Ordinateur infecté, MSE neutralisé.
Résolu/Fermé
robertfilou
Messages postés
11
Date d'inscription
lundi 19 juillet 2010
Statut
Membre
Dernière intervention
31 août 2010
-
19 juil. 2010 à 20:13
robertfilou Messages postés 11 Date d'inscription lundi 19 juillet 2010 Statut Membre Dernière intervention 31 août 2010 - 20 juil. 2010 à 16:18
robertfilou Messages postés 11 Date d'inscription lundi 19 juillet 2010 Statut Membre Dernière intervention 31 août 2010 - 20 juil. 2010 à 16:18
A voir également:
- Ordinateur infecté, MSE neutralisé.
- Ordinateur qui rame - Guide
- Réinitialiser ordinateur - Guide
- Pad ordinateur - Guide
- Comment réinitialiser un ordinateur verrouillé - Guide
- Ordinateur ecran noir - Guide
4 réponses
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
19 juil. 2010 à 20:16
19 juil. 2010 à 20:16
Bonsoir,
Tu es sûrement infecté par un rogue ( faux logiciel de sécurité ).
Rassure toi, c'est assez facile à éliminer.
Fais ceci :
-+-+-+-+-> ZHPDiag <-+-+-+-+-
[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )
[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
[x] Rend toi sur cjoint puis clique sur " Parcourir ".
[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
Tu es sûrement infecté par un rogue ( faux logiciel de sécurité ).
Rassure toi, c'est assez facile à éliminer.
Fais ceci :
-+-+-+-+-> ZHPDiag <-+-+-+-+-
[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )
[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
[x] Rend toi sur cjoint puis clique sur " Parcourir ".
[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
19 juil. 2010 à 20:59
19 juil. 2010 à 20:59
Ok.. on va supprimer le plus gros de l'infection pour commencer :
-+-+-+-+-> ZHPFix <-+-+-+-+-
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".
[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]
O4 - HKCU\..\Run: [070700Setup.exe] . (.MS - Pas de description.) -- C:\Users\Jean Bourdonnais\AppData\Roaming\8BA9E9628792A09EEE680D2C4F4D5365\070700Setup.exe
O4 - HKCU\..\Run: [mojkupga] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Jean Bourdonnais\AppData\Local\ykqkynmku\deeeliptssd.exe
[HKCU\Software\AVSolution]
O51 - MPSK:{f066992e-5098-11de-9baf-00235a356dd3}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\VVD.exe (.not file.)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU]
[HKCU\Software\AVSuitE]
[HKCU\Software\Antimalware Doctor Inc]
O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Ask.com
O69 - SBI: C:\Users\Jean Bourdonnais\AppData\Roaming\Mozilla\Firefox\Profiles\\p6pi2q24.default\searchplugins\askcom.xml
O69 - SBI: SearchScopes {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}- (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
O69 - SBI: SearchScopes {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}- (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]
[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
========================================================
A la suite de ceci, tu pourras normalement redémarrer le PC en mode normal. Cependant, il restera sûrement des traces de l'infections.
Pour les supprimer, fais ceci :
-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-
[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.
[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )
[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "
[x] Sélectionne tout tes disques locaux et amovibles
[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.
[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".
[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
[x] Tu peux ensuite vider la quarantaine de MBAM.
[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
-+-+-+-+-> ZHPFix <-+-+-+-+-
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".
[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]
O4 - HKCU\..\Run: [070700Setup.exe] . (.MS - Pas de description.) -- C:\Users\Jean Bourdonnais\AppData\Roaming\8BA9E9628792A09EEE680D2C4F4D5365\070700Setup.exe
O4 - HKCU\..\Run: [mojkupga] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Jean Bourdonnais\AppData\Local\ykqkynmku\deeeliptssd.exe
[HKCU\Software\AVSolution]
O51 - MPSK:{f066992e-5098-11de-9baf-00235a356dd3}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\VVD.exe (.not file.)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU]
[HKCU\Software\AVSuitE]
[HKCU\Software\Antimalware Doctor Inc]
O43 - CFD:Common File Directory ----D- C:\Program Files (x86)\Ask.com
O69 - SBI: C:\Users\Jean Bourdonnais\AppData\Roaming\Mozilla\Firefox\Profiles\\p6pi2q24.default\searchplugins\askcom.xml
O69 - SBI: SearchScopes {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}- (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
O69 - SBI: SearchScopes {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}- (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]
[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
========================================================
A la suite de ceci, tu pourras normalement redémarrer le PC en mode normal. Cependant, il restera sûrement des traces de l'infections.
Pour les supprimer, fais ceci :
-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-
[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.
[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )
[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "
[x] Sélectionne tout tes disques locaux et amovibles
[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.
[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".
[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
[x] Tu peux ensuite vider la quarantaine de MBAM.
[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
19 juil. 2010 à 21:06
19 juil. 2010 à 21:06
Tu as fais l'étape de ZHPFix?
Rapport de ZHPFix v1.12.3124 par Nicolas Coolman, Update du 18/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-19-07-2010-21-08-29.txt
Run by Jean Bourdonnais at 19/07/2010 21:08:29
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé du Registre ==========
HKCU\Software\AVSolution => Clé supprimée avec succès
O51 - MPSK:{f066992e-5098-11de-9baf-00235a356dd3}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\VVD.exe (.not file.) => Clé supprimée avec succès
HKCU\Software\AVSuitE => Clé supprimée avec succès
HKCU\Software\Antimalware Doctor Inc => Clé supprimée avec succès
O69 - SBI: SearchScopes {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}- (Ask Search) - http://www.search.ask.com/?o=10148&l=dis => Clé supprimée avec succès
========== Valeur du Registre ==========
O4 - HKCU\..\Run: [mojkupga] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Jean Bourdonnais\AppData\Local\ykqkynmku\deeeliptssd.exe => Valeur supprimée avec succès
========== Elément de données du Registre ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified => Donnée supprimée avec succès
========== Dossier ==========
C:\Program Files (x86)\Ask.com => Supprimé et mis en quarantaine
========== Fichier ==========
c:\users\jean bourdonnais\appdata\local\ykqkynmku\deeeliptssd.exe => Supprimé et mis en quarantaine
g:\vvd.exe => Fichier absent
c:\users\jean bourdonnais\appdata\roaming\mozilla\firefox\profiles\\p6pi2q24.default\searchplugins\askcom.xml => Supprimé et mis en quarantaine
========== Logiciel ==========
O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] => Logiciel supprimé avec succès
========== Autre ==========
https://www.cjoint.com/?htu1vIWntYO4 - HKCU\..\Run: [070700Setup.exe] . (.MS - Pas de description.) -- C:\Users\Jean Bourdonnais\AppData\Roaming\8BA9E9628792A09EEE680D2C4F4D5365\070700Setup.exe => Format Non supporté
========== Récapitulatif ==========
5 : Clé du Registre
1 : Valeur du Registre
1 : Elément de données du Registre
1 : Dossier
3 : Fichier
1 : Logiciel
1 : Autre
End of the scan
Fichier d'export Registre : C:\ZHPExportRegistry-19-07-2010-21-08-29.txt
Run by Jean Bourdonnais at 19/07/2010 21:08:29
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé du Registre ==========
HKCU\Software\AVSolution => Clé supprimée avec succès
O51 - MPSK:{f066992e-5098-11de-9baf-00235a356dd3}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\VVD.exe (.not file.) => Clé supprimée avec succès
HKCU\Software\AVSuitE => Clé supprimée avec succès
HKCU\Software\Antimalware Doctor Inc => Clé supprimée avec succès
O69 - SBI: SearchScopes {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}- (Ask Search) - http://www.search.ask.com/?o=10148&l=dis => Clé supprimée avec succès
========== Valeur du Registre ==========
O4 - HKCU\..\Run: [mojkupga] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Jean Bourdonnais\AppData\Local\ykqkynmku\deeeliptssd.exe => Valeur supprimée avec succès
========== Elément de données du Registre ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified => Donnée supprimée avec succès
========== Dossier ==========
C:\Program Files (x86)\Ask.com => Supprimé et mis en quarantaine
========== Fichier ==========
c:\users\jean bourdonnais\appdata\local\ykqkynmku\deeeliptssd.exe => Supprimé et mis en quarantaine
g:\vvd.exe => Fichier absent
c:\users\jean bourdonnais\appdata\roaming\mozilla\firefox\profiles\\p6pi2q24.default\searchplugins\askcom.xml => Supprimé et mis en quarantaine
========== Logiciel ==========
O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] => Logiciel supprimé avec succès
========== Autre ==========
https://www.cjoint.com/?htu1vIWntYO4 - HKCU\..\Run: [070700Setup.exe] . (.MS - Pas de description.) -- C:\Users\Jean Bourdonnais\AppData\Roaming\8BA9E9628792A09EEE680D2C4F4D5365\070700Setup.exe => Format Non supporté
========== Récapitulatif ==========
5 : Clé du Registre
1 : Valeur du Registre
1 : Elément de données du Registre
1 : Dossier
3 : Fichier
1 : Logiciel
1 : Autre
End of the scan
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
19 juil. 2010 à 21:10
19 juil. 2010 à 21:10
Ok, maintenant redémarre ton PC en mode normal, puis passe à malwarebytes' .
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
19 juil. 2010 à 23:32
19 juil. 2010 à 23:32
Bien, un nouveau ZHPDiag maintenant stp :)
Le PC se porte mieux sinon?
Le PC se porte mieux sinon?
robertfilou
Messages postés
11
Date d'inscription
lundi 19 juillet 2010
Statut
Membre
Dernière intervention
31 août 2010
Modifié par robertfilou le 20/07/2010 à 01:01
Modifié par robertfilou le 20/07/2010 à 01:01
Le ZHPdiag :https://www.cjoint.com/?huaVU5GoZQ. Oui le PC se porte bien plus aucun signe d'activité viral en apparence en tout cas et toutes les fonctionnalité marchent bien.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
20 juil. 2010 à 01:19
20 juil. 2010 à 01:19
Ok, il reste quelques trucs à virer mais j'aimerais faire une vérif' avant ça :
-+-+-+-+-> Virustotal <-+-+-+-+-
[x] Rends toi sur ce site puis cliques sur " Choisissez un fichier ".
[x] Sélectionne ce fichier : C:\Windows\system32\drivers\qcusbserhp.sys puis cliques sur " Ouvrir ". Patiente pendant l'envoi.
[x] Si il est indiqué que le fichier a déjà été analysé, clique sur " Réanalyser ".
[x] Copie/Colle le rapport affiché à l'écran dans ta prochaine réponse.
-+-+-+-+-> Virustotal <-+-+-+-+-
[x] Rends toi sur ce site puis cliques sur " Choisissez un fichier ".
[x] Sélectionne ce fichier : C:\Windows\system32\drivers\qcusbserhp.sys puis cliques sur " Ouvrir ". Patiente pendant l'envoi.
[x] Si il est indiqué que le fichier a déjà été analysé, clique sur " Réanalyser ".
[x] Copie/Colle le rapport affiché à l'écran dans ta prochaine réponse.
robertfilou
Messages postés
11
Date d'inscription
lundi 19 juillet 2010
Statut
Membre
Dernière intervention
31 août 2010
20 juil. 2010 à 15:07
20 juil. 2010 à 15:07
Je ne sais pas pourquoi mais le site ne trouve pas le fichier, comme si il 'existait pas.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
20 juil. 2010 à 15:10
20 juil. 2010 à 15:10
Affiche les fichiers cachés , ensuite il devrait le voir :)
robertfilou
Messages postés
11
Date d'inscription
lundi 19 juillet 2010
Statut
Membre
Dernière intervention
31 août 2010
20 juil. 2010 à 16:18
20 juil. 2010 à 16:18
Nop dsl toujours pas.
19 juil. 2010 à 20:29
Seulement avant de lancer la manip je me demandais si je devais quitter le safe mode ?
Car pour l'instant je ne sais meme pas si je peux utiliser internet avec le safe mode
19 juil. 2010 à 20:32
Normalement tu as aussi le mode sans échec avec prise en charge réseau ( safe mode with network ) qui te permettra d'aller sur internet en mode sans échec.
19 juil. 2010 à 20:36
19 juil. 2010 à 20:40
19 juil. 2010 à 20:43
Clique sur "Outils" -> "Options internet"
Onglet " Connexion " puis clique sur [Paramètres réseau]
Décoche "Utiliser un serveur proxy[...]" puis clique sur [appliquer] et [ok]