Rogue : rapport ZHPdiag de mon pc infecté

Résolu
sargasme Messages postés 20 Statut Membre -  
fred08700 Messages postés 3633 Statut Contributeur sécurité -
Bonjour,

J'ai parcouru le forum et j'ai découvert plusieurs personnes ayant le même problème que moi. J'ai découvert que ce qui m'affecte est un "rogue". Donc, comme à chaque fois on demande un rapport de ZHPDiag, j'en ai fait un. Le voici :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijTW6VDsp.txt

L'ordinateur qui est infecté est sous Vista.

Voilà, j'espère que vous allez pouvoir m'aider,
Cordialement

29 réponses

  • 1
  • 2
  1. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    salut

    Tu as deux antivirus : Norton et avast : supprimes en un des deux :
    https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces

    ensuite

    Télécharger rkill depuis l'un des liens ci-dessous:

    https://download.bleepingcomputer.com/grinler/rkill.exe
    https://download.bleepingcomputer.com/grinler/rkill.scr
    https://download.bleepingcomputer.com/grinler/rkill.com

    * Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.

    Une bref fenêtre noire indiquera que l'installation s'est bien déroulée

    N.B: ne pas redémarrer le pc après avoir fait Rkil sans quoi l'infection pourrait se réactiver

    puis

    ● Télécharges Malwarebytes

    (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

    ● Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.

    ● Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

    ● Lance une analyse complète en cliquant sur "Exécuter un examen complet"

    ● Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

    L'analyse peut durer un bon moment.....

    ● Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

    ● Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

    ● Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    ● Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

    Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.
    MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.

    et

    ● Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX)

    Déconnecte toi et ferme toutes les applications en cours

    ● Double-clique sur l'icône AD-Remover
    ● Au menu principal, clique sur "Nettoyer"
    ● Confirme le lancement de l'analyse et laisse l'outil travailler
    ● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    <gras<Note :</gras> Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. els de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès.

    [Pierre de Coubertin]
    2
  2. sargasme Messages postés 20 Statut Membre
     
    Ok merci, je fais ça tout de suite :)
    0
  3. sargasme Messages postés 20 Statut Membre
     
    Voici le rapport de Malwarebytes(mis à jour)

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4425

    Windows 6.0.6001 Service Pack 1 (Safe Mode)
    Internet Explorer 8.0.6001.18943

    13/08/2010 18:42:17
    mbam-log-2010-08-13 (18-42-17).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 490515
    Temps écoulé: 53 minute(s), 33 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 4
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 6

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jsnooxnx (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wmsdk64_32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\24d1ca9a-a864-4f7b-86fe-495eb56529d8 (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\7bde84a2-f58f-46ec-9eac-f1f90fead080 (Malware.Trace) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\Moi\AppData\Local\pxdsafgnp\itncifrshdw.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
    C:\Users\Moi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C24WOTY3\exe[1].php (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Users\Moi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C24WOTY3\setup[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\Users\Moi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LLEFJKW6\setup[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Users\Moi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WYZC7A4I\setup[1].exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
    C:\Users\Moi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XU173C7P\5-direct[1].ex (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    0
    1. Excessimo Messages postés 2352 Statut Membre 157
       
      tu ne l'a pas mis à jour, recommence
      0
    2. sargasme Messages postés 20 Statut Membre
       
      ok
      0
    3. Excessimo Messages postés 2352 Statut Membre 157
       
      :)
      0
    4. sargasme Messages postés 20 Statut Membre
       
      Est-ce que le rapport de AD-R est bon malgré que j'avais pas mis à jour Malwarebyes ?
      0
  4. sargasme Messages postés 20 Statut Membre
     
    Voici le rapport de AD-R

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 26/07/10 à 12:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:21:27 le 13/08/2010, Mode sans echec

    Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 1 (X86)
    Moi@PC-DE-MOI (Packard Bell BV IMEDIA J7460 AIO)

    ============== ACTION(S) ==============

    0,Fichier supprimé: C:\Program Files\Mozilla FireFox\plugins\NPAskSBr.dll
    0,Fichier supprimé: C:\Users\Public\MyWebTattoo.exe
    0,Dossier supprimé: C:\Users\Moi\AppData\LocalLow\AskSBar
    0,Dossier supprimé: C:\Program Files\AskSBar
    0,Dossier supprimé: C:\Users\Moi\AppData\LocalLow\Conduit
    0,Dossier supprimé: C:\Program Files\Conduit
    0,Dossier supprimé: C:\Program Files\Fast Browser Search
    0,Dossier supprimé: C:\Program Files\Search Guard Plus
    0,Dossier supprimé: C:\Program Files\Search Guard PlusU
    0,Dossier supprimé: C:\Program Files\SGPSA
    0,Dossier supprimé: C:\ProgramData\Trymedia

    (!) -- Fichiers temporaires supprimés.

    1,Clé supprimée: HKLM\Software\Classes\CLSID\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{B15FD82E-85BC-430d-90CB-65DB1B030510}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{F0D4B23B-DA4B-4daf-81E4-DFEE4931A4AA}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{F0D4B23B-DA4B-4daf-81E4-DFEE4931A4AA}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{2A42D13C-D427-4787-821B-CF6973855778}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{3D8478AA-7B88-48A9-8BCB-B85D594411EC}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
    0,Clé supprimée: HKLM\Software\Classes\ComObject.DeskbarEnabler
    0,Clé supprimée: HKLM\Software\Classes\ComObject.DeskbarEnabler.1
    0,Clé supprimée: HKLM\Software\Classes\URLSearchHook.ToolbarURLSearchHook
    0,Clé supprimée: HKLM\Software\Classes\URLSearchHook.ToolbarURLSearchHook.1
    0,Clé supprimée: HKLM\Software\Conduit
    0,Clé supprimée: HKLM\Software\Trymedia Systems
    0,Clé supprimée: HKCU\Software\FBSearch
    0,Clé supprimée: HKCU\Software\SGPUpdater
    0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
    3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\AskSBar Uninstall

    0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{0579B4B6-0293-4D73-B02D-5EBB0BA0F0A2}
    0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{91C18ED5-5E1C-4AE5-A148-A861DE8C8E16}
    0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.8 (fr)] **

    -- C:\Users\Moi\AppData\Roaming\Mozilla\FireFox\Profiles\artg9pcg.default\Prefs.js --
    browser.download.dir, C:\\Users\\Moi\\Downloads
    browser.download.lastDir, C:\\Users\\Moi\\Pictures
    browser.search.defaultenginename, Live Search
    browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
    browser.startup.homepage, www.ecosia.org
    browser.startup.homepage_override.mstone, rv:1.9.2.8
    keyword.URL, hxxp://search.speedbit.com/searchresults.asp?src=default&q=
    privacy.popups.showBrowserMessage, false

    ========================================

    ** Internet Explorer Version [8.0.6001.18943] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Enable Browser Extensions: yes
    Local Page: C:\Windows\System32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 100 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 13/08/2010 (0 Octet(s))

    Fin à: 17:24:49, 13/08/2010

    ============== E.O.F ==============
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    salut

    relances malwarebytes et vides la quarantaine + mets le à jour pour refaire un scan complet

    Excessimo , bien le bonjour ^^
    0
    1. Excessimo Messages postés 2352 Statut Membre 157
       
      salut, je l'ai prévenu pour te faire gagner du temps,
      bon courage et bonne désinfection ;)
      0
    2. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
       
      oops , réponse en doublon ,désolé
      0
  7. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    Est-ce que le rapport de AD-R est bon malgré que j'avais pas mis à jour Malwarebyes ?

    bien sur : Ad-remover est un outil spécifique
    malwarebytes est plus un outil généraliste

    ils n'ont aucun "lien" entre eux

    Tu peux désinstaller Ad-remover , relances le et cliques sur désinstaller.

    N'oublies pas malwarebytes -)
    Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès.

    [Pierre de Coubertin]
    0
  8. sargasme Messages postés 20 Statut Membre
     
    J'ai édité le rapport de malwarebytes, celui qui est posté est le nouveau (mis à jour).
    0
  9. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    ok

    pas vu , désolé

    (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
    c'est ce que j'attendais

    refais un scan ZHpdiag , pour voir où on en est
    0
  10. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    pourquoi avoir passer malwarebytes en mode sans échec ???
    0
  11. sargasme Messages postés 20 Statut Membre
     
    En mode sans echec parce que sinon je me serais fait harceler par un anti-virus (que je pense être un faux) qui me dit non-stop que je dois acheter son software pour être protéger de 34 virus au moins. Il s'appelle Security Suite. Ce qui est bizarre c'est que j'ai fait une analyse minutieuse avec Avast et je n'ai rien trouvé...donc, je fais tout en mode sans échec.
    C'est une situation différente ? Je pense que c'est un Trojan, cet anti-virus.
    0
  12. sargasme Messages postés 20 Statut Membre
     
    Voilà le nouveau rapport de ZHPDiag:

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijdnvAnqQ.txt
    0
  13. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    bien

    Rkill sert à arrêter le processus lié aux infections comme SécuritySuite ( un rogue)

    tu peux tout faire en mode normal , puisque ce rogue à disparu

    ----------------------------------------

    relances malwarebytes et vides la quarantaine

    plus de traces de sécuritySuite dans le rapport mais des choses à contrôler.

    1) As-tu désinstaller ad-remover , comme indiqué plus haut ?

    2) Affiche les extensions et les fichiers cachés sous Windows : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

    puis rends toi ici et analyse ce qui est en gras , et poste le rapport
    C:\Windows\system32\drivers\rqfn.sys

    3) * Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau.
    Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    * Clique sur "Recherche"
    * Laisse travailler l'outil
    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images :Tutoriel "Recherche"

    Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès.

    [Pierre de Coubertin]
    0
  14. sargasme Messages postés 20 Statut Membre
     
    Ok je me lance :)
    0
  15. sargasme Messages postés 20 Statut Membre
     
    T'es sûr que c'est le bon nom de fichier à analyser ? Parce que je ne le trouve pas pas, pourtant c'est classé par ordre alphabétique :x
    0
  16. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    passes directement à USBfix ( et pas de mode sans echec)

    si il ne se lances pas , exécutes ceci avant

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    * Télécharge Defogger (de jpshortstuff) sur ton Bureau : http://www.jpshortstuff.247fixes.com/Defogger.exe
    * Lance le
    * Une fenêtre apparait : clique sur "Disable"
    * Fais redémarrer l'ordinateur si l'outil te le demande
    * Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
    0
  17. sargasme Messages postés 20 Statut Membre
     
    Voici le rapport de UsbFix :

    ############################## | UsbFix 7.020 | [Recherche]

    Utilisateur: Moi (Administrateur) # PC-DE-MOI [Packard Bell BV IMEDIA J7460 AIO]
    Mis à jour le 12/08/10 par El Desaparecido / C_XX
    Lancé à 21:49:49 | 13/08/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
    Internet Explorer 8.0.6001.18943

    Pare-feu Windows: Désactivé /!\
    Antivirus: BullGuard Antivirus [(!) Disabled | Updated]
    Antivirus: Norton Internet Security 16.2.0.7 [Enabled | Updated]
    Firewall: BullGuard Firewall [(!) Disabled]
    Firewall: Norton Internet Security 16.2.0.7 [Enabled]
    RAM -> 2047 Mo
    C:\ (%systemdrive%) -> Disque fixe # 365 Go (137 Go libre(s) - 37%) [HDD] # NTFS
    D:\ -> CD-ROM
    L:\ -> Disque amovible # 7 Go (4 Go libre(s) - 50%) [FLASHDRIVE] # FAT32

    ################## | Éléments infectieux |

    Présent! C:\Users\Moi\dreamweaver_dreamweaver_8_evaluation_francais_10239.exe
    Présent! C:\Users\Moi\nforce_winvista64_16.08_international_whql.exe
    Présent! D:\Autorun.inf

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{9e1c63fa-1727-11df-a8ef-001e9077d8d7}
    Shell\AutoRun\Command = I:\autorun.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{adc48e15-fda9-11dc-bae7-806e6f6e6963}
    Shell\AutoRun\Command = D:\autorun.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{c5ab3fdc-1bbc-11df-9554-001e9077d8d7}
    Shell\AutoRun\Command = J:\autorun.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{fae1fa4f-3b03-11dd-8e3c-001e9077d8d7}
    Shell\AutoRun\Command = I:\autoplay.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    0
  18. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    ok

    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Double clique sur le raccourci UsbFix sur ton Bureau
    * Clique sur "Suppression"
    * Laisse travailler l'outil
    * Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)/list

    :!: UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

    Aide en images : Tutoriel "Nettoyage"

    Puis , un nouveau ZHPdiag en mode normal . Si tout est bon , on finalisera la désinfection
    0
  19. sargasme Messages postés 20 Statut Membre
     
    Voici le 2ème rapport de UsbFix :

    ############################## | UsbFix 7.020 | [Suppression]

    Utilisateur: Moi (Administrateur) # PC-DE-MOI [Packard Bell BV IMEDIA J7460 AIO]
    Mis à jour le 12/08/10 par El Desaparecido / C_XX
    Lancé à 22:05:29 | 13/08/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
    Internet Explorer 8.0.6001.18943

    Pare-feu Windows: Désactivé /!\
    Antivirus: BullGuard Antivirus [(!) Disabled | Updated]
    Antivirus: Norton Internet Security 16.2.0.7 [Enabled | Updated]
    Firewall: BullGuard Firewall [(!) Disabled]
    Firewall: Norton Internet Security 16.2.0.7 [Enabled]
    RAM -> 2047 Mo
    C:\ (%systemdrive%) -> Disque fixe # 365 Go (137 Go libre(s) - 37%) [HDD] # NTFS
    D:\ -> CD-ROM
    L:\ -> Disque amovible # 7 Go (4 Go libre(s) - 50%) [FLASHDRIVE] # FAT32

    ################## | Éléments infectieux |

    Supprimé! C:\Users\Moi\dreamweaver_dreamweaver_8_evaluation_francais_10239.exe
    Supprimé! C:\Users\Moi\nforce_winvista64_16.08_international_whql.exe
    Non supprimé ! D:\Autorun.inf

    ################## | Registre |

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{9e1c63fa-1727-11df-a8ef-001e9077d8d7}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{adc48e15-fda9-11dc-bae7-806e6f6e6963}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c5ab3fdc-1bbc-11df-9554-001e9077d8d7}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{fae1fa4f-3b03-11dd-8e3c-001e9077d8d7}

    ################## | Listing |

    [13/08/2010 - 22:08:02 | SHD ] C:\$Recycle.Bin
    [18/09/2006 - 23:43:36 | A | 24] C:\autoexec.bat
    [11/06/2010 - 22:47:21 | SHD ] C:\boot
    [18/01/2008 - 23:45:46 | RASH | 333203] C:\bootmgr
    [19/12/2007 - 01:56:44 | RAS | 8192] C:\BOOTSECT.BAK
    [13/08/2010 - 12:13:02 | HD ] C:\Config.Msi
    [18/09/2006 - 23:43:37 | A | 10] C:\config.sys
    [26/04/2010 - 22:18:51 | A | 9948] C:\ddinstaller.log
    [02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
    [19/12/2007 - 01:50:30 | D ] C:\drivers
    [18/09/2009 - 19:06:10 | D ] C:\emme
    [07/11/2007 - 09:00:40 | A | 17734] C:\eula.1028.txt
    [07/11/2007 - 09:00:40 | A | 17734] C:\eula.1031.txt
    [07/11/2007 - 09:00:40 | A | 10134] C:\eula.1033.txt
    [07/11/2007 - 09:00:40 | A | 17734] C:\eula.1036.txt
    [07/11/2007 - 09:00:40 | A | 17734] C:\eula.1040.txt
    [07/11/2007 - 09:00:40 | A | 118] C:\eula.1041.txt
    [07/11/2007 - 09:00:40 | A | 17734] C:\eula.1042.txt
    [07/11/2007 - 09:00:40 | A | 17734] C:\eula.2052.txt
    [07/11/2007 - 09:00:40 | A | 17734] C:\eula.3082.txt
    [10/12/2009 - 13:57:39 | D ] C:\Fraps
    [07/11/2007 - 09:00:40 | A | 1110] C:\globdata.ini
    [16/01/2010 - 21:20:56 | D ] C:\gPotato.eu
    [13/08/2010 - 21:41:50 | ASH | 2146590720] C:\hiberfil.sys
    [07/11/2007 - 09:03:18 | A | 562688] C:\install.exe
    [07/11/2007 - 09:00:40 | A | 843] C:\install.ini
    [07/11/2007 - 09:03:18 | A | 76304] C:\install.res.1028.dll
    [07/11/2007 - 09:03:18 | A | 96272] C:\install.res.1031.dll
    [07/11/2007 - 09:03:18 | A | 91152] C:\install.res.1033.dll
    [07/11/2007 - 09:03:18 | A | 97296] C:\install.res.1036.dll
    [07/11/2007 - 09:03:18 | A | 95248] C:\install.res.1040.dll
    [07/11/2007 - 09:03:18 | A | 81424] C:\install.res.1041.dll
    [07/11/2007 - 09:03:18 | A | 79888] C:\install.res.1042.dll
    [07/11/2007 - 09:03:18 | A | 75792] C:\install.res.2052.dll
    [07/11/2007 - 09:03:18 | A | 96272] C:\install.res.3082.dll
    [04/05/2010 - 12:07:04 | RASH | 0] C:\IO.SYS
    [04/05/2010 - 12:07:04 | RASH | 0] C:\MSDOS.SYS
    [11/02/2010 - 22:12:38 | RHD ] C:\MSOCache
    [13/12/2008 - 01:41:02 | D ] C:\NVIDIA
    [23/01/2009 - 00:22:30 | AH | 700] C:\os110921.bin
    [13/08/2010 - 21:41:48 | ASH | 2460495872] C:\pagefile.sys
    [23/08/2009 - 23:46:38 | D ] C:\PerfLogs
    [13/08/2010 - 18:59:55 | RD ] C:\Program Files
    [13/08/2010 - 17:24:38 | HD ] C:\ProgramData
    [19/04/2010 - 21:23:10 | D ] C:\RELUX
    [13/08/2010 - 15:50:05 | A | 316] C:\rkill.log
    [18/11/2009 - 23:01:07 | D ] C:\SmartDraw 2010
    [03/03/2009 - 23:10:00 | D ] C:\sw3dg
    [13/08/2010 - 20:40:12 | SHD ] C:\System Volume Information
    [11/06/2010 - 16:17:24 | D ] C:\TuneUpPortable
    [13/08/2010 - 22:08:02 | D ] C:\UsbFix
    [13/08/2010 - 22:05:29 | A | 4344] C:\UsbFix.txt
    [30/03/2008 - 15:00:03 | RD ] C:\Users
    [07/11/2007 - 09:00:40 | A | 5686] C:\vcredist.bmp
    [07/11/2007 - 09:09:22 | A | 1442522] C:\VC_RED.cab
    [07/11/2007 - 09:12:28 | A | 232960] C:\VC_RED.MSI
    [19/12/2009 - 16:50:44 | D ] C:\videooutput
    [02/03/2005 - 20:46:44 | A | 4508] C:\w3l.exe
    [02/03/2005 - 20:46:46 | A | 4846] C:\w3lh.dll
    [28/12/2006 - 20:35:21 | A | 1572307] C:\war3.121
    [24/09/2004 - 12:41:30 | A | 1568211] C:\war3.exe
    [30/03/2008 - 02:51:49 | HD ] C:\WAUUPGRD
    [13/08/2010 - 13:26:22 | D ] C:\Windows
    [19/12/2005 - 11:32:02 | A | 4354199] C:\worldedit.exe
    [30/09/2006 - 07:36:57 | RAD ] D:\Autorun
    [30/09/2006 - 07:37:03 | RAD ] D:\DirectX9
    [30/09/2006 - 07:32:54 | RA | 552214] D:\ISSetup.dll
    [30/09/2006 - 07:37:03 | RAD ] D:\Readme
    [17/05/2006 - 17:21:08 | RA | 373680] D:\_setup.dll
    [28/09/2006 - 21:17:16 | RA | 290816] D:\autorun.exe
    [28/09/2006 - 21:17:16 | RA | 4754] D:\autorun.inf
    [30/09/2006 - 07:33:12 | RA | 1665282] D:\data1.cab
    [30/09/2006 - 07:33:11 | RA | 133889] D:\data1.hdr
    [30/09/2006 - 07:35:51 | RA | 541755283] D:\data2.cab
    [30/09/2006 - 07:35:51 | RA | 473] D:\layout.bin
    [24/05/2006 - 18:10:42 | RA | 455600] D:\setup.exe
    [30/09/2006 - 07:32:54 | RA | 588] D:\setup.ini
    [30/09/2006 - 07:32:46 | RA | 241507] D:\setup.inx
    [28/09/2006 - 21:17:20 | RA | 253758] D:\setup.isn

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-MOI.zip
    https://www.ionos.fr/?affiliate_id=77097
    Merci de votre contribution.

    ################## | E.O.F |
    0
  20. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    ok

    relances usbfix et cliques sur désinstaller

    puis j'attends le rapport zhpdiag
    0
  21. sargasme Messages postés 20 Statut Membre
     
    Voici le rapport de ZHPDiag :

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijYLBCBED.txt
    0
  • 1
  • 2