A voir également:
- Antivirus software alert
- Comodo antivirus - Télécharger - Sécurité
- Panda antivirus - Télécharger - Antivirus & Antimalwares
- Everest software - Télécharger - Informations & Diagnostic
- Easycap software - Télécharger - Capture d'écran
- Iobit software updater - Télécharger - Pilotes & Matériel
18 réponses
Utilisateur anonyme
Modifié par Jawaryinti le 19/07/2010 à 22:07
Modifié par Jawaryinti le 19/07/2010 à 22:07
Bonsoir
c'est un rogue
Télécharge rkill depuis l'un des liens ci-dessous:
http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe
Enregistre le fichier sur le Bureau.
Désactive le module résident de l'antivirus et celui de l'antispyware.
Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
Une fenêtre à fond noir va apparaître brièvement, puis disparaître.
Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution
Après, essaye de relancer Malwarebytes
O.o°*??? Ex Nathandre °.Oø¤º°'°º¤ø
c'est un rogue
Télécharge rkill depuis l'un des liens ci-dessous:
http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe
Enregistre le fichier sur le Bureau.
Désactive le module résident de l'antivirus et celui de l'antispyware.
Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
Une fenêtre à fond noir va apparaître brièvement, puis disparaître.
Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution
Après, essaye de relancer Malwarebytes
O.o°*??? Ex Nathandre °.Oø¤º°'°º¤ø
Utilisateur anonyme
20 juil. 2010 à 22:47
20 juil. 2010 à 22:47
Bonsoir
Infection provenant des supports amovibles
Télécharge UsbFix (de El Desaparecido, C_XX) sur ton bureau
https://www.ionos.fr/?affiliate_id=77097
# Clic droit sur UsbFix présent sur ton bureau, et clique sur
exécuter en tant qu'administrateur, puis clique sur exécuter
pour lancer l'installation qui se fera automatiquement
# Clique sur Suppression
# Branche toutes tes sources et données externes (clé USB, disque dur
externe...) sans les ouvrir sur ton PC, et clique sur OK
# La suppression est lancée. Le bureau va disparaitre, c'est normal
# Une fois le nettoyage terminé, le bureau va réapparaitre, et il se
pourrai que ton navigateur s'ouvre à la page d'upload de l'outil te
demandant d'envoyer le fichier UsbFix_Upload_Me
# Clique sur Parcourir pour aller chercher le fichier
compressé qui se trouve à la racine du disque
# Dans le menu déroulant, sélectionne UsbFix, et clique sur Envoyer
le fichier
# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Infection provenant des supports amovibles
Télécharge UsbFix (de El Desaparecido, C_XX) sur ton bureau
https://www.ionos.fr/?affiliate_id=77097
# Clic droit sur UsbFix présent sur ton bureau, et clique sur
exécuter en tant qu'administrateur, puis clique sur exécuter
pour lancer l'installation qui se fera automatiquement
# Clique sur Suppression
# Branche toutes tes sources et données externes (clé USB, disque dur
externe...) sans les ouvrir sur ton PC, et clique sur OK
# La suppression est lancée. Le bureau va disparaitre, c'est normal
# Une fois le nettoyage terminé, le bureau va réapparaitre, et il se
pourrai que ton navigateur s'ouvre à la page d'upload de l'outil te
demandant d'envoyer le fichier UsbFix_Upload_Me
# Clique sur Parcourir pour aller chercher le fichier
compressé qui se trouve à la racine du disque
# Dans le menu déroulant, sélectionne UsbFix, et clique sur Envoyer
le fichier
# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .
# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Voila le rapport :
############################## | UsbFix 7.016 | [Suppression]
Utilisateur: Bast (Administrateur) # PC-DE-BAST [Dell Inc. Inspiron 1501]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 23:01:23 | 20/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: AMD Turion(tm) 64 Mobile Technology MK-36
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
Firewall: Sunbelt Personal Firewall 4.6.1861 T [Enabled]
RAM -> 893 Mo
C:\ (%systemdrive%) -> Disque fixe # 64 Go (5 Go libre(s) - 8%) [OS] # NTFS
D:\ -> Disque fixe # 10 Go (7 Go libre(s) - 68%) [RECOVERY] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque amovible # 955 Mo (208 Mo libre(s) - 22%) [] # FAT
################## | Éléments infectieux |
Supprimé! G:\tvoj
################## | Registre |
Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2ab750d9-4ca5-11df-8912-ea04273e7802}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{4632d39c-170b-11df-97c0-0019b954f29a}
################## | Listing |
[20/07/2010 - 23:10:12 | SHD ] C:\$Recycle.Bin
[05/02/2010 - 19:59:05 | D ] C:\ATI
[18/09/2006 - 23:43:36 | A | 24] C:\autoexec.bat
[20/06/2010 - 19:41:50 | SHD ] C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[13/11/2006 - 19:11:27 | RAS | 8192] C:\BOOTSECT.BAK
[18/09/2006 - 23:43:37 | A | 10] C:\config.sys
[05/02/2010 - 19:16:06 | D ] C:\DELL
[13/02/2007 - 01:38:40 | RAH | 4107] C:\dell.sdr
[13/02/2007 - 01:35:26 | D ] C:\doctemp
[05/02/2010 - 18:32:46 | SHD ] C:\Documents and Settings
[13/02/2007 - 01:35:23 | D ] C:\Drivers
[19/07/2010 - 22:50:29 | ASH | 937476096] C:\hiberfil.sys
[08/02/2010 - 00:53:48 | RASH | 0] C:\IO.SYS
[08/02/2010 - 00:53:48 | RASH | 0] C:\MSDOS.SYS
[11/02/2010 - 14:58:28 | RHD ] C:\MSOCache
[19/07/2010 - 22:50:27 | ASH | 1251291136] C:\pagefile.sys
[06/06/2010 - 18:01:18 | D ] C:\PerfLogs
[20/07/2010 - 21:36:37 | RD ] C:\Program Files
[19/07/2010 - 22:54:47 | HD ] C:\ProgramData
[19/07/2010 - 22:11:42 | A | 267] C:\rkill.log
[13/06/2010 - 10:38:25 | D ] C:\SIERRA
[20/07/2010 - 15:00:35 | SHD ] C:\System Volume Information
[20/07/2010 - 23:10:13 | D ] C:\UsbFix
[20/07/2010 - 23:02:11 | A | 2601] C:\UsbFix.txt
[18/02/2010 - 15:46:24 | RD ] C:\Users
[20/07/2010 - 23:00:05 | D ] C:\Windows
[20/07/2010 - 23:10:12 | SHD ] D:\$RECYCLE.BIN
[12/02/2007 - 17:25:19 | D ] D:\dell
[02/11/2006 - 12:23:02 | D ] D:\Program Files
[02/11/2006 - 12:22:50 | HD ] D:\ProgramData
[17/11/2006 - 18:06:22 | D ] D:\sources
[04/02/2010 - 23:31:14 | SHD ] D:\System Volume Information
[05/02/2010 - 18:16:20 | D ] D:\Tools
[02/11/2006 - 12:22:50 | RD ] D:\Users
[04/02/2010 - 23:22:21 | D ] D:\Windows
[22/11/2009 - 09:21:42 | ASH | 8919040] G:\ehthumbs_vista.db
[23/04/2010 - 11:46:52 | A | 283072] G:\Les maladies rares.doc
[23/04/2010 - 08:29:38 | A | 30098] G:\santé publique.odt
[08/04/2010 - 17:32:58 | D ] G:\Sébastien
[23/04/2010 - 14:13:08 | A | 13312] G:\conclusions.doc
[17/06/2010 - 16:02:00 | A | 733648896] G:\I.Love.You.Phillip.Morris.FRENCH.DVDRip.XviD-UNSKiLLED.MORPH.[emule1.com].avi
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-BAST.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.
################## | E.O.F |
############################## | UsbFix 7.016 | [Suppression]
Utilisateur: Bast (Administrateur) # PC-DE-BAST [Dell Inc. Inspiron 1501]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 23:01:23 | 20/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: AMD Turion(tm) 64 Mobile Technology MK-36
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
Firewall: Sunbelt Personal Firewall 4.6.1861 T [Enabled]
RAM -> 893 Mo
C:\ (%systemdrive%) -> Disque fixe # 64 Go (5 Go libre(s) - 8%) [OS] # NTFS
D:\ -> Disque fixe # 10 Go (7 Go libre(s) - 68%) [RECOVERY] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque amovible # 955 Mo (208 Mo libre(s) - 22%) [] # FAT
################## | Éléments infectieux |
Supprimé! G:\tvoj
################## | Registre |
Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2ab750d9-4ca5-11df-8912-ea04273e7802}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{4632d39c-170b-11df-97c0-0019b954f29a}
################## | Listing |
[20/07/2010 - 23:10:12 | SHD ] C:\$Recycle.Bin
[05/02/2010 - 19:59:05 | D ] C:\ATI
[18/09/2006 - 23:43:36 | A | 24] C:\autoexec.bat
[20/06/2010 - 19:41:50 | SHD ] C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[13/11/2006 - 19:11:27 | RAS | 8192] C:\BOOTSECT.BAK
[18/09/2006 - 23:43:37 | A | 10] C:\config.sys
[05/02/2010 - 19:16:06 | D ] C:\DELL
[13/02/2007 - 01:38:40 | RAH | 4107] C:\dell.sdr
[13/02/2007 - 01:35:26 | D ] C:\doctemp
[05/02/2010 - 18:32:46 | SHD ] C:\Documents and Settings
[13/02/2007 - 01:35:23 | D ] C:\Drivers
[19/07/2010 - 22:50:29 | ASH | 937476096] C:\hiberfil.sys
[08/02/2010 - 00:53:48 | RASH | 0] C:\IO.SYS
[08/02/2010 - 00:53:48 | RASH | 0] C:\MSDOS.SYS
[11/02/2010 - 14:58:28 | RHD ] C:\MSOCache
[19/07/2010 - 22:50:27 | ASH | 1251291136] C:\pagefile.sys
[06/06/2010 - 18:01:18 | D ] C:\PerfLogs
[20/07/2010 - 21:36:37 | RD ] C:\Program Files
[19/07/2010 - 22:54:47 | HD ] C:\ProgramData
[19/07/2010 - 22:11:42 | A | 267] C:\rkill.log
[13/06/2010 - 10:38:25 | D ] C:\SIERRA
[20/07/2010 - 15:00:35 | SHD ] C:\System Volume Information
[20/07/2010 - 23:10:13 | D ] C:\UsbFix
[20/07/2010 - 23:02:11 | A | 2601] C:\UsbFix.txt
[18/02/2010 - 15:46:24 | RD ] C:\Users
[20/07/2010 - 23:00:05 | D ] C:\Windows
[20/07/2010 - 23:10:12 | SHD ] D:\$RECYCLE.BIN
[12/02/2007 - 17:25:19 | D ] D:\dell
[02/11/2006 - 12:23:02 | D ] D:\Program Files
[02/11/2006 - 12:22:50 | HD ] D:\ProgramData
[17/11/2006 - 18:06:22 | D ] D:\sources
[04/02/2010 - 23:31:14 | SHD ] D:\System Volume Information
[05/02/2010 - 18:16:20 | D ] D:\Tools
[02/11/2006 - 12:22:50 | RD ] D:\Users
[04/02/2010 - 23:22:21 | D ] D:\Windows
[22/11/2009 - 09:21:42 | ASH | 8919040] G:\ehthumbs_vista.db
[23/04/2010 - 11:46:52 | A | 283072] G:\Les maladies rares.doc
[23/04/2010 - 08:29:38 | A | 30098] G:\santé publique.odt
[08/04/2010 - 17:32:58 | D ] G:\Sébastien
[23/04/2010 - 14:13:08 | A | 13312] G:\conclusions.doc
[17/06/2010 - 16:02:00 | A | 733648896] G:\I.Love.You.Phillip.Morris.FRENCH.DVDRip.XviD-UNSKiLLED.MORPH.[emule1.com].avi
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-BAST.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.
################## | E.O.F |
Utilisateur anonyme
20 juil. 2010 à 23:36
20 juil. 2010 à 23:36
C'est pas finit, y'a encore des infections
* Lance ZHPFix (tu dois avoir un raccourci sur ton Bureau, sinon tu peux le lancer à partir de ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle la ligne suivante et place la dans ZHPFix :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643
[HKCU\Software\AVSolution]
[HKCU\Software\AppDataLow\Software\ShoppingReport]
[HKLM\Software\AVSolution]
MBRFix
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
* Lance ZHPFix (tu dois avoir un raccourci sur ton Bureau, sinon tu peux le lancer à partir de ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle la ligne suivante et place la dans ZHPFix :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643
[HKCU\Software\AVSolution]
[HKCU\Software\AppDataLow\Software\ShoppingReport]
[HKLM\Software\AVSolution]
MBRFix
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
encore merci pour votre aide,
voila le rapport :
Rapport de ZHPFix v1.12.3125 par Nicolas Coolman, Update du 20/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-07-2010-23-44-04.txt
Run by Bast at 20/07/2010 23:44:04
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé du Registre ==========
HKCU\Software\AVSolution => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\ShoppingReport => Clé supprimée avec succès
HKLM\Software\AVSolution => Clé supprimée avec succès
========== Elément(s) de donnée du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643 => Donnée supprimée avec succès
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x845EB1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x845eb1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
========== Récapitulatif ==========
3 : Clé du Registre
1 : Elément(s) de donnée du Registre
1 :Master Boot Record
End of the scan
voila le rapport :
Rapport de ZHPFix v1.12.3125 par Nicolas Coolman, Update du 20/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-07-2010-23-44-04.txt
Run by Bast at 20/07/2010 23:44:04
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé du Registre ==========
HKCU\Software\AVSolution => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\ShoppingReport => Clé supprimée avec succès
HKLM\Software\AVSolution => Clé supprimée avec succès
========== Elément(s) de donnée du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643 => Donnée supprimée avec succès
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x845EB1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x845eb1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
========== Récapitulatif ==========
3 : Clé du Registre
1 : Elément(s) de donnée du Registre
1 :Master Boot Record
End of the scan
Utilisateur anonyme
Modifié par Jawaryinti le 20/07/2010 à 23:53
Modifié par Jawaryinti le 20/07/2010 à 23:53
Comment va le PC après tous ces nettoyages ?
On a nettoyé les restants du rogue
J'ai vu encore des lignes bizarres dans le rapport de ZHPDiag
Je demande avis, et je ne sais pas si j'aurai une réponse ce soir
Au fait, as tu vidé la quarantaine de Malwarebytes ?
O.o°*??? Ex Nathandre °.Oø¤º°'°º¤ø
On a nettoyé les restants du rogue
J'ai vu encore des lignes bizarres dans le rapport de ZHPDiag
Je demande avis, et je ne sais pas si j'aurai une réponse ce soir
Au fait, as tu vidé la quarantaine de Malwarebytes ?
O.o°*??? Ex Nathandre °.Oø¤º°'°º¤ø
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
21 juil. 2010 à 10:57
21 juil. 2010 à 10:57
Bonjour à vous 2 ,
Il a un rootkit sur son pc à traiter de suite. Bon courage.
Il a un rootkit sur son pc à traiter de suite. Bon courage.
Bonjour Pimprenelle
J'ai vu, j'ai fait nettoyer le MBR
Seb59 bonjour
Il y des éléments qui semblent néfastes, et qui ne me plaisent pas du tout
* Lance ZHPFix (tu dois avoir un raccourci sur ton Bureau, sinon tu peux le lancer à partir de ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle la ligne suivante et place la dans ZHPFix :
O55 - MWPS:[HKCU\...\Policies\System] - "yzkkzcypsguaigzholxnTaskMgr"=0
O55 - MWPS:[HKCU\...\Policies\System] - "nwyrohwxwuuawkzxosewTaskMgr"=0
O55 - MWPS:[HKCU\...\Policies\System] - "pddezqtuwegkaaebpamkTaskMgr"=0
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
J'ai vu, j'ai fait nettoyer le MBR
Seb59 bonjour
Il y des éléments qui semblent néfastes, et qui ne me plaisent pas du tout
* Lance ZHPFix (tu dois avoir un raccourci sur ton Bureau, sinon tu peux le lancer à partir de ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle la ligne suivante et place la dans ZHPFix :
O55 - MWPS:[HKCU\...\Policies\System] - "yzkkzcypsguaigzholxnTaskMgr"=0
O55 - MWPS:[HKCU\...\Policies\System] - "nwyrohwxwuuawkzxosewTaskMgr"=0
O55 - MWPS:[HKCU\...\Policies\System] - "pddezqtuwegkaaebpamkTaskMgr"=0
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
21 juil. 2010 à 14:10
21 juil. 2010 à 14:10
Bonjour,
Où ça un rootkit?
Le hook du pilote atapi.sys est légitime puisque créé par Daemon Tools.
La confirmation est ici ->
O43 - CFD:Common File Directory ----D- C:\Program Files\DAEMON Tools Lite
Où ça un rootkit?
Le hook du pilote atapi.sys est légitime puisque créé par Daemon Tools.
La confirmation est ici ->
O43 - CFD:Common File Directory ----D- C:\Program Files\DAEMON Tools Lite
bonsoir,
Dsl je viens de rentrer du travail,
J'ai effectué les actions demandé voila le rapport ZHPfix:
Rapport de ZHPFix v1.12.3125 par Nicolas Coolman, Update du 20/07/2010
Fichier d'export Registre :
Run by Bast at 21/07/2010 21:49:10
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Récapitulatif ==========
End of the scan
Dsl je viens de rentrer du travail,
J'ai effectué les actions demandé voila le rapport ZHPfix:
Rapport de ZHPFix v1.12.3125 par Nicolas Coolman, Update du 20/07/2010
Fichier d'export Registre :
Run by Bast at 21/07/2010 21:49:10
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Récapitulatif ==========
End of the scan
Utilisateur anonyme
21 juil. 2010 à 21:56
21 juil. 2010 à 21:56
Bonsoir
As tu bien collé ces 3 lignes ?
O55 - MWPS:[HKCU\...\Policies\System] - "yzkkzcypsguaigzholxnTaskMgr"=0
O55 - MWPS:[HKCU\...\Policies\System] - "nwyrohwxwuuawkzxosewTaskMgr"=0
O55 - MWPS:[HKCU\...\Policies\System] - "pddezqtuwegkaaebpamkTaskMgr"=0
As tu bien collé ces 3 lignes ?
O55 - MWPS:[HKCU\...\Policies\System] - "yzkkzcypsguaigzholxnTaskMgr"=0
O55 - MWPS:[HKCU\...\Policies\System] - "nwyrohwxwuuawkzxosewTaskMgr"=0
O55 - MWPS:[HKCU\...\Policies\System] - "pddezqtuwegkaaebpamkTaskMgr"=0
Toujours pareil,
je l'ai lancé en tant qu'administrateur, copie les 3 lignes et voila le rapport :
Rapport de ZHPFix v1.12.3125 par Nicolas Coolman, Update du 20/07/2010
Fichier d'export Registre :
Run by Bast at 21/07/2010 22:15:30
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Récapitulatif ==========
End of the scan
je l'ai lancé en tant qu'administrateur, copie les 3 lignes et voila le rapport :
Rapport de ZHPFix v1.12.3125 par Nicolas Coolman, Update du 20/07/2010
Fichier d'export Registre :
Run by Bast at 21/07/2010 22:15:30
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Récapitulatif ==========
End of the scan
Utilisateur anonyme
21 juil. 2010 à 22:42
21 juil. 2010 à 22:42
Pourrai tu me refaire ZHPDiag et héberger le rapport
pour que je vois si ces lignes sont toujours dedans
pour que je vois si ces lignes sont toujours dedans
Utilisateur anonyme
22 juil. 2010 à 00:05
22 juil. 2010 à 00:05
Attention,à ne pas reproduire sur un autre PC, ce qui pourrai l'endommager
? Télécharge OTM
(de Old_Timer) sur ton Bureau
? Double-clique sur OTM.exe pour le lancer.
? Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.
? Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"yzkkzcypsguaigzholxnTaskMgr"=-
"nwyrohwxwuuawkzxosewTaskMgr"=-
"pddezqtuwegkaaebpamkTaskMgr"=-
:commands
[start explorer]
[reboot]
? clique sur MoveIt! pour lancer la suppression.
? Le résultat apparaitra dans le cadre "Results".
? Clique sur Exit pour fermer.
? Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
? Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
? Télécharge OTM
(de Old_Timer) sur ton Bureau
? Double-clique sur OTM.exe pour le lancer.
? Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.
? Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"yzkkzcypsguaigzholxnTaskMgr"=-
"nwyrohwxwuuawkzxosewTaskMgr"=-
"pddezqtuwegkaaebpamkTaskMgr"=-
:commands
[start explorer]
[reboot]
? clique sur MoveIt! pour lancer la suppression.
? Le résultat apparaitra dans le cadre "Results".
? Clique sur Exit pour fermer.
? Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
? Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
Utilisateur anonyme
22 juil. 2010 à 14:45
22 juil. 2010 à 14:45
Bonjour
colle ce que je t'ai indiqué en gras, et clique sur Movelt!
colle ce que je t'ai indiqué en gras, et clique sur Movelt!
bonsoir,
j'ai fait ce que vous m'avez demandé, désolé pour l'hésitation mais je ne voulais pas endommager mon ordinateur plus qu'il ne l'est déjà.
voila le rapport :
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\\yzkkzcypsguaigzholxnTaskMgr not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\\nwyrohwxwuuawkzxosewTaskMgr not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\\pddezqtuwegkaaebpamkTaskMgr not found.
========== COMMANDS ==========
OTM by OldTimer - Version 3.1.15.0 log created on 07222010_212610
j'ai fait ce que vous m'avez demandé, désolé pour l'hésitation mais je ne voulais pas endommager mon ordinateur plus qu'il ne l'est déjà.
voila le rapport :
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\\yzkkzcypsguaigzholxnTaskMgr not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\\nwyrohwxwuuawkzxosewTaskMgr not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\\pddezqtuwegkaaebpamkTaskMgr not found.
========== COMMANDS ==========
OTM by OldTimer - Version 3.1.15.0 log created on 07222010_212610
Utilisateur anonyme
22 juil. 2010 à 21:50
22 juil. 2010 à 21:50
endommager mon ordinateur plus qu'il ne l'est déjà.
Tu as encore des problèmes particuliers sur ton PC ?
Tu as encore des problèmes particuliers sur ton PC ?
non plus rien mais bon je ne savais même pas ce qu'était un rootkit sur mon pc avant que vous me le dites.
toutefois, windows live messenger ne veut plus démarrer
toutefois, windows live messenger ne veut plus démarrer
Utilisateur anonyme
24 juil. 2010 à 21:06
24 juil. 2010 à 21:06
Bonsoir
On va nettoyer le PC
Il faut nettoyer les outils de désinfection:
* Télécharge ToolsCleaner2 sur ton Bureau
https://www.commentcamarche.net/telecharger/
* Clic droit sur ToolsCleaner2.exe, et sur exécuter en tant qu'administrateur
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
supprime toolscleaner2 manuellement
Tu dois désactiver la restauration système pour supprimer les points de restauration infectés:
* Démarrer, Panneau de configuration, Système, puis sur Protection du système à gauche
* La fenêtre Propriétés système s'ouvre
* Va dans l'onglet Protection du système
* Patiente le temps que Windows cherche
* Décoche les partitions
* Windows demande si on veut désactiver la restauration système
* Clique sur désactiver la restauration système
* Valide en cliquant sur OK
* Redémarre le PC
Tu dois réactiver la restauration système, et tu vas créer un point de restauration propre:
* Démarrer, Panneau de configuration, Système, puis à gauche, dans tâches, sur Protection du système
* Dans la fenêtre Propriètés système, recoche les partitions , puis clique sur Appliquer
* Tu peux créer un point de restauration propre tout de suite en cliquant sur créer
* Une petite fenetre s'ouvre
* Entre la date du point de restauration que tu veux créer
* Clique sur créer, et le point de restauration se crée automatiquement, puis on t'annonce que le point de restauration a été créé, puis clique sur OK
* Redémarre le PC
On va nettoyer le PC
Il faut nettoyer les outils de désinfection:
* Télécharge ToolsCleaner2 sur ton Bureau
https://www.commentcamarche.net/telecharger/
* Clic droit sur ToolsCleaner2.exe, et sur exécuter en tant qu'administrateur
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
supprime toolscleaner2 manuellement
Tu dois désactiver la restauration système pour supprimer les points de restauration infectés:
* Démarrer, Panneau de configuration, Système, puis sur Protection du système à gauche
* La fenêtre Propriétés système s'ouvre
* Va dans l'onglet Protection du système
* Patiente le temps que Windows cherche
* Décoche les partitions
* Windows demande si on veut désactiver la restauration système
* Clique sur désactiver la restauration système
* Valide en cliquant sur OK
* Redémarre le PC
Tu dois réactiver la restauration système, et tu vas créer un point de restauration propre:
* Démarrer, Panneau de configuration, Système, puis à gauche, dans tâches, sur Protection du système
* Dans la fenêtre Propriètés système, recoche les partitions , puis clique sur Appliquer
* Tu peux créer un point de restauration propre tout de suite en cliquant sur créer
* Une petite fenetre s'ouvre
* Entre la date du point de restauration que tu veux créer
* Clique sur créer, et le point de restauration se crée automatiquement, puis on t'annonce que le point de restauration a été créé, puis clique sur OK
* Redémarre le PC
19 juil. 2010 à 22:11
merci pour votre réponse
Je n'arrive pas à exécuter rkill depuis les quatre liens, il me bloque l'exécution en me disant que les fichiers sont infectés
19 juil. 2010 à 22:44
j'ai réussi à démarrer malwarebyte antimalware qui a supprimé le rogue.
Merci pour votre réponse
19 juil. 2010 à 23:43
* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI
20 juil. 2010 à 21:50
j'ai effectué les actions que vous m'avez demandé.
voila l'adresse du rapport http://www.cijoint.fr/cjlink.php?file=cj201007/cijioplTN2.txt
Merci