Help Trojan.Heur.TP.Fm0@bmHhz6p dans winlogon
Résolu/Fermé
chris-vh
-
15 août 2010 à 12:00
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 18 août 2010 à 00:56
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 18 août 2010 à 00:56
20 réponses
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
15 août 2010 à 12:25
15 août 2010 à 12:25
Bonjour,
Fais une recherche sur ton PC et vérifie si il n'existe pas d'autres Fichiers Winlogon.exe sur le PC (en particulier dans le répertoire i386) a des dates différentes.
Ensuite tu me le dis
Mais surtout ne supprime pas ou ne mets pas en quarantaine le fichier Winlogon infecté
Smart
Fais une recherche sur ton PC et vérifie si il n'existe pas d'autres Fichiers Winlogon.exe sur le PC (en particulier dans le répertoire i386) a des dates différentes.
Ensuite tu me le dis
Mais surtout ne supprime pas ou ne mets pas en quarantaine le fichier Winlogon infecté
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
Modifié par Smart91 le 15/08/2010 à 13:14
Modifié par Smart91 le 15/08/2010 à 13:14
Donc tu vas faire ceci.
Tu vas sur ce site : https://www.virustotal.com/gui/
Tu cliques sur parcourir et tu mets le fichier Winlogon.ex_ qui se trouve dans i386
Ensuite tu fais send file.
Ton fichier sera mis en file d'attente. Tu attends donc les différents scan et ensuite tu postes le rapport
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Tu vas sur ce site : https://www.virustotal.com/gui/
Tu cliques sur parcourir et tu mets le fichier Winlogon.ex_ qui se trouve dans i386
Ensuite tu fais send file.
Ton fichier sera mis en file d'attente. Tu attends donc les différents scan et ensuite tu postes le rapport
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
Modifié par Smart91 le 15/08/2010 à 13:28
Modifié par Smart91 le 15/08/2010 à 13:28
Tu peux poster le rapport STP
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
c'est un copy paste de ce qu'il y a sur la page de resultat:
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: WINLOGON.EX_
Submission date: 2010-08-15 11:22:32 (UTC)
Current status: finished
Result: 0/ 42 (0.0%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.08.15.01 2010.08.15 -
AntiVir 8.2.4.34 2010.08.13 -
Antiy-AVL 2.0.3.7 2010.08.11 -
Authentium 5.2.0.5 2010.08.14 -
Avast 4.8.1351.0 2010.08.14 -
Avast5 5.0.332.0 2010.08.14 -
AVG 9.0.0.851 2010.08.15 -
BitDefender 7.2 2010.08.15 -
CAT-QuickHeal 11.00 2010.08.14 -
ClamAV 0.96.0.3-git 2010.08.15 -
Comodo 5747 2010.08.15 -
DrWeb 5.0.2.03300 2010.08.15 -
Emsisoft 5.0.0.37 2010.08.15 -
eSafe 7.0.17.0 2010.08.12 -
eTrust-Vet 36.1.7790 2010.08.13 -
F-Prot 4.6.1.107 2010.08.14 -
F-Secure 9.0.15370.0 2010.08.15 -
Fortinet 4.1.143.0 2010.08.15 -
GData 21 2010.08.15 -
Ikarus T3.1.1.88.0 2010.08.15 -
Jiangmin 13.0.900 2010.08.15 -
Kaspersky 7.0.0.125 2010.08.15 -
McAfee 5.400.0.1158 2010.08.15 -
McAfee-GW-Edition 2010.1 2010.08.14 -
Microsoft 1.6004 2010.08.15 -
NOD32 5367 2010.08.14 -
Norman 6.05.11 2010.08.14 -
nProtect 2010-08-15.01 2010.08.15 -
Panda 10.0.2.7 2010.08.15 -
PCTools 7.0.3.5 2010.08.15 -
Prevx 3.0 2010.08.15 -
Rising 22.60.06.04 2010.08.15 -
Sophos 4.56.0 2010.08.15 -
Sunbelt 6735 2010.08.15 -
SUPERAntiSpyware 4.40.0.1006 2010.08.15 -
Symantec 20101.1.1.7 2010.08.15 -
TheHacker 6.5.2.1.348 2010.08.14 -
TrendMicro 9.120.0.1004 2010.08.15 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.15 -
VBA32 3.12.14.0 2010.08.13 -
ViRobot 2010.8.9.3978 2010.08.14 -
VirusBuster 5.0.27.0 2010.08.14 -
Additional informationShow all
MD5 : 063ef1a46c58a731f78ae5af47070d65
SHA1 : 11950e9e11c1d94ac0b048130a7d28a9f4cf08e4
SHA256: c0c6a2908cfa5a636d0460abd2d36a68a44b1b20610f4d8a9ab19d8288f1c611
VT Community
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: WINLOGON.EX_
Submission date: 2010-08-15 11:22:32 (UTC)
Current status: finished
Result: 0/ 42 (0.0%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.08.15.01 2010.08.15 -
AntiVir 8.2.4.34 2010.08.13 -
Antiy-AVL 2.0.3.7 2010.08.11 -
Authentium 5.2.0.5 2010.08.14 -
Avast 4.8.1351.0 2010.08.14 -
Avast5 5.0.332.0 2010.08.14 -
AVG 9.0.0.851 2010.08.15 -
BitDefender 7.2 2010.08.15 -
CAT-QuickHeal 11.00 2010.08.14 -
ClamAV 0.96.0.3-git 2010.08.15 -
Comodo 5747 2010.08.15 -
DrWeb 5.0.2.03300 2010.08.15 -
Emsisoft 5.0.0.37 2010.08.15 -
eSafe 7.0.17.0 2010.08.12 -
eTrust-Vet 36.1.7790 2010.08.13 -
F-Prot 4.6.1.107 2010.08.14 -
F-Secure 9.0.15370.0 2010.08.15 -
Fortinet 4.1.143.0 2010.08.15 -
GData 21 2010.08.15 -
Ikarus T3.1.1.88.0 2010.08.15 -
Jiangmin 13.0.900 2010.08.15 -
Kaspersky 7.0.0.125 2010.08.15 -
McAfee 5.400.0.1158 2010.08.15 -
McAfee-GW-Edition 2010.1 2010.08.14 -
Microsoft 1.6004 2010.08.15 -
NOD32 5367 2010.08.14 -
Norman 6.05.11 2010.08.14 -
nProtect 2010-08-15.01 2010.08.15 -
Panda 10.0.2.7 2010.08.15 -
PCTools 7.0.3.5 2010.08.15 -
Prevx 3.0 2010.08.15 -
Rising 22.60.06.04 2010.08.15 -
Sophos 4.56.0 2010.08.15 -
Sunbelt 6735 2010.08.15 -
SUPERAntiSpyware 4.40.0.1006 2010.08.15 -
Symantec 20101.1.1.7 2010.08.15 -
TheHacker 6.5.2.1.348 2010.08.14 -
TrendMicro 9.120.0.1004 2010.08.15 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.15 -
VBA32 3.12.14.0 2010.08.13 -
ViRobot 2010.8.9.3978 2010.08.14 -
VirusBuster 5.0.27.0 2010.08.14 -
Additional informationShow all
MD5 : 063ef1a46c58a731f78ae5af47070d65
SHA1 : 11950e9e11c1d94ac0b048130a7d28a9f4cf08e4
SHA256: c0c6a2908cfa5a636d0460abd2d36a68a44b1b20610f4d8a9ab19d8288f1c611
VT Community
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
15 août 2010 à 14:05
15 août 2010 à 14:05
OK c'est bon
Peux-tu me donner le chemin exact du fichier Wilogon.ex_
Ce que j'appelle chemin c'est cela:
C:\i386\winlogon.ex_
Ceci est un exemple, il se peut que sur ton PC le chemein est différent.
Ensuite je pourrais te donner les manips à faire
Une questiion tu es sous Vista, W7 ou XP ?
Smart
Peux-tu me donner le chemin exact du fichier Wilogon.ex_
Ce que j'appelle chemin c'est cela:
C:\i386\winlogon.ex_
Ceci est un exemple, il se peut que sur ton PC le chemein est différent.
Ensuite je pourrais te donner les manips à faire
Une questiion tu es sous Vista, W7 ou XP ?
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
15 août 2010 à 14:24
15 août 2010 à 14:24
Alors tu vas faire ceci
Tu cliques sur démarrer > Executer et tu tapes cmd puis entrée
Dans la fenêtre noire tu tapes laes commandes suivantes
REN C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\winlogon.old puis entrée
EXPAND C:\i386\winlogon.ex_ C:\windows\system32\winlogon.exe puis entrée
Tu fermes la fenêtre DOS
Et tu fais ceci:
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
Smart
Tu cliques sur démarrer > Executer et tu tapes cmd puis entrée
Dans la fenêtre noire tu tapes laes commandes suivantes
REN C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\winlogon.old puis entrée
EXPAND C:\i386\winlogon.ex_ C:\windows\system32\winlogon.exe puis entrée
Tu fermes la fenêtre DOS
Et tu fais ceci:
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
15 août 2010 à 14:49
15 août 2010 à 14:49
OK. On attend le rapport
Smart
Smart
voici le rapport mais je me rends compte que j'ai lancé le quickscan:
Bien sur le winlogon.old reapparait
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Database version: 4432
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
15/08/2010 14:45:16
mbam-log-2010-08-15 (14-45-16).txt
Scan type: Quick scan
Objects scanned: 160990
Time elapsed: 13 minute(s), 39 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
C:\WINDOWS\system32\OLDC3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winlogon.old (Trojan.Agent) -> Delete on reboot.
Bien sur le winlogon.old reapparait
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Database version: 4432
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
15/08/2010 14:45:16
mbam-log-2010-08-15 (14-45-16).txt
Scan type: Quick scan
Objects scanned: 160990
Time elapsed: 13 minute(s), 39 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
C:\WINDOWS\system32\OLDC3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winlogon.old (Trojan.Agent) -> Delete on reboot.
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
15 août 2010 à 14:59
15 août 2010 à 14:59
RElance et MBAM vide la quarantaine et redémarre le PC
Ensuite on va faire un ddiagnostic de ton PC:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
Ensuite on va faire un ddiagnostic de ton PC:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
15 août 2010 à 16:11
15 août 2010 à 16:11
Tu as d'auttre infections et en particuleir un rootkit TDSServ
* Télécharge [https://www.sfr.fr/fermeture-des-pages-perso.html Load_tdsskiller (de Loup Blanc) sur ton Bureau
* Lance load_tdsskiller (si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus ? Exécuter en temps qu'administrateur)
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
Smart
* Télécharge [https://www.sfr.fr/fermeture-des-pages-perso.html Load_tdsskiller (de Loup Blanc) sur ton Bureau
* Lance load_tdsskiller (si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus ? Exécuter en temps qu'administrateur)
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
15 août 2010 à 19:50
15 août 2010 à 19:50
C'est le rapport Tdsskiller dont j'ai besion et pas celui de ZHPDiag
Smart
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
15 août 2010 à 22:46
15 août 2010 à 22:46
Redémarre ton PC et refais un scan ZHPDiad et poste le rapport
Smart
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
16 août 2010 à 16:27
16 août 2010 à 16:27
C'est toujours là.
Mais j'ai vu que tu as connecté un disque dur extene
Tout d'abord tu vas supprimer ce fichier:
C:\WINDOWS\System32\WINLOGON.EX_
Ensuite
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
HKCU\Software\JRMX9X1GML]
[HKLM\Software\Trad-FR]
O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
[HKCU\Software\?? ?? ???? ????? ??? ?? ????]
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Ensuite tu fais ceci:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
Aide en images : Tutoriel "Recherche"
Cela te fait deux rapports à poster
Smart
Mais j'ai vu que tu as connecté un disque dur extene
Tout d'abord tu vas supprimer ce fichier:
C:\WINDOWS\System32\WINLOGON.EX_
Ensuite
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
HKCU\Software\JRMX9X1GML]
[HKLM\Software\Trad-FR]
O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
[HKCU\Software\?? ?? ???? ????? ??? ?? ????]
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Ensuite tu fais ceci:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
Aide en images : Tutoriel "Recherche"
Cela te fait deux rapports à poster
Smart
Premier rapport:
Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-16-08-2010-20-41-40.txt
Run by Christian Vanhenten at 16/08/2010 20:41:40
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
HKLM\Software\Trad-FR => Clé supprimée avec succès
HKCU\Software\?? ?? ???? ????? ??? ?? ???? => Clé absente
========== Valeur(s) du Registre ==========
O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur absente
========== Autre ==========
HKCU\Software\JRMX9X1GML] => Format Non supporté
========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Autre
End of the scan
Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-16-08-2010-20-41-40.txt
Run by Christian Vanhenten at 16/08/2010 20:41:40
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
HKLM\Software\Trad-FR => Clé supprimée avec succès
HKCU\Software\?? ?? ???? ????? ??? ?? ???? => Clé absente
========== Valeur(s) du Registre ==========
O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur absente
========== Autre ==========
HKCU\Software\JRMX9X1GML] => Format Non supporté
========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Autre
End of the scan
et le deuxième:
############################## | UsbFix 7.020 | [Research]
User: Christian Vanhenten (Administrator) # ACER-ULTRABOOK [ ]
Updated 12/08/10 by El Desaparecido / C_XX
Started at 20:45:52 | 16/08/2010
Website: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
CPU 2: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft Windows XP Home Edition (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall: Disabled /!\
Antivirus: ZoneAlarm Security Suite Antivirus 9.1.008.000 [Enabled | Updated]
Firewall: ZoneAlarm Security Suite Firewall 9.1.008.000 [Enabled]
RAM -> 1012 Mb
C:\ (%systemdrive%) -> Fixed drive # 144 Gb (100 Mb free - 70%) [ACER] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
P:\ -> Fixed drive # 297 Gb (80 Mb free - 27%) [My Passport] # NTFS
################## | Files # Infected Folders |
Found ! C:\WINDOWS\system32\autorun
Found ! C:\WINDOWS\system32\Autorun.ini
Found ! C:\WINDOWS\system32\drivers\bpbjvjm.sys.vir
################## | Registry |
Found ! HKCU\Software\JRMX9X1GML
Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Found ! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{034b052b-77f6-11df-a92d-00234e50f53d}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true
HKCU\.\.\.\.\Explorer\MountPoints2\{034b0540-77f6-11df-a92d-00234e50f53d}
Shell\AutoRun\Command = F:\AutoRun.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{14f5dd59-78ea-11de-a8ec-0011675ab1f4}
Shell\AutoRun\Command = G:\InstallTomTomHOME.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{70a46f76-f9e6-11de-a914-0011675ab1f4}
Shell\AutoRun\Command = "G:\WD SmartWare.exe" autoplay=true
HKCU\.\.\.\.\Explorer\MountPoints2\{7af9f484-01e1-11df-a916-0011675ab1f4}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true
HKCU\.\.\.\.\Explorer\MountPoints2\{d7285ba8-cf0a-11de-a902-0011675ab1f4}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true
HKCU\.\.\.\.\Explorer\MountPoints2\{e100d6f0-be2c-11dd-a880-00234e50f53d}
Shell\AutoRun\Command = "WD SmartWare.exe" autoplay=true
################## | Vaccin |
(!) This computer is not vaccinated!
################## | E.O.F |
############################## | UsbFix 7.020 | [Research]
User: Christian Vanhenten (Administrator) # ACER-ULTRABOOK [ ]
Updated 12/08/10 by El Desaparecido / C_XX
Started at 20:45:52 | 16/08/2010
Website: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
CPU 2: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft Windows XP Home Edition (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall: Disabled /!\
Antivirus: ZoneAlarm Security Suite Antivirus 9.1.008.000 [Enabled | Updated]
Firewall: ZoneAlarm Security Suite Firewall 9.1.008.000 [Enabled]
RAM -> 1012 Mb
C:\ (%systemdrive%) -> Fixed drive # 144 Gb (100 Mb free - 70%) [ACER] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
P:\ -> Fixed drive # 297 Gb (80 Mb free - 27%) [My Passport] # NTFS
################## | Files # Infected Folders |
Found ! C:\WINDOWS\system32\autorun
Found ! C:\WINDOWS\system32\Autorun.ini
Found ! C:\WINDOWS\system32\drivers\bpbjvjm.sys.vir
################## | Registry |
Found ! HKCU\Software\JRMX9X1GML
Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Found ! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{034b052b-77f6-11df-a92d-00234e50f53d}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true
HKCU\.\.\.\.\Explorer\MountPoints2\{034b0540-77f6-11df-a92d-00234e50f53d}
Shell\AutoRun\Command = F:\AutoRun.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{14f5dd59-78ea-11de-a8ec-0011675ab1f4}
Shell\AutoRun\Command = G:\InstallTomTomHOME.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{70a46f76-f9e6-11de-a914-0011675ab1f4}
Shell\AutoRun\Command = "G:\WD SmartWare.exe" autoplay=true
HKCU\.\.\.\.\Explorer\MountPoints2\{7af9f484-01e1-11df-a916-0011675ab1f4}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true
HKCU\.\.\.\.\Explorer\MountPoints2\{d7285ba8-cf0a-11de-a902-0011675ab1f4}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true
HKCU\.\.\.\.\Explorer\MountPoints2\{e100d6f0-be2c-11dd-a880-00234e50f53d}
Shell\AutoRun\Command = "WD SmartWare.exe" autoplay=true
################## | Vaccin |
(!) This computer is not vaccinated!
################## | E.O.F |
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
16 août 2010 à 21:49
16 août 2010 à 21:49
On va faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !
Aide en images : "Nettoyage"
Smart
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !
Aide en images : "Nettoyage"
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
Modifié par Smart91 le 17/08/2010 à 11:10
Modifié par Smart91 le 17/08/2010 à 11:10
"Question: le disque usb est partagé avec un autre laptop, dois-prévoir des inspections et nettoyage de l'autre pc?"
Tout à fait il faut que tu refasse la même manip avec USBFix sur l'autre PC. Si tu veux on le fera quand on aura terminé avec ce PC.
Pour le moment fais, car il y a toujours une m**de que je n'arrive pas à enlever
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
- Télécharge ici : List_Kill'em
et enregistre le sur ton bureau
Si tu as XP => double clique
Si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
- Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
- laisse travailler l'outil
Il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur ok à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
- Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le fichier ci-dessus.
- Clique sur Ouvrir.
- Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
- Fais de même avec more.txt qui se trouve sur ton bureau
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Tout à fait il faut que tu refasse la même manip avec USBFix sur l'autre PC. Si tu veux on le fera quand on aura terminé avec ce PC.
Pour le moment fais, car il y a toujours une m**de que je n'arrive pas à enlever
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
- Télécharge ici : List_Kill'em
et enregistre le sur ton bureau
Si tu as XP => double clique
Si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
- Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
- laisse travailler l'outil
Il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur ok à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
- Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le fichier ci-dessus.
- Clique sur Ouvrir.
- Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
- Fais de même avec more.txt qui se trouve sur ton bureau
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
17 août 2010 à 16:18
17 août 2010 à 16:18
Tu n'as pas poster le rapport more.txt. donc poste le et ensuite tu fais ceci:
- Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :
- choisis l'Option Clean ton PC va redemarrer,
Laisse travailler l'outil. En fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
- colle le contenu dans ta reponse
Smart
- Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :
- choisis l'Option Clean ton PC va redemarrer,
Laisse travailler l'outil. En fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
- colle le contenu dans ta reponse
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
17 août 2010 à 22:56
17 août 2010 à 22:56
Peux-tu refaire un scan ZHPdiag et poster le . Je crois que l'on a presque terminé
Smart
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
17 août 2010 à 23:33
17 août 2010 à 23:33
On a terminé. le mieux est que tu imprimes cette dernière réponse pour mieux suivre ce que tu vas faire
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Désinstalle Spybot Seatch & Destroy, il est inutile aujourd'hui et ne fait que ralentir ton PC ==>
https://www.commentcamarche.net/faq/7371-desinstaller-proprement-spybot-search-and-destroy-1-6
Ensuite tu fais les mises à jour suivantes:
Mise à jour vers Adobe 9.3.3
lancer Adobe Reader (C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe), de cliquer sur "Aide" puis sur "Rechercher les mises à jour" jusqu'à ce qu'il ne trouve plus de mises à jour.
Mise à jour flashplayer vers la version 10.1.82.76
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle ActiveX (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin
Mets à jour ADobe Air ==> https://get.adobe.com/air/?loc=fr
Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour
Lance Hijackthis et fais un do scan only et coche les lignes suivantes:
O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [MSPY2002] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe
O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
O4 - HKLM\..\Run: [MMReminderService] . (.Mindjet - MindManager Topic Alerts.) -- C:\Program Files\Mindjet\MindManager 7\MMReminderService.exe
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-3978539620-1697176933-1687786566-1006\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper Module.) -- C:\Program Files\iTunes\iTunesHelper.exe
O20 - Winlogon Notify: igfxcui . (.Intel Corporation - igfxdev Module.) -- C:\WINDOWS\System32\igfxdev.dll
O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
Coche également toutes les lignes O16
Et ensuite tu fais un fix checked
1. Désinstallation des outils
Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aide
2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).
3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides
Quelques conseils de Prévention
- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.
- Par rapport au P2P : http://www.libellules.ch/...
- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection
Sois plus vigilant(e) sur Internet à l'avenir
Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas.
Smart
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Désinstalle Spybot Seatch & Destroy, il est inutile aujourd'hui et ne fait que ralentir ton PC ==>
https://www.commentcamarche.net/faq/7371-desinstaller-proprement-spybot-search-and-destroy-1-6
Ensuite tu fais les mises à jour suivantes:
Mise à jour vers Adobe 9.3.3
lancer Adobe Reader (C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe), de cliquer sur "Aide" puis sur "Rechercher les mises à jour" jusqu'à ce qu'il ne trouve plus de mises à jour.
Mise à jour flashplayer vers la version 10.1.82.76
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle ActiveX (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin
Mets à jour ADobe Air ==> https://get.adobe.com/air/?loc=fr
Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour
Lance Hijackthis et fais un do scan only et coche les lignes suivantes:
O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [MSPY2002] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe
O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
O4 - HKLM\..\Run: [MMReminderService] . (.Mindjet - MindManager Topic Alerts.) -- C:\Program Files\Mindjet\MindManager 7\MMReminderService.exe
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-3978539620-1697176933-1687786566-1006\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper Module.) -- C:\Program Files\iTunes\iTunesHelper.exe
O20 - Winlogon Notify: igfxcui . (.Intel Corporation - igfxdev Module.) -- C:\WINDOWS\System32\igfxdev.dll
O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
Coche également toutes les lignes O16
Et ensuite tu fais un fix checked
1. Désinstallation des outils
Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aide
2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).
3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides
Quelques conseils de Prévention
- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.
- Par rapport au P2P : http://www.libellules.ch/...
- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection
Sois plus vigilant(e) sur Internet à l'avenir
Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas.
Smart
rapport zpfix:
Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-17-08-2010-23-35-38.txt
Run by Christian Vanhenten at 17/08/2010 23:35:38
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
========== Récapitulatif ==========
2 : Elément(s) de donnée du Registre
End of the scan
Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-17-08-2010-23-35-38.txt
Run by Christian Vanhenten at 17/08/2010 23:35:38
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
========== Récapitulatif ==========
2 : Elément(s) de donnée du Registre
End of the scan
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
17 août 2010 à 23:55
17 août 2010 à 23:55
OK. fais la suite
Smart
Smart
voilà c'est fait , tout est ok
Pour moi c'est terminé sauf pour ce qui concerne l'autre pc (je synchronise les folders de documents avec le disque usb pour avoir les données à jour dans les 2 becanes
quel test je dois faire pour etre sur que tout est ok?
je cloture cette question et j'en rouvre une autre ou on continue sur celle-ci
en tout cas d'ores et deja merci infiniment
Pour moi c'est terminé sauf pour ce qui concerne l'autre pc (je synchronise les folders de documents avec le disque usb pour avoir les données à jour dans les 2 becanes
quel test je dois faire pour etre sur que tout est ok?
je cloture cette question et j'en rouvre une autre ou on continue sur celle-ci
en tout cas d'ores et deja merci infiniment
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 327
18 août 2010 à 00:56
18 août 2010 à 00:56
Oui on ferme cette discussion et ouvre en une autre
Et heureux de t'avoir aidé
Smart
Et heureux de t'avoir aidé
Smart
15 août 2010 à 13:03