Grrr un rootkit help!
Résolu
stevio1203
Messages postés
92
Statut
Membre
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
slt tlm.pourrait on m aider a mon tour svppp! je suis sous vista. avast m a détecté un rootkit qu il n arrive pas a supprimer, j ai essayé avec spybot et malware, ils le détectent tous les 2 et me font le supprimer puis rallumer mon ordi pour achever la suppression!!!! mais le rootkit est tjs la, j ai essayé d m en sortir seul, mais je n ose pas trop utiliser de logiciels,outils sans connaitre!!! voila j attends de vos news , merci d avance.
A voir également:
- Grrr un rootkit help!
- Rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Panda anti-rootkit - Télécharger - Antivirus & Antimalwares
46 réponses
Bonsoir,
les outils le décèlent dans quel fichier ?
===
Télécharge la dernière version de ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.
pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur Cijoint
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
les outils le décèlent dans quel fichier ?
===
Télécharge la dernière version de ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.
pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur Cijoint
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
stevio1203
Messages postés
92
Statut
Membre
euh pardon, il est décelé dans C- system32-drivers.et des lettres...
stevio1203
Messages postés
92
Statut
Membre
slt lyonnais! voici le rapport de ZHPDiag;(j espere que c est le bon ,plusieurs doc texte!!)http://www.cijoint.fr/cjlink.php?file=cj201004/cijA8mZfrF.txt ...merci d avance pour ton aide!
stevio1203
Messages postés
92
Statut
Membre
re lyonnais, quand tu sais fais moi un signe pour essayer de regler ca ensemble,j prefere t attendre que risquer tout seul!!!merci bien
Bonsoir,
Télécharge GMER Scanner de rootkit
http://www2.gmer.net/download.php
[*]télécharge le .exe sur ton Bureau . Retiens son nom car il est aléatoire.
[*]exécute le en faisant un double clic sur le fichier créé. Néglige les alertes.
[*]le chargement va prendre une minute.
[*]si des rootkits sont décelés, répond non quand on te demande si tu veux faire un scan complet (Full scan).
[*]règle les paramètres (fenêtre de droite) de la manière suivante :
# seule la partition système (en général C:\ ) doit rester cochée
# Show All : décochée
[*]clique sur "SCAN" puis patiente...
[*]En fin de traitement clique sur "SAVE" et enregistre sur le Bureau "051209.txt"
[*]Double clique sur "051209.txt" ; le fichier s'ouvre dans le Bloc-Notes
[*]Copie le contenu et colle le dans ta réponse.
Télécharge GMER Scanner de rootkit
http://www2.gmer.net/download.php
[*]télécharge le .exe sur ton Bureau . Retiens son nom car il est aléatoire.
[*]exécute le en faisant un double clic sur le fichier créé. Néglige les alertes.
[*]le chargement va prendre une minute.
[*]si des rootkits sont décelés, répond non quand on te demande si tu veux faire un scan complet (Full scan).
[*]règle les paramètres (fenêtre de droite) de la manière suivante :
# seule la partition système (en général C:\ ) doit rester cochée
# Show All : décochée
[*]clique sur "SCAN" puis patiente...
[*]En fin de traitement clique sur "SAVE" et enregistre sur le Bureau "051209.txt"
[*]Double clique sur "051209.txt" ; le fichier s'ouvre dans le Bloc-Notes
[*]Copie le contenu et colle le dans ta réponse.
voila l ami j espere que j ai bien fait ca!!! GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-20 20:26:46
Windows 6.0.6002 Service Pack 2
Running: ojolhcc0.exe; Driver: C:\Users\IsUser\AppData\Local\Temp\uwdyqfog.sys
---- System - GMER 1.0.15 ----
INT 0x51 ? 87783BF8
INT 0x51 ? 87783BF8
INT 0x72 ? 87783BF8
INT 0x82 ? 87783BF8
INT 0x92 ? 87783BF8
INT 0xA2 ? 85CEDBF8
INT 0xA2 ? 87783BF8
INT 0xA2 ? 87783BF8
INT 0xA2 ? 87783BF8
INT 0xA2 ? 85CEDBF8
---- EOF - GMER 1.0.15 ----
Rootkit scan 2010-04-20 20:26:46
Windows 6.0.6002 Service Pack 2
Running: ojolhcc0.exe; Driver: C:\Users\IsUser\AppData\Local\Temp\uwdyqfog.sys
---- System - GMER 1.0.15 ----
INT 0x51 ? 87783BF8
INT 0x51 ? 87783BF8
INT 0x72 ? 87783BF8
INT 0x82 ? 87783BF8
INT 0x92 ? 87783BF8
INT 0xA2 ? 85CEDBF8
INT 0xA2 ? 87783BF8
INT 0xA2 ? 87783BF8
INT 0xA2 ? 87783BF8
INT 0xA2 ? 85CEDBF8
---- EOF - GMER 1.0.15 ----
Re,
essaye comme ceci :
clique sur Cijoint
Clique sur Parcourir et cherche le rapport de gmer.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
essaye comme ceci :
clique sur Cijoint
Clique sur Parcourir et cherche le rapport de gmer.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Bonjour,
la bonne nouvelle, c'est que l'infection MBR ne se manifeste plus.
Fais comme ça :
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Killall::
Driver::
awxjzj
Rootkit::
C:\WINDOWS\system32\ awxjzj.sys
Registry::
[-HKEY_LOCAL_MACHINE\Software\GamesBarSetup]
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
(n'oublie pas que on a renommé combofix en antitruc.exe)
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Tu auras une invite t'indiquant que ComboFix veut expédier un fichier pour analyse : accepte.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
@+
Science sans conscience n'est que ruine de l'âme. Rabelais
la bonne nouvelle, c'est que l'infection MBR ne se manifeste plus.
Fais comme ça :
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Killall::
Driver::
awxjzj
Rootkit::
C:\WINDOWS\system32\ awxjzj.sys
Registry::
[-HKEY_LOCAL_MACHINE\Software\GamesBarSetup]
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
(n'oublie pas que on a renommé combofix en antitruc.exe)
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Tu auras une invite t'indiquant que ComboFix veut expédier un fichier pour analyse : accepte.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
@+
Science sans conscience n'est que ruine de l'âme. Rabelais
slt je suis pas sur que c est le bon rapport!!! enfin le voila et un rapport hijackthis je fais ca comment? merci .ComboFix 10-04-21.01 - IsUser 26/04/2010 12:28:57.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3032.1879 [GMT 2:00]
Lancé depuis: C:\Users\IsUser\Desktop\antitruc.exe.exe
Commutateurs utilisés :: C:\Users\IsUser\Desktop\CFscript
SP: Spybot - Search and Destroy *enabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3032.1879 [GMT 2:00]
Lancé depuis: C:\Users\IsUser\Desktop\antitruc.exe.exe
Commutateurs utilisés :: C:\Users\IsUser\Desktop\CFscript
SP: Spybot - Search and Destroy *enabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
1. Télécharge The Avenger par Swandog46 sur le Bureau
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau
2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Begin copying here:
Files to delete:
c:\Windows\System32\drivers\awxjzj.sys
Drivers to delete:
awxjzj
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AWXJZJ
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AWXJZJ
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AWXJZJ
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_AWXJZJ
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
Ferme toutes les applications et ton navigateur
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.
Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.
Clique sur Execute
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
===
Fais redémarrer l'ordi et relance la manip avec SEAF.
Poste le nouveau rapport.
1. Télécharge The Avenger par Swandog46 sur le Bureau
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau
2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Begin copying here:
Files to delete:
c:\Windows\System32\drivers\awxjzj.sys
Drivers to delete:
awxjzj
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AWXJZJ
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AWXJZJ
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AWXJZJ
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_AWXJZJ
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
Ferme toutes les applications et ton navigateur
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.
Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.
Clique sur Execute
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
===
Fais redémarrer l'ordi et relance la manip avec SEAF.
Poste le nouveau rapport.
bonjour lyonnais, voici tout d abord le rapport de avenger, seaf suit!
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "c:\Windows\System32\drivers\awxjzj.sys" deleted successfully.
Driver "awxjzj" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AWXJZJ" deleted successfully.
Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AWXJZJ" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AWXJZJ" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AWXJZJ" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AWXJZJ" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_AWXJZJ" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "c:\Windows\System32\drivers\awxjzj.sys" deleted successfully.
Driver "awxjzj" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AWXJZJ" deleted successfully.
Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AWXJZJ" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AWXJZJ" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AWXJZJ" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AWXJZJ" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_AWXJZJ" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
re et voila seaf
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 16:00:29 le 27/04/2010
4.
5. Valeur(s) recherchée(s):
6.
7. awxjzj
8.
9. (!) --- Recherche registre
10.
11. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
12.
13. "c:\Qoobox\Quarantine\Registry_backups\Legacy_AWXJZJ.reg.dat" [ ----A---- | 1076 ]
14. TC: 26/04/2010,12:32:53 | TM: 26/04/2010,14:04:07 | DA: 26/04/2010,12:32:53
15.
16. =========================
17.
18. "c:\Qoobox\Quarantine\Registry_backups\Service_awxjzj.reg.dat" [ ----A---- | 74 ]
19. TC: 26/04/2010,12:32:54 | TM: 26/04/2010,14:04:07 | DA: 26/04/2010,12:32:54
20.
21. =========================
22.
23. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
24.
25. Aucun dossier trouvé
26.
27.
28. ====== Entrée(s) du registre ======
29.
30. Aucune entrée du registre trouvée
31.
32. =========================
33.
34. Fin à: 16:03:04 le 27/04/2010 ( E.O.F )
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 16:00:29 le 27/04/2010
4.
5. Valeur(s) recherchée(s):
6.
7. awxjzj
8.
9. (!) --- Recherche registre
10.
11. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
12.
13. "c:\Qoobox\Quarantine\Registry_backups\Legacy_AWXJZJ.reg.dat" [ ----A---- | 1076 ]
14. TC: 26/04/2010,12:32:53 | TM: 26/04/2010,14:04:07 | DA: 26/04/2010,12:32:53
15.
16. =========================
17.
18. "c:\Qoobox\Quarantine\Registry_backups\Service_awxjzj.reg.dat" [ ----A---- | 74 ]
19. TC: 26/04/2010,12:32:54 | TM: 26/04/2010,14:04:07 | DA: 26/04/2010,12:32:54
20.
21. =========================
22.
23. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
24.
25. Aucun dossier trouvé
26.
27.
28. ====== Entrée(s) du registre ======
29.
30. Aucune entrée du registre trouvée
31.
32. =========================
33.
34. Fin à: 16:03:04 le 27/04/2010 ( E.O.F )
Bonsoir,
une raison possible est qu'il n'est pas sur le Bureau.
Supprime par clic droit c:\Users\IsUser\Desktop\logiciels,outils\Combofix.exe
Ensuite, tu le retélécharges ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et tu le mets sur ton Bureau.
Ensuite, tu fais démarrer, exécuter et tu tapes
une raison possible est qu'il n'est pas sur le Bureau.
Supprime par clic droit c:\Users\IsUser\Desktop\logiciels,outils\Combofix.exe
Ensuite, tu le retélécharges ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et tu le mets sur ton Bureau.
Ensuite, tu fais démarrer, exécuter et tu tapes
combofix /uninstall
Bonsoir,
si mes souvenirs sont bons, il reste The Avenger.
* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.
http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
* Clique sur Recherche et laisse le scan se terminer.
* Clique, sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
Pour Vista : clic droit et exécuter en tant qu'administrateur.
si mes souvenirs sont bons, il reste The Avenger.
* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.
http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
* Clique sur Recherche et laisse le scan se terminer.
* Clique, sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
Pour Vista : clic droit et exécuter en tant qu'administrateur.
Re,
pour le rootkit, si tu n'a pas d'alertes, il n'est pas revenu.
Supprime ToolsCleaner sur ton Bureau.
Fin de la désinfection.
===
Quelques conseils (merci kevlar) :
Un compte limité accroit la sécurité
Les mises à jour des programmes aussi
Comment reconnaitre et éviter les programmes piégés
Les dangers du P2P
pour le rootkit, si tu n'a pas d'alertes, il n'est pas revenu.
Supprime ToolsCleaner sur ton Bureau.
Fin de la désinfection.
===
Quelques conseils (merci kevlar) :
Un compte limité accroit la sécurité
Les mises à jour des programmes aussi
Comment reconnaitre et éviter les programmes piégés
Les dangers du P2P
cool des reponses si rapides!! bien sympa,ca va prendre un peu de temps je suppose, je fais cela demain, je suis assez novice lol alors pitiée ;-) deja merci je suivrai les instructions d un de vous lol! a demain
Bonsoir,
mon canned pour gmer n'est pas au point;
Il faut que tu laisses cochées system, IAT/EAT, sections, devices, modules et registry
mon canned pour gmer n'est pas au point;
Il faut que tu laisses cochées system, IAT/EAT, sections, devices, modules et registry
Re,
clique sur "j'ai une réponse" au lieu de "ajouter un commentaire"
Le rapport veux bien se coller ?
clique sur "j'ai une réponse" au lieu de "ajouter un commentaire"
Le rapport veux bien se coller ?
Re,
le rapport gmer est un .txt, pas un .log.
le rapport gmer est un .txt, pas un .log.
Re,
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique t sur l'icône H (pour effacer le rapport qui s'est affiché)
Tape MBRFix dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de la ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
===
Fais redémarrer l'ordi, relance à nouveau ZHPdiag et poste le nouveau rapport dans un lien Cijoint.
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique t sur l'icône H (pour effacer le rapport qui s'est affiché)
Tape MBRFix dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de la ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
===
Fais redémarrer l'ordi, relance à nouveau ZHPdiag et poste le nouveau rapport dans un lien Cijoint.
slt lyonnais, voici le rapport de zhpfix! bizarre tout est "neant"! ZHPFix v1.12.3089 by Nicolas Coolman - Rapport de suppression du 21/04/2010 17:45:06
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
(Néant)
Valeur du Registre :
(Néant)
Elément de données du Registre :
(Néant)
Dossier :
(Néant)
Fichier :
(Néant)
Logiciel :
(Néant)
Script Registre :
(Néant)
Autre :
(Néant)
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0
End of the scan
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
(Néant)
Valeur du Registre :
(Néant)
Elément de données du Registre :
(Néant)
Dossier :
(Néant)
Fichier :
(Néant)
Logiciel :
(Néant)
Script Registre :
(Néant)
Autre :
(Néant)
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0
End of the scan
Bonsoir,
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
*lors du téléchargement, au moment où on te demande où et sous quel nom l'enregistrer, tu choisis le Bureau et tu le nommes antitruc.exe
* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.
Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
*lors du téléchargement, au moment où on te demande où et sous quel nom l'enregistrer, tu choisis le Bureau et tu le nommes antitruc.exe
* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.
Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
Bonsoir,
on va voir ce que donne la nouvelle version de ZHPDiag/ZHPfix.
Télécharge la dernière version de ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.
pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur Cijoint
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
on va voir ce que donne la nouvelle version de ZHPDiag/ZHPfix.
Télécharge la dernière version de ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.
pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur Cijoint
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Bonsoir,
Ouvre ce lien : http://www.cijoint.fr/cjlink.php?file=cj201004/cijCqHUY9Z.txt
Ouvre le fichier.
Copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
Ouvre ce lien : http://www.cijoint.fr/cjlink.php?file=cj201004/cijCqHUY9Z.txt
Ouvre le fichier.
Copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
ZHPFix v1.12.3092 by Nicolas Coolman - Rapport de suppression du 23/04/2010 0:01:31
Fichier d'export Registre : C:\ZHPExportRegistry-23-04-2010-0-01-31.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] => Clé supprimée avec succès
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{ecdee021-0d17-467f-a1ff-c7a115230949}] => Clé supprimée avec succès
[HKCR\CLSID\{ecdee021-0d17-467f-a1ff-c7a115230949}] => Clé supprimée avec succès
O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\free-downloads.net\tbfree.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}] => Clé supprimée avec succès
[HKCR\CLSID\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}] => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}] => Clé supprimée avec succès
[HKCR\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}] => Clé supprimée avec succès
O16 - DPF: CabBuilder (CabBuilder) - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab => Clé supprimée avec succès
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - (.not file.) - => Clé absente
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - (.not file.) - => Clé absente
O64 - Services: CurCS - (.not file.) - awxjzj (awxjzj) .(.Pas de propriétaire - Pas de description.) - LEGACY_AWXJZJ => Clé non supprimée
O64 - Services: CurCS - (.not file.) - wwnks (wwnks) .(.Pas de propriétaire - Pas de description.) - LEGACY_WWNKS => Clé non supprimée
Valeur du Registre :
R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} . (.Conduit Ltd. - Conduit Toolbar.) (4, 5, 190, 19) -- C:\Program Files\free-downloads.net\tbfree.dll => Valeur supprimée avec succès
O3 - Toolbar: WalterShop - {9ec204df-0e48-4c32-816e-2e928a4fd9c2} . (.Pas de propriétaire - Pas de description.) -- mscoree.dll => Valeur supprimée avec succès
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\free-downloads.net\tbfree.dll => Valeur supprimée avec succès
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} . (.Pas de propriétaire - ToolBand Module.) -- C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll => Valeur supprimée avec succès
Elément de données du Registre :
(Néant)
Dossier :
C:\Program Files\Circle Develoement => Supprimé et mis en quarantaine
C:\Program Files\DAEMON Tools Toolbar => Supprimé et mis en quarantaine
C:\Program Files\GamesBar => Supprimé et mis en quarantaine
Fichier :
c:\program files\free-downloads.net\tbfree.dll => Supprimé et mis en quarantaine
c:\program files\free-downloads.net\tbfree.dll => Fichier absent
mscoree.dll => Fichier absent
c:\program files\daemon tools toolbar\dttoolbar.dll => Supprimé et mis en quarantaine
c:\program files\daemon tools toolbar\dttoolbar.dll => Fichier absent
Logiciel :
O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] => Logiciel supprimé avec succès
Script Registre :
(Néant)
Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys spzn.sys hal.dll >>UNKNOWN [0x85CA5938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x85cee1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Autre :
(Néant)
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 13
Valeur du Registre : 4
Elément de données du Registre : 0
Dossier : 3
Fichier : 5
Logiciel : 1
Master Boot Record : 1
Autre : 0
End of the scan
Fichier d'export Registre : C:\ZHPExportRegistry-23-04-2010-0-01-31.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] => Clé supprimée avec succès
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{ecdee021-0d17-467f-a1ff-c7a115230949}] => Clé supprimée avec succès
[HKCR\CLSID\{ecdee021-0d17-467f-a1ff-c7a115230949}] => Clé supprimée avec succès
O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\free-downloads.net\tbfree.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}] => Clé supprimée avec succès
[HKCR\CLSID\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}] => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}] => Clé supprimée avec succès
[HKCR\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}] => Clé supprimée avec succès
O16 - DPF: CabBuilder (CabBuilder) - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab => Clé supprimée avec succès
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - (.not file.) - => Clé absente
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - (.not file.) - => Clé absente
O64 - Services: CurCS - (.not file.) - awxjzj (awxjzj) .(.Pas de propriétaire - Pas de description.) - LEGACY_AWXJZJ => Clé non supprimée
O64 - Services: CurCS - (.not file.) - wwnks (wwnks) .(.Pas de propriétaire - Pas de description.) - LEGACY_WWNKS => Clé non supprimée
Valeur du Registre :
R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} . (.Conduit Ltd. - Conduit Toolbar.) (4, 5, 190, 19) -- C:\Program Files\free-downloads.net\tbfree.dll => Valeur supprimée avec succès
O3 - Toolbar: WalterShop - {9ec204df-0e48-4c32-816e-2e928a4fd9c2} . (.Pas de propriétaire - Pas de description.) -- mscoree.dll => Valeur supprimée avec succès
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\free-downloads.net\tbfree.dll => Valeur supprimée avec succès
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} . (.Pas de propriétaire - ToolBand Module.) -- C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll => Valeur supprimée avec succès
Elément de données du Registre :
(Néant)
Dossier :
C:\Program Files\Circle Develoement => Supprimé et mis en quarantaine
C:\Program Files\DAEMON Tools Toolbar => Supprimé et mis en quarantaine
C:\Program Files\GamesBar => Supprimé et mis en quarantaine
Fichier :
c:\program files\free-downloads.net\tbfree.dll => Supprimé et mis en quarantaine
c:\program files\free-downloads.net\tbfree.dll => Fichier absent
mscoree.dll => Fichier absent
c:\program files\daemon tools toolbar\dttoolbar.dll => Supprimé et mis en quarantaine
c:\program files\daemon tools toolbar\dttoolbar.dll => Fichier absent
Logiciel :
O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] => Logiciel supprimé avec succès
Script Registre :
(Néant)
Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys spzn.sys hal.dll >>UNKNOWN [0x85CA5938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x85cee1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Autre :
(Néant)
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 13
Valeur du Registre : 4
Elément de données du Registre : 0
Dossier : 3
Fichier : 5
Logiciel : 1
Master Boot Record : 1
Autre : 0
End of the scan
Re,
c'est un bon rapport.
Les clés LEGACY ne sont pas parties, ce qui était normal avec cette version.
La dernière va permettre de vérifier qu'on a résolu l'infection rootkit du mbr.
Télécharge la dernière version de ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.
pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur Cijoint
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
c'est un bon rapport.
Les clés LEGACY ne sont pas parties, ce qui était normal avec cette version.
La dernière va permettre de vérifier qu'on a résolu l'infection rootkit du mbr.
Télécharge la dernière version de ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.
pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur Cijoint
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
