A voir également:
- Pb virus security suite
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Security health systray ✓ - Forum Windows 10
- Svchost.exe virus - Guide
- Usb disk security - Télécharger - Sécurité
- Security@facebookmail.com - Forum Facebook
20 réponses
El DésinfeKtor
Messages postés
28
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
21 août 2010
19 août 2010 à 11:23
19 août 2010 à 11:23
[x] Suis la procédure complètement. Même si tu sens que le PC va mieux, il se peut qu'il reste des infections !!
[x]Si tu utilise vista et SEULEMENT pour vista !!!, désactive l'UAC :
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Laisse désactivé durant toute la désinfection, je te dirai quand réactiver
* Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/
tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
[x]Si tu utilise vista et SEULEMENT pour vista !!!, désactive l'UAC :
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Laisse désactivé durant toute la désinfection, je te dirai quand réactiver
* Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/
tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Oui effectivement je ne peux pas télécharger ZHPDiag étant donné que je n'ai pas accés à internet sur l'ordinateur infecté.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
Modifié par Xplode le 19/08/2010 à 12:18
Modifié par Xplode le 19/08/2010 à 12:18
Redémarre en mode sans échec avec prise en charge réseau puis ouvre internet explorer.
Clique sur [Outils] -> [Options Internet]
Rends toi à l'onglet "Connexions" puis clique sur [Paramètres réseau]
Décoche "Utiliser un serveur proxy[...]"
Normalement tu auras de nouveau accès à internet via IE.
Ensuite suis les indications d'El désinfektor qui fera la suite..
Xplode - Contributeur sécurité.
Clique sur [Outils] -> [Options Internet]
Rends toi à l'onglet "Connexions" puis clique sur [Paramètres réseau]
Décoche "Utiliser un serveur proxy[...]"
Normalement tu auras de nouveau accès à internet via IE.
Ensuite suis les indications d'El désinfektor qui fera la suite..
Xplode - Contributeur sécurité.
Merci xplode pour tes explications je peux maintenant aller sur internet, par contre je n'arrive pas à télécharger ZHPDiag car lorsque je clique sur télécharger cela me demande un nom d'utilisateur et un MDP. Que dois je faire?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
19 août 2010 à 13:27
19 août 2010 à 13:27
Oui, le serveur de Zébulon est indisponible pour le moment.
Télécharge ZHPDiag à partir de ce lien : http://dl.commentcamarche.net/www.commentcamarche.net/download/files/ZHPDiag_1.26.36.exe
Télécharge ZHPDiag à partir de ce lien : http://dl.commentcamarche.net/www.commentcamarche.net/download/files/ZHPDiag_1.26.36.exe
Merci mais malheureusement ca me dit que la version de ce fichier est incompatible avec ma version de windows (je suis sous windows 7 en 64 bit).
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
19 août 2010 à 13:52
19 août 2010 à 13:52
Normalement il fonctionne sous windows 7 x64..
Tu l'as lancé en tant qu'administrateur ?
Tu l'as lancé en tant qu'administrateur ?
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
19 août 2010 à 19:51
19 août 2010 à 19:51
Désinstalle le puis télécharge cette version , installe la et suis les indications données plus haut.
Merci voila le lien du rapport ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201008/cijTfPHBeX.txt
http://www.cijoint.fr/cjlink.php?file=cj201008/cijTfPHBeX.txt
El DésinfeKtor
Messages postés
28
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
21 août 2010
Modifié par El DésinfeKtor le 20/08/2010 à 11:05
Modifié par El DésinfeKtor le 20/08/2010 à 11:05
Re
* Télécharger Rkill de Grinler sur le bureau,
fait double clic pour le lancer.
Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
Pour Vista et Seven, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
tu commence par le premier Rkill EXE,si cela ne fonctionne pas, tu passe au second Rkill COM ,ETC...
Rkill EXE: Rkill EXE:
https://download.bleepingcomputer.com/grinler/rkill.exe
ou :
Rkill COM: Rkill COM:
https://download.bleepingcomputer.com/grinler/rkill.com
ou :
Rkill SCR: Rkill RCS:
https://download.bleepingcomputer.com/grinler/rkill.scr
* Lance ZHPFix il se trouve dans le même répertoire que zhpdiag (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :
---------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
O17 - HKLM\System\CCS\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} . (.not file.) - (.not file.)
O4 - HKUS\S-1-5-21-3604802199-3056569911-3040365950-1001\..\Run: [Windows System Guard] C:\Users\Public\lmsn.exe (.not file.)
O4 - HKUS\S-1-5-21-3604802199-3056569911-3040365950-1001\..\Run: [bqrhtalj] C:\Users\Laurence\AppData\Local\rmwqeqevg\ivlpmggshdw.exe (.not file.)
O4 - HKCU\..\Run: [Windows System Guard] C:\Users\Public\lmsn.exe (.not file.)
O4 - HKCU\..\Run: [bqrhtalj] C:\Users\Laurence\AppData\Local\rmwqeqevg\ivlpmggshdw.exe (.not file.)
O4 - HKLM\..\Wow6432Node\Run: [HPCam_Menu] c:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exeedia\Webcam (.not file.)
O4 - HKLM\..\Wow6432Node\Run: [UpdatePRCShortCut] C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exer (.not file.)
O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - (.not file.)
---------------------------------------------------
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »
post le rapport
En mode sans échec :
-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-
[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.
[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "
[x] Sélectionne tout tes disques locaux et amovibles
[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.
[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".
[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
[x] Tu peux ensuite vider la quarantaine de MBAM.
[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
[x] Si tu as des soucis, un tutoriel est disponible à cette page
https://www.androidworld.fr/
Bon courage et salut à Xplode au passage.
* Télécharger Rkill de Grinler sur le bureau,
fait double clic pour le lancer.
Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
Pour Vista et Seven, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
tu commence par le premier Rkill EXE,si cela ne fonctionne pas, tu passe au second Rkill COM ,ETC...
Rkill EXE: Rkill EXE:
https://download.bleepingcomputer.com/grinler/rkill.exe
ou :
Rkill COM: Rkill COM:
https://download.bleepingcomputer.com/grinler/rkill.com
ou :
Rkill SCR: Rkill RCS:
https://download.bleepingcomputer.com/grinler/rkill.scr
* Lance ZHPFix il se trouve dans le même répertoire que zhpdiag (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :
---------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
O17 - HKLM\System\CCS\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} . (.not file.) - (.not file.)
O4 - HKUS\S-1-5-21-3604802199-3056569911-3040365950-1001\..\Run: [Windows System Guard] C:\Users\Public\lmsn.exe (.not file.)
O4 - HKUS\S-1-5-21-3604802199-3056569911-3040365950-1001\..\Run: [bqrhtalj] C:\Users\Laurence\AppData\Local\rmwqeqevg\ivlpmggshdw.exe (.not file.)
O4 - HKCU\..\Run: [Windows System Guard] C:\Users\Public\lmsn.exe (.not file.)
O4 - HKCU\..\Run: [bqrhtalj] C:\Users\Laurence\AppData\Local\rmwqeqevg\ivlpmggshdw.exe (.not file.)
O4 - HKLM\..\Wow6432Node\Run: [HPCam_Menu] c:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exeedia\Webcam (.not file.)
O4 - HKLM\..\Wow6432Node\Run: [UpdatePRCShortCut] C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exer (.not file.)
O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - (.not file.)
---------------------------------------------------
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »
post le rapport
En mode sans échec :
-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-
[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.
[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "
[x] Sélectionne tout tes disques locaux et amovibles
[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.
[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".
[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
[x] Tu peux ensuite vider la quarantaine de MBAM.
[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
[x] Si tu as des soucis, un tutoriel est disponible à cette page
https://www.androidworld.fr/
Bon courage et salut à Xplode au passage.
El DésinfeKtor
Messages postés
28
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
21 août 2010
20 août 2010 à 11:09
20 août 2010 à 11:09
* Télécharge AD-Remover
Déconnecte toi et ferme toutes les applications en cours !!!
Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Déconnecte toi et ferme toutes les applications en cours !!!
Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Salut et merci, par contre j'aurai voulu savoir est ce que je peux faire toutes ces opérations en mode sans échec avec prise en charge du réseau?
El DésinfeKtor
Messages postés
28
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
21 août 2010
20 août 2010 à 12:00
20 août 2010 à 12:00
oui pas de soucis :)
Ok
Voila le rapport :
Rapport de ZHPFix v1.12.3135 par Nicolas Coolman, Update du 18/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-08-2010-11-41-17.txt
Run by Laurence at 20/08/2010 11:41:17
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} . (.not file.) - (.not file.) => Clé absente
========== Valeur(s) du Registre ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified => Valeur absente
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-3604802199-3056569911-3040365950-1001\..\Run: [Windows System Guard] C:\Users\Public\lmsn.exe (.not file.) => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-3604802199-3056569911-3040365950-1001\..\Run: [bqrhtalj] C:\Users\Laurence\AppData\Local\rmwqeqevg\ivlpmggshdw.exe (.not file.) => Valeur supprimée avec succès
O4 - HKCU\..\Run: [Windows System Guard] C:\Users\Public\lmsn.exe (.not file.) => Valeur absente
O4 - HKCU\..\Run: [bqrhtalj] C:\Users\Laurence\AppData\Local\rmwqeqevg\ivlpmggshdw.exe (.not file.) => Valeur absente
O4 - HKLM\..\Wow6432Node\Run: [HPCam_Menu] c:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exeedia\Webcam (.not file.) => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [UpdatePRCShortCut] C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exer (.not file.) => Valeur supprimée avec succès
O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - (.not file.) => Valeur absente
========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CCS\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100 => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100 => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100 => Donnée supprimée avec succès
========== Fichier(s) ==========
c:\program files (x86)\hewlett-packard\media\webcam\muitransfer\muistartmenu.exe => Supprimé et mis en quarantaine
========== Récapitulatif ==========
1 : Clé(s) du Registre
9 : Valeur(s) du Registre
3 : Elément(s) de donnée du Registre
1 : Fichier(s)
End of the scan
Voila le rapport :
Rapport de ZHPFix v1.12.3135 par Nicolas Coolman, Update du 18/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-08-2010-11-41-17.txt
Run by Laurence at 20/08/2010 11:41:17
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} . (.not file.) - (.not file.) => Clé absente
========== Valeur(s) du Registre ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified => Valeur absente
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-3604802199-3056569911-3040365950-1001\..\Run: [Windows System Guard] C:\Users\Public\lmsn.exe (.not file.) => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-3604802199-3056569911-3040365950-1001\..\Run: [bqrhtalj] C:\Users\Laurence\AppData\Local\rmwqeqevg\ivlpmggshdw.exe (.not file.) => Valeur supprimée avec succès
O4 - HKCU\..\Run: [Windows System Guard] C:\Users\Public\lmsn.exe (.not file.) => Valeur absente
O4 - HKCU\..\Run: [bqrhtalj] C:\Users\Laurence\AppData\Local\rmwqeqevg\ivlpmggshdw.exe (.not file.) => Valeur absente
O4 - HKLM\..\Wow6432Node\Run: [HPCam_Menu] c:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exeedia\Webcam (.not file.) => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [UpdatePRCShortCut] C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exer (.not file.) => Valeur supprimée avec succès
O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - (.not file.) => Valeur absente
========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CCS\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100 => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100 => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100 => Donnée supprimée avec succès
========== Fichier(s) ==========
c:\program files (x86)\hewlett-packard\media\webcam\muitransfer\muistartmenu.exe => Supprimé et mis en quarantaine
========== Récapitulatif ==========
1 : Clé(s) du Registre
9 : Valeur(s) du Registre
3 : Elément(s) de donnée du Registre
1 : Fichier(s)
End of the scan
Rapport malewarebytes :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4451
Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385
20/08/2010 13:27:55
mbam-log-2010-08-20 (13-27-55).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 314341
Temps écoulé: 34 minute(s), 7 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\Laurence\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VJ0GWYN0\qghoquc[1].htm (Adware.BHO) -> Quarantined and deleted successfully.
C:\Users\Laurence\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WTZJ612M\301382472415e04e0dbad6918078561552afe[1].exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\Laurence\AppData\Local\Temp\1503.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\Laurence\AppData\Local\Temp\4553.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\Laurence\AppData\Local\Temp\jqtnemb.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Windows\Temp\_avast5_\unp50047879.tmp (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4451
Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385
20/08/2010 13:27:55
mbam-log-2010-08-20 (13-27-55).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 314341
Temps écoulé: 34 minute(s), 7 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\Laurence\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VJ0GWYN0\qghoquc[1].htm (Adware.BHO) -> Quarantined and deleted successfully.
C:\Users\Laurence\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WTZJ612M\301382472415e04e0dbad6918078561552afe[1].exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\Laurence\AppData\Local\Temp\1503.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\Laurence\AppData\Local\Temp\4553.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\Laurence\AppData\Local\Temp\jqtnemb.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Windows\Temp\_avast5_\unp50047879.tmp (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.
======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:37:39 le 20/08/2010, Mode sans echec
Microsoft Windows 7 Édition Familiale Premium (X64)
Laurence@LAURENCE-PC (Hewlett-Packard HP Pavilion dv7 Notebook PC)
============== ACTION(S) ==============
(!) -- Fichiers temporaires supprimés.
============== SCAN ADDITIONNEL ==============
** Internet Explorer Version [8.0.7600.16385] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 20/08/2010 (0 Octet(s))
Fin à: 13:40:02, 20/08/2010
============== E.O.F ==============
Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:37:39 le 20/08/2010, Mode sans echec
Microsoft Windows 7 Édition Familiale Premium (X64)
Laurence@LAURENCE-PC (Hewlett-Packard HP Pavilion dv7 Notebook PC)
============== ACTION(S) ==============
(!) -- Fichiers temporaires supprimés.
============== SCAN ADDITIONNEL ==============
** Internet Explorer Version [8.0.7600.16385] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 20/08/2010 (0 Octet(s))
Fin à: 13:40:02, 20/08/2010
============== E.O.F ==============
El DésinfeKtor
Messages postés
28
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
21 août 2010
20 août 2010 à 13:54
20 août 2010 à 13:54
ok nickel
j'ai juste zappé deux lignes à fixer avec zhpFIX, fix la seconde ligne commençant par R1 seulement si tu n'utilise pas de proxy à la maison ou au boulot
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
Ensuite désinstalle Spybot S&D car obsolète et très lourd
=========================================
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
[x] Télécharge ici : List_Kill'em
et enregistre le sur ton bureau
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
[x] Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
[x] laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
[x] Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
[x] [x] [x] NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
[x] Clique sur Parcourir et cherche le fichier ci-dessus.
[x] Clique sur Ouvrir.
[x] Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
[x] Copie ce lien dans ta réponse.
[x] Fais de même avec more.txt qui se trouve sur ton bureau
j'ai juste zappé deux lignes à fixer avec zhpFIX, fix la seconde ligne commençant par R1 seulement si tu n'utilise pas de proxy à la maison ou au boulot
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
Ensuite désinstalle Spybot S&D car obsolète et très lourd
=========================================
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
[x] Télécharge ici : List_Kill'em
et enregistre le sur ton bureau
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
[x] Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
[x] laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
[x] Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
[x] [x] [x] NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
[x] Clique sur Parcourir et cherche le fichier ci-dessus.
[x] Clique sur Ouvrir.
[x] Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
[x] Copie ce lien dans ta réponse.
[x] Fais de même avec more.txt qui se trouve sur ton bureau
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
20 août 2010 à 13:59
20 août 2010 à 13:59
Salut,
Les canneds speech ( ou discours en conserve ) sont personnels et leur mise en forme appartient à leur auteur, merci de créer ta propre mise en forme pour tes canneds et de ne pas recopier la mienne.
Cordialement, Xplode.
====================================================================================================================
Le proxy est installé par l'infection, ce n'est pas une ligne légitime.
Les canneds speech ( ou discours en conserve ) sont personnels et leur mise en forme appartient à leur auteur, merci de créer ta propre mise en forme pour tes canneds et de ne pas recopier la mienne.
Cordialement, Xplode.
====================================================================================================================
Le proxy est installé par l'infection, ce n'est pas une ligne légitime.
J'espere que je n'ai pas fait d'erreurs, voila les 2 liens
http://www.cijoint.fr/cjlink.php?file=cj201008/cijZELFWPJ.txt
http://www.cijoint.fr/cjlink.php?file=cj201008/cijNPRXo4O.txt
http://www.cijoint.fr/cjlink.php?file=cj201008/cijZELFWPJ.txt
http://www.cijoint.fr/cjlink.php?file=cj201008/cijNPRXo4O.txt
El DésinfeKtor
Messages postés
28
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
21 août 2010
20 août 2010 à 15:21
20 août 2010 à 15:21
Le second rapport ZHPfix ?
==============================
[x] Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :
[x] choisis l'Option Clean
ton PC va redemarrer,
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
[x] colle le contenu dans ta réponse
--------------------------------------------------------------------------
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
pour vista/seven : clic droit, exécuter en tant que
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
"%userprofile%\Bureau\mbr" -f
* (veillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .
* Poste le rapport.
==============================
[x] Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :
[x] choisis l'Option Clean
ton PC va redemarrer,
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
[x] colle le contenu dans ta réponse
--------------------------------------------------------------------------
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
pour vista/seven : clic droit, exécuter en tant que
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
"%userprofile%\Bureau\mbr" -f
* (veillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .
* Poste le rapport.
Si j'ai bien compris voila le rapport ZHPFix après avoir rajouté la ligne
Rapport de ZHPFix v1.12.3135 par Nicolas Coolman, Update du 18/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-08-2010-15-29-37.txt
Run by Laurence at 20/08/2010 15:29:37
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} . (.not file.) - (.not file.) => Clé absente
========== Valeur(s) du Registre ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified => Valeur absente
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. => Valeur absente
O4 - HKUS\S-1-5-21-3604802199-3056569911-3040365950-1001\..\Run: [Windows System Guard] C:\Users\Public\lmsn.exe (.not file.) => Valeur absente
O4 - HKUS\S-1-5-21-3604802199-3056569911-3040365950-1001\..\Run: [bqrhtalj] C:\Users\Laurence\AppData\Local\rmwqeqevg\ivlpmggshdw.exe (.not file.) => Valeur absente
O4 - HKCU\..\Run: [Windows System Guard] C:\Users\Public\lmsn.exe (.not file.) => Valeur absente
O4 - HKCU\..\Run: [bqrhtalj] C:\Users\Laurence\AppData\Local\rmwqeqevg\ivlpmggshdw.exe (.not file.) => Valeur absente
O4 - HKLM\..\Wow6432Node\Run: [HPCam_Menu] c:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exeedia\Webcam (.not file.) => Valeur absente
O4 - HKLM\..\Wow6432Node\Run: [UpdatePRCShortCut] C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exer (.not file.) => Valeur absente
O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - (.not file.) => Valeur absente
========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CCS\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100 => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100 => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100 => Donnée supprimée avec succès
========== Récapitulatif ==========
1 : Clé(s) du Registre
9 : Valeur(s) du Registre
3 : Elément(s) de donnée du Registre
End of the scan
Rapport de ZHPFix v1.12.3135 par Nicolas Coolman, Update du 18/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-08-2010-15-29-37.txt
Run by Laurence at 20/08/2010 15:29:37
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} . (.not file.) - (.not file.) => Clé absente
========== Valeur(s) du Registre ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified => Valeur absente
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. => Valeur absente
O4 - HKUS\S-1-5-21-3604802199-3056569911-3040365950-1001\..\Run: [Windows System Guard] C:\Users\Public\lmsn.exe (.not file.) => Valeur absente
O4 - HKUS\S-1-5-21-3604802199-3056569911-3040365950-1001\..\Run: [bqrhtalj] C:\Users\Laurence\AppData\Local\rmwqeqevg\ivlpmggshdw.exe (.not file.) => Valeur absente
O4 - HKCU\..\Run: [Windows System Guard] C:\Users\Public\lmsn.exe (.not file.) => Valeur absente
O4 - HKCU\..\Run: [bqrhtalj] C:\Users\Laurence\AppData\Local\rmwqeqevg\ivlpmggshdw.exe (.not file.) => Valeur absente
O4 - HKLM\..\Wow6432Node\Run: [HPCam_Menu] c:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exeedia\Webcam (.not file.) => Valeur absente
O4 - HKLM\..\Wow6432Node\Run: [UpdatePRCShortCut] C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exer (.not file.) => Valeur absente
O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - (.not file.) => Valeur absente
========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CCS\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100 => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100 => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{C834D5AD-7D83-4DD0-8D39-0B0B931E2E2D}: DhcpNameServer = 40.6.1.100 => Donnée supprimée avec succès
========== Récapitulatif ==========
1 : Clé(s) du Registre
9 : Valeur(s) du Registre
3 : Elément(s) de donnée du Registre
End of the scan
El DésinfeKtor
Messages postés
28
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
21 août 2010
20 août 2010 à 15:35
20 août 2010 à 15:35
non ce n'est pas ça je reprend :
* Lance ZHPFix il se trouve dans le même répertoire que zhpdiag (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :
---------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
---------------------------------------------------
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »
post le rapport
* Lance ZHPFix il se trouve dans le même répertoire que zhpdiag (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :
---------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
---------------------------------------------------
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »
post le rapport
Rapport de ZHPFix v1.12.3135 par Nicolas Coolman, Update du 18/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-08-2010-15-46-24.txt
Run by Laurence at 20/08/2010 15:46:24
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified => Valeur absente
========== Récapitulatif ==========
1 : Valeur(s) du Registre
End of the scan
Fichier d'export Registre : C:\ZHPExportRegistry-20-08-2010-15-46-24.txt
Run by Laurence at 20/08/2010 15:46:24
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified => Valeur absente
========== Récapitulatif ==========
1 : Valeur(s) du Registre
End of the scan
El DésinfeKtor
Messages postés
28
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
21 août 2010
20 août 2010 à 15:50
20 août 2010 à 15:50
celle ci aussi.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
as tu fais cela aussi
==============================
[x] Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :
[x] choisis l'Option Clean
ton PC va redemarrer,
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
[x] colle le contenu dans ta réponse
--------------------------------------------------------------------------
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
pour vista/seven : clic droit, exécuter en tant que
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
"%userprofile%\Bureau\mbr" -f
* (veillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .
* Poste le rapport.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
as tu fais cela aussi
==============================
[x] Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :
[x] choisis l'Option Clean
ton PC va redemarrer,
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
[x] colle le contenu dans ta réponse
--------------------------------------------------------------------------
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
pour vista/seven : clic droit, exécuter en tant que
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
"%userprofile%\Bureau\mbr" -f
* (veillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .
* Poste le rapport.
Dsl mais je ne comprends pas trop ce que tu me demande de faire si je colle la ligne R1 j'obtiens ca :
Rapport de ZHPFix v1.12.3135 par Nicolas Coolman, Update du 18/08/2010
Fichier d'export Registre :
Run by Laurence at 20/08/2010 15:58:59
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Récapitulatif ==========
Et si je colle les lignes HKLM et R1 ensemble j'obtiens le résultat que j'ai posté dans mon message précédent.
End of the scan
Rapport de ZHPFix v1.12.3135 par Nicolas Coolman, Update du 18/08/2010
Fichier d'export Registre :
Run by Laurence at 20/08/2010 15:58:59
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Récapitulatif ==========
Et si je colle les lignes HKLM et R1 ensemble j'obtiens le résultat que j'ai posté dans mon message précédent.
End of the scan
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
Modifié par Smart91 le 20/08/2010 à 17:30
Modifié par Smart91 le 20/08/2010 à 17:30
Bonjour El désinfeKtor,
je vois que tu as un souci avec un R1 recalcitrant
Il faut qu'avec ZHPFix tu fixes les deux lignes suivante:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522 (attention le port peut changer)
En effet la ligne R1 en gras n'est pas correcte. Elle devrait être comme ceci:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
En fait si tu ne fixes que la ligne R1 concernant le proxyserver sans fixer l'autre ligne (proxyoverride), elle va revenir sans cesse avec des n° de ports différents
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
je vois que tu as un souci avec un R1 recalcitrant
Il faut qu'avec ZHPFix tu fixes les deux lignes suivante:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522 (attention le port peut changer)
En effet la ligne R1 en gras n'est pas correcte. Elle devrait être comme ceci:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
En fait si tu ne fixes que la ligne R1 concernant le proxyserver sans fixer l'autre ligne (proxyoverride), elle va revenir sans cesse avec des n° de ports différents
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
El DésinfeKtor
Messages postés
28
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
21 août 2010
20 août 2010 à 16:27
20 août 2010 à 16:27
Merci du coup de pouce, vraiment très sympa de ta part ;)
On va fixer ça après en avoir fini avec mbr.
On va fixer ça après en avoir fini avec mbr.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
20 août 2010 à 16:28
20 août 2010 à 16:28
Salut...
Pourquoi passer MBR ? Il n'y a pas de bootkit donc... je reste perplexe là.
Pourquoi passer MBR ? Il n'y a pas de bootkit donc... je reste perplexe là.
El DésinfeKtor
Messages postés
28
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
21 août 2010
20 août 2010 à 16:49
20 août 2010 à 16:49
réponse à la question : Je fais passer MBR car il y a une erreur dans la lecture noyau, et les restes de rootkits trouvé par malwarebyte's justifie mon choix.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
Modifié par Xplode le 20/08/2010 à 16:56
Modifié par Xplode le 20/08/2010 à 16:56
Ok, merci :)
Je vais te répondre :
MBR indique une erreur de lecture car MBR.exe n'est pas compatible avec le x64. Tu peux regarder ici pour avoir la liste des outils compatibles avec tout les OS/Plateforme.
Le scan de malwarebytes' ne justifie pas l'utilisation de MBR car MBR traîte les bootkit et non pas les rootkit.
De toute façon, tu auras la même erreur que dans le ZHPDiag si tu fais passer MBR à part , à savoir une erreur de lecture due à l'incompatibilité avec le x64.
Je voudrais aussi savoir tes pensées sur cette partie de mon précédent message :
As-tu suivis une quelconque formation en désinfection ? Parce que si tu es intéressé et motivé pour désinfecté, j'en connais plusieurs ;-)
( Je supprime les précédents messages. )
Je vais te répondre :
MBR indique une erreur de lecture car MBR.exe n'est pas compatible avec le x64. Tu peux regarder ici pour avoir la liste des outils compatibles avec tout les OS/Plateforme.
Le scan de malwarebytes' ne justifie pas l'utilisation de MBR car MBR traîte les bootkit et non pas les rootkit.
De toute façon, tu auras la même erreur que dans le ZHPDiag si tu fais passer MBR à part , à savoir une erreur de lecture due à l'incompatibilité avec le x64.
Je voudrais aussi savoir tes pensées sur cette partie de mon précédent message :
As-tu suivis une quelconque formation en désinfection ? Parce que si tu es intéressé et motivé pour désinfecté, j'en connais plusieurs ;-)
( Je supprime les précédents messages. )
El DésinfeKtor
Messages postés
28
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
21 août 2010
20 août 2010 à 16:57
20 août 2010 à 16:57
non je n'ai jamais suivis de formation en désinfection, je ne suis pas obligé de le faire pour désinfecter.
Utilisateur anonyme
20 août 2010 à 16:37
20 août 2010 à 16:37
salut il faut faire l'option Tools puis l'option Kill Proxy avec List_kill'em
El DésinfeKtor
Messages postés
28
Date d'inscription
mardi 17 août 2010
Statut
Membre
Dernière intervention
21 août 2010
20 août 2010 à 16:37
20 août 2010 à 16:37
Merci pour l'info ;)
@Xplode voici un message constructif
@Xplode voici un message constructif
19 août 2010 à 11:47
celui-ci me bloque l'accés à tous mes programmes ainsi qu'à internet
-> Je doute que ZHPDiag passe.