AppData\Local\Temp\uwtdqpob.sys


---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At1.job.fp 1693588730
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At2.job.fp 724527173
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At3.job.fp -109234333
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At4.job.fp 150884474
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At5.job.fp -550178001
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At6.job.fp 929281339
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At7.job.fp 1166162570
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At8.job.fp 1190653301
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At9.job.fp 2047655833
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At10.job.fp -1153191194
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At11.job.fp 2030028296
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At12.job.fp 1358023274
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At13.job.fp -735061449
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At14.job.fp 1261652178
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At15.job.fp 31139800
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At16.job.fp 1246155721
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At17.job.fp -98295373
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At18.job.fp -1763669501
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At19.job.fp 250720036
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At20.job.fp -180111907
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At21.job.fp -241917349
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At22.job.fp -535199419
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At23.job.fp -2126454049
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures@At24.job.fp -2098650856

---- EOF - GMER 1.0.15 ----
0
Réponse 74 / 144
Safius Messages postés 188 Statut Membre 2
 
Désolé de ne rep' que maintenant mais l'ordi était d'une lenteuur pas croyable. Je l'ai laissé se reposer un peu & là ça va mieux.
Voilà le rapport de Combofix : http://www.cijoint.fr/cjlink.php?file=cj201003/cijSPLiySS.txt
0
Réponse 75 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Re,



on y retourne :




1- Créer un doc texte sur ton bureau:
pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .

* Rends toi sur cette page > http://www.cijoint.fr/cj201003/cij1DkF9nZ.txt

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )


2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


> Une fois le scan achevé, un rapport va s'afficher : poste le via "Cijoint" pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )




0
Réponse 76 / 144
Safius Messages postés 188 Statut Membre 2
 
Voilàà : http://www.cijoint.fr/cjlink.php?file=cj201003/cijCEG71WY.txt
0
Réponse 77 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,


C'est déjà mieux ... mais cette salté s'accroche ...


tu vas reprendre la manipe précédente avec ce nouveau script :

> http://www.cijoint.fr/cj201003/cijS1HSrg3.txt


poste moi le nouveau rapport ComboFix obtenue via "Cijoint" et attends la suite ...


0
Réponse 78 / 144
Safius Messages postés 188 Statut Membre 2
 
Voilà : http://www.cijoint.fr/cjlink.php?file=cj201003/cijycDXiFR.txt
0
Réponse 79 / 144
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
on y est presque ... !


reprends avec ce script : http://www.cijoint.fr/cj201003/cijfsle4jC.txt


poste le nouveau rapport Combo via Cijoint stp ...


0
Réponse 80 / 144
Safius Messages postés 188 Statut Membre 2
 
Ok, bonnes nouvelles alors :)

Voilà : http://www.cijoint.fr/cjlink.php?file=cj201003/cijURCJ0yz.txt
0