virus qksrv et plein d autre Fermé

Question

Bonjour, mon pc est infecté et j aurai besoin d aide cordialement nicolas



Configuration: Windows XP / Internet Explorer 7.0

Xplode · Answer

Bonjour,

[x] Si tu es sous vista ou seven, désactive l'UAC le temps de la procédure pour éviter de gêner les différents outils que nous allons utiliser. Si tu es sous XP, ignore cette partie.

-> Tutoriel Vista
-> Tutoriel Seven

[x] Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !

[x] Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\ 

[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Parcourir ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

nicopoix · Answer

merci de traiter mon probleme et suis sur xp

nicopoix · Answer

j ai vue tout sa car mon pc s eteind tout seul donc j ai fait un diag sur un site et il m a depisté plein de virus  rogue adviva adware serving xiti et plein d autre j ai aussi des coupure de son et le pc ram enormement merci d avance nicolas

Xplode · Answer

Suis mes indications, je t'ai demandé d'heberger le rapport sur cjoint, il est trop long pour passer sur le forum.

nicopoix · Answer

https://www.cjoint.com/?hfrdLboqaZ

Xplode · Answer

Ok.

-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-


[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

[x] Sélectionne tout tes disques locaux et amovibles

[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Tu peux ensuite vider la quarantaine de MBAM.

[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.

nicopoix · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4278

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/07/2010 18:32:06
mbam-log-2010-07-05 (18-32-06).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Elément(s) analysé(s): 177622
Temps écoulé: 1 heure(s), 20 minute(s), 10 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\RegistryDoktorFrNE (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Netscape\Netscape Navigator\Automation Protocols\ftp (Adware.NetPumper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Netscape\Netscape Navigator\Automation Protocols\http (Adware.NetPumper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{30CA5012-AD3C-4F21-A652-B5039F22A734}\RP343\A0112877.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{30CA5012-AD3C-4F21-A652-B5039F22A734}\RP346\A0115706.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.

Xplode · Answer

Si, j'avais pas vu ton post.

Refais moi un ZHPDiag s'il te plait.

nicopoix · Answer

https://www.cjoint.com/?hgoIKvC5BW

Xplode · Answer

-+-+-+-+-> ZHPFix <-+-+-+-+- /!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\ [x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ". [x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok] O44 - LFC:[MD5.E99525589C78AD4C41FC10486F5E9CBB] - 03/07/2010 - 18:25:43 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\drivers\kgpcpy.cfg [2288] O44 - LFC:[MD5.F8BFF3086F6F12C2A32699A507003257] - 03/07/2010 - 17:09:32 --HA- . (.Pas de propriétaire - Pas de description.) -- C:\SZKGFS.dat [16384] O64 - Services: CurCS - (.not file.) - 78befd5f (78befd5f) .(.Pas de propriétaire - Pas de description.) - LEGACY_78BEFD5F O64 - Services: CurCS - (.not file.) - c536b9da (c536b9da) .(.Pas de propriétaire - Pas de description.) - LEGACY_C536B9DA O64 - Services: CurCS - (.not file.) - d32de9ae (d32de9ae) .(.Pas de propriétaire - Pas de description.) - LEGACY_D32DE9AE O66 - EventLog: ID=439 (ESENT) - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\CatRoot2\edb.chk O66 - EventLog: ID=490 (ESENT) - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\CatRoot2\edb.chk O68 - StartMenuInternet: <>[HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- (.Not Key.) (.not file.) [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- [HKCU\Software\AskSearchAsst] [HKCU\Software\LdShih] O42 - Logiciel: SweetIM Toolbar for Internet Explorer 3.8 - (.SweetIM Technologies Ltd..) [HKLM] [HKLM\Software\Panda Software] O43 - CFD:Common File Directory ----D- D:\Program Files\Spyware Doctor [HKLM\Software\SweetIM] [HKCU\Software\SweetIM] [HKCU\Software\Conduit] O44 - LFC:[MD5.73E490AA875BD336CE4D8A0A4067D942] - 29/06/2010 - 20:09:38 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\rezumatenoi.dat [132] [x] Clique maintenant sur [Tous] , puis sur [Nettoyer] [x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message. [x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

nicopoix · Answer

j arrive pas a le coller

nicopoix · Answer

Rapport de ZHPFix v1.12.3113 par Nicolas Coolman, Update du 03/07/2010
Fichier d'export Registre : 
Run by Mike at 06/07/2010 14:50:47
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr


========== Récapitulatif ==========


End of the scan

nicopoix · Answer

est ce sa ??

nicopoix · Answer

EXCUSE J AI OUBLI2 DE COCHER JE POSTE SA DE SUITE

nicopoix · Answer

Rapport de ZHPFix v1.12.3113 par Nicolas Coolman, Update du 03/07/2010 Fichier d'export Registre : D:\ZHPExportRegistry-06-07-2010-14-55-07.txt Run by Mike at 06/07/2010 14:55:07 Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html Contact : nicolascoolman@yahoo.fr ========== Clé du Registre ========== O64 - Services: CurCS - (.not file.) - 78befd5f (78befd5f) .(.Pas de propriétaire - Pas de description.) - LEGACY_78BEFD5F => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - c536b9da (c536b9da) .(.Pas de propriétaire - Pas de description.) - LEGACY_C536B9DA => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - d32de9ae (d32de9ae) .(.Pas de propriétaire - Pas de description.) - LEGACY_D32DE9AE => Clé supprimée avec succès O68 - StartMenuInternet: <>[HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- (.Not Key.) (.not file.) => Clé absente HKCU\Software\AskSearchAsst => Clé supprimée avec succès HKCU\Software\LdShih => Clé supprimée avec succès HKLM\Software\Panda Software => Clé supprimée avec succès HKLM\Software\SweetIM => Clé supprimée avec succès HKCU\Software\SweetIM => Clé supprimée avec succès HKCU\Software\Conduit => Clé supprimée avec succès ========== Valeur du Registre ========== O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- => Valeur absente O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- => Valeur supprimée avec succès ========== Elément de données du Registre ========== [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès ========== Dossier ========== D:\Program Files\Spyware Doctor => Supprimé et mis en quarantaine ========== Fichier ========== c:\windows\system32\drivers\kgpcpy.cfg => Supprimé et mis en quarantaine c:\szkgfs.dat => Supprimé et mis en quarantaine c:\windows\system32\catroot2\edb.chk => Supprimé et mis en quarantaine c:\windows\system32\catroot2\edb.chk => Fichier absent c:\windows\system32\rezumatenoi.dat => Supprimé et mis en quarantaine ========== Logiciel ========== O42 - Logiciel: SweetIM Toolbar for Internet Explorer 3.8 - (.SweetIM Technologies Ltd..) [HKLM] => Logiciel supprimé avec succès ========== Récapitulatif ========== Clé du Registre 10 Valeur du Registre 2 Elément de données du Registre 1 Dossier 1 Fichier 5 Logiciel 1 End of the scan

nicopoix · Answer

C EST MIEU LA LOL???

Xplode · Answer

Oui c'est mieux. Tu peux écrire en caractères normaux, pas de majuscules.

Comment se porte le PC?

nicopoix · Answer

mieu a priori par contre j ai fait un formatage du disque e et y a tjs finepix et fugifilm qui sont la mais plus actif tu pourrais m aider a les supprimer completement car ni par ccleaner ni par le poste de travail j y arrive

Xplode · Answer

Du disque E: ? C'est un disque dur externe ?

nicopoix · Answer

non greffé

nicopoix · Answer

il est couplé a mon disque dur externe en faite

Xplode · Answer

Essaie en faisant un formatage complet

nicopoix · Answer

du moin je crois lol et tu purrais m indiquer un bon anti virus pour msn et un general car mais enfants joue beaucoup dessus sur jeu.fr et autre et a priori j ai attrapé sa dessus je pense merci encore du temps que tu m accorde

nicopoix · Answer

y veut pas a chaque fois y marque fermer tt et meme tt fermé y veux pas

nicopoix · Answer

pas grave a priori il va beaucoup mieu merci encore juste une derniere chose tu pourrais me conseiller un bon anti virus s il te plait cordialement nicolas

Xplode · Answer

Tu as déjà avast et ça suffit amplement. -+-+-+-+-> Mise à jour du PC <-+-+-+-+- [x] Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant. 1ère étape : Adobe Reader [x] Si tu utilises adobe reader, il est important qu'il soit à jour. [x] Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC ( Voir https://forum.malekal.com/viewtopic.php?t=13629&start= ici] ) [x] Pour vérifier qu'adobe reader est à jour, lance le puis clique sur [Aide] -> [Rechercher les mises à jour] 2ème étape : Mise à jour des logiciels [o] Il est également important de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker. [o] Télécharge le [o] Un tutoriel pour son utilisation est disponible ici. -+-+-+-+-> Vacciner les supports amovibles <-+-+-+-+- [x] Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils s'infectent. [x] Télécharge USBfix puis lance le. [x] Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option [Vacciner]. [x] Appuie sur [Ok] au message de confirmation. -+-+-+-+-> Toolscleaner <-+-+-+-+- [x] Télécharge ToolsCleaner ( d'A.Rothstein & Dj Quiou ) sur ton bureau. /!\ Utilisateurs de vista/seven , faites un clic droit sur l'icône de toolscleaner puis " Exécuter en tant qu'administrateur " /!\ [x] Lance le puis clique sur [Recherche] [x] Patiente pendant le scan puis clique sur [Suppression] [x] Clique maintenant sur [Quitter] ( pas sur la croix rouge ) pour afficher le rapport. [x] Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\TCleaner.txt Note : Il se peut que le logiciel affiche la mention "Ne répond pas" car il consomme beaucoup de ressources. Il faut patienter quelques minutes. [x] Un tutoriel est disponible ici. -+-+-+-+-> Optimisation <-+-+-+-+- 1ère étape : Suppression des fichiers inutiles [o] Télécharge CCleaner [o] Installe le, puis lance le. [o] Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ". [o] Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer]. [o] Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées. [o] Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) [o] Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer] [o] Tu peux renouveller ces opérations tous les jours. 2ème étape : Défragmentation [x] Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs. [o] Télécharge Defraggler. [o] Un tutoriel pour son utilisation est disponible ici. 3ème étape : Vérification des disques [x] Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ ) [x] Clique sur [Propriété] puis sur l'onglet [Outils] [x] Clique sur [Vérifier maintenant] puis coche les deux cases présentes. [x] Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage ) 4ème étape : Désactivation des programmes au démarrage [x] Clique sur [Démarrer] puis [Exécuter]. [x] Tape msconfig et valide par [ok]. [x] A l'onglet [Démarrage] , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu. [x] Clique sur [Appliquer] puis [ok] et redémarre ton PC. -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7 -+-+-+-+-> UAC ( Uniquement pour Vista/Seven ) <-+-+-+-+- [x] Si tu as désactivé l'UAC, il est important de la réactiver. -> Pourquoi garder l'UAC activée? -+-+-+-+-> Liens utiles <-+-+-+-+- - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour? - Les toolbars c'est pas obligatoire

nicopoix · Answer

quand je veux telecharger usbfix par ton lien avast me bloque en disant cheval de troie que faire???

nicopoix · Answer

############################## | UsbFix 7.016 | [Recherche]

Utilisateur: Mike (Administrateur) # MAISON-005942DE [ ]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 15:23:31 | 06/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Processor model unknown
 (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83886674 [(!) Disabled | Updated]
RAM -> 1919 Mo 
C:\ (%systemdrive%) -> Disque fixe # 78 Go (62 Go libre(s) - 80%) [XP Pro sp2] # NTFS
D:\ -> Disque fixe # 312 Go (302 Go libre(s) - 97%) [] # NTFS
E:\ -> Disque fixe # 541 Go (540 Go libre(s) - 100%) [Données] # NTFS
F:\ -> CD-ROM
G:\ -> CD-ROM

################## | Éléments infectieux |

Présent! C:\WINDOWS\system32\autorun.inf
Présent! F:\Autorun.inf

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\F
Shell\AutoRun\Command = F:\setup.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{29c6c4f8-6b1b-11de-8850-001d60be55f1}
Shell\AutoRun\Command = L:\setupSNK.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{7bfe0910-529e-11de-a2cf-806d6172696f}
Shell\AutoRun\Command = F:\autorun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{dd6815be-5cef-11de-8838-001d60be55f1}
Shell\AutoRun\Command = H:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{ffa6a4db-2882-11df-8936-001d60be55f1}
Shell\AutoRun\Command = L:\USBAutoRun.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

nicopoix · Answer

s ets fait

Virus qksrv et plein d autre

29 réponses

Discussions similaires