Bloqué aussi par AV securité suite

Résolu
Dopple -  
Xplode Messages postés 9212 Statut Contributeur sécurité -
Bonjour,

voila je suis en lutte avec mon PC depuis maintenant 2h à cause de ce problème qui à l'air d'infecté plusieurs personne en ce moment.

antivirus habituel : Avira antivirguard
Malwarebytes antimalware

soudainement j'ai eu moult message " Application cannot be executed. The file wscntfy.exe is infected, do you want to activate your antivirus software now ?" le nom de fichier infecté varie souvent.

Actuellement je n'arrive que a lancer firefox, telecharger mais sans pourvoir installer la plupart du temps.

J'ai chercher plusieurs tuto mais à chaque fois quand il faut lancer tel programme, moi je n'y arrive pas car "wxxxxxxxmachin".exe est infecté.

Je post donc une fois sur cet ordi pour vous linkez le resultat de rkill que j'ai obtenu ( grace a qqun qui a le meme probleme apparemment quelques lignes plus bas ) avant de débrancher le net de ce PC, je prendrais le relais par un mac à coté.

je vais essayer de relancer malwarebytes au redémarrage pour un scan complet.

si vous avez des idées, n'hesitez pas, je mettrais le log ici ensuite.

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as utilisateur on 19/06/2010 at 14:44:15.

Processes terminated by Rkill or while it was running:

C:\Documents and Settings\utilisateur\Local Settings\Application Data\hsukuaycd\mowttmytssd.exe
C:\Documents and Settings\utilisateur\Bureau\Téléchargés\rkill.exe

Rkill completed on 19/06/2010 at 14:44:16.

34 réponses

  • 1
  • 2
Résumé de la discussion

Une infection informatique empêche l’installation de programmes et déclenche des messages comme « Application cannot be executed », le fichier infecté variant souvent (par exemple wscntfy.exe). Des conseils préconisent d’exécuter Rkill pour arrêter les processus malveillants puis Malwarebytes au redémarrage, afin d’éviter que les infections se relancent et d’obtenir un diagnostic clair. D’autres évoquent une menace plus profonde comme un rootkit MBR et recommandent des outils comme fixmbr et ZHPFix, suivis de ZHPdiag pour vérifier l’intégrité du système. En pratique, l’ensemble des interventions converge vers une désinfection par outils dédiés et une vérification finale, avec prudence sur les actions administratives et les risques de réinfections via le net.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Salut,

    Une fois que tu as lancé rkill, il faut de suite lancer malwarebyte's. Si tu redémarres, ca ne sert à rien puisque les processus infectieux seront de nouveau chargés.
    1
    1. Dopple
       
      ok merci je recommence alors ^^
      0
    2. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      Lance un scan complet. Une fois que tu auras finis, poste le rapport ici. Si jamais tu arrives pas à passer malwarebytes', dis le moi, on utilisera autre chose.
      0
    3. Dopple
       
      merci bcp pour ton aide
      j'ai enfin réussi à passer un scan de malwarebytes à jour ( j'avais commencé deja mais sur une version datant de 5 jours , j'ai donc réussis à le mettre à jour ) qui est en cours et m'annonce déja 9 éléments infectés en 5 min ( sur le premier scan non à jour il avait rien trouver en 15 min ).

      faudra-t-il que je mette directement les éléments infectés en quarantaine, ou besoin de redémarrer en mode sans échec comme indiquer pour certains logiciels ?

      une fois finis je posterais donc mon log.

      Encre une fois merci car n'y connaissant pas grand chose, avoir un coup de main ça soulage vraiement, on se sent moins seul devant cet écran rempli d'alertes de sécurité !
      0
    4. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      Tu peux mettre directement les éléments infectés en quarantaine. Ensuite tu me postes le rapport. Après je te demanderais de passer un autre logiciel pour vérifier qu'il ne reste rien d'infectieux sur ton PC.
      0
    5. Dopple
       
      analyse toujours en cours ( dur de 1 To ) 10 éléments pour le moment.
      Mon antivirus ( Antivirguard ) qui est lancé automatiquement au démarrage vient de me signaler un virus spontannément ( TR/Renaz1917912 )
      cela peut il compromettre l'analyse par malwarebyte en cours ?
      0
  2. Doppe
     
    voila analyse terminée !

    le log :
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4215

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    19/06/2010 16:20:36
    mbam-log-2010-06-19 (16-20-36).txt

    Type d'examen: Examen complet (A:\|C:\|D:\|E:\|G:\|)
    Elément(s) analysé(s): 269189
    Temps écoulé: 1 heure(s), 6 minute(s), 25 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 9
    Valeur(s) du Registre infectée(s): 3
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 11

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    c:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> No action taken.

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\V71IQL7HI7 (Trojan.FakeAlert) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.FakeAlert) -> No action taken.
    HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.
    HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken.
    HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdcnhybe (Trojan.Dropper) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdcnhybe (Trojan.Dropper) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FraudPack) -> No action taken.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\utilisateur\Local Settings\Application Data\hsukuaycd\mowttmytssd.exe (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\utilisateur\Local Settings\Temp\Fjr.exe (Trojan.FraudPack) -> No action taken.
    C:\Documents and Settings\utilisateur\Local Settings\Temp\bxwn.exe (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\utilisateur\Local Settings\Temp\Fjp.exe (Trojan.FraudPack) -> No action taken.
    C:\Documents and Settings\utilisateur\Local Settings\Temp\Fjq.exe (Trojan.FraudPack) -> No action taken.
    C:\Documents and Settings\utilisateur\Local Settings\Temp\eaxmocsrnw.tmp (Trojan.Dropper) -> No action taken.
    C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\AJAT0919\gkbjdlwqlt[1].htm (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\Fbusya.exe (Trojan.FraudPack) -> No action taken.
    C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> No action taken.
    C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.
    C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> No action taken.

    j'ai suprimé ce qui été proposé et ai redémarré à la demande de malwarebyte !

    une autre analyse est elle à effectuer selon toi ?
    pour l'instant, l'ordi à l'air stable mais je ne tente rien à part poster ce message !
    0
    1. Dopple
       
      le log final :
      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 4215

      Windows 5.1.2600 Service Pack 3
      Internet Explorer 8.0.6001.18702

      19/06/2010 16:20:46
      mbam-log-2010-06-19 (16-20-46).txt

      Type d'examen: Examen complet (A:\|C:\|D:\|E:\|G:\|)
      Elément(s) analysé(s): 269189
      Temps écoulé: 1 heure(s), 6 minute(s), 25 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 1
      Clé(s) du Registre infectée(s): 9
      Valeur(s) du Registre infectée(s): 3
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 11

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      c:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.

      Clé(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\V71IQL7HI7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdcnhybe (Trojan.Dropper) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdcnhybe (Trojan.Dropper) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FraudPack) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Documents and Settings\utilisateur\Local Settings\Application Data\hsukuaycd\mowttmytssd.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
      C:\Documents and Settings\utilisateur\Local Settings\Temp\Fjr.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
      C:\Documents and Settings\utilisateur\Local Settings\Temp\bxwn.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
      C:\Documents and Settings\utilisateur\Local Settings\Temp\Fjp.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
      C:\Documents and Settings\utilisateur\Local Settings\Temp\Fjq.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
      C:\Documents and Settings\utilisateur\Local Settings\Temp\eaxmocsrnw.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
      C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\Content.IE5\AJAT0919\gkbjdlwqlt[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
      C:\WINDOWS\Fbusya.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.
      C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
      0
  3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    On va vérifier qu'il ne reste rien :

    -+-+-+-+-> ZHPDiag <-+-+-+-+-

    [x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

    [x] Exécute l'installateur ( /!\ Coche la case " créer une icône sur le bureau /!\ ) puis lance le une fois l'installation terminée.

    [x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

    [x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

    [x] Rend toi sur cjoint puis clique sur " Choisissez un fichier ".

    [x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

    [x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok, une toolbar (ask ) à virer :

    -+-+-+-+-> AD-Remover <-+-+-+-+-

    [x] Télécharge AD-Remover ( de C_XX ).

    [x] Lance AD-Remover puis choisis l'option " Nettoyer ".

    [x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

    [x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt
    0
  6. Dopple
     
    voila le log de AD-Remover :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 17/06/10 à 18:00
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:41:40 le 19/06/2010, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    utilisateur, UTILISAT-869CDF ( )

    ============== ACTION(S) ==============

    Service: "ASKService" Stoppé et supprimé
    Service: "ASKUpgrade" Stoppé et supprimé

    0,Dossier supprimé: C:\Documents and Settings\utilisateur\Application Data\Mozilla\FireFox\Profiles\l3x2dnct.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
    0,Dossier supprimé: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\AskBarDis
    0,Dossier supprimé: C:\Program Files\AskBarDis

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Documents and Settings\utilisateur\Application Data\Mozilla\FireFox\Profiles\l3x2dnct.default\Prefs.js --
    Ligne supprimée: user_pref("extensions.snipit.history_query", "portal=ASKURL=hxxp://www.ask.com/web?q=portal&qsrc=287...
    -- Fichier Fermé --

    1,Clé supprimée: HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
    0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
    0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
    0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
    0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
    0,Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin
    0,Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
    0,Clé supprimée: HKLM\Software\AskBarDis
    0,Clé supprimée: HKLM\Software\Conduit
    0,Clé supprimée: HKLM\Software\AppDataLow\AskBarDis
    0,Clé supprimée: HKCU\Software\AskBarDis
    0,Clé supprimée: HKCU\Software\Conduit
    0,Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1

    0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
    0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
    0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.5.9 (fr)] **

    -- C:\Documents and Settings\utilisateur\Application Data\Mozilla\FireFox\Profiles\l3x2dnct.default\Prefs.js --
    browser.download.dir, C:\\Documents and Settings\\utilisateur\\Bureau\\Téléchargés
    browser.download.lastDir, C:\\Documents and Settings\\utilisateur\\Bureau\\Nouveau dossier (2)
    browser.startup.homepage, hxxp://www.google.fr
    browser.startup.homepage_override.mstone, rv:1.9.1.9

    ========================================

    ** Internet Explorer Version [8.0.6001.18702] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 40 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 19/06/2010 (1006 Octet(s))

    Fin à: 16:44:00, 19/06/2010

    ============== E.O.F ==============

    merci pour la rapidité de tes réponses en plus ^^
    0
  7. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bien, fait maintenant un nouveau rapport ZHPDiag
    0
  8. Dopple
     
    je sais pas si c'est important mais dans le doute, lisant les lignes :

    detected MBR rootkit hooks:
    \Driver\atapi -> 0x8ac14b78
    Warning: possible MBR rootkit infection !
    user & kernel MBR OK
    Use "Recovery Console" command "fixmbr" to clear infection !
    Use "ZHPFix" command "MBRFix" to clear infection !

    Message: Certains émulateurs de CD/DVD peuvent hooker le pilote atapi de façon légitime. Voici quelques émulateurs :
    Message: Alcohol xx%, CDSpace, Circle Virtual CD, CloneCD, Daemon Tools, Virtual CloneDrive, Virtual CD, VirtualDrive, WinCDEmu,...

    je possède Daemon tools installé !
    0
  9. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    C'est déjà plus propre :p
    On va supprimer les restes à l'aide d'un script :

    -+-+-+-+-> ZHPFix <-+-+-+-+-

    /!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

    [x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".

    [x] Copie/Colle le contenu de ce fichier dans l'encadré blanc puis clique sur [Ok]

    [x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

    [x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

    [x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
    0
  10. Dopple
     
    merci encore !

    voila ce log :

    ZHPFix v1.12.3108 by Nicolas Coolman - Rapport de suppression du 19/06/2010 17:10:17
    Fichier Registre :
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    Processus mémoire :
    (Néant)

    Module mémoire :
    (Néant)

    Clé du Registre :
    (Néant)

    Valeur du Registre :
    (Néant)

    Elément de données du Registre :
    (Néant)

    Préférences navigateur :
    (Néant)

    Dossier :
    (Néant)

    Fichier :
    (Néant)

    Logiciel :
    (Néant)

    Script Registre :
    (Néant)

    Master Boot Record :
    (Néant)

    Autre :
    detected MBR rootkit hooks: => Format Non supporté
    \Driver\atapi -> 0x8ac14b78 => Format Non supporté
    Warning: possible MBR rootkit infection ! => Format Non supporté
    user & kernel MBR OK => Format Non supporté
    Use "Recovery Console" command "fixmbr" to clear infection ! => Format Non supporté
    Use "ZHPFix" command "MBRFix" to clear infection ! => Format Non supporté
    Message: Certains émulateurs de CD/DVD peuvent hooker le pilote atapi de façon légitime. Voici quelques émulateurs : => Format Non supporté
    Message: Alcohol xx%, CDSpace, Circle Virtual CD, CloneCD, Daemon Tools, Virtual CloneDrive, Virtual CD, VirtualDrive, WinCDEmu,... => Format Non supporté

    Récapitulatif :
    Processus mémoire : 0
    Module mémoire : 0
    Clé du Registre : 0
    Valeur du Registre : 0
    Elément de données du Registre : 0
    Dossier : 0
    Fichier : 0
    Logiciel : 0
    Master Boot Record : 0
    Préférences navigateur : 0
    Autre : 8

    End of the scan
    0
  11. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Recommence, tu n'as pas copié le contenu du lien que je t'ai passé.
    0
  12. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Parfait, un nouveau ZHPDiag et je crois qu'on va pouvoir finaliser.
    0
  13. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok on termine :

    -+-+-+-+-> OtMoveIt <-+-+-+-+-

    [x] Télécharge OtMoveIt sur ton bureau.

    [x] Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".

    :reg
    
    [-HKLM\Software\Trad-FR] 
    
    :files
    
    C:\Program Files\DAEMON Tools Toolbar 
    
    :commands
    
    [emptytemp]
    
    


    [x] Clique maintenant sur " MoveIt! "

    [x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.

    -----------------------------------------

    Ensuite tu désinstalles ESET Online Scanner puis tu fais un scan complet avec Antivir et tu me postes le rapport.
    0
  14. Dopple
     
    voila ce log :

    All processes killed
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\Software\Trad-FR\ deleted successfully.
    ========== FILES ==========
    C:\Program Files\DAEMON Tools Toolbar folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: LocalService
    ->Temp folder emptied: 115616 bytes
    ->Temporary Internet Files folder emptied: 5262110 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: utilisateur
    ->Temp folder emptied: 5980970889 bytes
    ->Temporary Internet Files folder emptied: 263761694 bytes
    ->Java cache emptied: 61013225 bytes
    ->FireFox cache emptied: 53943846 bytes
    ->Google Chrome cache emptied: 39831290 bytes
    ->Flash cache emptied: 43731 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2351795 bytes
    %systemroot%\System32 .tmp files removed: 218624 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 3240967 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 49520806 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 6 161,00 mb

    OTM by OldTimer - Version 3.1.12.2 log created on 06192010_173136

    Files moved on Reboot...
    File C:\WINDOWS\temp\Perflib_Perfdata_a20.dat not found!

    Registry entries deleted on Reboot...

    Par ailleurs, a ton avis, l'antivirus que je possède est il vraiement fiable ? (meme si j'imagine que 100% de fiabilité ne doit pas exister )
    Dois-je effacer mes fichiers récemment téléchargés/installés ? ou est-ce un virus que j'ai chopé en me balladant sur la toile inopinément ?

    Encore un grand merci

    Je lance mon antivirus maintenant, ce qui devrait prendre une bonne heure !
    0
  15. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Les rogues se choppent généralement en surfant sur le net, via des exploits ( système non à jour )..

    Les toolbar sont généralement proposés à l'installation d'un logiciel, et il faut penser à décocher les cases correspondantes car certaines toolbars ( comme la ask ) récupèrent des informations personnelles.

    Concernant ton antivirus, antivir est excellent, garde le.

    Par prudence, efface quand même tes fichiers récemment téléchargés si tu n'en as plus l'utilité.

    J'attend ton rapport d'antivir, après ça, on pourra faire le ménage ( mise à jour du système, suppression des fix etc.. )
    0
  16. Dopple
     
    ah ok, merci pour ces infos.

    Avant de faire le scan avec antivir je lance la mise à jour ( la deniere date d'avant hier ) , cependant celle-ci se solde par un échec.

    Voila le log :

    Avira AntiVir Personal - Free Antivirus Updater

    Heure de création : Sat Jun 19 17:47:36 2010

    Système d'exploitation:
    Windows XP (Service Pack 3) [5.1.2600]

    Informations produit :
    Version produit : 9.0.0.75
    Updater : C:\Program Files\Avira\AntiVir Desktop\update.exe 9.0.0.52
    Plug-in : C:\Program Files\Avira\AntiVir Desktop\updext.dll 9.0.0.6

    Répertoire temporaire : C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\
    Répertoire de sauvegarde : C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\BACKUP\
    Répertoire dapos;installation : C:\Program Files\Avira\AntiVir Desktop\
    Répertoire de l'Updater : C:\Program Files\Avira\AntiVir Desktop\
    Répertoire AppData : C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\

    [UPD] [INFO] Contrôle en cours pour savoir si des fichiers plus récents sont disponibles.
    [UPD] [INFO] Sélection en cours du serveur de mise à jour 'http://80.190.143.238/update'.
    [UPD] [INFO] Téléchargement de 'http://80.190.143.238/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
    [UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
    [UPD] [INFO] Téléchargement de 'http://80.190.143.238/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
    [UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
    [UPD] [INFO] Téléchargement de 'http://80.190.143.238/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
    [UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
    [UPD] [INFO] Sélection en cours du serveur de mise à jour 'http://62.146.66.178/update'.
    [UPD] [INFO] Téléchargement de 'http://62.146.66.178/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
    [UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
    [UPD] [INFO] Téléchargement de 'http://62.146.66.178/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
    [UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
    [UPD] [INFO] Téléchargement de 'http://62.146.66.178/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
    [UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
    [UPD] [INFO] Sélection en cours du serveur de mise à jour 'http://62.146.66.184/update'.
    [UPD] [INFO] Téléchargement de 'http://62.146.66.184/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
    [UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
    [UPD] [INFO] Téléchargement de 'http://62.146.66.184/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
    [UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
    [UPD] [INFO] Téléchargement de 'http://62.146.66.184/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
    [UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
    [UPD] [INFO] Sélection en cours du serveur de mise à jour 'http://perspeak.avira-update.com/update'.
    [UPD] [INFO] Téléchargement de 'http://perspeak.avira-update.com/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
    [UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
    [UPD] [INFO] Téléchargement de 'http://perspeak.avira-update.com/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
    [UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
    [UPD] [INFO] Téléchargement de 'http://perspeak.avira-update.com/update/idx/master.idx' vers'C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\idx\master.idx'.
    [UPDLIB] [ERROR] Gestionnaire de téléchargements : une erreur s'est produite dans la bibliothèque WinINet.
    [UPDLIB] [ERROR] Pas d'autre serveur...
    [UPD] [ERROR] Échec de création de la structure de mise à jour. UpdateLib délivre l'erreur 537.

    Résumé :
    ********
    0 fichiers téléchargés
    0 fichiers installés

    17:47:50 La mise à jour a échoué !

    N.B. je surf sur le net avec google chrome habituellement, as-tu un avis sur sa fiabilité ? est-ce qu'il faudrait mieux que je retourne sous firefox selon toi ?
    0
  17. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Essaie de suivre ce tutoriel pour mettre à jour manuellement antivir.

    Sinon, désinstalle le puis réinstalle le.
    0
  • 1
  • 2