Mon PC rame

Résolu
tracrium18 -  
 tracrium18 -
Bonjour,
Voilà depuis quelques temps mon PC "rame", je m'explique:
- par moment l'ecran devient noir et le PC redémarre sans raison particulière.
- aussi parfois la page reste bloquée et je suis obligée d'éteindre le PC en force.
- ou bien souvent je suis obligée de cliquer deux fois sur un endroit pour que ça fonctionne.
- de plus les pages web mettent longtemps à s'ouvrir par moment.
Bref beaucoup de désagréments, je ne suis pas experte en la matière et pour que les plus doué d'entre vous puissent m'aider je vous transmet quelques rapports.

1) Le rapport de ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijVLupFyQ.txt

2) Le rapport de MalwareBytes Anti-Malware:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijVaJR1fo.txt

Voilà, j'ai fait aussi un scan en ligne avec Kaspersky mais je n'arrive pas à poster le rapport car il est en html, mais il indiquait rien de suspect.
Merci d'avance à ceux qui voudront bien m'aider.

39 réponses

  • 1
  • 2
Résumé de la discussion

Des ralentissements importants, des écrans noirs suivis de redémarrages et des blocages intermittents accompagnent des pages web qui s'ouvrent lentement. Plusieurs outils de sécurité ont été proposés pour diagnostiquer et nettoyer le poste: Ad-Remover, Zeb-Restore et UsbFix. Des rapports partagés, dont ZHPDiag et MalwareBytes, affichent des éléments potentiellement infectieux et des paramètres modifiant le registre, renforçant l'hypothèse d'une infection complexe. En cas de détail, le rapport UsbFix indique des éléments infectieux comme Autorun.inf et des modifications de branches système, sans conclure à la résolution.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Bonsoir,

    Télécharges AD-Remover sur ton bureau :

    /!\ Déconnectes toi et fermes toutes applications en cours

    ? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ? Double clique sur l'icône Ad-removersituée sur ton bureau
    ? Au menu principal choisi l'option "Scanner"
    ? Postes le rapport qui apparait à la fin .

    ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    0
  2. tracrium18
     
    Je ne savais pas si fallait désactiver l'antivirus avant le scan donc dans le doute pour éviter tout conflit j'ai désactivé antivir avant le scan.
    Voici le rapport:

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 26/07/10 à 12:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 10:11:09 le 18/08/2010, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    HP_Propriétaire@SANDY_RICHARD ( )

    ============== RECHERCHE ==============

    0,Fichier trouvé: C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\os62185g.default\searchplugins\fast-browser-search.xml
    0,Dossier trouvé: C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Conduit
    0,Dossier trouvé: C:\Program Files\Conduit
    0,Dossier trouvé: C:\Documents and Settings\HP_Propriétaire\Application Data\DesktopIcon
    0,Dossier trouvé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
    0,Dossier trouvé: C:\Program Files\Everest Poker
    0,Dossier trouvé: C:\Program Files\Fast Browser Search
    0,Dossier trouvé: C:\Program Files\SGPSA

    -- Fichier ouvert: C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\os62185g.default\Prefs.js --
    Ligne trouvée: user_pref("browser.search.defaultthis.engineName", "Fast Browser Search");
    Ligne trouvée: user_pref("browser.search.defaulturl", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&...
    Ligne trouvée: user_pref("browser.search.order.1", "Fast Browser Search");
    -- Fichier Fermé --

    1,Clé trouvée: HKLM\Software\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    1,Clé trouvée: HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
    1,Clé trouvée: HKLM\Software\Classes\CLSID\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
    1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
    1,Clé trouvée: HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    1,Clé trouvée: HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    1,Clé trouvée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
    0,Clé trouvée: HKLM\Software\Classes\BHO.PSHelper
    0,Clé trouvée: HKLM\Software\Classes\BHO.PSHelper.1
    0,Clé trouvée: HKLM\Software\Classes\ComObject.DeskbarEnabler
    0,Clé trouvée: HKLM\Software\Classes\ComObject.DeskbarEnabler.1
    0,Clé trouvée: HKLM\Software\Classes\Toolbar.CT1098640
    0,Clé trouvée: HKLM\Software\Conduit
    0,Clé trouvée: HKCU\Software\Conduit
    0,Clé trouvée: HKCU\Software\FBSearch
    0,Clé trouvée: HKCU\Software\Grand Virtual
    0,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
    3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}
    3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{34B41443-9BF6-4058-B20C-BC9B36625A32}
    3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    3,Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{29E219A8-D963-4e75-86FA-EE92B6723C40}
    0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker

    0,Valeur trouvée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    0,Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.0.11 (fr)] **

    -- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\os62185g.default\Prefs.js --
    browser.download.dir, C:\\Documents and Settings\\HP_Propriétaire\\Mes documents\\Mes fichiers reçus
    browser.search.defaultenginename, MyStart Rechercher
    browser.search.defaulturl, hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=
    browser.search.selectedEngine, MyStart Rechercher
    browser.startup.homepage, hxxp://mystart.incredimail.com/
    browser.startup.homepage_override.mstone, rv:1.9.0.11
    keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=
    browser.startup.homepage, hxxp://fr.msn.com/
    keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=
    browser.search.selectedEngine, MyStart Rechercher

    ========================================

    ** Internet Explorer Version [8.0.6001.18702] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Search_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Show_ToolBar: yes
    Start Page: hxxp://www.google.fr/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: hxxp://www.fastbrowsersearch.com/new-tab/?v=19&tid={5214E46A-986B-499a-B0C7-30BAD25ACEBC}
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

    C:\Ad-Report-SCAN[1].txt - 18/08/2010 (4795 Octet(s))

    Fin à: 10:26:06, 18/08/2010

    ============== E.O.F ==============
    0
  3. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    ! Déconnectes toi et fermes toutes applications en cours !

    ? Relances "Ad-remover" : au menu principal choisi l'option "Nettoyer" .

    ? Postes le rapport qui apparait à la fin.

    ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides)
    0
  4. tracrium18
     
    Bonjour, j'ai mis quelques temps à répondre car j'étais absente quelques jours.
    Voici le rapport du nettoyage:

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 26/07/10 à 12:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:19:35 le 23/08/2010, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    HP_Propriétaire@SANDY_RICHARD ( )

    ============== ACTION(S) ==============

    0,Fichier supprimé: C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\os62185g.default\searchplugins\fast-browser-search.xml
    0,Dossier supprimé: C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Conduit
    0,Dossier supprimé: C:\Program Files\Conduit
    0,Dossier supprimé: C:\Documents and Settings\HP_Propriétaire\Application Data\DesktopIcon
    0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
    0,Dossier supprimé: C:\Program Files\Everest Poker
    0,Dossier supprimé: C:\Program Files\Fast Browser Search
    0,Dossier supprimé: C:\Program Files\SGPSA

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\os62185g.default\Prefs.js --
    Ligne supprimée: user_pref("browser.search.defaultthis.engineName", "Fast Browser Search");
    Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&...
    Ligne supprimée: user_pref("browser.search.order.1", "Fast Browser Search");
    -- Fichier Fermé --

    1,Clé supprimée: HKLM\Software\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
    0,Clé supprimée: HKLM\Software\Classes\BHO.PSHelper
    0,Clé supprimée: HKLM\Software\Classes\BHO.PSHelper.1
    0,Clé supprimée: HKLM\Software\Classes\ComObject.DeskbarEnabler
    0,Clé supprimée: HKLM\Software\Classes\ComObject.DeskbarEnabler.1
    0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT1098640
    0,Clé supprimée: HKLM\Software\Conduit
    0,Clé supprimée: HKCU\Software\Conduit
    0,Clé supprimée: HKCU\Software\FBSearch
    0,Clé supprimée: HKCU\Software\Grand Virtual
    0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
    3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}
    3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{34B41443-9BF6-4058-B20C-BC9B36625A32}
    3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{29E219A8-D963-4e75-86FA-EE92B6723C40}
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker

    0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.0.11 (fr)] **

    -- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\os62185g.default\Prefs.js --
    browser.download.dir, C:\\Documents and Settings\\HP_Propriétaire\\Mes documents\\Mes fichiers reçus
    browser.search.defaultenginename, MyStart Rechercher
    browser.search.selectedEngine, MyStart Rechercher
    browser.startup.homepage, hxxp://mystart.incredimail.com/
    browser.startup.homepage_override.mstone, rv:1.9.0.11
    keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=
    browser.startup.homepage, hxxp://fr.msn.com/
    keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=
    browser.search.selectedEngine, MyStart Rechercher

    ========================================

    ** Internet Explorer Version [8.0.6001.18702] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 85 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 23/08/2010 (1617 Octet(s))

    Fin à: 10:23:12, 23/08/2010

    ============== E.O.F ==============
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Salut,

    1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

    https://www.malwarebytes.com/

    3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

    4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

    5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

    6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

    7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

    9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    10) Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

    12) Ferme MBAM en cliquant sur Quitter.

    13) Poste le rapport dans ta réponse
    0
  7. tracrium18
     
    Bonsoir, voici le rapport MBAM:
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4465

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    23/08/2010 18:35:57
    mbam-log-2010-08-23 (18-35-57).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|)
    Elément(s) analysé(s): 256404
    Temps écoulé: 2 heure(s), 34 minute(s), 55 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  8. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Peux tu me recoller un nouveau log ZhpDiag .
    0
  9. tracrium18
     
    Rebonsoir,
    Depuis environ 1 heure une fenêtre avira n'arrête pas de s'ouvrir, elle stimule:
    ERROR
    The application module
    C:\Program Files\Avira\Antivir Desktop\rcimage.dll
    cannot be found or has been modified or destroyed.
    The AVWSC.EXE cannot be strarted.
    Please check your installation!
    et donc je clique sur OK et puis 10 minute après la même fenêtre s'ouvre.
    Sinon voilà le nouveau rapport de ZHPDiag:

    http://www.cijoint.fr/cjlink.php?file=cj201008/cij7C7lZwB.txt
    0
  10. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Télécharges ComboFix à partir d'un de ces liens :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    https://forospyware.com
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    Et important, enregistre le sur le bureau.

    Avant d'utiliser ComboFix :

    ? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    ? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    la protection en temps réel de ton Antivirus et de tes Antispywares,
    qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
    est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    ? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
    avant de te reconnecter à internet.

    ? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
  11. tracrium18
     
    Voici le lien:
    http://www.cijoint.fr/cjlink.php?file=cj201008/cijzZEUSnG.txt
    0
  12. tracrium18
     
    J'ai voulu refaire un scan avec mon antivirus et pendant l'analyse une fenêtre s'ouvre indépendemment (la même que l'autre jour):

    ERROR
    The application module
    C:\Program Files\Avira\Antivir Desktop\rcimage.dll
    cannot be found or has been modified or destroyed.
    The AVWSC.EXE cannot be strarted.
    Please check your installation!
    0
  13. tracrium18
     
    Voici mon rapport d'analyse antivir:

    Avira AntiVir Personal
    Date de création du fichier de rapport : mercredi 25 août 2010 11:25

    La recherche porte sur 2746072 souches de virus.

    Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows XP
    Version de Windows : (Service Pack 3) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : SANDY_RICHARD

    Informations de version :
    BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
    AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
    LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
    LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
    VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 12:03:37
    VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 12:03:50
    VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 12:03:54
    VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 12:04:00
    VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 12:04:10
    VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 12:04:19
    VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 12:04:37
    VBASE008.VDF : 7.10.9.166 2048 Bytes 23/07/2010 12:04:37
    VBASE009.VDF : 7.10.9.167 2048 Bytes 23/07/2010 12:04:38
    VBASE010.VDF : 7.10.9.168 2048 Bytes 23/07/2010 12:04:38
    VBASE011.VDF : 7.10.9.169 2048 Bytes 23/07/2010 12:04:38
    VBASE012.VDF : 7.10.9.170 2048 Bytes 23/07/2010 12:04:38
    VBASE013.VDF : 7.10.9.198 157696 Bytes 26/07/2010 12:04:39
    VBASE014.VDF : 7.10.9.255 997888 Bytes 29/07/2010 12:04:43
    VBASE015.VDF : 7.10.10.28 139264 Bytes 02/08/2010 12:04:43
    VBASE016.VDF : 7.10.10.52 127488 Bytes 03/08/2010 12:04:44
    VBASE017.VDF : 7.10.10.84 137728 Bytes 06/08/2010 12:04:44
    VBASE018.VDF : 7.10.10.107 176640 Bytes 09/08/2010 17:12:23
    VBASE019.VDF : 7.10.10.130 132608 Bytes 10/08/2010 17:12:27
    VBASE020.VDF : 7.10.10.158 131072 Bytes 12/08/2010 17:12:33
    VBASE021.VDF : 7.10.10.190 136704 Bytes 16/08/2010 18:12:59
    VBASE022.VDF : 7.10.10.217 118272 Bytes 19/08/2010 22:19:56
    VBASE023.VDF : 7.10.10.246 130048 Bytes 23/08/2010 09:41:56
    VBASE024.VDF : 7.10.10.247 2048 Bytes 23/08/2010 09:41:56
    VBASE025.VDF : 7.10.10.248 2048 Bytes 23/08/2010 09:41:57
    VBASE026.VDF : 7.10.10.249 2048 Bytes 23/08/2010 09:41:57
    VBASE027.VDF : 7.10.10.250 2048 Bytes 23/08/2010 09:41:57
    VBASE028.VDF : 7.10.10.251 2048 Bytes 23/08/2010 09:41:57
    VBASE029.VDF : 7.10.10.252 2048 Bytes 23/08/2010 09:41:57
    VBASE030.VDF : 7.10.10.253 2048 Bytes 23/08/2010 09:41:57
    VBASE031.VDF : 7.10.11.9 121856 Bytes 25/08/2010 09:24:15
    Version du moteur : 8.2.4.38
    AEVDF.DLL : 8.1.2.1 106868 Bytes 07/08/2010 12:04:59
    AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 07/08/2010 12:04:59
    AESCN.DLL : 8.1.6.1 127347 Bytes 07/08/2010 12:04:57
    AESBX.DLL : 8.1.3.1 254324 Bytes 07/08/2010 12:05:00
    AERDL.DLL : 8.1.8.2 614772 Bytes 07/08/2010 12:04:57
    AEPACK.DLL : 8.2.3.5 471412 Bytes 07/08/2010 12:04:56
    AEOFFICE.DLL : 8.1.1.8 201081 Bytes 07/08/2010 12:04:55
    AEHEUR.DLL : 8.1.2.15 2859382 Bytes 18/08/2010 18:13:12
    AEHELP.DLL : 8.1.13.2 242039 Bytes 07/08/2010 12:04:49
    AEGEN.DLL : 8.1.3.19 393587 Bytes 07/08/2010 12:04:48
    AEEMU.DLL : 8.1.2.0 393588 Bytes 07/08/2010 12:04:47
    AECORE.DLL : 8.1.16.2 192887 Bytes 07/08/2010 12:04:47
    AEBB.DLL : 8.1.1.0 53618 Bytes 07/08/2010 12:04:46
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
    AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
    AVREP.DLL : 8.0.0.7 159784 Bytes 07/08/2010 12:05:00
    AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
    AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
    NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
    RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
    RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Contrôle intégral du système
    Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
    Documentation.................................: bas
    Action principale.............................: interactif
    Action secondaire.............................: ignorer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, D:,
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: moyen
    Catégories de dangers divergentes.............: +PFS,

    Début de la recherche : mercredi 25 août 2010 11:25

    La recherche d'objets cachés commence.
    '74444' objets ont été contrôlés, '0' objets cachés ont été trouvés.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'IncMail.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ImApp.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'rapimgr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SUPERANTISPYWARE.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'wcescomm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpztsb10.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'QTTask.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ALCXMNTR.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WDSmartWareBackgroundService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WDDMService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'NMSAccessU.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
    '41' processus ont été contrôlés avec '41' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD1
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD2
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD3
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD4
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'D:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '65' fichiers).

    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\' <HP_PAVILION>
    C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\Documents and Settings\HP_Propriétaire\Mes documents\Mes fichiers reçus\install_flash_player(2).exe.part
    [0] Type d'archive: NSIS
    --> [UnknownDir]/NPSWF32_FlashUtil.exe
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    C:\Documents and Settings\HP_Propriétaire\Mes documents\Mes fichiers reçus\ZASPSetup_80_298_035_en.exe
    [0] Type d'archive: ZIP SFX (self extracting)
    --> builds/bonaire_client/bonaire_client/src/install_calib/InstMulti/installer.exe
    [1] Type d'archive: ZIP SFX (self extracting)
    --> SWITCHUNINST_44ZONE LABS.EXE
    [2] Type d'archive: RSRC
    --> WINDOWS6.0-KB929547-V2-X64.MSU
    [2] Type d'archive: CAB (Microsoft)
    --> Windows6.0-KB929547-v2-x64.cab
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    Recherche débutant dans 'D:\' <HP_RECOVERY>

    Fin de la recherche : mercredi 25 août 2010 13:30
    Temps nécessaire: 2:05:49 Heure(s)

    La recherche a été effectuée intégralement

    12891 Les répertoires ont été contrôlés
    818374 Des fichiers ont été contrôlés
    0 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    0 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    2 Impossible de contrôler des fichiers
    818372 Fichiers non infectés
    22439 Les archives ont été contrôlées
    5 Avertissements
    2 Consignes
    74444 Des objets ont été contrôlés lors du Rootkitscan
    0 Des objets cachés ont été trouvés
    0
  14. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Il va falloir analyser un ou des fichier(s) suspect(s) !

    Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
    Il faut donc les rendre visibles pour le scan.

    Pour afficher les dossiers et fichiers cachés:

    Panneau de configuration > Options des dossiers > onglet Affichage.

    Coche Afficher les fichiers et dossiers cachés,
    Décoche Masquer les extensions de fichiers connus
    Décoche Masquer les fichiers protégés du Système.
    Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
    Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ces fichiers :
    C:\Seduction secrets.doc .exe
    c:\windows\system32\Uninstal.exe


    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.
    0
  15. tracrium18
     
    Bonjour jfkpresident,
    Tout d'abord je voulais te remercier pour ta patience et ton aide que tu offre à des nuls en informatique!
    Voilà, je ne trouvais pas "option des dossiers" donc j'ai regardé un peu sur les forum qui expliquait qu'il fallait faire quelques manipulations en mode sans échec puis redémarer ce que j'ai fait et j'ai retrouvé "option des dossiers".
    Ensuite j'ai fait comme tu m'as dit, j'ai réussit à trouver sans problème le fichier:
    c:\windows\system32\Uninstal.exe

    Mais pour ce qui est de l'autre fichier:C:\Seduction secrets.doc .exe , là il y a un problème, je ne le trouve pas dans la liste quand je fais parcourir mais je commence à ecrire le début et il me le propose dans la fenêtre donc je fais ouvrir, puis je clique sur "send file" et puis plus rien la page devient noir deux secondes puis revient avec la page d'origine mais sans fichier inscrit dans la fenêtre!

    En attendant voici le rapport du premier fichier:

    0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
    File name: Uninstal.exe
    Submission date: 2010-08-26 08:38:46 (UTC)
    Current status: queued queued analysing finished

    Result: 0/ 42 (0.0%)
    VT Community

    not reviewed
    Safety score: -
    Compact Print results Antivirus Version Last Update Result
    AhnLab-V3 2010.08.26.00 2010.08.25 -
    AntiVir 8.2.4.38 2010.08.26 -
    Antiy-AVL 2.0.3.7 2010.08.26 -
    Authentium 5.2.0.5 2010.08.26 -
    Avast 4.8.1351.0 2010.08.25 -
    Avast5 5.0.594.0 2010.08.25 -
    AVG 9.0.0.851 2010.08.25 -
    BitDefender 7.2 2010.08.26 -
    CAT-QuickHeal 11.00 2010.08.24 -
    ClamAV 0.96.2.0-git 2010.08.26 -
    Comodo 5862 2010.08.26 -
    DrWeb 5.0.2.03300 2010.08.26 -
    Emsisoft 5.0.0.37 2010.08.26 -
    eSafe 7.0.17.0 2010.08.25 -
    eTrust-Vet 36.1.7818 2010.08.26 -
    F-Prot 4.6.1.107 2010.08.26 -
    F-Secure 9.0.15370.0 2010.08.26 -
    Fortinet 4.1.143.0 2010.08.25 -
    GData 21 2010.08.26 -
    Ikarus T3.1.1.88.0 2010.08.26 -
    Jiangmin 13.0.900 2010.08.26 -
    Kaspersky 7.0.0.125 2010.08.26 -
    McAfee 5.400.0.1158 2010.08.26 -
    McAfee-GW-Edition 2010.1B 2010.08.26 -
    Microsoft 1.6103 2010.08.26 -
    NOD32 5397 2010.08.25 -
    Norman 6.05.11 2010.08.25 -
    nProtect 2010-08-26.01 2010.08.26 -
    Panda 10.0.2.7 2010.08.25 -
    PCTools 7.0.3.5 2010.08.26 -
    Prevx 3.0 2010.08.26 -
    Rising 22.62.03.01 2010.08.26 -
    Sophos 4.56.0 2010.08.26 -
    Sunbelt 6795 2010.08.26 -
    SUPERAntiSpyware 4.40.0.1006 2010.08.26 -
    Symantec 20101.1.1.7 2010.08.26 -
    TheHacker 6.5.2.1.356 2010.08.26 -
    TrendMicro 9.120.0.1004 2010.08.26 -
    TrendMicro-HouseCall 9.120.0.1004 2010.08.26 -
    VBA32 3.12.14.0 2010.08.25 -
    ViRobot 2010.8.26.4009 2010.08.26 -
    VirusBuster 5.0.27.0 2010.08.25 -
    Additional informationShow all
    MD5 : a720ff44334aff0bea807742d7136fb5
    SHA1 : 25877561435387ea442227eff258b752b867d58c
    SHA256: e1b1dee5501dbb7a9bbba925b6d804734c4455fcea68a742fa149bbde93b3048
    ssdeep: 1536:wzzZTqJaLViuN+zbGoZx9+ADuzxl5y78Qv:TUxi2+zh1BDuzxls7b
    File size : 82613 bytes
    First seen: 2010-08-26 08:38:46
    Last seen : 2010-08-26 08:38:46
    TrID:
    Win32 Executable MS Visual C++ (generic) (65.2%)
    Win32 Executable Generic (14.7%)
    Win32 Dynamic Link Library (generic) (13.1%)
    Generic Win/DOS Executable (3.4%)
    DOS Executable Generic (3.4%)
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    PEiD: Armadillo v1.71
    PEInfo: PE structure information

    [[ basic data ]]
    entrypointaddress: 0x628C
    timedatestamp....: 0x474C26FB (Tue Nov 27 14:17:31 2007)
    machinetype......: 0x14c (I386)

    [[ 4 section(s) ]]
    name, viradd, virsiz, rawdsiz, ntropy, md5
    .text, 0x1000, 0xA19A, 0xB000, 6.28, 8cf823a433687c4428e13efb70078d50
    .rdata, 0xC000, 0x1282, 0x2000, 3.69, 64bee6d8db9782d8229dead9f5bb2498
    .data, 0xE000, 0x32A0, 0x3000, 1.32, 691d3990a7f464174eaa10ec986a7eca
    .rsrc, 0x12000, 0x27A0, 0x3000, 3.64, d69ebffbe173894b44e24445a8c63b73

    [[ 7 import(s) ]]
    KERNEL32.dll: LoadLibraryA, FreeLibrary, SetErrorMode, GetTempPathA, RemoveDirectoryA, GetModuleFileNameA, GetShortPathNameA, GetVersionExA, CompareStringW, CompareStringA, GetOEMCP, GetACP, GetCPInfo, GetStringTypeW, GetStringTypeA, GetProcAddress, IsBadCodePtr, IsBadReadPtr, SetUnhandledExceptionFilter, lstrlenA, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, LCMapStringW, LCMapStringA, MultiByteToWideChar, WideCharToMultiByte, IsBadWritePtr, VirtualAlloc, GetExitCodeProcess, GetCurrentDirectoryA, SetCurrentDirectoryA, CreateProcessA, Sleep, GetTimeZoneInformation, lstrcatA, WinExec, CloseHandle, SetFilePointer, WriteFile, GetSystemDirectoryA, ReadFile, CreateFileA, GetLastError, FindFirstFileA, FindClose, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentVariableA, GetVersion, GetCommandLineA, GetStartupInfoA, GetModuleHandleA, GetWindowsDirectoryA, GetFileType, SetFileAttributesA, GetFileAttributesA, ExitProcess, TerminateProcess, GetCurrentProcess, HeapCompact, HeapAlloc, HeapReAlloc, HeapFree, RtlUnwind, DeleteFileA, FindNextFileA, FileTimeToSystemTime, FileTimeToLocalFileTime, SetEnvironmentVariableA
    USER32.dll: SendMessageA, GetWindow, GetSystemMetrics, CreateWindowExA, LoadIconA, LoadCursorA, RegisterClassA, CreateDialogParamA, GetDlgItem, DestroyWindow, PostQuitMessage, DefWindowProcA, CharToOemA, DialogBoxParamA, EndDialog, SetDlgItemTextA, PeekMessageA, TranslateMessage, DispatchMessageA, GetMessageA, IsDialogMessageA, SetWindowLongA, SetWindowTextA, MessageBoxA, wsprintfA
    GDI32.dll: DeleteObject, RemoveFontResourceA, GetObjectA, CreateFontIndirectA, GetStockObject
    ADVAPI32.dll: RegSetValueExA, RegQueryValueExA, RegEnumKeyExA, RegDeleteKeyA, RegDeleteValueA, RegOpenKeyA, RegQueryValueA, RegOpenKeyExA, RegCloseKey
    SHELL32.dll: SHGetPathFromIDListA, ShellExecuteA, SHGetSpecialFolderLocation, SHGetMalloc
    ole32.dll: OleUninitialize, OleInitialize
    COMCTL32.dll: -

    VT Community
    0
  16. tracrium18
     
    Ha oui au fait j'ai une question est ce que je dois cocher et décocher les cases dans option des dossier pour remettre comme avant.
    Merci de ton aide.
    0
  17. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Le premier fichier est légitime mais pour ce qui est du 2eme ,il est tres fortement suspect .

    > Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
    - Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

    Folder::
    C:\1727b9add44ecf3813441058946cd39c
    C:\a13782fb0dc3804e247e
    C:\7ab36b87caf2929b0b3dc3
    C:\aafe53378087047b0d2e1f

    File::
    C:\Seduction secrets.doc .exe


    - Enregistre ce fichier sous le nom CFScript
    - Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
    - Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    - Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    - Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
    - Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    Tu peux bien sur decocher "afficher les dossiers et fichiers masqués" .
    0
  18. tracrium18
     
    Voici le contenu du rapport:

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijEfi1hAn.txt
    0
  19. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Tu peux me recoller un nouveau log ZhpDiag et me dire comment va le pc ?
    0
  20. tracrium18
     
    Voici le nouveau rapport:

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijQrv5BwD.txt

    Pour ce qui est du PC:
    - je ne suis plus obligée de double clic pour que ça fonctionne.
    -l'écran bloqué ça ne le fait plus.
    -pour le surf sur le net c'est bcp plus rapide.
    -par contre encore aujourd'hui il s'est éteint tout seul pour redamarrer sans aucune raison, cela correspond au moment où j'ai remis une clé wifi sur un port usb pour pb de réseau avec mon net book(que j'ai résolu par la suite).Coincidence ou pas???
    Voilà, merci d'avance.
    0
  21. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    On va vérifier si une infection n'est pas présente sur tes supports USB :

    * Télécharge et install UsbFix par El Desaparecido , C_XX & Chimay8

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    * Double clic sur le raccourci UsbFix présent sur ton bureau .

    * Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    * Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    * Laisse travailler l'outil.

    * Ensuite post le rapport UsbFix.txt qui apparaitra.

    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    * Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

    0
  • 1
  • 2