Sujet Précédent Sujet Suivant

Mon PC rame

Résolu/Fermé
tracrium18 - 17 août 2010 à 19:23
 tracrium18 - 30 août 2010 à 19:39
Bonjour,
Voilà depuis quelques temps mon PC "rame", je m'explique:
- par moment l'ecran devient noir et le PC redémarre sans raison particulière.
- aussi parfois la page reste bloquée et je suis obligée d'éteindre le PC en force.
- ou bien souvent je suis obligée de cliquer deux fois sur un endroit pour que ça fonctionne.
- de plus les pages web mettent longtemps à s'ouvrir par moment.
Bref beaucoup de désagréments, je ne suis pas experte en la matière et pour que les plus doué d'entre vous puissent m'aider je vous transmet quelques rapports.

1) Le rapport de ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijVLupFyQ.txt

2) Le rapport de MalwareBytes Anti-Malware:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijVaJR1fo.txt

Voilà, j'ai fait aussi un scan en ligne avec Kaspersky mais je n'arrive pas à poster le rapport car il est en html, mais il indiquait rien de suspect.
Merci d'avance à ceux qui voudront bien m'aider.


39 réponses

  • 1
  • 2
Réponse 1 / 39
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
17 août 2010 à 21:48
Bonsoir,

Télécharges AD-Remover sur ton bureau :


/!\ Déconnectes toi et fermes toutes applications en cours

? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
? Double clique sur l'icône Ad-removersituée sur ton bureau
? Au menu principal choisi l'option "Scanner"
? Postes le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

0
Réponse 2 / 39
tracrium18
18 août 2010 à 10:32
Je ne savais pas si fallait désactiver l'antivirus avant le scan donc dans le doute pour éviter tout conflit j'ai désactivé antivir avant le scan.
Voici le rapport:

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 10:11:09 le 18/08/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
HP_Propriétaire@SANDY_RICHARD ( )

============== RECHERCHE ==============


0,Fichier trouvé: C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\os62185g.default\searchplugins\fast-browser-search.xml
0,Dossier trouvé: C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Conduit
0,Dossier trouvé: C:\Program Files\Conduit
0,Dossier trouvé: C:\Documents and Settings\HP_Propriétaire\Application Data\DesktopIcon
0,Dossier trouvé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
0,Dossier trouvé: C:\Program Files\Everest Poker
0,Dossier trouvé: C:\Program Files\Fast Browser Search
0,Dossier trouvé: C:\Program Files\SGPSA

-- Fichier ouvert: C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\os62185g.default\Prefs.js --
Ligne trouvée: user_pref("browser.search.defaultthis.engineName", "Fast Browser Search");
Ligne trouvée: user_pref("browser.search.defaulturl", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&...
Ligne trouvée: user_pref("browser.search.order.1", "Fast Browser Search");
-- Fichier Fermé --


1,Clé trouvée: HKLM\Software\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé trouvée: HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
1,Clé trouvée: HKLM\Software\Classes\CLSID\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé trouvée: HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé trouvée: HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
0,Clé trouvée: HKLM\Software\Classes\BHO.PSHelper
0,Clé trouvée: HKLM\Software\Classes\BHO.PSHelper.1
0,Clé trouvée: HKLM\Software\Classes\ComObject.DeskbarEnabler
0,Clé trouvée: HKLM\Software\Classes\ComObject.DeskbarEnabler.1
0,Clé trouvée: HKLM\Software\Classes\Toolbar.CT1098640
0,Clé trouvée: HKLM\Software\Conduit
0,Clé trouvée: HKCU\Software\Conduit
0,Clé trouvée: HKCU\Software\FBSearch
0,Clé trouvée: HKCU\Software\Grand Virtual
0,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}
3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{34B41443-9BF6-4058-B20C-BC9B36625A32}
3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{29E219A8-D963-4e75-86FA-EE92B6723C40}
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker

0,Valeur trouvée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
0,Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.0.11 (fr)] **

-- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\os62185g.default\Prefs.js --
browser.download.dir, C:\\Documents and Settings\\HP_Propriétaire\\Mes documents\\Mes fichiers reçus
browser.search.defaultenginename, MyStart Rechercher
browser.search.defaulturl, hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=
browser.search.selectedEngine, MyStart Rechercher
browser.startup.homepage, hxxp://mystart.incredimail.com/
browser.startup.homepage_override.mstone, rv:1.9.0.11
keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=
browser.startup.homepage, hxxp://fr.msn.com/
keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=
browser.search.selectedEngine, MyStart Rechercher

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Search_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: hxxp://www.fastbrowsersearch.com/new-tab/?v=19&tid={5214E46A-986B-499a-B0C7-30BAD25ACEBC}
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 18/08/2010 (4795 Octet(s))

Fin à: 10:26:06, 18/08/2010

============== E.O.F ==============
0
Réponse 3 / 39
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
18 août 2010 à 17:08
! Déconnectes toi et fermes toutes applications en cours !

? Relances "Ad-remover" : au menu principal choisi l'option "Nettoyer" .

? Postes le rapport qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

/!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides)
0
Réponse 4 / 39
tracrium18
23 août 2010 à 11:15
Bonjour, j'ai mis quelques temps à répondre car j'étais absente quelques jours.
Voici le rapport du nettoyage:

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:19:35 le 23/08/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
HP_Propriétaire@SANDY_RICHARD ( )

============== ACTION(S) ==============


0,Fichier supprimé: C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\os62185g.default\searchplugins\fast-browser-search.xml
0,Dossier supprimé: C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Conduit
0,Dossier supprimé: C:\Program Files\Conduit
0,Dossier supprimé: C:\Documents and Settings\HP_Propriétaire\Application Data\DesktopIcon
0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
0,Dossier supprimé: C:\Program Files\Everest Poker
0,Dossier supprimé: C:\Program Files\Fast Browser Search
0,Dossier supprimé: C:\Program Files\SGPSA

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\os62185g.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultthis.engineName", "Fast Browser Search");
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&...
Ligne supprimée: user_pref("browser.search.order.1", "Fast Browser Search");
-- Fichier Fermé --


1,Clé supprimée: HKLM\Software\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
0,Clé supprimée: HKLM\Software\Classes\BHO.PSHelper
0,Clé supprimée: HKLM\Software\Classes\BHO.PSHelper.1
0,Clé supprimée: HKLM\Software\Classes\ComObject.DeskbarEnabler
0,Clé supprimée: HKLM\Software\Classes\ComObject.DeskbarEnabler.1
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT1098640
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\FBSearch
0,Clé supprimée: HKCU\Software\Grand Virtual
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{34B41443-9BF6-4058-B20C-BC9B36625A32}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{29E219A8-D963-4e75-86FA-EE92B6723C40}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.0.11 (fr)] **

-- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\os62185g.default\Prefs.js --
browser.download.dir, C:\\Documents and Settings\\HP_Propriétaire\\Mes documents\\Mes fichiers reçus
browser.search.defaultenginename, MyStart Rechercher
browser.search.selectedEngine, MyStart Rechercher
browser.startup.homepage, hxxp://mystart.incredimail.com/
browser.startup.homepage_override.mstone, rv:1.9.0.11
keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=
browser.startup.homepage, hxxp://fr.msn.com/
keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=
browser.search.selectedEngine, MyStart Rechercher

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 85 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 23/08/2010 (1617 Octet(s))

Fin à: 10:23:12, 23/08/2010

============== E.O.F ==============
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 39
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
23 août 2010 à 11:27
Salut,

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse
0
Réponse 6 / 39
tracrium18
23 août 2010 à 19:22
Bonsoir, voici le rapport MBAM:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4465

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23/08/2010 18:35:57
mbam-log-2010-08-23 (18-35-57).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 256404
Temps écoulé: 2 heure(s), 34 minute(s), 55 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 7 / 39
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
23 août 2010 à 19:26
Peux tu me recoller un nouveau log ZhpDiag .
0
Réponse 8 / 39
tracrium18
23 août 2010 à 19:55
Rebonsoir,
Depuis environ 1 heure une fenêtre avira n'arrête pas de s'ouvrir, elle stimule:
ERROR
The application module
C:\Program Files\Avira\Antivir Desktop\rcimage.dll
cannot be found or has been modified or destroyed.
The AVWSC.EXE cannot be strarted.
Please check your installation!
et donc je clique sur OK et puis 10 minute après la même fenêtre s'ouvre.
Sinon voilà le nouveau rapport de ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201008/cij7C7lZwB.txt
0
Réponse 9 / 39
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
23 août 2010 à 20:51
Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0
Réponse 10 / 39
tracrium18
23 août 2010 à 23:10
Voici le lien:
http://www.cijoint.fr/cjlink.php?file=cj201008/cijzZEUSnG.txt
0
Réponse 11 / 39
tracrium18
25 août 2010 à 11:58
J'ai voulu refaire un scan avec mon antivirus et pendant l'analyse une fenêtre s'ouvre indépendemment (la même que l'autre jour):

ERROR
The application module
C:\Program Files\Avira\Antivir Desktop\rcimage.dll
cannot be found or has been modified or destroyed.
The AVWSC.EXE cannot be strarted.
Please check your installation!
0
Réponse 12 / 39
tracrium18
25 août 2010 à 14:00
Voici mon rapport d'analyse antivir:


Avira AntiVir Personal
Date de création du fichier de rapport : mercredi 25 août 2010 11:25

La recherche porte sur 2746072 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : SANDY_RICHARD

Informations de version :
BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 12:03:37
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 12:03:50
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 12:03:54
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 12:04:00
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 12:04:10
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 12:04:19
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 12:04:37
VBASE008.VDF : 7.10.9.166 2048 Bytes 23/07/2010 12:04:37
VBASE009.VDF : 7.10.9.167 2048 Bytes 23/07/2010 12:04:38
VBASE010.VDF : 7.10.9.168 2048 Bytes 23/07/2010 12:04:38
VBASE011.VDF : 7.10.9.169 2048 Bytes 23/07/2010 12:04:38
VBASE012.VDF : 7.10.9.170 2048 Bytes 23/07/2010 12:04:38
VBASE013.VDF : 7.10.9.198 157696 Bytes 26/07/2010 12:04:39
VBASE014.VDF : 7.10.9.255 997888 Bytes 29/07/2010 12:04:43
VBASE015.VDF : 7.10.10.28 139264 Bytes 02/08/2010 12:04:43
VBASE016.VDF : 7.10.10.52 127488 Bytes 03/08/2010 12:04:44
VBASE017.VDF : 7.10.10.84 137728 Bytes 06/08/2010 12:04:44
VBASE018.VDF : 7.10.10.107 176640 Bytes 09/08/2010 17:12:23
VBASE019.VDF : 7.10.10.130 132608 Bytes 10/08/2010 17:12:27
VBASE020.VDF : 7.10.10.158 131072 Bytes 12/08/2010 17:12:33
VBASE021.VDF : 7.10.10.190 136704 Bytes 16/08/2010 18:12:59
VBASE022.VDF : 7.10.10.217 118272 Bytes 19/08/2010 22:19:56
VBASE023.VDF : 7.10.10.246 130048 Bytes 23/08/2010 09:41:56
VBASE024.VDF : 7.10.10.247 2048 Bytes 23/08/2010 09:41:56
VBASE025.VDF : 7.10.10.248 2048 Bytes 23/08/2010 09:41:57
VBASE026.VDF : 7.10.10.249 2048 Bytes 23/08/2010 09:41:57
VBASE027.VDF : 7.10.10.250 2048 Bytes 23/08/2010 09:41:57
VBASE028.VDF : 7.10.10.251 2048 Bytes 23/08/2010 09:41:57
VBASE029.VDF : 7.10.10.252 2048 Bytes 23/08/2010 09:41:57
VBASE030.VDF : 7.10.10.253 2048 Bytes 23/08/2010 09:41:57
VBASE031.VDF : 7.10.11.9 121856 Bytes 25/08/2010 09:24:15
Version du moteur : 8.2.4.38
AEVDF.DLL : 8.1.2.1 106868 Bytes 07/08/2010 12:04:59
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 07/08/2010 12:04:59
AESCN.DLL : 8.1.6.1 127347 Bytes 07/08/2010 12:04:57
AESBX.DLL : 8.1.3.1 254324 Bytes 07/08/2010 12:05:00
AERDL.DLL : 8.1.8.2 614772 Bytes 07/08/2010 12:04:57
AEPACK.DLL : 8.2.3.5 471412 Bytes 07/08/2010 12:04:56
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 07/08/2010 12:04:55
AEHEUR.DLL : 8.1.2.15 2859382 Bytes 18/08/2010 18:13:12
AEHELP.DLL : 8.1.13.2 242039 Bytes 07/08/2010 12:04:49
AEGEN.DLL : 8.1.3.19 393587 Bytes 07/08/2010 12:04:48
AEEMU.DLL : 8.1.2.0 393588 Bytes 07/08/2010 12:04:47
AECORE.DLL : 8.1.16.2 192887 Bytes 07/08/2010 12:04:47
AEBB.DLL : 8.1.1.0 53618 Bytes 07/08/2010 12:04:46
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 07/08/2010 12:05:00
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +PFS,

Début de la recherche : mercredi 25 août 2010 11:25

La recherche d'objets cachés commence.
'74444' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IncMail.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ImApp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rapimgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SUPERANTISPYWARE.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'wcescomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpztsb10.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QTTask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALCXMNTR.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WDSmartWareBackgroundService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WDDMService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMSAccessU.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'41' processus ont été contrôlés avec '41' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '65' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <HP_PAVILION>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\HP_Propriétaire\Mes documents\Mes fichiers reçus\install_flash_player(2).exe.part
[0] Type d'archive: NSIS
--> [UnknownDir]/NPSWF32_FlashUtil.exe
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\Documents and Settings\HP_Propriétaire\Mes documents\Mes fichiers reçus\ZASPSetup_80_298_035_en.exe
[0] Type d'archive: ZIP SFX (self extracting)
--> builds/bonaire_client/bonaire_client/src/install_calib/InstMulti/installer.exe
[1] Type d'archive: ZIP SFX (self extracting)
--> SWITCHUNINST_44ZONE LABS.EXE
[2] Type d'archive: RSRC
--> WINDOWS6.0-KB929547-V2-X64.MSU
[2] Type d'archive: CAB (Microsoft)
--> Windows6.0-KB929547-v2-x64.cab
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
Recherche débutant dans 'D:\' <HP_RECOVERY>


Fin de la recherche : mercredi 25 août 2010 13:30
Temps nécessaire: 2:05:49 Heure(s)

La recherche a été effectuée intégralement

12891 Les répertoires ont été contrôlés
818374 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
818372 Fichiers non infectés
22439 Les archives ont été contrôlées
5 Avertissements
2 Consignes
74444 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
0
Réponse 13 / 39
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
25 août 2010 à 20:19
Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers :
C:\Seduction secrets.doc .exe
c:\windows\system32\Uninstal.exe


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.
0
Réponse 14 / 39
tracrium18
26 août 2010 à 10:52
Bonjour jfkpresident,
Tout d'abord je voulais te remercier pour ta patience et ton aide que tu offre à des nuls en informatique!
Voilà, je ne trouvais pas "option des dossiers" donc j'ai regardé un peu sur les forum qui expliquait qu'il fallait faire quelques manipulations en mode sans échec puis redémarer ce que j'ai fait et j'ai retrouvé "option des dossiers".
Ensuite j'ai fait comme tu m'as dit, j'ai réussit à trouver sans problème le fichier:
c:\windows\system32\Uninstal.exe

Mais pour ce qui est de l'autre fichier:C:\Seduction secrets.doc .exe , là il y a un problème, je ne le trouve pas dans la liste quand je fais parcourir mais je commence à ecrire le début et il me le propose dans la fenêtre donc je fais ouvrir, puis je clique sur "send file" et puis plus rien la page devient noir deux secondes puis revient avec la page d'origine mais sans fichier inscrit dans la fenêtre!

En attendant voici le rapport du premier fichier:

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: Uninstal.exe
Submission date: 2010-08-26 08:38:46 (UTC)
Current status: queued queued analysing finished


Result: 0/ 42 (0.0%)
VT Community

not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.08.26.00 2010.08.25 -
AntiVir 8.2.4.38 2010.08.26 -
Antiy-AVL 2.0.3.7 2010.08.26 -
Authentium 5.2.0.5 2010.08.26 -
Avast 4.8.1351.0 2010.08.25 -
Avast5 5.0.594.0 2010.08.25 -
AVG 9.0.0.851 2010.08.25 -
BitDefender 7.2 2010.08.26 -
CAT-QuickHeal 11.00 2010.08.24 -
ClamAV 0.96.2.0-git 2010.08.26 -
Comodo 5862 2010.08.26 -
DrWeb 5.0.2.03300 2010.08.26 -
Emsisoft 5.0.0.37 2010.08.26 -
eSafe 7.0.17.0 2010.08.25 -
eTrust-Vet 36.1.7818 2010.08.26 -
F-Prot 4.6.1.107 2010.08.26 -
F-Secure 9.0.15370.0 2010.08.26 -
Fortinet 4.1.143.0 2010.08.25 -
GData 21 2010.08.26 -
Ikarus T3.1.1.88.0 2010.08.26 -
Jiangmin 13.0.900 2010.08.26 -
Kaspersky 7.0.0.125 2010.08.26 -
McAfee 5.400.0.1158 2010.08.26 -
McAfee-GW-Edition 2010.1B 2010.08.26 -
Microsoft 1.6103 2010.08.26 -
NOD32 5397 2010.08.25 -
Norman 6.05.11 2010.08.25 -
nProtect 2010-08-26.01 2010.08.26 -
Panda 10.0.2.7 2010.08.25 -
PCTools 7.0.3.5 2010.08.26 -
Prevx 3.0 2010.08.26 -
Rising 22.62.03.01 2010.08.26 -
Sophos 4.56.0 2010.08.26 -
Sunbelt 6795 2010.08.26 -
SUPERAntiSpyware 4.40.0.1006 2010.08.26 -
Symantec 20101.1.1.7 2010.08.26 -
TheHacker 6.5.2.1.356 2010.08.26 -
TrendMicro 9.120.0.1004 2010.08.26 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.26 -
VBA32 3.12.14.0 2010.08.25 -
ViRobot 2010.8.26.4009 2010.08.26 -
VirusBuster 5.0.27.0 2010.08.25 -
Additional informationShow all
MD5 : a720ff44334aff0bea807742d7136fb5
SHA1 : 25877561435387ea442227eff258b752b867d58c
SHA256: e1b1dee5501dbb7a9bbba925b6d804734c4455fcea68a742fa149bbde93b3048
ssdeep: 1536:wzzZTqJaLViuN+zbGoZx9+ADuzxl5y78Qv:TUxi2+zh1BDuzxls7b
File size : 82613 bytes
First seen: 2010-08-26 08:38:46
Last seen : 2010-08-26 08:38:46
TrID:
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEiD: Armadillo v1.71
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x628C
timedatestamp....: 0x474C26FB (Tue Nov 27 14:17:31 2007)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0xA19A, 0xB000, 6.28, 8cf823a433687c4428e13efb70078d50
.rdata, 0xC000, 0x1282, 0x2000, 3.69, 64bee6d8db9782d8229dead9f5bb2498
.data, 0xE000, 0x32A0, 0x3000, 1.32, 691d3990a7f464174eaa10ec986a7eca
.rsrc, 0x12000, 0x27A0, 0x3000, 3.64, d69ebffbe173894b44e24445a8c63b73

[[ 7 import(s) ]]
KERNEL32.dll: LoadLibraryA, FreeLibrary, SetErrorMode, GetTempPathA, RemoveDirectoryA, GetModuleFileNameA, GetShortPathNameA, GetVersionExA, CompareStringW, CompareStringA, GetOEMCP, GetACP, GetCPInfo, GetStringTypeW, GetStringTypeA, GetProcAddress, IsBadCodePtr, IsBadReadPtr, SetUnhandledExceptionFilter, lstrlenA, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, LCMapStringW, LCMapStringA, MultiByteToWideChar, WideCharToMultiByte, IsBadWritePtr, VirtualAlloc, GetExitCodeProcess, GetCurrentDirectoryA, SetCurrentDirectoryA, CreateProcessA, Sleep, GetTimeZoneInformation, lstrcatA, WinExec, CloseHandle, SetFilePointer, WriteFile, GetSystemDirectoryA, ReadFile, CreateFileA, GetLastError, FindFirstFileA, FindClose, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentVariableA, GetVersion, GetCommandLineA, GetStartupInfoA, GetModuleHandleA, GetWindowsDirectoryA, GetFileType, SetFileAttributesA, GetFileAttributesA, ExitProcess, TerminateProcess, GetCurrentProcess, HeapCompact, HeapAlloc, HeapReAlloc, HeapFree, RtlUnwind, DeleteFileA, FindNextFileA, FileTimeToSystemTime, FileTimeToLocalFileTime, SetEnvironmentVariableA
USER32.dll: SendMessageA, GetWindow, GetSystemMetrics, CreateWindowExA, LoadIconA, LoadCursorA, RegisterClassA, CreateDialogParamA, GetDlgItem, DestroyWindow, PostQuitMessage, DefWindowProcA, CharToOemA, DialogBoxParamA, EndDialog, SetDlgItemTextA, PeekMessageA, TranslateMessage, DispatchMessageA, GetMessageA, IsDialogMessageA, SetWindowLongA, SetWindowTextA, MessageBoxA, wsprintfA
GDI32.dll: DeleteObject, RemoveFontResourceA, GetObjectA, CreateFontIndirectA, GetStockObject
ADVAPI32.dll: RegSetValueExA, RegQueryValueExA, RegEnumKeyExA, RegDeleteKeyA, RegDeleteValueA, RegOpenKeyA, RegQueryValueA, RegOpenKeyExA, RegCloseKey
SHELL32.dll: SHGetPathFromIDListA, ShellExecuteA, SHGetSpecialFolderLocation, SHGetMalloc
ole32.dll: OleUninitialize, OleInitialize
COMCTL32.dll: -



VT Community
0
Réponse 15 / 39
tracrium18
26 août 2010 à 10:55
Ha oui au fait j'ai une question est ce que je dois cocher et décocher les cases dans option des dossier pour remettre comme avant.
Merci de ton aide.
0
Réponse 16 / 39
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
26 août 2010 à 12:31
Le premier fichier est légitime mais pour ce qui est du 2eme ,il est tres fortement suspect .

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :




Folder::
C:\1727b9add44ecf3813441058946cd39c
C:\a13782fb0dc3804e247e
C:\7ab36b87caf2929b0b3dc3
C:\aafe53378087047b0d2e1f

File::
C:\Seduction secrets.doc .exe


- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Tu peux bien sur decocher "afficher les dossiers et fichiers masqués" .
0
Réponse 17 / 39
tracrium18
26 août 2010 à 16:00
Voici le contenu du rapport:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijEfi1hAn.txt
0
Réponse 18 / 39
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
26 août 2010 à 17:39
Tu peux me recoller un nouveau log ZhpDiag et me dire comment va le pc ?
0
Réponse 19 / 39
tracrium18
26 août 2010 à 19:22
Voici le nouveau rapport:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijQrv5BwD.txt

Pour ce qui est du PC:
- je ne suis plus obligée de double clic pour que ça fonctionne.
-l'écran bloqué ça ne le fait plus.
-pour le surf sur le net c'est bcp plus rapide.
-par contre encore aujourd'hui il s'est éteint tout seul pour redamarrer sans aucune raison, cela correspond au moment où j'ai remis une clé wifi sur un port usb pour pb de réseau avec mon net book(que j'ai résolu par la suite).Coincidence ou pas???
Voilà, merci d'avance.
0
Réponse 20 / 39
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
26 août 2010 à 21:16
On va vérifier si une infection n'est pas présente sur tes supports USB :

* Télécharge et install UsbFix par El Desaparecido , C_XX & Chimay8

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

* Double clic sur le raccourci UsbFix présent sur ton bureau .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

* Laisse travailler l'outil.

* Ensuite post le rapport UsbFix.txt qui apparaitra.

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

0