Ordinateur infecté par un trojan
Résolu/Fermé
A voir également:
- Ordinateur infecté par un trojan
- Ordinateur lent - Guide
- Comment réinitialiser un ordinateur - Guide
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Comment réinitialiser un ordinateur verrouillé - Guide
- Ordinateur ecran noir - Guide
33 réponses
Utilisateur anonyme
Modifié par crapoulou le 6/09/2010 à 09:44
Modifié par crapoulou le 6/09/2010 à 09:44
Bonjour
* Télécharge et installe : Malwarebyte's Anti-Malware
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/)
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
(Lien édité - fonctionnait pas avec la parenthèse ;-)
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
* Télécharge et installe : Malwarebyte's Anti-Malware
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/)
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
(Lien édité - fonctionnait pas avec la parenthèse ;-)
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
Salut, merci de ton aide.
J'ai fait toutes les manip comme tu m'as dit et voici le rapport :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4554
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943
06/09/2010 15:44:51
mbam-log-2010-09-06 (15-44-51).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 318128
Temps écoulé: 1 heure(s), 8 minute(s), 35 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (http://www.qq5.com) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\Manu\Favorites\ÌÔ±¦¹ºÎï.url (Hijack.Trace) -> Quarantined and deleted successfully.
J'ai fait toutes les manip comme tu m'as dit et voici le rapport :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4554
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943
06/09/2010 15:44:51
mbam-log-2010-09-06 (15-44-51).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 318128
Temps écoulé: 1 heure(s), 8 minute(s), 35 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (http://www.qq5.com) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\Manu\Favorites\ÌÔ±¦¹ºÎï.url (Hijack.Trace) -> Quarantined and deleted successfully.
Utilisateur anonyme
6 sept. 2010 à 16:01
6 sept. 2010 à 16:01
* Télécharge ftp://zebulon.fr/ZHPDiag.exe ZHPDiag ( de Nicolas coolman ).
ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html (En bas de page).
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html (En bas de page).
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Ok voici le lien : http://www.cijoint.fr/cjlink.php?file=cj201009/cijIu6RMMK.txt
Au passage j'ai refait plusieurs scan rapides avec Malwarebytes et il me retrouve toujours un fichier infecté.
Au passage j'ai refait plusieurs scan rapides avec Malwarebytes et il me retrouve toujours un fichier infecté.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
6 sept. 2010 à 18:12
6 sept. 2010 à 18:12
A faire dans l'ordre.
1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
----------------------------------------------------------
ServiceStop:Kingsoft Antivirus WebShield Service
O23 - Service: Kingsoft Antivirus WebShield Service (Kingsoft Antivirus WebShield Service) . (.Kingsoft Corporation - ????.) - C:\ProgramData\wd\KSWebShield.exe
[HKCU\Software\AppDataLow\Toolbar]
O42 - Logiciel: Spyware Doctor 8.0 - (.PC Tools.) [HKLM] -- Spyware Doctor
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France\tbSoft.dll
R3 - URLSearchHook: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France\tbSoft.dll
O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll
O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar
[HKCU\Software\AppDataLow\Software\Conduit]
[HKLM\Software\Conduit]
O43 - CFD:Common File Directory ----D- C:\Program Files\Conduit
OPT: O4 - HKLM\..\Run: [RemoteControl] . (.Cyberlink Corp. - PowerDVD RC Service.) -- C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
OPT:O4 - HKLM\..\Run: [LanguageShortcut] . (.Pas de propriétaire - Language Application.) -- C:\Program Files\CyberLink\PowerDVD\Language\Language.exe
OPT:O4 - HKLM\..\Run: [NeroFilterCheck] . (.Nero AG - NeroCheck.) -- C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- D:\Programmes\Adobe Reader\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OB\realsched.exe
O69 - SBI: SearchScopes [HKCU] {6C08444C-B736-4C01-99A8-4CC9E59A9BC9} - (Google) - http://www.gggdu.com
MBRFix
----------------------------------------------------------
* Clique sur"ok" (Tu dois avoir seulement les lignes copiées sur le forum)
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
=======================================================
1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
----------------------------------------------------------
ServiceStop:Kingsoft Antivirus WebShield Service
O23 - Service: Kingsoft Antivirus WebShield Service (Kingsoft Antivirus WebShield Service) . (.Kingsoft Corporation - ????.) - C:\ProgramData\wd\KSWebShield.exe
[HKCU\Software\AppDataLow\Toolbar]
O42 - Logiciel: Spyware Doctor 8.0 - (.PC Tools.) [HKLM] -- Spyware Doctor
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France\tbSoft.dll
R3 - URLSearchHook: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France\tbSoft.dll
O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll
O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar
[HKCU\Software\AppDataLow\Software\Conduit]
[HKLM\Software\Conduit]
O43 - CFD:Common File Directory ----D- C:\Program Files\Conduit
OPT: O4 - HKLM\..\Run: [RemoteControl] . (.Cyberlink Corp. - PowerDVD RC Service.) -- C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
OPT:O4 - HKLM\..\Run: [LanguageShortcut] . (.Pas de propriétaire - Language Application.) -- C:\Program Files\CyberLink\PowerDVD\Language\Language.exe
OPT:O4 - HKLM\..\Run: [NeroFilterCheck] . (.Nero AG - NeroCheck.) -- C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- D:\Programmes\Adobe Reader\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OB\realsched.exe
O69 - SBI: SearchScopes [HKCU] {6C08444C-B736-4C01-99A8-4CC9E59A9BC9} - (Google) - http://www.gggdu.com
MBRFix
----------------------------------------------------------
* Clique sur"ok" (Tu dois avoir seulement les lignes copiées sur le forum)
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
=======================================================
ok voici le rapport :
Rapport de ZHPFix v1.12.3145 par Nicolas Coolman, Update du 06/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-06-09-2010-18-23-34.txt
Run by Manu at 06/09/2010 18:23:34
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O23 - Service: Kingsoft Antivirus WebShield Service (Kingsoft Antivirus WebShield Service) . (.Kingsoft Corporation - ????.) - C:\ProgramData\wd\KSWebShield.exe => Clé absente
HKCU\Software\AppDataLow\Toolbar => Clé absente
O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll => Clé absente
HKCU\Software\AppDataLow\Software\Conduit => Clé absente
HKLM\Software\Conduit => Clé absente
========== Valeur(s) du Registre ==========
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
R3 - URLSearchHook: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
O4 - HKLM\..\Run: [RemoteControl] . (.Cyberlink Corp. - PowerDVD RC Service.) -- C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [LanguageShortcut] . (.Pas de propriétaire - Language Application.) -- C:\Program Files\CyberLink\PowerDVD\Language\Language.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [NeroFilterCheck] . (.Nero AG - NeroCheck.) -- C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- D:\Programmes\Adobe Reader\Reader\Reader_sl.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OB\realsched.exe => Valeur supprimée avec succès
========== Elément(s) de donnée du Registre ==========
O69 - SBI: SearchScopes [HKCU] {6C08444C-B736-4C01-99A8-4CC9E59A9BC9} - (Google) - http://www.gggdu.com => Donnée remplacée avec succès
========== Dossier(s) ==========
C:\Program Files\Conduit => Supprimé et mis en quarantaine
========== Fichier(s) ==========
c:\programdata\wd\kswebshield.exe => Supprimé et mis en quarantaine
c:\program files\softonic_france\tbsoft.dll => Supprimé et mis en quarantaine
========== Logiciel(s) ==========
O42 - Logiciel: Spyware Doctor 8.0 - (.PC Tools.) [HKLM] -- Spyware Doctor => Logiciel déjà supprimé
O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar => Logiciel déjà supprimé
========== Etat des services ==========
Kingsoft Antivirus WebShield Service => Service arrêté avec succès
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
========== Récapitulatif ==========
5 : Clé(s) du Registre
8 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
2 : Fichier(s)
2 : Logiciel(s)
1 : Etat des services
1 :Master Boot Record
End of the scan
Rapport de ZHPFix v1.12.3145 par Nicolas Coolman, Update du 06/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-06-09-2010-18-23-34.txt
Run by Manu at 06/09/2010 18:23:34
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O23 - Service: Kingsoft Antivirus WebShield Service (Kingsoft Antivirus WebShield Service) . (.Kingsoft Corporation - ????.) - C:\ProgramData\wd\KSWebShield.exe => Clé absente
HKCU\Software\AppDataLow\Toolbar => Clé absente
O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll => Clé absente
HKCU\Software\AppDataLow\Software\Conduit => Clé absente
HKLM\Software\Conduit => Clé absente
========== Valeur(s) du Registre ==========
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
R3 - URLSearchHook: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 7, 1) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll => Valeur absente
O4 - HKLM\..\Run: [RemoteControl] . (.Cyberlink Corp. - PowerDVD RC Service.) -- C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [LanguageShortcut] . (.Pas de propriétaire - Language Application.) -- C:\Program Files\CyberLink\PowerDVD\Language\Language.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [NeroFilterCheck] . (.Nero AG - NeroCheck.) -- C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- D:\Programmes\Adobe Reader\Reader\Reader_sl.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OB\realsched.exe => Valeur supprimée avec succès
========== Elément(s) de donnée du Registre ==========
O69 - SBI: SearchScopes [HKCU] {6C08444C-B736-4C01-99A8-4CC9E59A9BC9} - (Google) - http://www.gggdu.com => Donnée remplacée avec succès
========== Dossier(s) ==========
C:\Program Files\Conduit => Supprimé et mis en quarantaine
========== Fichier(s) ==========
c:\programdata\wd\kswebshield.exe => Supprimé et mis en quarantaine
c:\program files\softonic_france\tbsoft.dll => Supprimé et mis en quarantaine
========== Logiciel(s) ==========
O42 - Logiciel: Spyware Doctor 8.0 - (.PC Tools.) [HKLM] -- Spyware Doctor => Logiciel déjà supprimé
O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar => Logiciel déjà supprimé
========== Etat des services ==========
Kingsoft Antivirus WebShield Service => Service arrêté avec succès
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x84A1E1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x84a1e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
========== Récapitulatif ==========
5 : Clé(s) du Registre
8 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
2 : Fichier(s)
2 : Logiciel(s)
1 : Etat des services
1 :Master Boot Record
End of the scan
Utilisateur anonyme
6 sept. 2010 à 18:29
6 sept. 2010 à 18:29
ok.
Le nettoyage a commencé.
Post un nouveau rapport Zhpdiag.
Le nettoyage a commencé.
Post un nouveau rapport Zhpdiag.
Utilisateur anonyme
6 sept. 2010 à 18:42
6 sept. 2010 à 18:42
Télécharge BTRK_RunBox Par jeanmimigab sur ton bureau.
Fais un double-clic dessus pour le lancer.
Une fenêtre qui s'ouvre, patiente jusqu'au message "Download OK"et appuie sur une touche comme demandé.
Fais le choix 1 et appuie sur la touche "Entrée".
poste le contenu du rapport qui s'ouvre et ferme le.
Pour quitter le programme fais le choix 4 et appuie sur la touche "Entrée".
Fais un double-clic dessus pour le lancer.
Une fenêtre qui s'ouvre, patiente jusqu'au message "Download OK"et appuie sur une touche comme demandé.
Fais le choix 1 et appuie sur la touche "Entrée".
poste le contenu du rapport qui s'ouvre et ferme le.
Pour quitter le programme fais le choix 4 et appuie sur la touche "Entrée".
le rapport :
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.1.0.0
OS Version: Microsoft Windows Vista Home Basic Edition Service Pack 2 (build 6002), 32-bit
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000'00007e00
Boot sector MD5 is: 0ec6b2481fc707d1e901dc2a875f2826
Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
Done;
Press any key to quit...
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.1.0.0
OS Version: Microsoft Windows Vista Home Basic Edition Service Pack 2 (build 6002), 32-bit
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000'00007e00
Boot sector MD5 is: 0ec6b2481fc707d1e901dc2a875f2826
Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
Done;
Press any key to quit...
Utilisateur anonyme
6 sept. 2010 à 19:21
6 sept. 2010 à 19:21
* rends toi sur ce site : https://www.virustotal.com/gui/
==>Analyse ce fichier:
------------------------------------------------------------------------------------------
C:\Windows\system32\drivers\fwucc.sys
------------------------------------------------------------------------------------------
* Cliquez sur Parcourir... :
* Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :
* Cliquez ensuite sur Envoyez le fichier : s'il a déjà été analysé, demande une nouvelle analyse.
* Fais un copier/coller du rapport sur le forum.
==>Analyse ce fichier:
------------------------------------------------------------------------------------------
C:\Windows\system32\drivers\fwucc.sys
------------------------------------------------------------------------------------------
* Cliquez sur Parcourir... :
* Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :
* Cliquez ensuite sur Envoyez le fichier : s'il a déjà été analysé, demande une nouvelle analyse.
* Fais un copier/coller du rapport sur le forum.
Utilisateur anonyme
6 sept. 2010 à 19:37
6 sept. 2010 à 19:37
oops j'ai oublié.
Cliquer sur l'icône de l'Explorateur
L'Explorateur s'ouvre. Cliquer sur Organiser, puis sur Options des dossiers et de recherche
Dans l'onglet Affichage
1 - cocher la case Afficher les fichiers, dossiers et lecteurs cachés, pour rendre visible les fichiers et dossiers cachés
2 - décocher la case Masquer les extensions des fichiers dont le type est connu, pour rendre visible toutes les extensions
3 - décocher la case Masquer les fichiers protégés du système d'exploitation, pour rendre visible les fichiers système protégés
Cliquer sur Appliquer.
A présent tu dois trouver ce fichier.
Profites en pour faire analyser ce second fichier et post les rapports.
C:\Program Files\PC Tools Security\BDT\FGuard.exe
--
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
Cliquer sur l'icône de l'Explorateur
L'Explorateur s'ouvre. Cliquer sur Organiser, puis sur Options des dossiers et de recherche
Dans l'onglet Affichage
1 - cocher la case Afficher les fichiers, dossiers et lecteurs cachés, pour rendre visible les fichiers et dossiers cachés
2 - décocher la case Masquer les extensions des fichiers dont le type est connu, pour rendre visible toutes les extensions
3 - décocher la case Masquer les fichiers protégés du système d'exploitation, pour rendre visible les fichiers système protégés
Cliquer sur Appliquer.
A présent tu dois trouver ce fichier.
Profites en pour faire analyser ce second fichier et post les rapports.
C:\Program Files\PC Tools Security\BDT\FGuard.exe
--
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
J'ai fait comme tu m'as dit mais je ne trouve toujours pas le fichier "fwucc.sys"
Par contre j'ai analysé l'autre :
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5: 5a5d3967788653b73ecc260b6329ac5b
Date first seen: 2010-08-24 06:19:52 (UTC)
Date last seen: 2010-09-04 06:03:54 (UTC)
Detection ratio: 0/43
What do you wish to do?
Par contre j'ai analysé l'autre :
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5: 5a5d3967788653b73ecc260b6329ac5b
Date first seen: 2010-08-24 06:19:52 (UTC)
Date last seen: 2010-09-04 06:03:54 (UTC)
Detection ratio: 0/43
What do you wish to do?
Utilisateur anonyme
6 sept. 2010 à 19:57
6 sept. 2010 à 19:57
je ne pense pas que les bugs proviennent d'une infection.
Certainement un probléme matériel.
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Rends toi a cette adresse : http://www.gmer.net/ et cliques sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Héberge le rapport Gmer sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Certainement un probléme matériel.
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Rends toi a cette adresse : http://www.gmer.net/ et cliques sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Héberge le rapport Gmer sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Ok j'ai relancé un scan en tant qu'administrateur et ça semble marcher. Je le poste dès qu'il est fini.