Sujet Précédent Sujet Suivant

Bloqué par Malware/virus/trojan

meldireen -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour, je suis chez des amis qui ont un pc infecté par plusieurs saloperies dont :
- heur.html/malware
- TR/Crypt.ZPACK.Gen.
Leur antivirus est Antivir (Avira). Je ne peux pas les supprimer même quand avira me le propose à chaque fois ils reviennent. Pour heur.html je bloque l'accès et rien ne change et quand au second, lorsque je clique sur supprimer ou mise en quarantaine rien ne change non plus. Je ne peux même pas chercher de solutions sur le net. A chaque requete de scan en ligne (Kaspersky, trendmicro ou autre) je suis soit renvoyé vers une page IE disant que la page est inaccessible ou bien alors la page ne se charge pas du tout. Problème identique lorsque je veux me rendre sur des pages ou telecharger des outils pour les eradiquer tels que malwarebyte, hijackthis ou autre... Il me renvoi sans cesse soit vers d'autres sites (bnp, orange etc...) soit toujours ce même message IE (page non accessible). Je ne peux pas non plus faire les mises a jour avira, ni celle Microsoft. J'ai voulu installer Spybot, il me bloque l'acces à leur serveur au moment de l'installation. Une vraie plaie. Pourriez vous m'aider s'il vous plait.
Dans l'attente de vous lire.

PS ils ont un pc portable Samsung R60 plus et tourne sous Vista SP1. J'ai essaye de rebooter le machine, mais il n'y pas de menu "mode sans echec avec ou sans reseau". Je ne peux que demarrer "normalement" ou bien utiliser "Startup restore" (qui ne corrige rien, j'ai déjà essayé)
A voir également:

45 réponses

Précédent
Réponse 21 / 45
Utilisateur anonyme
 
Voili, voilou le rapport Navilog Choix 2

Fix Navipromo version 4.0.8 commencé le 22/04/2010 19:37:37,61

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\navilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium ( v6.0.6000 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz )
BIOS : Ver 1.00PARTTBL#
USER : utilisateur ( Not Administrator ! )
BOOT : Normal boot

C:\ (Local Disk) - NTFS - Total:144 Go (Free:99 Go)
D:\ (Local Disk) - NTFS - Total:143 Go (Free:143 Go)
E:\ (CD or DVD)

Mode suppression par méthode manuelle

Nom du fichier saisi : ljpglrh

Nettoyage exécuté au redémarrage de l'ordinateur

c:\users\utilis~1\appdata\local\ljpglrh.bat supprimé !

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\UTILIS~1\AppData\Local\Temp effectué !

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Scan terminé 22/04/2010 19:39:54,35 ***
0
Réponse 22 / 45
Utilisateur anonyme
 
Rapport AD-R "nettoyage"

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 22/04/10 à 19:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 19:43:28 le 22/04/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) HomePremium Service Pack 1 - X86
Nom du PC: PC-DE-UTILISATE (SAMSUNG ELECTRONICS CO., LTD. R59P/R60P/R61P)
Utilisateur actuel: utilisateur (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Program Files\Kiwee Toolbar
C:\ProgramData\Kiwee Toolbar
C:\Users\Invité\AppData\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\C\Users\Invité\AppData\Roaming\agi
C:\Users\Invité\AppData\LocalLow\Kiwee Toolbar
C:\Users\Invité\AppData\Roaming\EoRezo
C:\Users\utilisateur\AppData\LocalLow\Kiwee Toolbar
C:\Users\utilisateur\AppData\Roaming\AGI
C:\Users\utilisateur\AppData\Roaming\EoRezo

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\AGI
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
HKLM\Software\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
HKU\.DEFAULT\Software\AGI
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version Impossible d'obtenir la version *
.
.
.
* Internet Explorer Version 7.0.6000.16982 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Users\UTILIS~1\AppData\Local\Temp: 2 Fichier(s), 4 Dossier(s)
C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Cookies: 2 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 2 Fichier(s), 11 Dossier(s)
.
C:\Ad-Remover\Quarantine: 43 Fichier(s)
C:\Ad-Remover\Backup: 15 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 2995 Octet(s)
C:\Ad-Report-SCAN[1].txt - 2968 Octet(s)
.
Fin à: 19:49:14, 22/04/2010
.
============== E.O.F - CLEAN[1] ==============
0
Réponse 23 / 45
Utilisateur anonyme
 
Et voici le lien pour le rapport ZHPDIAG

http://www.cijoint.fr/cjlink.php?file=cj201004/cijdKAPW6z.txt
0
Réponse 24 / 45
Utilisateur anonyme
 
Et pour couronner le tout le reseau orange saute a cause d'orages dans la region (82)... Je risque de pas pouvoir suivre le fil si ca continue comme ça ! Mais me lache pas (lol)
Merci de ton aide. C'est rare de tomber sur quelqu'un qui prend sur son temps pour aider un inconnu. Vraiment très, très sympa... J'attends la suite du traitement avec impatience (si le cieux me le permettent) lol
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 45
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ....

pas de risques avec les orages ! ... si il y a une coupure pendant qu'un outil bosse , cela peut-être relativant grave pour le systeme ! ... A toi de voir ... Sinon tu peux reprendre demain en laissant bien le PC tranquille d'ici là ...

la suite dans l'ordre :

1- Ouvre le bloc-notes (menu démarrer/accessoire/bloc-note) et fais un copier coller de ce qui est en citation en gras ci-dessous ( copie tout d'un trait ) : 

Windows Registry Editor Version 5.00 

[-HKEY_LOCAL_MACHINE\Software\Official-eMule] 

[-HKEY_CURRENT_USER\Software\Official-eMule]


Puis sauvegarde le document,
* Va sur "fichier"/"enregistrer sous" .
* sauvegarde le fichier dans ce dossier (et pas ailleurs ! )> C:\Program Files\ZHPDiag
* Nom du fichier, tu tapes exactement : fix.reg
Dans "type de fichier", tu choisis : tous les fichiers
-> clique sur "enregistrer"

=======================

2- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

O44 - LFC:[MD5.35F8E776FD4B3A9468D5DDC0C781DD6F] - 22/04/2010 - 16:41:16 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix_Upload_Me_PC-de-utilisate.zip   [215395]   
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK 
O64 - Services: CurCS - (.not file.) - aswMonFlt (aswMonFlt)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMONFLT 
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR 
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP 
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI 
O64 - Services: CurCS - (.not file.) - KLIF (KLIF)  .(.Pas de propriétaire - Pas de description.) - LEGACY_KLIF 
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk)  .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEHIDK 
REG:fix.reg


Puis Lance ZHPFix ( en tant qu'admin..." ) depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .

-> laisse travailler l'outil et ne touche à rien ...

-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...

======================

3- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
--> vas sur l'onglet " Affichage " .
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

4- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\Windows\system32\DRIVERS\hwpsgt.sys

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses

=========================

5- Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) :

http://www2.gmer.net/gmer.zip
http://www2.gmer.net/gmer.zip

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!!

* Clique droit / "executer en tant qu'admin..." sur gmer.exe pour lancer l'outil .
* Mets toi bien sur l'onglet "rootkit".
* A droite, vérifie que toutes les options soient cochées
* puis clique sur scan.

> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )

* A la fin du scan, clique sur le bouton copy.
* Puis va dans "démarrer" > "programmes" > "accessoires" : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. Enfin sauvegarde ce rapport de manière à le retrouver ....

> poste le rapport stp ...

"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
Réponse 26 / 45
Utilisateur anonyme
 
Rapport ZHPDIAG "tous + nettoyé"

ZHPFix v1.12.3092 by Nicolas Coolman - Rapport de suppression du 22/04/2010 21:16:30
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK => Clé non supprimée
O64 - Services: CurCS - (.not file.) - aswMonFlt (aswMonFlt) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMONFLT => Clé non supprimée
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR => Clé non supprimée
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP => Clé non supprimée
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI => Clé non supprimée
O64 - Services: CurCS - (.not file.) - KLIF (KLIF) .(.Pas de propriétaire - Pas de description.) - LEGACY_KLIF => Clé non supprimée
O64 - Services: CurCS - (.not file.) - McAfee Inc. (mfehidk) .(.Pas de propriétaire - Pas de description.) - LEGACY_MFEHIDK => Clé non supprimée

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\usbfix_upload_me_pc-de-utilisate.zip [215395] => Fichier absent

Logiciel :
(Néant)

Script Registre :
REG:fix.reg => Script de registre fusionné

Master Boot Record :
(Néant)

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 7
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 0
Master Boot Record : 1
Autre : 0
Script Registre : 1

End of the scan
0
Réponse 27 / 45
Utilisateur anonyme
 
Rapport "virustotal.com"

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.22 -
AhnLab-V3 5.0.0.2 2010.04.22 -
AntiVir 8.2.1.220 2010.04.22 -
Antiy-AVL 2.0.3.7 2010.04.21 -
Authentium 5.2.0.5 2010.04.22 -
Avast 4.8.1351.0 2010.04.22 -
Avast5 5.0.332.0 2010.04.22 -
AVG 9.0.0.787 2010.04.22 -
BitDefender 7.2 2010.04.22 -
CAT-QuickHeal 10.00 2010.04.22 -
ClamAV 0.96.0.3-git 2010.04.22 -
Comodo 4667 2010.04.22 -
DrWeb 5.0.2.03300 2010.04.22 -
eSafe 7.0.17.0 2010.04.22 -
eTrust-Vet 35.2.7443 2010.04.22 -
F-Prot 4.5.1.85 2010.04.22 -
F-Secure 9.0.15370.0 2010.04.22 -
Fortinet 4.0.14.0 2010.04.21 -
GData 21 2010.04.22 -
Ikarus T3.1.1.80.0 2010.04.22 -
Jiangmin 13.0.900 2010.04.22 -
Kaspersky 7.0.0.125 2010.04.22 -
McAfee 5.400.0.1158 2010.04.22 -
McAfee-GW-Edition 6.8.5 2010.04.22 -
Microsoft 1.5703 2010.04.22 -
NOD32 5051 2010.04.22 -
Norman 6.04.11 2010.04.22 -
nProtect 2010-04-22.01 2010.04.22 -
Panda 10.0.2.7 2010.04.22 -
PCTools 7.0.3.5 2010.04.22 -
Prevx 3.0 2010.04.22 -
Rising 22.44.03.04 2010.04.22 -
Sophos 4.53.0 2010.04.22 -
Sunbelt 6209 2010.04.22 -
Symantec 20091.2.0.41 2010.04.22 -
TheHacker 6.5.2.0.267 2010.04.22 -
TrendMicro 9.120.0.1004 2010.04.22 -
TrendMicro-HouseCall 9.120.0.1004 2010.04.22 -
VBA32 3.12.12.4 2010.04.22 -
ViRobot 2010.4.21.2288 2010.04.22 -
VirusBuster 5.0.27.0 2010.04.22 -
Information additionnelle
File size: 137344 bytes
MD5...: a439ebd90afdb1f516c875b9b317832f
SHA1..: 43f407ecdc0d87a3713126b757ccaad07ade285f
SHA256: 73dec8d53c0c6da7806afc0617652a660bd08beeda288962c44f846afc4c5a6f
ssdeep: 3072:hhB7uTogkWsiiP4a/o6LfL7X2apxxTxsb13TQvexvXR:ATojWsiiPh/d7Lb
x2R3TQvGPR

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x207c6
timedatestamp.....: 0x40241523 (Fri Feb 06 22:28:51 2004)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x1f550 0x1f580 5.87 59ba9eeca02a352e9bd6c3cf253eb9b8
.rdata 0x1f880 0x74 0x80 3.30 741a87752c4194203d5f921ae15570dd
.data 0x1f900 0x88c 0x900 2.64 373a3013bdf6c0c5ec0ae9cecf9e7979
PAGE 0x20200 0x519 0x580 5.74 a11c59d848af9946c2c3b58f872d0c0a
INIT 0x20780 0x36e 0x380 5.62 536b15c2afc5f025d9c9faba1ffda8eb
.reloc 0x20b00 0xd50 0xd80 4.47 419caa815705c6c69ca4fa48400cebb9

( 2 imports )
> ntoskrnl.exe: IoAllocateMdl, IofCompleteRequest, ObfDereferenceObject, IoGetDeviceObjectPointer, RtlInitUnicodeString, IoDeleteDevice, IoDeleteSymbolicLink, MmProbeAndLockPages, MmMapLockedPagesSpecifyCache, _alldiv, _allmul, IoCreateSymbolicLink, IoCreateDevice, ExFreePool, ExAllocatePool, RtlUnwind, MmUnlockPages, IoFreeMdl
> HAL.dll: KeQueryPerformanceCounter

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
0
Réponse 28 / 45
Utilisateur anonyme
 
Rapport Gmer

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-22 22:04:21
Windows 6.0.6000 Service Pack 1
Running: gmer.exe; Driver: C:\Users\UTILIS~1\AppData\Local\Temp\fxnoyuob.sys

---- System - GMER 1.0.15 ----

SSDT 8F81EA94 ZwCreateThread
SSDT 8F81EA80 ZwOpenProcess
SSDT 8F81EA85 ZwOpenThread
SSDT 8F81EA8F ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_alloca_probe + 164 8205605C 4 Bytes JMP B6218F81
.text ntoskrnl.exe!_alloca_probe + 334 8205622C 4 Bytes JMP 0D338F81
.text ntoskrnl.exe!_alloca_probe + 350 82056248 4 Bytes JMP 8E7A8F81 \SystemRoot\system32\DRIVERS\atikmdag.sys (ATI Radeon Kernel Mode Driver/ATI Technologies Inc.)
.text ntoskrnl.exe!_alloca_probe + 574 8205646C 4 Bytes JMP 79228F81
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x8E736000, 0x1F9F9A, 0xE8000020]
? C:\Users\UTILIS~1\AppData\Local\Temp\mbr.sys Le fichier spécifié est introuvable. !

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000278774082
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000278774082 (not active ControlSet)

---- EOF - GMER 1.0.15 ----
0
Réponse 29 / 45
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ...

fait ce qui suit dans l'ordre :

1- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

n'y touche pas pour le moment et fait la suite ...

=====================

2- Créer un doc texte sur ton bureau:
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

Driver::  
aswFsBlk 
aswMonFlt  
aswRdr  
aswSP 
aswTdi 
KLIF  
mfehidk


* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )

3- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...

Le rapport sera en outre crée ici : C:\Combofix.txt

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
Réponse 30 / 45
Utilisateur anonyme
 
Bonjour, Ske69,

Voici le rapport COMBOFIX

ComboFix 10-04-21.01 - utilisateur 22/04/2010 22:47:42.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.1.1252.33.1036.18.3070.2328 [GMT 2:00]
Lancé depuis: c:\users\utilisateur\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\utilisateur\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASWFSBLK
-------\Legacy_ASWMONFLT
-------\Legacy_ASWRDR
-------\Legacy_ASWSP
-------\Legacy_ASWTDI
-------\Legacy_KLIF
-------\Legacy_MFEHIDK

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-22 au 2010-04-22 ))))))))))))))))))))))))))))))))))))
.

2010-04-22 20:52 . 2010-04-22 20:54 -------- d-----w- c:\users\utilisateur\AppData\Local\temp
2010-04-22 17:06 . 2010-04-22 17:48 -------- d-----w- C:\Ad-Remover
2010-04-22 15:41 . 2010-04-22 15:41 215395 ----a-w- C:\UsbFix_Upload_Me_PC-de-utilisate.zip
2010-04-22 12:47 . 2010-04-22 15:46 -------- d-----w- C:\UsbFix
2010-04-22 12:31 . 2010-04-22 12:31 -------- d-----w- c:\users\utilisateur\AppData\Roaming\Malwarebytes
2010-04-22 12:30 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-22 12:30 . 2010-04-22 12:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-22 12:30 . 2010-04-22 12:30 -------- d-----w- c:\programdata\Malwarebytes
2010-04-22 12:30 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-22 12:20 . 2010-04-22 12:20 -------- d-----w- c:\program files\CCleaner
2010-04-22 12:08 . 2010-04-22 17:37 -------- d-----w- c:\program files\navilog1
2010-04-22 11:40 . 2010-04-22 17:40 -------- d---a-w- C:\Navilog1
2010-04-22 09:51 . 2010-04-22 19:10 -------- d-----w- c:\program files\ZHPDiag
2010-04-22 08:31 . 2010-04-22 08:31 -------- d-----w- c:\program files\Trend Micro
2010-04-22 07:15 . 2010-04-22 07:19 -------- d-----w- c:\users\utilisateur\WebCam Media
2010-04-21 20:52 . 2009-11-25 09:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-04-21 20:52 . 2009-03-30 07:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-04-21 20:44 . 2010-04-21 20:44 -------- d-----w- c:\users\utilisateur\AppData\Roaming\WinPatrol
2010-04-21 20:44 . 2010-04-21 20:44 -------- d-----w- c:\program files\BillP Studios
2010-04-21 20:44 . 1998-02-06 21:39 304128 ----a-w- c:\windows\unin040c.exe
2010-04-21 18:13 . 2010-04-21 18:13 -------- d-----w- c:\users\utilisateur\AppData\Roaming\HTML Executable
2010-04-21 18:06 . 2010-04-21 18:06 -------- d-----w- c:\programdata\Avira
2010-04-21 18:06 . 2010-04-21 18:06 -------- d-----w- c:\program files\Avira
2010-04-21 16:58 . 2010-04-21 16:58 -------- d-----w- c:\users\utilisateur\AppData\Local\Mozilla
2010-04-21 16:29 . 2010-04-21 16:29 -------- d-----w- C:\PerfLogs
2010-04-21 12:33 . 2010-04-22 05:43 -------- d-----w- C:\90e5b598006a050b0e

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-22 20:52 . 2008-05-10 00:59 12 ----a-w- c:\windows\bthservsdp.dat
2010-04-22 20:36 . 2008-05-09 07:48 775478 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-22 20:36 . 2008-05-09 07:48 150578 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-22 08:02 . 2008-05-10 01:09 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-22 08:02 . 2008-05-10 01:24 -------- d-----w- c:\program files\Samsung
2010-04-22 05:43 . 2009-12-12 18:48 -------- d-----w- c:\programdata\McAfee Security Scan
2010-04-22 05:40 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
2010-04-22 05:40 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Photo Gallery
2010-04-22 05:40 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-04-22 03:30 . 2008-05-10 01:37 -------- d-----w- c:\program files\McAfee(70)
2010-04-21 21:00 . 2008-05-10 01:36 -------- d-----w- c:\programdata\McAfee
2010-04-21 20:20 . 2009-07-01 19:57 -------- d-----w- c:\program files\Google
2010-03-20 10:40 . 2010-03-20 10:40 20299200 ----a-w- c:\users\utilisateur\AppData\Roaming\TomTom\HOME\Profiles\19v5fx41.default\Updates\v2_7_3_1894_win.exe
2010-03-20 07:52 . 2010-03-19 16:37 -------- d-----w- c:\program files\World of Warcraft
2010-03-19 19:36 . 2010-03-19 16:37 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment
2010-03-19 17:23 . 2010-03-19 17:23 -------- d-----w- c:\programdata\Blizzard
2010-03-15 13:22 . 2010-03-15 13:22 -------- d-----w- c:\users\utilisateur\AppData\Roaming\Uniblue
2010-03-11 16:11 . 2009-05-16 19:14 -------- d-----w- c:\users\utilisateur\AppData\Roaming\vlc
2010-02-26 12:27 . 2009-07-14 07:16 -------- d-----w- c:\users\utilisateur\AppData\Roaming\dvdcss
2010-02-19 18:27 . 2010-02-15 12:17 3732768 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-02-15 12:18 . 2010-02-15 12:18 125952 ----a-w- c:\programdata\ParetoLogic\UUS2\Temp\Update.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\progra~1\BILLPS~1\WINPAT~1\winpatrol.exe" [2005-12-12 222784]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WiFi Station.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\WiFi Station.lnk
backup=c:\windows\pss\WiFi Station.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2007-01-08 13:17 52256 ----a-w- c:\program files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2007-01-08 13:26 68640 ----a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2007-10-26 05:39 1029416 ----a-w- c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-05-10 01:48 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 08:53 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'

2010-04-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 20:47]

2010-04-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 20:47]

2010-04-21 c:\windows\Tasks\User_Feed_Synchronization-{3087487C-3CAD-4617-9A09-77CFFFDB3043}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Power2GoExpress - (no file)
HKLM-Run-NPSStartup - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-22 23:04
Windows 6.0.6000 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(4052)
c:\windows\system32\btncopy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\TomTom HOME 2\TomTomHOMEService.exe
c:\program files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
c:\windows\system32\conime.exe
c:\windows\system32\SndVol.exe
.
**************************************************************************
.
Heure de fin: 2010-04-22 23:18:51 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-22 21:18

Avant-CF: 106 911 764 480 octets libres
Après-CF: 106 702 909 440 octets libres

- - End Of File - - 0E54DD5D083C5BB6CD0F04F1B6AC6414
0
Réponse 31 / 45
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
hello,

recommence la manipe de Combofix en mettant ceci dans le CFScript : 

File::
C:\UsbFix_Upload_Me_PC-de-utilisate.zip 

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] 
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] 
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] 
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]


Poste le nouveau rapport obtenu pour analyse et dis moi comment va le PC .... ;)

0
Réponse 32 / 45
Utilisateur anonyme
 
Hello ! Excuses moi ce long moment d'absence (obligation familiale)
Le pc se porte mieux, mais je n'arrive toujours pas à maj l'antivitus (Avira) un message me dit q'une mise a jour precedente necessite un redemarrage... Mais vue le nombre de fois que le pc a redemarrer depuis hier...

Bref, tiens moi informé, pour le coup voici le rapport COMBOFIX

ComboFix 10-04-21.01 - utilisateur 23/04/2010 16:27:09.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.1.1252.33.1036.18.3070.2307 [GMT 2:00]
Lancé depuis: c:\users\utilisateur\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\utilisateur\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"C:\UsbFix_Upload_Me_PC-de-utilisate.zip"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\UsbFix_Upload_Me_PC-de-utilisate.zip

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-23 au 2010-04-23 ))))))))))))))))))))))))))))))))))))
.

2010-04-22 17:06 . 2010-04-22 17:48 -------- d-----w- C:\Ad-Remover
2010-04-22 12:47 . 2010-04-22 15:46 -------- d-----w- C:\UsbFix
2010-04-22 12:31 . 2010-04-22 12:31 -------- d-----w- c:\users\utilisateur\AppData\Roaming\Malwarebytes
2010-04-22 12:30 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-22 12:30 . 2010-04-22 12:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-22 12:30 . 2010-04-22 12:30 -------- d-----w- c:\programdata\Malwarebytes
2010-04-22 12:30 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-22 12:20 . 2010-04-22 12:20 -------- d-----w- c:\program files\CCleaner
2010-04-22 12:08 . 2010-04-22 17:37 -------- d-----w- c:\program files\navilog1
2010-04-22 11:40 . 2010-04-22 17:40 -------- d---a-w- C:\Navilog1
2010-04-22 09:51 . 2010-04-22 19:10 -------- d-----w- c:\program files\ZHPDiag
2010-04-22 08:31 . 2010-04-22 08:31 -------- d-----w- c:\program files\Trend Micro
2010-04-22 07:15 . 2010-04-22 07:19 -------- d-----w- c:\users\utilisateur\WebCam Media
2010-04-21 20:52 . 2009-11-25 09:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-04-21 20:52 . 2009-03-30 07:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-04-21 20:44 . 2010-04-21 20:44 -------- d-----w- c:\users\utilisateur\AppData\Roaming\WinPatrol
2010-04-21 20:44 . 2006-09-18 21:43 10 ----a-w- c:\users\utilisateur\AppData\Roaming\WinPatrol\Config.sys
2010-04-21 20:44 . 2006-09-18 21:43 24 ----a-w- c:\users\utilisateur\AppData\Roaming\WinPatrol\Autoexec.bat
2010-04-21 20:44 . 2010-04-21 20:44 -------- d-----w- c:\program files\BillP Studios
2010-04-21 20:44 . 1998-02-06 21:39 304128 ----a-w- c:\windows\unin040c.exe
2010-04-21 18:13 . 2010-04-21 18:13 -------- d-----w- c:\users\utilisateur\AppData\Roaming\HTML Executable
2010-04-21 18:06 . 2010-04-21 18:06 -------- d-----w- c:\programdata\Avira
2010-04-21 18:06 . 2010-04-21 18:06 -------- d-----w- c:\program files\Avira
2010-04-21 16:58 . 2010-04-21 16:58 -------- d-----w- c:\users\utilisateur\AppData\Local\Mozilla
2010-04-21 16:29 . 2010-04-21 16:29 -------- d-----w- C:\PerfLogs
2010-04-21 12:33 . 2010-04-22 05:43 -------- d-----w- C:\90e5b598006a050b0e

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-23 08:13 . 2008-05-10 04:51 -------- d-----w- c:\programdata\Microsoft Help
2010-04-23 08:09 . 2008-05-10 01:20 -------- d-----w- c:\program files\CyberLink
2010-04-23 08:09 . 2008-05-10 01:09 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-23 08:06 . 2008-05-09 07:48 775478 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-23 08:06 . 2008-05-09 07:48 150578 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-23 07:58 . 2008-05-10 00:59 12 ----a-w- c:\windows\bthservsdp.dat
2010-04-22 08:02 . 2008-05-10 01:24 -------- d-----w- c:\program files\Samsung
2010-04-22 05:43 . 2009-12-12 18:48 -------- d-----w- c:\programdata\McAfee Security Scan
2010-04-22 05:40 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
2010-04-22 05:40 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Photo Gallery
2010-04-22 05:40 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-04-22 03:30 . 2008-05-10 01:37 -------- d-----w- c:\program files\McAfee(70)
2010-04-21 21:00 . 2008-05-10 01:36 -------- d-----w- c:\programdata\McAfee
2010-04-21 20:20 . 2009-07-01 19:57 -------- d-----w- c:\program files\Google
2010-03-20 10:40 . 2010-03-20 10:40 20299200 ----a-w- c:\users\utilisateur\AppData\Roaming\TomTom\HOME\Profiles\19v5fx41.default\Updates\v2_7_3_1894_win.exe
2010-03-20 07:52 . 2010-03-19 16:37 -------- d-----w- c:\program files\World of Warcraft
2010-03-19 19:36 . 2010-03-19 16:37 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment
2010-03-19 17:23 . 2010-03-19 17:23 -------- d-----w- c:\programdata\Blizzard
2010-03-15 13:22 . 2010-03-15 13:22 -------- d-----w- c:\users\utilisateur\AppData\Roaming\Uniblue
2010-03-11 16:11 . 2009-05-16 19:14 -------- d-----w- c:\users\utilisateur\AppData\Roaming\vlc
2010-02-26 12:27 . 2009-07-14 07:16 -------- d-----w- c:\users\utilisateur\AppData\Roaming\dvdcss
2010-02-19 18:27 . 2010-02-15 12:17 3732768 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-02-15 12:18 . 2010-02-15 12:18 125952 ----a-w- c:\programdata\ParetoLogic\UUS2\Temp\Update.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\progra~1\BILLPS~1\WINPAT~1\winpatrol.exe" [2005-12-12 222784]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WiFi Station.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\WiFi Station.lnk
backup=c:\windows\pss\WiFi Station.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2007-10-26 05:39 1029416 ----a-w- c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-05-10 01:48 1006264 ----a-w- c:\program files\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 08:53 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'

2010-04-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 20:47]

2010-04-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 20:47]

2010-04-23 c:\windows\Tasks\User_Feed_Synchronization-{3087487C-3CAD-4617-9A09-77CFFFDB3043}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-LanguageShortcut - c:\program files\CyberLink\PowerDVD\Language\Language.exe
MSConfigStartUp-RemoteControl - c:\program files\CyberLink\PowerDVD\PDVDServ.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-23 16:31
Windows 6.0.6000 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-04-23 16:33:24
ComboFix-quarantined-files.txt 2010-04-23 14:33
ComboFix2.txt 2010-04-22 21:19

Avant-CF: 108 832 059 392 octets libres
Après-CF: 108 802 953 216 octets libres

- - End Of File - - E5431CA2E98C9B5E1958C117F734E3A6
0
Réponse 33 / 45
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
helllo,

on va essayer de régler le prb AntiVir dans un premeir temps ...

1- désinstalle le via le panneau de config / programme et fonctionnalité .

==================

2- refait un coup de CCleaner ( registre compris )

==================

3- Réinstaller AntiVir :

Télécharge AntiVir Personal Edition ici :
http://www.commentcamarche.net/telecharger/telecharger-55-antivir
ou ici :
http://dl1.avgate.net/down/windows/antivir_workstation_winu_fr_h.exe
ou ici :
http://www.free-av.com/fr/telecharger/1/avira_antivir_personal_free_antivirus.html

Puis installe le et mets le à jour .

ne fait rien d'autre et dis moi si c'est OK ... ( n'oubli pas , clique droit / "executer en tant qu'admin..." sur le set-up d'installe )

0
Réponse 34 / 45
Utilisateur anonyme
 
Mise à jour Avira en cours... Mises à jour microsoft en cours aussi... Visiblement je n'ai plus aucun message d'alerte et encore moins de reconduite vers des sites suspects lorsque je fais post une requete sur google...
0
Réponse 35 / 45
Utilisateur anonyme
 
Mise à jour ANTIVIR : OK !!!

COmme dit aussi précédement, j'avais oublié de déparametrer les mises à jours Vista et lorsque tout s'est remis à fonctionner, ces dernières se sont téléchargées également.

En attendant ta réponse, je n'ai pas choisi de les installer
0
Réponse 36 / 45
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,

fait toutes les mises à jour proposées et installe les ....

Une fois ces dernières faites , relance un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
0
Réponse 37 / 45
Utilisateur anonyme
 
Voici le lien pour le rapport ZHPDIAG

http://www.cijoint.fr/cjlink.php?file=cj201004/cijO78x4FJ.txt
0
Réponse 38 / 45
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ....

fait ce qui suit dans l'ordre ( si le dernier rapport est clean , on pouura finaliser ) :

( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )

1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix ( "en tant qu'admin..." ) depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!

A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag !

> Enfin clique en bas sur "Nettoyer" .

laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ...

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt)

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le !

B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

Au message de confirmation , clique sur "Ok" .

Puis ferme ZHPFix ...

=====================

2- Refais un coup de CCleaner ( registre compris ) .

=====================

3- Télécharge et installe le logiciel HijackThis :

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

=====================

4- Important :
Purge de la restauration système
-> Désactive ta restauration :
Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C ) , valide, applique et OK
Redémarre ton PC ...

-> Réactive ta restauration :
Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK
Redémarre ton PC ...

( tuto : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista )

=====================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec " Panda " :

> https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
( clique sur "scan your PC now" )

tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368

poste moi le rapport obtenu pour analyse ...

0
Réponse 39 / 45
Utilisateur anonyme
 
Scan ZHPFIX

ZHPFix v1.12.3092 by Nicolas Coolman - Rapport de suppression du 24/04/2010 10:19:00
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
C:\ComboFix => Supprimé et mis en quarantaine
C:\Qoobox => Supprimé et mis en quarantaine
C:\UsbFix => Supprimé et mis en quarantaine

Fichier :
c:\combofix.txt => Supprimé et mis en quarantaine
c:\users\utilisateur\desktop\gmer.exe => Supprimé et mis en quarantaine
c:\users\utilisateur\desktop\usbfix.exe => Supprimé et mis en quarantaine
c:\usbfix.txt => Supprimé et mis en quarantaine

Logiciel :
O63 - Logiciel: Ad-Remover By C_XX => Logiciel supprimé avec succès
O63 - Logiciel: HijackThis 2.0.2 => Logiciel supprimé avec succès
O63 - Logiciel: ComboFix - (sUBs) => Logiciel supprimé avec succès
O63 - Logiciel: Gmer (Gmer) => Logiciel supprimé avec succès
O63 - Logiciel: UsbFix - (El Desaparecido) => Logiciel supprimé avec succès

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 3
Fichier : 4
Logiciel : 5
Master Boot Record : 1
Autre : 0

End of the scan
0
Réponse 40 / 45
meldireen
 
Apres scan CCLEANER, il reste tjrs la ligne suivante :

Extension de fichiers inutilisée {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
0

Discussions similaires

supprimer tor.jack android
sabinelouisonbruno -
akaloupile -

4 réponses
Tor.Jack.Malware
Camille -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses