?Ver-Malware_Virus? Résolu/Fermé

Question

Bonjour,
Lorsque j'allume mon pc une fenêtre titrée "Spyware Alert!" avec un point d'exclamation s'affiche.
Une croix blanche dans un rond rouge s'affiche dans la barre des tâches à droite.
Un message cliquable apparait et si on clique dedans apparait avec le logo de Microsoft un message qui nous demande de faire une recherche de malware et autres. Si on le fait une liste apparait et là on nous demande si on veux corriger les problèmes après acceptation on a le droit à une page web qui nous demande 50$ pour se débarrasser du problème

Une autre fenêtre m'averti d'une infection par TrojanSPM/LX et me demande de télécharger "IDS software".

Une recherche avec "Search & Destroy" me fait trouver les mêmes malware à chaque recherche. C'est "Win32.Agent.chh", "Fraud.SecureEssentals2010", "Supsav.Smss32", "Microsoft.WindowsSecurityCenter.TaskManager" et d'autres encore.

Pouvez vous, s'il vous plait, m'aider à me séparer de ce ?Ver-Malware_Virus?

Ferdinand

Configuration: Windows XP / Firefox 3.5.9

Smart91 · Answer

Bonjour, 

C'est une alerte qui te demande d'installer un rogue, un faux anti-malware. 
On va analyser ton PC: 

Télécharge ZHPDiag sur ton bureau  
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html  

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions. 
  
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » 

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.  
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix) 
-  Clique sur la loupe pour lancer l'analyse.  
-  Laisse l'outil travailler, il peut être assez long.  
-  Ferme ZHPDiag en fin d'analyse.  
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/  
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).  
-  Sélectionne le fichier ZHPDiag.txt.  
-  Clique sur "Cliquez ici pour déposer le fichier".  
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.  
-  Copie ce lien dans ta réponse. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

sKe69 · Answer

Salut,


on va s'occuper de cela ...



fait ce qui suit pour avoir un diagnostique précis du PC :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !! 


> Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" .  

> A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

> clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ... ( cela peut-être relativement long )


> Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau. 

Ferme le programme ... 



-> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/ 

* Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau . 
* Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ... 
* Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

Ferdinand · Answer

Merci de répondre si rapidement.

Voici le lien demandé:
http://www.cijoint.fr/cjlink.php?file=cj201005/cij3U8KQUh.txt 

Pendant que j'y suis je précise que je suis en mode "sans échec avec réseau" car en mode normal mon système et figé avec disparition de mon fond d'écran.

+
Ferdinand

sKe69 · Answer

bien .... 



y a du boulot ....  


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection . 
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre . 
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer . 
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ). 


========================== 


Commence par faire ceci dans l'ordre ( depuis le mode sans échec avec réseau ) : 



1- Désinstalle proprement Spybot S&D depuis le panneau de config / ajout et supp de prg . 

il est inutile , lourd pour le systeme et va fortement géner la désinfection ... 


une fois ceci fait ( pas avant ! ) , tu enchaines ... 



======================== 

2- Ouvre le bloc-notes (menu démarrer/accessoire/bloc-note) et fais un copier coller de ce qui est en citation en gras ci-dessous ( copie tout d'un trait ) :  


REGDIT4 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\winlogon] 
"userinit"="C:\Windows\system32\userinit.exe"


Puis sauvegarde le document,  
* Va sur "fichier"/"enregistrer sous" .  
* sauvegarde le fichier dans ce dossier (et pas ailleurs ! )> C:\Program Files\ZHPDiag 
* Nom du fichier, tu tapes exactement : fix.reg 
Dans "type de fichier", tu choisis : tous les fichiers  
-> clique sur "enregistrer"  


========================== 

3- Utilisation de l'outil ZHPFix : 

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


O44 - LFC:[MD5.630B42350A33A756FC8D6BC9C09BD252] - 20/05/2010 - 15:03:15 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\winlogon32.exe   [155136] 
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon32.exe  
REG:fix.reg 
O15 - Trusted Zone: [HKCU\...\Domains] http.digital-supply.com   
O15 - Trusted Zone: [HKCU\...\Domains\www] http.digital-supply.com   
O15 - Trusted Zone: [HKCU\...\Domains] http.download-soft-package.com   
O15 - Trusted Zone: [HKCU\...\Domains\www] http.download-soft-package.com   
O15 - Trusted Zone: [HKCU\...\Domains] http.download-software-package.com   
O15 - Trusted Zone: [HKCU\...\Domains\www] http.download-software-package.com   
O15 - Trusted Zone: [HKCU\...\Domains] http.get-key-se10.com   
O15 - Trusted Zone: [HKCU\...\Domains\www] http.get-key-se10.com   
O15 - Trusted Zone: [HKCU\...\Domains] http.is-software-download.com   
O15 - Trusted Zone: [HKCU\...\Domains\www] http.is-software-download.com   
O15 - Trusted Zone: [HKLM\...\Domains] http.digital-supply.com   
O15 - Trusted Zone: [HKLM\...\Domains\www] http.digital-supply.com   
O15 - Trusted Zone: [HKLM\...\Domains] http.get-key-se10.com   
O15 - Trusted Zone: [HKLM\...\Domains\www] http.get-key-se10.com   
O44 - LFC:[MD5.DF978D48C9FBCCA79DC6764AB2728690] - 22/05/2010 - 09:06:09 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ES15.exe   [1525248]  
O44 - LFC:[MD5.D71D443A7F7CDC4DA0D202DDAD0D5626] - 21/05/2010 - 07:12:49 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\helpers32.dll   [54272]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 06:58:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\4664.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 06:38:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\17673.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 06:18:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\30333.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 05:58:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\31322.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 05:38:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\23811.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 05:18:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\28703.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 04:58:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\9894.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 04:38:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\17035.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 04:18:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\26299.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 03:58:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\25667.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 03:38:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\19912.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 03:18:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\1869.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 02:58:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\11538.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 02:38:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\14771.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 02:18:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\21726.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 01:58:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\5447.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 01:38:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\19895.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 01:18:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\19718.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 00:58:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\18716.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 00:38:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\17421.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 21/05/2010 - 00:18:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\12382.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 23:58:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\292.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 23:38:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\153.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 23:18:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\3902.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 22:58:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\14604.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 22:38:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\32391.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 22:18:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\5436.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 21:58:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\4827.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 21:38:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\11942.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 21:18:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\2995.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 20:58:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\491.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 20:38:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\9961.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 20:18:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\16827.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 19:58:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\23281.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 19:38:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\28145.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 19:18:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\5705.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 18:58:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\24464.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 18:38:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\26962.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 18:18:18 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\29358.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 17:58:18 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\11478.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 17:38:18 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\15724.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 17:18:18 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\19169.exe   [0]   
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 20/05/2010 - 16:58:18 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\26500.exe   [0]  
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified 


Puis Lance ZHPFix depuis le raccouci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie : 
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 
- que les lignes soient disposées les unes en dessous des autres . 

* Puis clique sur le bouton [ OK ] . 
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .  

Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées . 

* Enfin clique sur le bouton [ Nettoyer ] . 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) ! 

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt ) 
  
 Pense à réactiver tes défenses !...  


=========================== 

4- Si la manipe précédante ne t'a pas demandé de redémarrer le PC, fait le tout de même maintenant ... 

laisse le PC retourner en mode normal ... 

Normalement , tu devrais y avoir accès maintenant .... 


=====================  


5 - En mode normal donc , refais un scan ZHPDiag . 

* coche bien toutes les options ( sauf la 045 et 061 ),  

* au niveau du bouton "calendrier" choisis > 30 days 

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...  




"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Ferdinand · Answer

J'ai suivi scrupuleusement tes indications. Ceci était assez facile car tu les a extrêmement bien détaillées.

la manipe ne m'a pas demandé de redémarrer le PC.

Donc j'ai redémarré en mode normal

Avast me prévient dès le démarrage qu'il ne peut pas protéger mon courrier entrant (POP3, IMAP) ni sortant ni les news.

J'ai aussi l'information:
C:WINDOWS\system32\command.com. Paramètre incorrect.

suivi d'apparition disparition de fenêtres noires genre fenêtre dos et de nouveau:
C:WINDOWS\system32\command.com. Paramètre incorrect.

cette séquence c'est reproduite 3 fois pour avoir l'info suivante:
l'application n'a pas pu démarrer car sqlite3.dll est introuvable. La réinstallation de cette application peut corriger ce problème.

Disparition de mon fond d'écran. Il est remplacé par un fond beu et impossibilité de le réappliquer.

J'ai refais un scan ZHPDiag dont voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201005/cijzAFj6ZS.txt

Je passe par l'intermédiaire d'un autre PC et d'un clée USB pour communiquer le rapport, Internet explorer étant bloqué par mon système en panne.

A+
Ferdinand

sKe69 · Answer

re,


1- tu ne m'as pas posté le rapport obtenu par ZHPFix ....

poste le stp ( il se trouve ici C:\Program files\ZHPDiag\ZHPFixReport.txt )


================


2- tu as une infection via support amovible ...

possible que les deux PC soient infectés !....




tu vas faire la manipe suivante sur les deux PC et me poster les deux rapports obtenus .:



Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

Ferdinand · Answer

Désolé de cette petite absence.

Déjà je te poste le rapport ZHPFixReport.txt:

ZHPFix v1.12.3101  by Nicolas Coolman - Rapport de suppression du 22/05/2010 12:26:52
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
O15 - Trusted Zone: [HKCU\...\Domains\www] http.digital-supply.com  => Valeur absente
O15 - Trusted Zone: [HKCU\...\Domains\www] http.download-soft-package.com  => Valeur absente
O15 - Trusted Zone: [HKCU\...\Domains\www] http.download-software-package.com  => Valeur absente
O15 - Trusted Zone: [HKCU\...\Domains\www] http.get-key-se10.com  => Valeur absente
O15 - Trusted Zone: [HKCU\...\Domains\www] http.is-software-download.com  => Valeur absente
O15 - Trusted Zone: [HKLM\...\Domains\www] http.digital-supply.com  => Valeur absente
O15 - Trusted Zone: [HKLM\...\Domains\www] http.get-key-se10.com  => Valeur absente

Elément de données du Registre :
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon32.exe  => Donnée supprimée avec succès
O15 - Trusted Zone: [HKCU\...\Domains] http.digital-supply.com  => Donnée supprimée avec succès
O15 - Trusted Zone: [HKCU\...\Domains] http.download-soft-package.com  => Donnée supprimée avec succès
O15 - Trusted Zone: [HKCU\...\Domains] http.download-software-package.com  => Donnée supprimée avec succès
O15 - Trusted Zone: [HKCU\...\Domains] http.get-key-se10.com  => Donnée supprimée avec succès
O15 - Trusted Zone: [HKCU\...\Domains] http.is-software-download.com  => Donnée supprimée avec succès
O15 - Trusted Zone: [HKLM\...\Domains] http.digital-supply.com  => Donnée supprimée avec succès
O15 - Trusted Zone: [HKLM\...\Domains] http.get-key-se10.com  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified  => Donnée supprimée avec succès

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
c:\windows\system32\winlogon32.exe  => Supprimé et mis en quarantaine
c:\windows\system32\es15.exe  => Supprimé et mis en quarantaine
c:\windows\system32\helpers32.dll  => Supprimé et mis en quarantaine
c:\windows\system32\4664.exe  => Supprimé et mis en quarantaine
c:\windows\system32\17673.exe  => Supprimé et mis en quarantaine
c:\windows\system32\30333.exe  => Supprimé et mis en quarantaine
c:\windows\system32\31322.exe  => Supprimé et mis en quarantaine
c:\windows\system32\23811.exe  => Supprimé et mis en quarantaine
c:\windows\system32\28703.exe  => Supprimé et mis en quarantaine
c:\windows\system32\9894.exe  => Supprimé et mis en quarantaine
c:\windows\system32\17035.exe  => Supprimé et mis en quarantaine
c:\windows\system32\26299.exe  => Supprimé et mis en quarantaine
c:\windows\system32\25667.exe  => Supprimé et mis en quarantaine
c:\windows\system32\19912.exe  => Supprimé et mis en quarantaine
c:\windows\system32\1869.exe  => Supprimé et mis en quarantaine
c:\windows\system32\11538.exe  => Supprimé et mis en quarantaine
c:\windows\system32\14771.exe  => Supprimé et mis en quarantaine
c:\windows\system32\21726.exe  => Supprimé et mis en quarantaine
c:\windows\system32\5447.exe  => Supprimé et mis en quarantaine
c:\windows\system32\19895.exe  => Supprimé et mis en quarantaine
c:\windows\system32\19718.exe  => Supprimé et mis en quarantaine
c:\windows\system32\18716.exe  => Supprimé et mis en quarantaine
c:\windows\system32\17421.exe  => Supprimé et mis en quarantaine
c:\windows\system32\12382.exe  => Supprimé et mis en quarantaine
c:\windows\system32\292.exe  => Supprimé et mis en quarantaine
c:\windows\system32\153.exe  => Supprimé et mis en quarantaine
c:\windows\system32\3902.exe  => Supprimé et mis en quarantaine
c:\windows\system32\14604.exe  => Supprimé et mis en quarantaine
c:\windows\system32\32391.exe  => Supprimé et mis en quarantaine
c:\windows\system32\5436.exe  => Supprimé et mis en quarantaine
c:\windows\system32\4827.exe  => Supprimé et mis en quarantaine
c:\windows\system32\11942.exe  => Supprimé et mis en quarantaine
c:\windows\system32\2995.exe  => Supprimé et mis en quarantaine
c:\windows\system32\491.exe  => Supprimé et mis en quarantaine
c:\windows\system32\9961.exe  => Supprimé et mis en quarantaine
c:\windows\system32\16827.exe  => Supprimé et mis en quarantaine
c:\windows\system32\23281.exe  => Supprimé et mis en quarantaine
c:\windows\system32\28145.exe  => Supprimé et mis en quarantaine
c:\windows\system32\5705.exe  => Supprimé et mis en quarantaine
c:\windows\system32\24464.exe  => Supprimé et mis en quarantaine
c:\windows\system32\26962.exe  => Supprimé et mis en quarantaine
c:\windows\system32\29358.exe  => Supprimé et mis en quarantaine
c:\windows\system32\11478.exe  => Supprimé et mis en quarantaine
c:\windows\system32\15724.exe  => Supprimé et mis en quarantaine
c:\windows\system32\19169.exe  => Supprimé et mis en quarantaine
c:\windows\system32\26500.exe  => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
REG:fix.reg  => Script de registre fusionné

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 7
Elément de données du Registre : 9
Dossier : 0
Fichier : 46
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0
Script Registre : 1


End of the scan

Ferdinand · Answer

Pour l'utilisation de usbfix, est il tout aussi efficace en mode sans echec car je ne peux toujours pas utiliser normalement mon poste principal ?

Ferdinand · Answer

Bon je vais essayé d'être clair et précis.

En ce qui concerne le PC1 (celui pour lequel j'ai fais appel à votre aide)

Lors de la mise en marche normal, je n'ai toujours pas mon fond d'écran et ne peux le remettre (pour moi, le symptôme simple d'un mauvais fonctionnement) de plus je ne peux lancer aucun programme, tout semble figé.
En mode sans echec avec réseau, Internet explorer refuse de démarrer (raison pour laquelle je passe par un autre PC (PC2) via une clée USB pour communiquer les rapports.
Je dois préciser honteusement que j'ai quand même lancé USBFix en mode sans échec avec réseau. j'ai le rapport au cas où.


En ce qui concerne le PC2 (celui qui ne semble pas être infecté) voici le rapport de USBFix

############################## | UsbFix V6.114 |

User : Ferdinand (Administrateurs) # COOCKY
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:35:50 | 22/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 100522-0] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 11,72 Go (2,63 Go free) [Windows] # NTFS
D:\ -> Disque fixe local # 11,72 Go (2,66 Go free) [Softs] # NTFS
E:\ -> Disque fixe local # 69,71 Go (14,37 Go free) [Datas] # NTFS
F:\ -> Disque CD-ROM # 679,03 Mo (0 Mo free) [CA105 CD1] # CDFS
G:\ -> Disque CD-ROM
H:\ -> Disque amovible # 1,92 Go (870,56 Mo free) [MACHIN 2GO] # FAT

################## | Elements infectieux |

C:\DOCUME~1\FERDIN~1\LOCALS~1\Temp\fga.exe  
F:\ca.exe   

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.114 ! |

sKe69 · Answer

re, 


le PC2 est bien infecté ... ! 


################## | Elements infectieux |  

C:\DOCUME~1\FERDIN~1\LOCALS~1\Temp\fga.exe  
F:\ca.exe 


1- mets la clé usb dont tu te sers pour faire les transitions sur ce PC2 et fait la manipe suivante sur le PC2 : 


! Déconnecte toi d'internet et ferme toutes applications en cours ! 

Impératif : 
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .  

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil . 

# Cette fois ci , tu choisis l' option 2 ( Suppression ) . 

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ). 

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien . 

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau . 


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ). 

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\  


================================== 


2- ensuite on retourne sur le PC1 : 


poste moi le rapport d'UsbFix que tu as obtenu stp .... 



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Ferdinand · Answer

Je poste le rapport USBFix du PC1:
pendant que tu l'étudie :o) je fais la manipe demandée sur le PC2.


############################## | UsbFix V6.114 |

User : Administrateur (Administrateurs) # FEFER
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:32:19 | 22/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU    Q6600  @ 2.40GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 100521-1] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 29,29 Go (15,4 Go free) [XP] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 29,29 Go (13,63 Go free) [Logiciels] # NTFS
F:\ -> Disque fixe local # 4,88 Go (4,84 Go free) [Jeux] # NTFS
G:\ -> Disque fixe local # 97,65 Go (12,63 Go free) [Stockage] # NTFS
H:\ -> Disque fixe local # 304,63 Go (273,63 Go free) [Reste] # NTFS
I:\ -> Disque fixe local # 279,47 Go (98,85 Go free) [Gros] # NTFS
J:\ -> Disque amovible # 7,49 Go (7,15 Go free) [CORSAIR_01] # FAT32
K:\ -> Disque amovible
L:\ -> Disque amovible
M:\ -> Disque amovible
N:\ -> Disque CD-ROM
O:\ -> Disque amovible
P:\ -> Disque amovible # 3,76 Go (3,65 Go free) [UDISK 2.0] # FAT32
Q:\ -> Disque amovible # 997,45 Mo (997,38 Mo free) [BIDULE] # FAT32
R:\ -> Disque amovible # 7,49 Go (6,41 Go free) [CORSAIR_02] # FAT32

################## | Elements infectieux |

C:\resycled  
E:\resycled  
F:\resycled  

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.114 ! |

sKe69 · Answer

vu 


j'attends les résultat du PC2 avant de te donné la suite ....

Ferdinand · Answer

rapport de UBSFix option 2 du PC2


############################## | UsbFix V6.114 |

User : Ferdinand (Administrateurs) # COOCKY
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:28:17 | 22/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 100522-1] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 11,72 Go (2,57 Go free) [Windows] # NTFS
D:\ -> Disque fixe local # 11,72 Go (2,57 Go free) [Softs] # NTFS
E:\ -> Disque fixe local # 69,71 Go (14,37 Go free) [Datas] # NTFS
F:\ -> Disque CD-ROM # 679,03 Mo (0 Mo free) [CA105 CD1] # CDFS
G:\ -> Disque CD-ROM
H:\ -> Disque amovible # 7,49 Go (7,15 Go free) [CORSAIR_01] # FAT32
J:\ -> Disque amovible # 997,45 Mo (997,38 Mo free) [BIDULE] # FAT32

################## | Elements infectieux |

Supprimé ! C:\DOCUME~1\FERDIN~1\LOCALS~1\Temp\fga.exe 
Supprimé ! C:\Recycler\S-1-5-21-448539723-436374069-725345543-1003 
Supprimé ! D:\Recycler\S-1-5-21-448539723-436374069-725345543-1003 
Supprimé ! E:\Recycler\S-1-5-21-448539723-436374069-725345543-1003 
(!) Non supprimé ! F:\ca.exe  

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[26/04/2010 15:46|--a------|7172] C:\3de_cache.txt 
[09/01/2009 13:55|--a------|0] C:\AUTOEXEC.BAT 
[09/01/2009 13:48|---hs----|212] C:\boot.ini 
[30/08/2002 14:00|-rahs----|4952] C:\Bootfont.bin 
[09/01/2009 13:55|--a------|0] C:\CONFIG.SYS 
[?|?|?] C:\hiberfil.sys 
[18/01/2009 12:19|--a------|17117] C:\installer_debug.out 
[09/01/2009 13:55|-rahs----|0] C:\IO.SYS 
[09/01/2009 13:55|-rahs----|0] C:\MSDOS.SYS 
[03/08/2004 22:38|-rahs----|47564] C:\NTDETECT.COM 
[09/01/2009 16:33|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[22/05/2010 20:20|--a------|2011] C:\UsbFix.txt 
[02/10/2007 17:38|-r-------|2226677] F:\CA 
[14/09/2007 17:06|-r-------|1661765] F:\CA.exe 
[14/09/2007 17:06|-r-------|3231242] F:\CA.hqx 
[21/05/2005 00:34|-r-h-----|1024] F:\Desktop DB 
[21/05/2005 00:34|-r-h-----|2] F:\Desktop DF 
[14/09/2007 15:29|-r-------|6144] F:\Thumbs.db 
[02/10/2007 16:00|-r-------|90743] F:\background.jpg 
[05/03/2003 16:01|-r-------|3774] F:\c-arts.ico 
[14/09/2007 16:20|-r-------|40] F:\demarrage.bat 
[14/09/2007 13:48|-r-------|1007] F:\flashplayer.html 
[10/06/2009 17:09|--a------|1157791] H:\08 - Jazz.mp3 
[10/06/2009 17:08|--a------|3849239] H:\06 - Blues.mp3 
[10/06/2009 17:14|--a------|5066964] H:\David Bowie - Space Oddity.mp3 
[27/04/2006 19:46|--a------|7290550] H:\David Bowie - The Man Who Sold The World.mp3 
[10/06/2009 17:08|--a------|1063750] H:\07 - Trash.mp3 
[10/06/2009 17:05|--a------|30669367] H:\01 - Part 1.mp3 
[20/05/2010 20:31|--a------|965] H:\A copier Empire Universe 2 A effacer.txt 
[10/06/2009 17:28|--a------|3402148] H:\The Supremes - Ain't No Montain High Enough.mp3 
[08/06/2009 12:00|--a------|4184662] H:\Nirvana - The Man Who Sold The World.mp3 
[11/02/2010 07:12|--a------|31491626] H:\Anim_Fonc_Trans.avi 
[08/06/2009 10:59|--a------|3657561] H:\John Lennon - Working Class Hero.mp3 
[28/05/2007 15:16|--a------|5886723] H:\Green Day - Working Class Hero.mp3 
[22/05/2010 18:04|--a------|1784] J:\UsbFix.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# J:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_COOCKY.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.114 ! |

sKe69 · Answer

très bien ....



maintenant on retourne sur le PC1 .


fait ceci dans l'ordre :



1- pas besoin de brancher tes unités externe pour cette manipe , on va juste nettoyer le PC .


! Déconnecte toi d'internet et ferme toutes applications en cours !


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

laisse bien redémmarrer en mode normal !

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\ 


===========================

2- en mode normal si possble ,

Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Ferdinand · Answer

Alors déjà le rapport USBFix option 2 pour le PC1

A noter que ça soit internet explorateur ou que ça soit FireFox, ils refusent de se connecter et mon fond d'écran est toujours bloquée.
Point positif je n'est plus les fenêtres d'alerte intempestives.

Je refais un scan ZHPDiag sur le PC1


############################## | UsbFix V6.114 |

User : Ferdinand (Administrateurs) # FEFER
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:51:12 | 22/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad CPU    Q6600  @ 2.40GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 100521-1] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 29,29 Go (15,35 Go free) [XP] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 29,29 Go (13,62 Go free) [Logiciels] # NTFS
F:\ -> Disque fixe local # 4,88 Go (4,84 Go free) [Jeux] # NTFS
G:\ -> Disque fixe local # 97,65 Go (12,63 Go free) [Stockage] # NTFS
H:\ -> Disque fixe local # 304,63 Go (273,63 Go free) [Reste] # NTFS
I:\ -> Disque fixe local # 279,47 Go (98,85 Go free) [Gros] # NTFS
J:\ -> Disque CD-ROM
K:\ -> Disque amovible
L:\ -> Disque amovible
M:\ -> Disque amovible
N:\ -> Disque CD-ROM
O:\ -> Disque amovible

################## | Elements infectieux |

Supprimé ! C:esycled 
Supprimé ! C:\Recycler\S-1-5-21-1547161642-1343024091-682003330-1003 
Supprimé ! C:\Recycler\S-1-5-21-1547161642-1343024091-682003330-500 
Supprimé ! E:esycled 
Supprimé ! E:\Recycler\S-1-5-21-1547161642-1343024091-682003330-1003 
Supprimé ! F:esycled 
Supprimé ! F:\Recycler\S-1-5-21-1547161642-1343024091-682003330-1003 
Supprimé ! G:\Recycler\S-1-5-21-1547161642-1343024091-682003330-1003 
Supprimé ! H:\Recycler\S-1-5-21-1547161642-1343024091-682003330-1003 
Supprimé ! I:\Recycler\S-1-5-21-1547161642-1343024091-682003330-1003 
Supprimé ! I:\Recycler\S-1-5-21-583907252-2147207803-839522115-1003 

################## | Registre |

Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"  
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{5af12706-fcf1-11dc-868d-001bfce1677b}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[21/02/2010 13:58|--a------|1024] C:\.rnd 
[05/05/2010 12:28|--a------|7054] C:\3de_cache.txt 
[04/02/2008 22:19|--a------|0] C:\AUTOEXEC.BAT 
[04/02/2008 22:14|---hs----|212] C:\boot.ini 
[30/08/2002 14:00|-rahs----|4952] C:\Bootfont.bin 
[04/02/2008 22:19|--a------|0] C:\CONFIG.SYS 
[13/06/2009 19:22|--a------|691] C:\finfos.txt 
[30/01/2009 21:13|--a------|44338] C:\installer_debug.out 
[04/02/2008 22:19|-rahs----|0] C:\IO.SYS 
[01/06/2009 14:42|--a------|1669] C:\mkv.txt 
[30/06/2009 13:32|--a------|371] C:\mp4.txt 
[09/01/2010 22:47|--a------|438] C:\mpeg.txt 
[04/02/2008 22:19|-rahs----|0] C:\MSDOS.SYS 
[03/08/2004 22:38|-rahs----|47564] C:\NTDETECT.COM 
[07/09/2008 19:55|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[01/03/2009 17:21|--a------|1876] C:\pvas.txt 
[22/05/2010 21:02|--a------|3142] C:\UsbFix.txt 
[22/05/2010 12:26|--a------|36360] C:\ZHPExportRegistry-22-05-2010-12-26-52.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_FEFER.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.114 ! |

sKe69 · Answer

re,

Je refais un scan ZHPDiag sur le PC1


oui .... en mode normal stp et transfert le rapport sur l'autre PC pour me le faire parvenir via "Cijoint" ...

Ferdinand · Answer

Voici le rapport ZHPDiag du PC1

http://www.cijoint.fr/cjlink.php?file=cj201005/cijocvwkLC.txt

sKe69 · Answer

bien ....



on continu sur ce PC donc ... dans l'ordre :




1- Télécharge et installe la dernière version de  CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


================================

2- Télécharge se petit soft , ZEB_RESTORE :  

ici http://telechargement.zebulon.fr/zeb-restore.html 
ou https://forum.zebulon.fr/index.php?act=attach&type=blogentry&id=1153

Enregistre ce fichier sur ton bureau. 

!  Ferme toutes tes applications ( navigateur compris ) et déconnecte toi !

-Clique droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau. 
-Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe 
---> Coche les cases devant ( et uniquement celles-ci ! ) : 

* Policies : remet en place des éléments désactivés par "Policies" 
* Bureau : réactive le bureau 
* Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares) 
* Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.) 
* Réinitialiser Fichier Hosts : réinitialise le fichier Hosts  


-Clique sur : " Restaurer " et laisse faire ( c'est assez rapide ) ....

--> Une fois fait, redémarre ton PC  pour que les répartions prennent effet .


=================================

3- Télécharges Malwarebytes' : 
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

 
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


==============================

4- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Ferdinand · Answer

Me suis trompé, j'ai commencé par Malwarebytes.

Alors je recommence depuis le début:

1) CCleaner logiciel que je connais bien. (mais qui ne m'a pas empêché de d'attraper ce truc)
2) Zeb-Restore génère une fenêtre dans laquelle il est écrit "Erreur d'éxécution 75: Erreur dans le chemin d'accès"
3) Malwarebytes: plus d'erreur détectée donc le log fourni est celui obtenu au premier lancement de Malwarebytes.
4) ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201005/cijqvrKybk.txt


Remarque: Les icones sont figées et se débloquent après plusieurs dizaines de minutes. Le net reste inaccessible.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22/05/2010 22:40:49
mbam-log-2010-05-22 (22-40-49).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 126143
Temps écoulé: 3 minute(s), 8 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 9
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{bde8a95b-a98d-4928-adcb-c3c3d0afa449} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{eaa3f1ff-f1cc-46bf-85fa-197eebf3b524} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{07d3626d-10c6-4d84-820c-2f4fdcafab02} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e9b1fb08-ba8c-4cda-af62-54ff3baf941d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0848225a-8181-42fc-8c68-f0a543b12967} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{B5BB60EE-125B-40AB-AAA5-A4E194973C95} (Spyware.OnlineGames) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\FirstBHO.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.WebMedia) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\TDSSlxwp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\EditPad.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\Sysvxd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

sKe69 · Answer

bon ...  


CCleaner logiciel que je connais bien. (mais qui ne m'a pas empêché de d'attraper ce truc)   

> normal car ce n'est absolument pas son rôle ! ... ce n'est pas un logiciel de protection ... :))))  
Il est là pour faire de petit nettoyage ( fichier temp , cache internet , clé de registre orfeline , ... )  



Comme tu n'as toujours pas de connection , Malwrebytes n'as pas pu être mis à jour ... donc il n'a pas pu faire le nettoyage complètement ....  



Donc voilà ce que tu vas faire maintenant :  



1- supprime tout ce qui se trouvre dans la quarataine de Malwarebytes ....  


=======================  


2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):   

http://download.bleepingcomputer.com/sUBs/ComboFix.exe   


* Impératif :  
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . Bien vérifier que rien ne soit " bloqué en écriture " ( petit loquet sur certaines clé usb ... ) et que les DD externes soient bien sûr alimentés électriquement ...  


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------  
*  Ferme tes applications en cours ( ainsi que ton navigateur ) .  
*  DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .    
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !  
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...  
*  Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix  
*  Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).  
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------  


Ensuite :  
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .  
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...  


-- Pour  XP, l' installation de la Console de Récupération sera demandé :  
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).  
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif  
*Une fois la console installée,  
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png    
déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --   


Notes importantes :   
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .  
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .  
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes.  
-> Si après un reboot éventuel , ton anti-virus s'affole lorsque travail encore Combofix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )  

Le rapport sera crée ici : C:\Combofix.txt   

Réactive bien tes défenses .  

   
Poste le rapport de Combofix via "Cijoint" pour analyse et attends la suite ...  




"Baby, I'm going on an airplane, And I don't know if I'll be back again"  
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne   
vous l'a pas dit !

Ferdinand · Answer

En mode normal je ne peux rien faire normalement.
Par exemple, il m'est impossible de désactiver Avast. Toutes les icones sont désactivées. Si j'essaie de passer par l'explorateur, dès que je clique dans un dossier tout ce fige.

Puis je faire la manip avec ComboFix en mode sans échec ?

Ferdinand · Answer

Je ne peux rien faire en mode normal.
Tout est figé. Je ne peux donc pas désactiver AVAST. Il y a en plus sur les icones de lancement rapide en bas à droite dans la barre de tâche un petit cadre gris foncé. J'ai essayé par l'intermédiaire de l'explorateur windows mais dès que je clique dans un dossier tout se fige.

Donc, question, puis faire la manip avec ComboFix en mode sans échec ?

Ferdinand · Answer

Après, environ, 30mn le système se débloque.
Donc voici le rapport de combofix:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijgPtfjl0.txt

sKe69 · Answer

bien ...



avant de passer à la suite, as-tu récupéré ta connexion ou pas ?


le systeme est-il plus stable en mode normal ? ...

Ferdinand · Answer

Ah! contant de te retrouver, je me sentais délaissé :o)

A l'allumage du PC, Les icones visibles de la barre de tâche sont soit inactives soit cachées derrière un cadre gris foncé (icones de la barre de tâche à droite). Le bouton "Démarrer" est dans le même état.

Au bout d'une trentaine de minutes la situation se débloque.
A ta demande je tente de me connecter via Firefox et de suite Avast détecte un cheval de troie. J'abandonne la connexion à risque. En conclusion je récupère ma connexion mais pas immédiatement.

Au cas où, en t'attendant j'ai fais un coup de ZHPDiag dont voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijDhZ8dJq.txt

sKe69 · Answer

alors pour manipe suivante , 


* tu te connectes à internet ! ( mais pas besoin d'ouvrir spécialement tes navigateurs ... communique avec moi sur l'autre PC ) 

* Lorsque l'outil Combofix te demandera d'installer la console de récupération , tu acceptes impérativement ! 

* Désactive Avast pour éviter qu'il nous em.....de lors des manipes .... 



========================== 


1- Créer un doc texte sur ton bureau:  
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .  

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :  


Registry::  
[-HKEY_CURRENT_USER\SOFTWARE\LdShih]  
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] 
"smss32.exe"=- 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] 
"smss32.exe"=- 


File::  
c:\windows\system32\smss32.exe 
c:\documents and settings\Ferdinand\Application Data\qvjsge.dat  
C:\UsbFix_Upload_Me_FEFER.zip 
   
Folder::  
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
       


* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :  
CFScript puis valide ... ( sauvegarde le bien sur le bureau ) 
  


2- Nettoyage : 

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .  

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif ) 

Cette manipulation va relancer Combofix . 

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !). 

! Ne touches à rien tant que le scan n'est pas terminé ! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ... 


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation ) 





"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Ferdinand · Answer

A noter:
Au début de la manip, ComboFix m'a demandé si je voulais installer la nouvelle version. J'ai répondu par l'affirmative.

Voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijbmz8PGk.txt

sKe69 · Answer

bien .... 



y a t' il du mieux ? .... 




puis fait ceci ( toujours connecté à internet ) : 


1- On va réutiliser Malwarebytes en le mettant à jour cette fois ci ! ..... 

* ouvre Malwarbytes . 

* mets le à jour ! (onglet "mise à jour") . Recommence jusqu'a ce qu'il ny est plus de maj disponible .  

! Déconnecte toi et ferme toutes applications en cours !  

* Fais un examen dit "RAPIDE" . 

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).  
--> à la fin tu cliques sur "résultat" .  
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " . 

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ... 


============================ 


2- Télécharge SystemLook de jpshortstuff sur ton bureau : 

http://images.malwareremoval.com/jpshortstuff/SystemLook.exe 


* Double-clique sur "SystemLook.exe" pour lancer l'outil . 

-> Copies/colle le texte ci-dessous dans la fenêtre : 


:dir 
c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}   



* Clique sur le bouton [Look] pour lancer l'examen . 

Laisse travailler ... 

* Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.  

-> Poste ce rapport dans ta prochaine réponse pour analyse ... 


 ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" ) 





"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Ferdinand · Answer

Au démarrage du PC, les icones de la barre de tâche sont toujours inaccessibles. Après 15mn les icones sont débloquées.

Rapport Malwarebytes:
d'après ce que je comprend rien est détecté.
http://www.cijoint.fr/cjlink.php?file=cj201005/cijnQudjXb.txt

Rapport de SystemLook:
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 12:16 on 24/05/2010 by Ferdinand (Administrator - Elevation successful)

========== dir ==========

c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521} - Parameters: "(none)"

---Files---
None found.

---Folders---
x86	d-----	[14:27 08/04/2010]

-=End Of File=-

sKe69 · Answer

bien .... 



1- pout tes prb de démarrage , il y a surement conflit entre Avast et Norton SystemWorks 


Donc, suivant si tu payes une licence chez l'un des deux , supprime en un dès maintenant :  

* pour Avast , suit exactement cette méthode > https://www.avast.com/fr-fr/uninstall-utility 



* Pour Norton , télécharge Norton removal tool sur ton bureau : 
ftp://ftp.symantec.com/public/francais/removal_tools/Norton_Removal_Tool.exe 

Déconnecte toi .  
Ensuite désinstalle Norton avec "Norton removal tool": tu double-cliques dessus et tu te laisses guider ... il faut le désinstaller correctement ( fais la manipe 2 fois si possible ).   



================================ 

2- Une fois ceci fait , refais un scan ZHPDiag . 

* coche bien toutes les options ( sauf la 045 et 061 ),  

* au niveau du bouton "calendrier" choisis > 30 days 

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...  

"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Ferdinand · Answer

Bon OK, je vais tenter ça.

Il y a un autre petit truc au sujet du PC2. Lors de l'allumage j'ai en tout premier une fenêtre d'information qui me dit qu'il ne trouve pas C:\DOCUME~1~\FERDIN~1\LOCALS~1~\Temp\fga.exe et me demande de le rechercher.

Est ce grave ? Et comment me débarrasser de ce message ?

Ferdinand · Answer

Les icones du bureau sont lançables mais celles de la barre de taches, toujours pas.
Alors, j'ai mis l'icone de Firefox sur le bureau. Si je lance cette icone juste après le démarrage, la connexion au net est bloquée pendant la même durée que la durée d'inaccessibilité des icones de la barre de tache.

j'ai désinstallé Avast.

J'ai désinstaller Norton SystemWorks 3 fois.
Quand je redémarre, le système génère une fenêtre ou est écrit "00001611.EXE - Composant introuvable" et me dit aussi qu'il n'a pas pu démarrer car S32STAT.DLL est introuvable et prévient que la réinstallation de l'application corrigera le problème et quand je clique sur le bouton me connecte chez Norton.

Conclusion, La latence de démarrage du système n'est toujours pas corrigé malgrés la supression d'Avast et de NostonSystemWorks.

Rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijUtrY1Yg.txt

sKe69 · Answer

hello,


sent pas bon pour le PC2 ... on regardera cela après ....




sur le PC1 , fait ce qui suit dans l'ordre :



1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


e:\program files\Norton SystemWorks\OBC.exe
c:\windows\Tasks\Norton SystemWorks One Button Checkup.job
O4 - Global Startup: Norton System Doctor.LNK . (.Symantec Corporation - Norton System Doctor.)  -- E:\RECYCLER\NPROTECT\00001611.EXE
O43 - CFD:Common File Directory ----D- C:\Program Files\Symantec       
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\Symantec Shared
O64 - Services: CurCS - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AAVMKER4
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK  
O64 - Services: CurCS - (.not file.) - avast! Standard Shield Support (aswMon2)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMON2 
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR  
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI
O64 - Services: CurCS - (.not file.) - Norton Unerase Protection Driver (NPDriver)  .(.Pas de propriétaire - Pas de description.) - LEGACY_NPDRIVER 
O64 - Services: CurCS - (.not file.) - Norton Unerase Protection (NProtectService)  .(.Pas de propriétaire - Pas de description.) - LEGACY_NPROTECTSERVICE
O64 - Services: CurCS - (.not file.) - SymEvent (SymEvent)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMEVENT             
[HKCU\Software\ALWIL Software]  
[HKLM\Software\ALWIL Software] 


Puis Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 


=====================================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/ 

! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) ! 

* Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
* Une fois l'outil ouvert, clique sur le bouton [Scanner] .

* Laisse travailler l'outil et ne touche à rien ... 


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...


( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Ferdinand · Answer

ZHPFix :

ZHPFix v1.12.3101  by Nicolas Coolman - Rapport de suppression du 24/05/2010 16:23:15
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Contact : nicolascoolman@yahoo.fr

Processus mémoire :
e:\program files\Norton SystemWorks\OBC.exe  => Fichier absent
c:\windows\Tasks\Norton SystemWorks One Button Checkup.job  => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
O64 - Services: CurCS - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AAVMKER4  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Standard Shield Support (aswMon2)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMON2  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Norton Unerase Protection Driver (NPDriver)  .(.Pas de propriétaire - Pas de description.) - LEGACY_NPDRIVER  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Norton Unerase Protection (NProtectService)  .(.Pas de propriétaire - Pas de description.) - LEGACY_NPROTECTSERVICE  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SymEvent (SymEvent)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMEVENT  => Clé supprimée avec succès
HKCU\Software\ALWIL Software  => Clé supprimée avec succès
HKLM\Software\ALWIL Software  => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
C:\Program Files\Symantec  => Supprimé et mis en quarantaine
C:\Program Files\Fichiers Communs\Symantec Shared  => Supprimé et mis en quarantaine

Fichier :
O4 - Global Startup: Norton System Doctor.LNK . (.Symantec Corporation - Norton System Doctor.)  -- E:\RECYCLER\NPROTECT\00001611.EXE  => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 2
Module mémoire : 0
Clé du Registre : 11
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 2
Fichier : 1
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

==================================================

Ad-remover :

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:37:27 le 24/05/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows XP Professionnel (Service Pack 3 - X86)
Nom du PC: FEFER
Utilisateur actuel: Ferdinand
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
.
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Documents and Settings\Ferdinand\..\h62yoj8l.default\prefs.js - browser.download.lastDir: C:\Documents and Settings\Ferdinand\Bureau
C:\Documents and Settings\Ferdinand\..\h62yoj8l.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 1854 Octet(s)
.
Fin à: 16:40:41, 24/05/2010
.
============== E.O.F - SCAN[1] ==============

sKe69 · Answer

bon ...


c'est propre au niveau de Ad-R ...


Dsi moi ... as tu ton CD original de Windows ? ....



Puis fait ce qui suit dans l'ordre :



( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag ! 


> Enfin clique en bas sur "Nettoyer" . 


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ... 

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt) 

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le ! 



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ). 

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...
 

======================================

2- Refais un coup de CCleaner ( registre compris ) .


======================================

3- Télécharge et installe le logiciel HijackThis : 

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

======================================

4- Important :
Purge de la restauration système 
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================


5- Installation et utilisation de ton nouvel antivirus : AntiVir 



Télécharge AntiVir Personal Edition  ici :
http://www.commentcamarche.net/telecharger/telecharger-55-antivir
ou ici :
http://dl1.avgate.net/down/windows/antivir_workstation_winu_fr_h.exe
ou ici :
http://www.free-av.com/fr/telecharger/1/avira_antivir_personal_free_antivirus.html

Anti-virus gratuit et en français. 


Installe le et mets le à jour si besoin .


Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/
TUTO installation : http://www.forum-vista.net/forum/topic5704.html



Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " : 

* mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé  .
coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir. 
* toujours dans "recherche" -> " Autres réglages ", coche les cases suivantes : 
>secteur d'amorçage lecteurs de rech. 
>Contrôler secteurs d'amorçage maître 
>Suivre les liens symboliques 
>Rech.Rootkit au dém. de la recherche 
et décoche : 
ignorer les fichiers hors ligne 

* mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification élevé ...
* mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .

* mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification moyen ...


---> clique sur "OK" pour valider le réglage ...
****************************************


Une fois fait, lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...
 
-> poste moi le rapport obtenu ... Aide toi bien du tuto ;) 

( PS : Si AntiVir s'affolle dès la fin de son installe , ainsi qu'au redémarrage du PC , mets tout en quarantaine et poste moi tous les rapports ... )

Ferdinand · Answer

Antivir est en train de scanner. Est il nécessaire de scanner toutes les partitions sachant que j'ai une partition C dans laquelle se trouve Windows, des partitions E et F dans laquelle se trouve les programmes installés et des partitions G, H et I dans lesquelles il n'y a que des données car à la vitesse à laquelle ça va et les volumes à scanner il va y en avoir pour plusieurs jours ?


En attendant j'envoie le rapport de ZHPFix:


ZHPFix v1.12.3101  by Nicolas Coolman - Rapport de suppression du 24/05/2010 17:20:09
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
C:\UsbFix  => Supprimé et mis en quarantaine
C:\Qoobox  => Fichier supprimé au reboot

Fichier :
c:\combofix.txt  => Supprimé et mis en quarantaine

Logiciel :
O63 - Logiciel: Ad-Remover By C_XX  => Logiciel supprimé avec succès
O63 - Logiciel: UsbFix  => Logiciel supprimé avec succès
O63 - Logiciel: ComboFix - (sUBs)  => Logiciel supprimé avec succès

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 2
Fichier : 1
Logiciel : 3
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

Ferdinand · Answer

Voici le rapport après scan de Antivir. Ce qui a été trouvé dans la partition I correspond à des crack ou des keygen.
http://www.cijoint.fr/cjlink.php?file=cj201005/cijklSL3IA.txt

sKe69 · Answer

et bien ....


comme tu vois , faut arrêter les keygens et cracks ! .... c'est l'une des causes principale d'infection en informatique ....
tout ceux-ci sont infectieux ...


donc supprime tout ce qui se trouve dans la quarataine d'AntiVir ....



et dis moi où en sont les disfonctionnement au démarrage ...

dis moi aussi si tu as ton CD original de Windows stp ....

Ferdinand · Answer

Ah oui le CD windows. Oui je l'ai.

sKe69 · Answer

re,   


Ah oui le CD windows. Oui je l'ai.   

très bien .... si tu as toujour des soucis de blocage au démarage , tu vas faire une réparation de Windows en suivant ce tutoriel > https://www.pcastuces.com/newsletter/adj/1340.htm  



dis moi une fois fait ...si il y a eu des réparations à faire et comment cela c'est passer ....   


on avisera ensuite ...   




"Baby, I'm going on an airplane, And I don't know if I'll be back again"   
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne    
vous l'a pas dit !

Ferdinand · Answer

OK je vais faire ça. Je te remercie de ton aide. Je te dis à demain si tu es là. Je suis dans l'obligation d'éteindre mon ordinateur maintenant.

A+
Ferdinand

Ferdinand · Answer

Salut,

J'ai suivi "Réparer un fichier corrompu - Windows XP".
A la différence de ce qui est dit dans ce tuto, après avoir lancé la commande "sfc /scannow"
Le système me demande le CD de windows immédiatement et non pas après analyse.
Une fois l'analyse effectuée plus rien. J'en déduit qu'il n'y a pas de fichier corrompu.

Symptômes:

A l'allumage, dans un premier temps tout parait se passer sans problème puis une fenêtre d'info [le système génère une fenêtre ou est écrit "00001611.EXE - Composant introuvable" et me dit aussi qu'il n'a pas pu démarrer car S32STAT.DLL est introuvable et prévient que la réinstallation de l'application corrigera le problème]
Ensuite le système se fige. J'explique: je clique dans la croix de la fenêtre pour la retirer de l'écran. Elle disparait mais l'icône lui correspondant dans la barre de taches reste présente. L'horloge est figé (dernier cas 18:42). Si je survole les icônes de la barre de tache, il n'y a aucun mouvement de ces dernières montrant qu'elle sont survolées par le pointeur de souris.
Si je clique par exemple dans l'icône de FireFox, aucune réaction.
Tout d'un coup (5mn, 7mn ou 10mn après) tout se débloque. J'entends le générique audio de Windows XP suivi du bruit "Blang" qui devrai accompagner l'apparition de la fenêtre précédemment citée. FireFox s'ouvre et tout parait fonctionner normalement. l'horloge se remet à l'heure (dernier cas 18:49).

sKe69 · Answer

hello,

l'origine de ce message est une mauvaise désinstalle de Norton ...


* recommence la manipe de Norton Removal Tool en mode normal et en faisant bien clique droit / "executer en tant qu'admin..." sur l'outil ...

* refait un coup de CCleaner ( registre compris ) derrière et reboot le PC une nouvelle fois ...

Dis moi si il y a du mieux ....

Ferdinand · Answer

Bon je commence à désespérer pour me débarrasser de cette bon sang de fenêtre. Je viens de faire la manip 3 fois en redémarrant à chaque fois et rien y fait, elle est toujours là.

J'ai viré Adobe acrobat qui faisait appelle à un fichier msi que j'ai supprimé après avoir supprimé le keygen correspondant à ce soft. J'espérais un mieux mais non.

Conclusion, pas de mieux

sKe69 · Answer

bon ....


on va pousser les investigations ....


1- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ... 


===========================

2- Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
ou ici https://www.androidworld.fr/

! Ferme toutes applications en cours !

* Clique droit / "excuter en tant q'admin..." sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil. 

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

00001611.exe, S32STAT.dll


* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant  " Afficher les ADS "

* Au niveau  des " options du registre " :
> coche " chercher également dans le registre "

( ne touche à aucun autre réglage ) 

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ). 

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt ) 

--> Copie/colle le contenu de ce rapport dans ta prochaine réponse. Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/

Ferdinand · Answer

Voici le rapport de ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201005/cij8d0oeXj.txt

Je n'ai pas bien compris. Je fais le 2- ou j'attends ton verdict avant d'y passer ?

Ferdinand · Answer

J'ai compris en relisant tes anciens postes, c'est un copié/collé, je dois faire le 2-.

Mais j'ai un problème, je n'ai qu'un compte sur mon PC. Je n'ai pas de compte administrateur.
Que dois je faire ?

Ferdinand · Answer

tea culpa accepté ;o)

Bon alors voici le rapport:


1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 22:18:52 le 25/05/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. 00001611.exe
8. S32STAT.dll
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Affichage des ADS
12. (!) --- Informations supplémentaires
13. (!) --- Recherche registre
14. 
15. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
16. 
17. "c:\WINDOWS\Prefetch\00001611.EXE-186090A6.pf" [ ----A---- | 6704 ]
18. TC: 25/05/2010,19:33:29 | TM: 25/05/2010,20:13:47 | DA: 25/05/2010,20:13:47
19. MD5: d568a89a867f6d11eeb0b8458f16e2f7
20. 
21. 
22. 
23. =========================
24. 
25. "e:\RECYCLER\NPROTECT\00001611.EXE" [ ----A---- | 24614 ]
26. TC: 06/02/2008,21:10:39 | TM: 20/08/2002,14:01:06 | DA: 25/05/2010,20:56:20
27. MD5: 3ce65fcf1a99a0293aa4be5af6ccff56
28. 
29. 
30. CompagnyName: Symantec Corporation
31. ProductName: Norton Utilities
32. InternalName: SYSDOC32
33. OriginalFilename: SYSDOC32.EXE
34. LegalCopyright: Copyright (C) 2003 Symantec Corporation
35. ProductVersion: 16.00.0.22
36. FileVersion: 16.00.0.22
37. 
38. =========================
39. 
40. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
41. 
42. Aucun dossier trouvé
43. 
44. 
45. ====== Entrée(s) du registre ======
46. 
47. 
48. 
49. [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
50. "E:\RECYCLER\NPROTECT\00001611.EXE"="Norton System Doctor"
51. 
52. [HKEY_USERS\S-1-5-21-1547161642-1343024091-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
53. "E:\RECYCLER\NPROTECT\00001611.EXE"="Norton System Doctor"
54. 
55. 
56. 
57. =========================
58. 
59. Fin à: 22:21:26 le 25/05/2010 ( E.O.F )

sKe69 · Answer

vu , 


recommence la manipe de SEAF à l'iddentique en mettant ce qui suit dans le carde pour la recherche : 

Norton System Doctor,SYSDOC32.EXE 


poste moi le nouveau rapport obtenu stp .... 

"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Ferdinand · Answer

Je dois me lever tôt demain donc, je te souhaite une bonne nuit.
et en attendant voici le rapport obtenu avec SEAF

PS: dis moi, tu fais tout ça bénévolement ?


1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 23:16:26 le 25/05/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. Norton System Doctor
8. SYSDOC32.EXE
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Affichage des ADS
12. (!) --- Informations supplémentaires
13. (!) --- Recherche registre
14. 
15. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
16. 
17. "c:\Documents and Settings\Ferdinand\Menu Démarrer\Programmes\Démarrage\Norton System Doctor.LNK" [ ----A---- | 620 ]
18. TC: 06/02/2008,21:26:56 | TM: 24/05/2010,14:28:35 | DA: 25/05/2010,20:56:20
19. MD5: 3446b444d2fd867f187872383b649b86
20. 
21. 
22. 
23. =========================
24. 
25. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
26. 
27. Aucun dossier trouvé
28. 
29. 
30. ====== Entrée(s) du registre ======
31. 
32. 
33. 
34. [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
35. "E:\RECYCLER\NPROTECT\00001611.EXE"="Norton System Doctor"
36. 
37. [HKEY_USERS\S-1-5-21-1547161642-1343024091-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
38. "E:\RECYCLER\NPROTECT\00001611.EXE"="Norton System Doctor"
39. 
40. 
41. 
42. =========================
43. 
44. Fin à: 23:17:14 le 25/05/2010 ( E.O.F )

sKe69 · Answer

bien ...


PS: dis moi, tu fais tout ça bénévolement ?

> yes .... ;)




fait ce qui suit pour demain :



Télécharge OTM (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

 
Double clique sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 


:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"E:\RECYCLER\NPROTECT\00001611.EXE"=-
[HKEY_USERS\S-1-5-21-1547161642-1343024091-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"E:\RECYCLER\NPROTECT\00001611.EXE"=-

:Files
c:\Documents and Settings\Ferdinand\Menu Démarrer\Programmes\Démarrage\Norton System Doctor.LNK
E:\RECYCLER\NPROTECT\00001611.EXE
c:\WINDOWS\Prefetch\00001611.EXE-186090A6.pf

:Commands
[purity]
[emptytemp]
[Reboot] 



et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).



dis moi également si il y a du mieux ...

Ferdinand · Answer

Bonjours,

La fenêtre a disparu mais les autres symptômes de latence (ici 5mn) sont toujours présents.

Donc voici le rapport de OTM:

All processes killed
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\E:\RECYCLER\NPROTECT\00001611.EXE deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1547161642-1343024091-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\E:\RECYCLER\NPROTECT\00001611.EXE not found.
========== FILES ==========
c:\Documents and Settings\Ferdinand\Menu Démarrer\Programmes\Démarrage\Norton System Doctor.LNK moved successfully.
E:\RECYCLER\NPROTECT\00001611.EXE moved successfully.
c:\WINDOWS\Prefetch\00001611.EXE-186090A6.pf moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Flash cache emptied: 635 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
 
User: Ferdinand
->Temp folder emptied: 1231076 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 48057936 bytes
->Flash cache emptied: 1887531 bytes
 
User: LocalService
->Temp folder emptied: 65748 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Flash cache emptied: 593 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2133582 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16867 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 51,00 mb
 
 
OTM by OldTimer - Version 3.1.12.0 log created on 05262010_141108
 présents

sKe69 · Answer

hello, 


pour la latence de démarrage , on fera le point une fois qu'on aura tout terminé ... 



on attaque la finalisation ... dans l'ordre : 



1- Désinstalle via le panneau de config / "ajout et supp. de prg " cette vieille version de FireFox obsolete >  Mozilla Firefox (2.0.0.16)  

garde uniquement la dernière version 3.6.3 . 


======================= 

2- Mets à jour ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) : 

Version Console Java à jour > 6 Update 20 

-> désinstalle toutes les versions antérieurs  via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) . 

tes anciennes versions sont : 
Java 2 Runtime Environment, SE v1.4.2_17  
O42 - Logiciel: Java(TM) 6 Update 11  
O42 - Logiciel: Java(TM) 6 Update 5 
O42 - Logiciel: Java(TM) 6 Update 7 

-> Puis télécharge et installe la dernière version ici : 
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/ 
ou https://www.java.com/fr/ 

( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions  
avec l'outil Javara : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara ) 

-> Enfin contrôle ceci :  
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour". 


============================== 

3- une fois tout ceci fait , utilise Hijackthis ainsi : 

tuto pour utilisation : 
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),  
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm  
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement ) 

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg :  
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"  

---> Poste le rapport généré pour analyse ...   



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Ferdinand · Answer

Je m'en doutais, c'est la raison pour laquelle je ne l'avais jamais fait.
Je parle de la désinstallation de la version 2 de FireFox. Après l'avoir exécutée c'est la version 3.6 qui a disparu donc j'ai tout viré FireFox et j'ai réinstallé la dernière version.
Pour Java ça c'est passé inpec.
Quoi qu'il en soit voici le rapport de Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:23:42, on 26/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Avira\AntiVir Desktop\sched.exe
E:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
E:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
E:\Program Files\VMware\VMware Workstation\vmware-tray.exe
E:\Program Files\iTunes\iTunesHelper.exe
E:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office10\msoffice.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
C:\Program Files\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
E:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
E:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Trend micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - E:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [RemoteControl] "E:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [vmware-tray] "E:\Program Files\VMware\VMware Workstation\vmware-tray.exe"
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: GigaTribe.lnk = E:\Program Files\GigaTribe\gigatribe.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Télécharger avec NetTransport - E:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - E:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: e:\program files\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: e:\program files\vmware\vmware workstation\vsocklib.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE632FAC-D51E-4DDC-834B-53F8B1F440C1}: NameServer = 212.27.53.252,212.27.54.252
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - E:\Program Files\Ares\chatServer.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max Design 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\Program Files\Autodesk\3ds Max 2009\mentalray\satelliteaysat_3dsMax2009_32server.exe
O23 - Service: NBService - Nero AG - E:\Program Files\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - E:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

sKe69 · Answer

re, 


il faudra que tu m'expliques ton partitionnage C et E ... vu ce que je voit , c'est n'est pas vraiment une bonne solution ... 

moi je mettrais sur C le système ainsi que tous les prg ! ... et je garderait la partoche E pour ce qui est sauvegarde de fichiers et de données uniquement ... 

Car la tu te retrouves avec une grande partie d'un programme installer sur E , mais avec des composantes qui s'installent obligatoirement sur ta partition systeme ( ce qui concerne la partie registre et également tout ce qui s'installe dans des dossiers comme system32, Fichiers communs, application data , etc ) 


exemple pour VMware dans Hijacthis : 

O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - E:\Program Files\VMware\VMware Workstation\vmware-ufad.exe  
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E:\Program Files\VMware\VMware Workstation\vmware-authd.exe  
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe  
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe  


je ne suis pas expert en la matière , mais je ne crois pas que cela aide au niveau de la fluidité du systeme en général ( faut qu'il jongle sur deux partitions pour une même application ) ... 

bref , peut-être méditer là dessus ... remetre le tout sur C améliorera le démarrage je pense ( car des prg comme VMware , AntiVir ect se lancent au démarrage ... ) 


================================ 
================================ 
================================ 


la suite  : 


 1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi . 

Relance Hijackthis mais click sur " Do a scan only "  
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide .  
Tu vas cliquer sur les carrés des lignes suivantes :  


O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe      
O4 - HKLM\..\Run: [vmware-tray] "E:\Program Files\VMware\VMware Workstation\vmware-tray.exe"  
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"      
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe    
O4 - HKCU\..\Run: [MSMSGS] "C:\ProgramFiles\Messenger\msmsgs.exe" /background        
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE  
       


Tu cliques en bas sur le bouton FIX CHECKED et valides . 



2- Redémarre l'ordi . 
( important pour que certaines modifs faites avec hijakthis soient prises en compte )  


Puis teste ton PC ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape .... 

> Poste aussi un dernier rapport Hijackthis de contrôle ... 




"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Ferdinand · Answer

Je suis bien conscient que certain soft on un bout sur E et un autre sur C.
Le fait de séparer la partition système de la partition logiciel me vient d'une habitude que j'ai prise ou on m'avait dit que ça augmentait la vitesse de démarrage.
Par la suite j'ai remarqué que la fragmentation ne touchait pratiquement pas la partition logiciel alors que pour la partition système il faut constamment la défragmenter. Ceci dit, je n'ai jamais eu à m'en plaindre.

Tout à l'air de fonctionner normalement enfin presque. A part la latence de démarrage.
J'ai l'impression que la ligne:
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
A viré le shortcut bar de Microsoft office. ça va être une grosse galère de la refaire.

Bon voici le rapport d'HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:05:13, on 26/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Avira\AntiVir Desktop\sched.exe
E:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
E:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
E:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
E:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
C:\Program Files\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
E:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - E:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [RemoteControl] "E:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "E:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: GigaTribe.lnk = E:\Program Files\GigaTribe\gigatribe.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - E:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - E:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: e:\program files\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: e:\program files\vmware\vmware workstation\vsocklib.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE632FAC-D51E-4DDC-834B-53F8B1F440C1}: NameServer = 212.27.53.252,212.27.54.252
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - E:\Program Files\Ares\chatServer.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max Design 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\Program Files\Autodesk\3ds Max 2009\mentalray\satelliteaysat_3dsMax2009_32server.exe
O23 - Service: NBService - Nero AG - E:\Program Files\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - E:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

sKe69 · Answer

re,

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE 
A viré le shortcut bar de Microsoft office. ça va être une grosse galère de la refaire.

Pas de soucis ... si tu y tient à ce link , on peut le récupérer ...



fait ce qui suit :


* Lance HijackThis 
* Cliquer sur "view the list of backups" 
* Cocher la  ligne suivante :

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE 

-> puis cliquer sur restore ("Réparer")



redémarre le PC et dis moi si c'est OK et je te donne suite ...

Ferdinand · Answer

C'est merveilleux l'informatique quand ça réalise ce qu'on désire.
J'ai récupéré ma shortcut bar :o)

Allez une petite dernière avant d'aller se coucher :o)

sKe69 · Answer

re, suite et FIN dans l'ordre : 1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. http://pc-system.fr/ Déconnecte toi et ferme bien toutes tes applications en cours . Lances le . *Clique sur Recherche et laisse le scan se terminer (cela peut être long). *Clique sur Suppression pour finaliser. *Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : --> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection . Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . ( garde CCleaner et Malwarebytes : très utiles ! ) ====================================== 2- Refais un coup de CCleaner ( registre compris ) . ====================================== 3- Fait ce check-up pour finir : A-Re-purge la restauration système *Désactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... *Réactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général" Clique sur le bouton "nettoyage de disque", OK . tu le fais pour chacun de tes disques ... *Vérifications des erreurs : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ... ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK . Tu le fais pour chacun de tes disques ... Note : si tu as un utilitaire pour défragmenter , utilise le à la place ... ( attention , cela peut durer assez longtemps - plus de dix heures dans certains cas ) C-Créer un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - Sélectionner "Créer un point de restauration", - Cliquer sur "Suivant", - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

Ferdinand · Answer

Salut,
J'ai fais le point A. Je suis en train de traiter le point B. Je dois défragmenter. Tu me précise d'utiliser un utilitaire de défragmentation si j'en ai un.
J'utilisais NortonSystemWorks. Il me permettait de surveiller l'encombrement et la fragmentation de mes partitions et au delà de certains seuils je défragmentais et/ou je libérais de la place.. Je ne sais plus si je dois le réinstaller.
As tu un outil à me recommender (surveillance de l'encombrement et de la fragmentation et défragmentation) ?

Ferdinand · Answer

Le Défragmenteur de windows est réputé pour être très lent.
Bon, bah, j'ai téléchargé et installé "O&O Defrag" la version 10 qui est gratuite. Parait que c'est un des plus puissant défragmenteur. Il s'occupe de plusieurs disques à la fois et peu travailler en tache de fond.

Le PC au niveau de la latence de démarrage en est au même point. Le reste à l'air de fonctionner normalement pour le peu que je puisse en juger.

Donc la suite était de te fournir le rapport de ToolsCleaner que voici:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\_OTM: trouvé !
C:\ZHPDiag: trouvé !
C:\Documents and Settings\Administrateur\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Ferdinand\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Ferdinand\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Ferdinand\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Ferdinand\Bureau\Ad-R.exe: trouvé !
C:\Documents and Settings\Ferdinand\Bureau\Combofix: trouvé !
C:\Program Files\Trend micro\HijackThis: trouvé !
C:\Program Files\Trend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend micro\HijackThis\hijackthis.log: trouvé !
C:\ZHPDiag\ZHPdiag.exe: trouvé !
C:\ZHPDiag\catchme.exe: trouvé !
C:\ZHPDiag\mbr.log: trouvé !
C:\ZHPDiag\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Ferdinand\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Ferdinand\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\Ferdinand\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\Ferdinand\Bureau\Ad-R.exe: supprimé !
C:\Program Files\Trend micro\HijackThis\HijackThis.exe: supprimé !
C:\ZHPDiag\ZHPdiag.exe: supprimé !
C:\ZHPDiag\catchme.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\UsbFix.exe: supprimé !
C:\Program Files\Trend micro\HijackThis\hijackthis.log: supprimé !
C:\ZHPDiag\mbr.log: supprimé !
C:\ZHPDiag\mbr.exe: supprimé !
C:\_OTM: supprimé !
C:\ZHPDiag: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Ferdinand\Bureau\Combofix: supprimé !
C:\Program Files\Trend micro\HijackThis: supprimé !

sKe69 · Answer

hello,


pour les latences au démarrage , il faudrait voir quel(s) prg pose ce prb ...


Mais avant , désinstalle le prg GigaTribe depuis le panneau de config / "ajout et suppression de prg" et refait un coup de CCleaner ( registre compris )

Redémarre le PC et dis moi ...

Ferdinand · Answer

La latence a lieu au démarrage. A priori j'aurai tendance à penser qu'il s'agit d'un processus qui se met en route au démarrage du système. N'y a-t-il  pas moyen de connaitre les processus qui se mettent en route au démarrage avec leur ordre chronologique de lancement ?
je pense à ça parce que le processus de démarrage est toujours le même. Un certain nombre se mettent en route, je vois par une fen^tre d'information qu'Antivir se met en route et tout de suite après c'est Mr Freez.

sKe69 · Answer

re,


les prg qui se lancent au démarrage se trouvent au niveau des 04 dans le rapport Hijackthis 
>  https://forums.commentcamarche.net/forum/affich-17814186-ver-malware-virus?page=3#67


pour voir si cela vient bien de l'un d'entre eux , on va les supprimer du démarrage un à un ...


fait donc ceci :


Va dans "démarrer"/commande "Exécuter" : tu tapes " msconfig " et valides ... 

Dans cette nouvelle fenêtre , tu vas sur l'onglet " démarrage " :
 
Commence par décocher la ligne de ceclui ci : NvMcTray.dll
 
Valide la modif .

Laisse toi guider et redémarre ton PC quand il te le sera demandé .... 

( au redémarrage , à l'arrivée du bureau , une fenêtre s'ouvrira : coche la petite case vide et valide ... ) 



si tu ne trouve pas de différence , retourne dans msconfig et recoche la ligne ...
Ensuite tu recommences comme cela ainsi de suite avec ces process :

smax4pnp.exe
AppleSyncNotifier.exe
PDVDServ.exe
NvCpl.dll
NMBgMonitor.exe
PCSuite.exe  



puis dis moi si tu as déniché le fautif ( en espérant qu'il y en est un ... ;)  )

Ferdinand · Answer

Bon, j'ai carrément tout décoché et redémarrer le PC. Malheureusement aucun changement. Le problème de latence est toujours là.
Donc on peut conclure que ça ne vient pas de ces processus.

Est ce qu'on peut vraiment intervenir sur ce type de dysfonctionnement ?

Ferdinand · Answer

Ok, je vais faire ça.

Comme au niveau infection, c'est rélgé, est ce qu'on peut s'occuper du PC2 ?

Rappel:
Lors de l'allumage j'ai en tout premier une fenêtre d'information qui me dit qu'il ne trouve pas C:\DOCUME~1~\FERDIN~1\LOCALS~1~\Temp\fga.exe et me demande de le rechercher.

Ferdinand · Answer

Voici le Rapport de ZHPDiag du PC2:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijpMXS1HK.txt

sKe69 · Answer

hello,


fait ceci dans l'ordre :



1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


C:\DOCUME~1\FERDIN~1\LOCALS~1\Temp\fga.exe       
F2 - REG:system.ini: Shell=explorer.exe C:\DOCUME~1\FERDIN~1\LOCALS~1\Temp\fga.exe 


Puis Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 


===========================

2- Télécharges Malwarebytes' : 
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

 
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


==================================

3- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Ferdinand · Answer

La fenêtre est toujours là.

Rapport ZHPFix:

ZHPFix v1.12.3102  by Nicolas Coolman - Rapport de suppression du 31/05/2010 11:17:09
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
C:\DOCUME~1\FERDIN~1\LOCALS~1\Temp\fga.exe  => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
F2 - REG:system.ini: Shell=explorer.exe C:\DOCUME~1\FERDIN~1\LOCALS~1\Temp\fga.exe  => Donnée supprimée avec succès

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 1
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan
=============================================

Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4157

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31/05/2010 11:33:20
mbam-log-2010-05-31 (11-33-20).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 117664
Temps écoulé: 7 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\EditPad.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

===============================================
Et enfin rapport ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijqAx9mkK.txt

sKe69 · Answer

vu, 


c'est Spybot S&D qui a foutu sa me*de ... 


reprends ainsi : 


1- Impératif : désactive le "tea timer" de Spybot . Regarde ce tuto > https://www.commentcamarche.net/telecharger/securite/20939-spybot-search-and-destroy/ 


============================= 

2- reprends la manipe de ZHPFix que j'ai donné ici > https://forums.commentcamarche.net/forum/affich-17814186-ver-malware-virus?page=4#82 

Poste moi le nouveau rapport obtenu ... 

============================= 

3- redémarre le PC et dis moi si il y a du mieux ... 


Puis refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ... 


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Ferdinand · Answer

ça y est la fenêtre a disparu.  :o)

Rapport ZHPFix:

ZHPFix v1.12.3102  by Nicolas Coolman - Rapport de suppression du 31/05/2010 13:36:24
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
C:\DOCUME~1\FERDIN~1\LOCALS~1\Temp\fga.exe  => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
F2 - REG:system.ini: Shell=explorer.exe C:\DOCUME~1\FERDIN~1\LOCALS~1\Temp\fga.exe  => Donnée supprimée avec succès

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 1
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

==============================================

ZHPDiag: 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijqQEkdQN.txt

sKe69 · Answer

bien ...


on va finir le nettoyage sur ce PC ... 


première chose , nettoyage et mise au point des défenses ....




1- Je te conseille de désinstaller Spybot S&D depuis le panneau de config / ajout et supp. de prg .... Il est lourd pour le systeme et la navigation , et il est dépassé face aux nouvelles menace ....


=========================


2- ta version d'Avast ( V4.8 ) est une vrai passoir et dépassé ... on va mettre à niveau vers la version 5 qui est beaucoup plus performante...

Donc dans un premier temps, désinstalle Avast proprement est utilisant cette utilitaire de désinstalle > https://www.avast.com/fr-fr/uninstall-utility


===========================

3- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


==============================

4- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Ferdinand · Answer

Voilà tout est fait:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijTYwckFg.txt

sKe69 · Answer

bien ...



je viens également que du Norton traine sur ta partition D ... te sers tu de Norton SystemWorks 2003  ? est-ce à jour ???   ( Car ce soft comporte également une protection antiviral qui devait entrer en conflit avec Avast ... -_- )

Si ce n'est pas le cas , désinstalle le depuis le panneau de config / ajout et suppression de prg ....

Puis fait un nettoyage complet des produit Symantec en fesant ceci :

Télécharge Norton removal tool sur ton bureau :
ftp://ftp.symantec.com/public/francais/removal_tools/Norton_Removal_Tool.exe

Déconnecte toi . 
Ensuite désinstalle Norton avec "Norton removal tool": tu double-cliques dessus et tu te laisses guider ... il faut le désinstaller correctement ( fais la manipe 2 fois si possible ).  

===========================

Puis refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Ferdinand · Answer

En fait avant d 'enlever Norton SystemWorks comme on l'a fait sur le PC1 et la galère qui s'en est suivi je voudrais te préciser que ce n'est pas un antivirus c'est un utilitaire qui monitor les partitions du DD. Il ne fait pas d'appel au net, il fonctionne en circuit fermé. Il permet aussi de réparer les DD et de les défragmenter.

Est ce obligatoire de l'enlever ?

Ferdinand · Answer

OK je comprend. Quand on installe ce soft, on a le choix dans l'installation de plusieurs outils. Je n'ai installé que ce dont je t'ai parlé dans le post précédent c'est-à-dire monotoring des partitions afin de connaitre leur remplissage et leur fragmentation. Il comprend des outils de récupération de fichier effacés, un réparateur de disque et un défragmenteur mais PAS d'antivirus.

Alors qu'est ce que je fais maintenant (j'ai plus d'antivirus sur le PC2) ?

sKe69 · Answer

re,


dans ce cas , là , n'y touche pas et garde tel que ...


je fait le trie au niveau du dernier rapport ZHPdiag et je te donne la suite dans quelques minutes ... ;)

sKe69 · Answer

bon ...



la suite dans l'ordre :



1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


O64 - Services: CurCS - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AAVMKER4
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK
O64 - Services: CurCS - (.not file.) - avast! Standard Shield Support (aswMon2)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMON2
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI
[HKCU\Software\ALWIL Software]  
[HKLM\Software\ALWIL Software] 


Puis Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 


===========================

2- télécharge et installe Avast 5 > https://www.avast.com/fr-fr/free-antivirus-download


==========================

3- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Ferdinand · Answer

J'ai vraiment pas de bol. Je me choppe des malwares et en plus j'ai des coupures internet.

Avast 5 est installé. Je remplace Antivir par Avast 5 sur mon PC1 ? Ou je peux avoir les deux installés ?

Rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijYqFGZih.txt

Rapport ZHPFix:

ZHPFix v1.12.3102  by Nicolas Coolman - Rapport de suppression du 01/06/2010 18:16:07
Fichier Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O64 - Services: CurCS - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AAVMKER4  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Standard Shield Support (aswMon2)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMON2  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI  => Clé supprimée avec succès
HKCU\Software\ALWIL Software  => Clé supprimée avec succès
HKLM\Software\ALWIL Software  => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 8
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

sKe69 · Answer

Hello,, 


Je remplace Antivir par Avast 5 sur mon PC1 ? Ou je peux avoir les deux installés ?  


garde les deux ... ^^ 

mais si tu préfères l'un à l'autre , libre à toi de changer une fois qu'on aura terminé ... 



question : tu as fait ZHPFix avant ou après avoir installer Avast5 ?  



puis fait ceci pour voir si il n'y as pas deux trois merdouilles qui trainent : 


Télécharge Ad-remover ( de C_XX ) sur ton bureau :  

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe 
ou ici https://www.androidworld.fr/  

! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) !  

* Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil . 
  
* Une fois l'outil ouvert, clique sur le bouton [Scanner] . 

* Laisse travailler l'outil et ne touche à rien ...  


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ... 


( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )  
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )  







"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Ferdinand · Answer

Je fais toujours tout dans l'ordre dans lequel tu fais tes demandes donc ZHPFix avant d'avoir installé Avast 5.


======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 21:26:17 le 01/06/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows XP Professionnel (Service Pack 3 - X86)
Nom du PC: COOCKY
Utilisateur actuel: Ferdinand
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
.
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.5.9 (fr) *
.
C:\Documents and Settings\Ferdinand\..\afdd3mqo.default\prefs.js - browser.download.lastDir: C:\Documents and Settings\Ferdinand\Bureau
C:\Documents and Settings\Ferdinand\..\afdd3mqo.default\prefs.js - browser.startup.homepage: hxxp://google.fr
C:\Documents and Settings\Ferdinand\..\afdd3mqo.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.9
C:\Documents and Settings\LocalService\..\xpnu29n2.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 2085 Octet(s)
.
Fin à: 21:31:21, 01/06/2010
.
============== E.O.F - SCAN[1] ==============

sKe69 · Answer

bien ...


RAS du côté de Ad-R ... 



fait ce qui suit dans l'ordre ( on finalisera après ce manipe ) :


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Lances le . 
*Clique sur Recherche et laisse le scan se terminer (cela peut être long). 
*Clique sur Suppression pour finaliser. 
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . 

( garde CCleaner et Malwarebytes : très utiles ! )

======================================

2- Refais un coup de CCleaner ( registre compris ) .


======================================

3- Télécharge et installe le logiciel HijackThis : 

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

======================================

4- Important :
Purge de la restauration système 
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec " Panda " :

> https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
( clique sur "scan your PC now" )

tuto : 
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368 


poste moi le rapport obtenu pour analyse ...

Ferdinand · Answer

Rapport TCleaner suivi du rapport de ActiveScan de "Panda"

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix: trouvé !
C:\Ad-remover: trouvé !
C:\ZHPDiag: trouvé !
C:\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Documents and Settings\Ferdinand\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Ferdinand\Bureau\Ad-R.exe: trouvé !
C:\Documents and Settings\Ferdinand\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Ferdinand\Mes documents\Téléchargements\UsbFix.exe: trouvé !
C:\Documents and Settings\Ferdinand\Mes documents\Téléchargements\Combofix: trouvé !
C:\Documents and Settings\Ferdinand\Mes documents\Téléchargements\ComboFix\ComboFix.exe: trouvé !
C:\ZHPDiag\ZHPdiag.exe: trouvé !
C:\ZHPDiag\catchme.exe: trouvé !
C:\ZHPDiag\mbr.log: trouvé !
C:\ZHPDiag\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Documents and Settings\Ferdinand\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\Ferdinand\Bureau\Ad-R.exe: supprimé !
C:\Documents and Settings\Ferdinand\Mes documents\Téléchargements\ComboFix\ComboFix.exe: supprimé !
C:\ZHPDiag\ZHPdiag.exe: supprimé !
C:\ZHPDiag\catchme.exe: supprimé !
C:\Documents and Settings\Ferdinand\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Ferdinand\Mes documents\Téléchargements\UsbFix.exe: supprimé !
C:\ZHPDiag\mbr.log: supprimé !
C:\ZHPDiag\mbr.exe: supprimé !
C:\UsbFix: supprimé !
C:\Ad-remover: supprimé !
C:\ZHPDiag: supprimé !
C:\Documents and Settings\Ferdinand\Mes documents\Téléchargements\Combofix: supprimé !

=================================================

;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-06-02 22:15:09
PROTECTIONS: 1
MALWARE: 4
SUSPECTS: 2
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
avast! Antivirus                             5.0.83886625                  Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00477804  Adware/HiWire                      Adware              No        0         Yes            No           d:\program files\musicmatch\musicmatch jukebox\hwupdatemove.exe
03074964  Trj/CI.A                           Virus/Trojan        No        0         No             No           e:\a effacer\musique	ablatures\david lucas burges relative pitch supercourse\david lucas burges relative pitch supercourse\eartraining music reading and theory latest apps\earmaster school v5.0.595s+crackregister.rar[crack\earmasterschoolv50x_goldcrack.exe]
04155712  Generic Trojan                     Virus/Trojan        No        0         Yes            No           e:\programmes à installer\headus uvlayout v2.00.05 pro\xf-uvlayout2-kg.exe
05977648  Trj/Hrup.H                         Virus/Trojan        No        0         Yes            No           e:\a effacer\daz 3d studio advanced 3.0.1.144\daz.studio.3.keygen.free.download.52007.exe
05977648  Trj/Hrup.H                         Virus/Trojan        No        0         Yes            No           e:\a effacer\daz 3d studio advanced 3.0.1.144\daz.studio.3.advanced.3.0.1.144.keygen.40063.exe
05977648  Trj/Hrup.H                         Virus/Trojan        No        0         Yes            No           e:\a effacer\daz 3d studio advanced 3.0.1.144\daz.studio.3.advanced.3.0.1.144.crack.40063.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
No        d:\program filesipp-it_amipp-it_am.exe
No        d:\program files\virtualdub_1.8.7\auxsetup.exe
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Ferdinand · Answer

Rapport de TCleaner suivi du rapport de ActiveScan "Panda"

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix: trouvé !
C:\Ad-remover: trouvé !
C:\ZHPDiag: trouvé !
C:\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Documents and Settings\Ferdinand\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Ferdinand\Bureau\Ad-R.exe: trouvé !
C:\Documents and Settings\Ferdinand\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Ferdinand\Mes documents\Téléchargements\UsbFix.exe: trouvé !
C:\Documents and Settings\Ferdinand\Mes documents\Téléchargements\Combofix: trouvé !
C:\Documents and Settings\Ferdinand\Mes documents\Téléchargements\ComboFix\ComboFix.exe: trouvé !
C:\ZHPDiag\ZHPdiag.exe: trouvé !
C:\ZHPDiag\catchme.exe: trouvé !
C:\ZHPDiag\mbr.log: trouvé !
C:\ZHPDiag\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Documents and Settings\Ferdinand\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\Ferdinand\Bureau\Ad-R.exe: supprimé !
C:\Documents and Settings\Ferdinand\Mes documents\Téléchargements\ComboFix\ComboFix.exe: supprimé !
C:\ZHPDiag\ZHPdiag.exe: supprimé !
C:\ZHPDiag\catchme.exe: supprimé !
C:\Documents and Settings\Ferdinand\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Ferdinand\Mes documents\Téléchargements\UsbFix.exe: supprimé !
C:\ZHPDiag\mbr.log: supprimé !
C:\ZHPDiag\mbr.exe: supprimé !
C:\UsbFix: supprimé !
C:\Ad-remover: supprimé !
C:\ZHPDiag: supprimé !
C:\Documents and Settings\Ferdinand\Mes documents\Téléchargements\Combofix: supprimé !

==============================================

;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-06-02 22:15:09
PROTECTIONS: 1
MALWARE: 4
SUSPECTS: 2
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
avast! Antivirus                             5.0.83886625                  Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00477804  Adware/HiWire                      Adware              No        0         Yes            No           d:\program files\musicmatch\musicmatch jukebox\hwupdatemove.exe
03074964  Trj/CI.A                           Virus/Trojan        No        0         No             No           e:\a effacer\musique	ablatures\david lucas burges relative pitch supercourse\david lucas burges relative pitch supercourse\eartraining music reading and theory latest apps\earmaster school v5.0.595s+crackregister.rar[crack\earmasterschoolv50x_goldcrack.exe]
04155712  Generic Trojan                     Virus/Trojan        No        0         Yes            No           e:\programmes à installer\headus uvlayout v2.00.05 pro\xf-uvlayout2-kg.exe
05977648  Trj/Hrup.H                         Virus/Trojan        No        0         Yes            No           e:\a effacer\daz 3d studio advanced 3.0.1.144\daz.studio.3.keygen.free.download.52007.exe
05977648  Trj/Hrup.H                         Virus/Trojan        No        0         Yes            No           e:\a effacer\daz 3d studio advanced 3.0.1.144\daz.studio.3.advanced.3.0.1.144.keygen.40063.exe
05977648  Trj/Hrup.H                         Virus/Trojan        No        0         Yes            No           e:\a effacer\daz 3d studio advanced 3.0.1.144\daz.studio.3.advanced.3.0.1.144.crack.40063.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
No        d:\program filesipp-it_amipp-it_am.exe
No        d:\program files\virtualdub_1.8.7\auxsetup.exe
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Ferdinand · Answer

Rapport de TCleaner suivi du rapport de ActiveScan "Panda"

http://www.cijoint.fr/cjlink.php?file=cj201006/cijF3cZfma.txt

http://www.cijoint.fr/cjlink.php?file=cj201006/cijmBhwVUq.txt

sKe69 · Answer

bien


faut que tu arrète les cracks et autre keygens ! ... C'est l'une des causes principale d'infection en informatique ....




quelques merdouilles à faire sauter ...


fait ceci :


Télécharge OTM (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

 
Double clique sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 

:Files
d:\program files\musicmatch\musicmatch jukebox\hwupdatemove.exe
e:\a effacer\musique	ablatures\david lucas burges relative pitch supercourse\david lucas burges relative pitch supercourse\eartraining music reading and theory latest apps\earmaster school v5.0.595s+crackregister.rar
e:\programmes à installer\headus uvlayout v2.00.05 pro\xf-uvlayout2-kg.exe 
e:\a effacer\daz 3d studio advanced 3.0.1.144\daz.studio.3.keygen.free.download.52007.exe
e:\a effacer\daz 3d studio advanced 3.0.1.144\daz.studio.3.advanced.3.0.1.144.keygen.40063.exe 
e:\a effacer\daz 3d studio advanced 3.0.1.144\daz.studio.3.advanced.3.0.1.144.crack.40063.exe

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).

Ferdinand · Answer

Voici le rapport demandé:

http://www.cijoint.fr/cjlink.php?file=cj201006/cij52ncQrC.txt

sKe69 · Answer

hello,


on finalise pour ce PC :


1- Supprime cette vieille version de la Console Java qui est obsolette via le panneau le config/"ajout et supp de prg" 

Java 2 Runtime Environment, SE v1.4.2_03

( garde uniquement la 6 Update 20 ) 


===============================

2- Mets à jour FireFox !

Soit le mettre à jour depuis le navigateur / onglet "?" / "rechercher des mises à jour" .
Soit tu télécharges et installes la dernière version directement ici > http://www.mozilla-europe.org/fr/


==============================

3- Une fois ceci fait, utilise Hijackthis ainsi :


tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Poste le rapport généré pour analyse ...

Ferdinand · Answer

Voici le rapport de Hijackthis:

http://www.cijoint.fr/cjlink.php?file=cj201006/cijXn1CzIY.txt

sKe69 · Answer

oki,


1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

Relance Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas cliquer sur les carrés des lignes suivantes : 


O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime    
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"        
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe



Tu cliques en bas sur le bouton FIX CHECKED et valides .



2- Redémarre l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte ) 


Puis teste ton PC ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....
Poste aussi un dernier rapport Hijackthis de contrôle ...

Ferdinand · Answer

Voilà, c'est fait:

http://www.cijoint.fr/cjlink.php?file=cj201006/cijgEvArQ3.txt

sKe69 · Answer

bien rebelote et dix de der' > suite et FIN dans l'ordre : 1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. http://pc-system.fr/ Déconnecte toi et ferme bien toutes tes applications en cours . Lances le . *Clique sur Recherche et laisse le scan se terminer (cela peut être long). *Clique sur Suppression pour finaliser. *Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : --> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection . Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . ( garde CCleaner et Malwarebytes : très utiles ! ) ====================================== 2- Refais un coup de CCleaner ( registre compris ) . ====================================== 3- Le checkup pour finir : A-Re-purge la restauration système *Désactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... *Réactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général" Clique sur le bouton "nettoyage de disque", OK . tu le fais pour chacun de tes disques ... *Vérifications des erreurs : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ... ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK . Tu le fais pour chacun de tes disques ... Note : si tu as un utilitaire pour défragmenter , utilise le à la place ... ( attention , cela peut durer assez longtemps - plus de dix heures dans certains cas ) C-Créer un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - Sélectionner "Créer un point de restauration", - Cliquer sur "Suivant", - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

Ferdinand · Answer

Tout à l'air de bien se passer. Est ce fini ?

Voici le rapport de ToolsCleaner:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\_OTM: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Ferdinand\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Ferdinand\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Ferdinand\Bureau\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Ferdinand\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Ferdinand\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\Ferdinand\Bureau\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\_OTM: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

sKe69 · Answer

hello,


on a terminé .... ;)


Content d'avoir pu te rendre service ... 


Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

=>  Il faut absolument tenir à jour régulièrement Windows:

Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

==================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d'éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

==================================================

=> Afin d'éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l'est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

-> autre très bon soft similaire dans cette astuce : 
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
 
==================================================

* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
( Important > si votre antivirus fait aussi pare-feu , ne pas en installer un autre ! conflits et plantages assurés ! )

Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
https://www.commentcamarche.net/telecharger/securite/pare-feu/

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

( Attention : pour Comodo 3 , choisir uniquement l'installation du pare-feu seul. Ne pas installer la barre d'outil pour les navigateurs ! )

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) : 
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s'ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d'installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

==================================================

Pour une meilleur sécurité lorsque tu surfes : 

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web. 
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : 
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
https://addons.mozilla.org/fr/firefox/addon/noscript/

==================================================

=> Rappel sur les principales causes d'infection : 

A lire > https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : 
https://forum.malekal.com/viewtopic.php?t=893&start=

-> Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/... 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/
 

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

* Rappel sur l'utilisation d'une version piratée de Windows :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

==================================================

Bon à savoir :

* La "Console de récupération" ( XP ): 
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable. 
tutoriels ici : 
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com

Equivalent Vista : http://www.forum-vista.net/forum/

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...). 

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! ) 
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Utiliser un "compte limité" > http://b.marlow.free.fr/compte_limite.html

* Idées reçus en sécurité informatique ( très instructif ) > 
http://www.libellules.ch/idees_recues_securite.php

==================================================


Voilà ...


Bonne suite à toi ... =)


A+

Ferdinand · Answer

OK, un grand merci.

Je vais regarder de prés les documents dont tu me donnes les liens.

Il y a-t-il quelque chose que je peux faire pour toi ?

Que la force du déverminage soit avec toi :o)

A+
Ferdinand

?Ver-Malware_Virus?

95 réponses

Discussions similaires

Newsletters