infecté? firefox.exeRésolu/Fermé

Question

Bonjour, 

depuis 2/3 jours je remarque certain ralentissement de mon pc. Ps de panique je lance un coup de ccleaner et la surprise mozilla semble ouvert tandis que je n'ai ouvert aucune fenetre internet. Je vais voir ldans le gestionnaire des tache et la effectivement j'ai firefox.exe *32 (je précise je suis en windows 7 64bits) ; je le sélectionne fin de tache .... et il revient ???

Je suis ouvert a toute les idées possible
j'ai fait un scan malwarebytes pas de succès, antivir non plus

Merci de votre aide ^^



Configuration: i5 750, ati hd 5770, 4Go corsair pc 12800, CM p7p55d, alim OCZ pro 700W, ventirad cooler master Hyper 212 +

Utilisateur anonyme · Answer

Bonsoir

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

Utilisateur anonyme · Answer

Re

 # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Télécharge et install UsbFix de El Desaparecido , C_XX & Chimay8
Ici : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/ 

 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
 

#  Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau. 

# Choisi  Suppression 

# Laisse travailler l outil. 

# Ensuite post le rapport UsbFix.txt qui apparaîtra. 

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt) 

(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

@+

bruce82 · Answer

bon alors voila firefox est toujours ouvert meme sans l'ouvrir :(, et tout mes icone ont disparu après usbfix, j'ai du faire altCtrlSupr pour redémarrer l'ordi (c'est un détail mais cela peut t'aider ....)

voici le rapport

############################## | UsbFix 7.024 | [Suppression]

Utilisateur: david (Administrateur) # DAVID-PC [System manufacturer System Product Name]
Mis à jour le 09/09/10 par El Desaparecido / C_XX
Lancé à 14:37:06 | 11/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
CPU 2: Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 4087 Mo 
C:\ (%systemdrive%) -> Disque fixe # 298 Go (103 Go libre(s) - 35%) [boss] # NTFS
D:\ -> Disque fixe # 100 Mo (70 Mo libre(s) - 70%) [System Reserved] # NTFS
E:\ -> Disque fixe # 466 Go (203 Go libre(s) - 44%) [mini boss] # NTFS
F:\ -> Disque fixe # 466 Go (321 Go libre(s) - 69%) [Archive] # NTFS
H:\ -> Disque amovible # 7 Go (7 Go libre(s) - 99%) [USB2] # FAT32
I:\ -> CD-ROM
J:\ -> CD-ROM
R:\ -> CD-ROM

################## | Éléments infectieux |

Supprimé! C:\Users\david\AppData\Roaming\logs.dat
Supprimé! C:\Users\david\AppData\Local\Temp\UuU.uUu
Supprimé! C:\Users\david\AppData\Local\Temp\XxX.xXx
Supprimé! C:\Users\david\AppData\Local\Temp\xxxyyyzzz.dat
Supprimé! H:\Autorun.inf

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d75bfb59-287e-11df-86e2-90e6ba194596}

################## | Listing |

[11/09/2010 - 14:42:06 | SHD ] 	C:\$Recycle.Bin
[06/08/2010 - 14:26:14 | A | 2898] 	C:\aqua_bitmap.cpp
[10/02/2010 - 18:27:40 | HD ] 	C:\ASUS.000
[30/06/2010 - 20:45:36 | HD ] 	C:\ASUS.001
[05/03/2010 - 15:17:41 | HD ] 	C:\ASUS.SYS
[18/01/2010 - 13:12:25 | D ] 	C:\ATI
[20/03/2009 - 17:42:25 | A | 24] 	C:\autoexec.bat
[05/03/2010 - 14:44:03 | SHD ] 	C:\Boot
[14/07/2009 - 03:38:58 | RASH | 383562] 	C:\bootmgr
[05/03/2010 - 14:44:04 | RASH | 8192] 	C:\BOOTSECT.BAK
[20/03/2009 - 17:42:25 | A | 10] 	C:\config.sys
[14/07/2009 - 07:08:56 | SHD ] 	C:\Documents and Settings
[24/12/2009 - 07:25:34 | D ] 	C:\drivers
[05/01/2010 - 22:32:58 | HD ] 	C:\dvmexp
[11/09/2010 - 12:44:34 | H | 338] 	C:\dvmexp.idx
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1028.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1031.txt
[07/11/2007 - 08:00:40 | A | 10134] 	C:\eula.1033.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1036.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1040.txt
[07/11/2007 - 08:00:40 | A | 118] 	C:\eula.1041.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.1042.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.2052.txt
[07/11/2007 - 08:00:40 | A | 17734] 	C:\eula.3082.txt
[07/11/2007 - 08:00:40 | A | 1110] 	C:\globdata.ini
[15/04/2010 - 01:11:05 | RSH | 204528] 	C:\grldr
[11/09/2010 - 14:34:55 | ASH | 3214188544] 	C:\hiberfil.sys
[07/11/2007 - 08:03:18 | A | 562688] 	C:\install.exe
[07/11/2007 - 08:00:40 | A | 843] 	C:\install.ini
[07/11/2007 - 08:03:18 | A | 76304] 	C:\install.res.1028.dll
[07/11/2007 - 08:03:18 | A | 96272] 	C:\install.res.1031.dll
[07/11/2007 - 08:03:18 | A | 91152] 	C:\install.res.1033.dll
[07/11/2007 - 08:03:18 | A | 97296] 	C:\install.res.1036.dll
[07/11/2007 - 08:03:18 | A | 95248] 	C:\install.res.1040.dll
[07/11/2007 - 08:03:18 | A | 81424] 	C:\install.res.1041.dll
[07/11/2007 - 08:03:18 | A | 79888] 	C:\install.res.1042.dll
[07/11/2007 - 08:03:18 | A | 75792] 	C:\install.res.2052.dll
[07/11/2007 - 08:03:18 | A | 96272] 	C:\install.res.3082.dll
[24/12/2009 - 16:39:27 | D ] 	C:\Intel
[30/12/2009 - 14:12:23 | RASH | 0] 	C:\IO.SYS
[04/04/2010 - 21:24:05 | A | 178] 	C:\lxbk.log
[30/12/2009 - 14:12:23 | RASH | 0] 	C:\MSDOS.SYS
[12/02/2010 - 20:14:33 | RHD ] 	C:\MSOCache
[29/02/2004 - 17:44:34 | A | 52576] 	C:\orange.bmp
[11/09/2010 - 14:34:57 | ASH | 4285587456] 	C:\pagefile.sys
[14/07/2009 - 05:20:08 | D ] 	C:\PerfLogs
[10/04/2010 - 11:20:27 | A | 55] 	C:\plugin.ini
[09/09/2010 - 00:48:44 | RD ] 	C:\Program Files
[10/09/2010 - 22:45:12 | RD ] 	C:\Program Files (x86)
[09/09/2010 - 10:06:51 | HD ] 	C:\ProgramData
[24/12/2009 - 16:40:53 | D ] 	C:\RaidTool
[05/03/2010 - 14:58:16 | SHD ] 	C:\Recovery
[31/07/2010 - 13:23:52 | D ] 	C:\Root
[05/03/2010 - 15:17:53 | H | 57] 	C:\splash.idx
[10/09/2010 - 18:57:45 | SHD ] 	C:\System Volume Information
[28/04/2010 - 20:13:56 | HD ] 	C:	emp
[11/09/2010 - 14:42:06 | D ] 	C:\UsbFix
[11/09/2010 - 14:37:08 | A | 4504] 	C:\UsbFix.txt
[09/03/2010 - 02:36:12 | RD ] 	C:\Users
[07/11/2007 - 08:00:40 | A | 5686] 	C:\vcredist.bmp
[07/11/2007 - 08:09:22 | A | 1442522] 	C:\VC_RED.cab
[07/11/2007 - 08:12:28 | A | 232960] 	C:\VC_RED.MSI
[30/07/2009 - 22:07:16 | AH | 9392] 	C:\version
[10/04/2010 - 11:52:46 | A | 64575] 	C:\vraylog.txt
[10/04/2010 - 10:52:41 | A | 109] 	C:\VRSpawner.log
[10/09/2010 - 21:17:39 | D ] 	C:\Windows
[05/03/2010 - 14:35:51 | D ] 	C:\Windows.old
[11/09/2010 - 14:42:06 | SHD ] 	D:\$RECYCLE.BIN
[24/12/2009 - 06:09:45 | SHD ] 	D:\Boot
[22/04/2009 - 07:28:23 | RASH | 383200] 	D:\bootmgr
[24/12/2009 - 06:09:46 | RASH | 8192] 	D:\BOOTSECT.BAK
[07/07/2010 - 21:08:42 | RSH | 204528] 	D:\grldr
[07/02/2010 - 20:49:28 | SHD ] 	D:\System Volume Information
[11/09/2010 - 14:42:06 | SHD ] 	E:\$RECYCLE.BIN
[29/12/2009 - 12:03:54 | A | 2085586] 	E:\13 Silk Route Suite- Juntos (Together) [Rumba].wma
[20/01/2010 - 20:35:59 | D ] 	E:\Activision
[04/08/2010 - 11:44:04 | SH | 3032] 	E:\AlbumArtSmall.jpg
[04/04/2010 - 20:54:43 | SH | 9549] 	E:\AlbumArt_{9B773B33-2276-4A82-BCC6-F55D1D3E924A}_Large.jpg
[04/04/2010 - 20:54:43 | SH | 2210] 	E:\AlbumArt_{9B773B33-2276-4A82-BCC6-F55D1D3E924A}_Small.jpg
[04/08/2010 - 11:44:04 | SH | 12284] 	E:\AlbumArt_{ED272D1E-D695-4E3C-BF93-219EEC8E6833}_Large.jpg
[04/08/2010 - 11:44:04 | SH | 3032] 	E:\AlbumArt_{ED272D1E-D695-4E3C-BF93-219EEC8E6833}_Small.jpg
[18/08/2010 - 08:55:44 | D ] 	E:\cv sandrine
[28/05/2010 - 14:52:45 | D ] 	E:\david
[04/08/2010 - 11:44:04 | SH | 352] 	E:\desktop.ini
[04/04/2010 - 12:57:12 | D ] 	E:\diaporama bi
[04/08/2010 - 11:44:04 | SH | 12284] 	E:\Folder.jpg
[10/09/2010 - 00:25:14 | D ] 	E:\game
[19/01/2010 - 01:11:25 | D ] 	E:\guitar
[04/04/2010 - 20:54:15 | D ] 	E:\guitare
[31/05/2010 - 18:10:05 | D ] 	E:\illustrator
[31/05/2010 - 18:17:10 | D ] 	E:\InDesign
[12/12/2009 - 18:47:45 | A | 1611459809] 	E:\Le mariage de XXXX.wmv
[05/05/2010 - 17:53:16 | D ] 	E:\logiciel
[05/05/2010 - 18:08:15 | D ] 	E:\logiciel XXXX
[29/04/2010 - 16:38:32 | D ] 	E:\mariage
[25/03/2010 - 08:12:46 | RA | 528] 	E:\MediaID.bin
[05/05/2010 - 14:43:03 | D ] 	E:\musique XXXX
[05/03/2010 - 14:21:33 | D ] 	E:\pes
[31/05/2010 - 18:06:36 | D ] 	E:\photoshop cs4
[31/05/2010 - 19:48:09 | D ] 	E:\police
[01/06/2010 - 21:04:37 | D ] 	E:\pps
[30/12/2009 - 12:44:22 | A | 4041238] 	E:\Ronan Keating - Nothing At All.MP3
[06/08/2010 - 17:27:41 | D ] 	E:églement
[08/06/2010 - 14:11:07 | D ] 	E:\XXXX
[07/08/2010 - 14:06:51 | D ] 	E:\sauvevarde tomtom
[02/03/2010 - 09:01:58 | D ] 	E:\savegame
[19/08/2010 - 21:21:08 | D ] 	E:\son
[25/05/2010 - 22:14:54 | SHD ] 	E:\System Volume Information
[31/05/2010 - 20:36:36 | D ] 	E:	uto
[23/03/2010 - 15:53:02 | D ] 	E:\web
[15/04/2010 - 01:14:54 | D ] 	E:\windows
[27/04/2010 - 19:07:49 | D ] 	E:\wordpress-2.9.2-fr_FR
[11/09/2010 - 14:42:06 | SHD ] 	F:\$RECYCLE.BIN
[18/08/2010 - 12:56:45 | D ] 	F:\boulot
[06/09/2010 - 14:58:07 | D ] 	F:\crow
[16/08/2010 - 18:14:01 | D ] 	F:\film
[16/08/2010 - 18:12:51 | D ] 	F:\jeux
[09/09/2010 - 23:51:50 | D ] 	F:\photo
[07/08/2010 - 14:08:43 | A | 747] 	F:\sauvevarde tomtom - .lnk
[16/08/2010 - 21:09:36 | SHD ] 	F:\System Volume Information
[27/08/2010 - 14:25:15 | A | 708812800] 	F:\ubuntu-10.04-desktop-i386-fr-juillet2010.iso
[24/08/2009 - 15:06:14 | A | 2607112] 	H:\DSC01114.JPG
[24/08/2009 - 15:06:38 | A | 2864591] 	H:\DSC01115.JPG
[24/08/2009 - 15:06:10 | A | 2826347] 	H:\DSC01113.JPG
[21/02/2007 - 10:07:50 | A | 1505386] 	H:\100_0382.JPG
[25/05/2010 - 19:16:00 | A | 183264] 	H:\Enzo_prédic.jpg
[26/04/2006 - 18:01:16 | A | 386765] 	H:\Photo 083.jpg
[24/04/2009 - 07:55:56 | A | 2794823] 	H:\DSC00101.JPG
[28/04/2009 - 15:29:50 | A | 2699038] 	H:\DSC00102.JPG
[24/04/2009 - 07:58:14 | A | 2645990] 	H:\DSC00103.JPG
[24/04/2009 - 08:07:18 | A | 2717201] 	H:\DSC00104.JPG
[24/04/2009 - 08:07:32 | A | 2757913] 	H:\DSC00105.JPG
[24/04/2009 - 08:07:52 | A | 2847045] 	H:\DSC00106.JPG
[28/04/2009 - 15:31:04 | A | 2747470] 	H:\DSC00107.JPG
[28/04/2009 - 15:31:10 | A | 2673573] 	H:\DSC00108.JPG
[28/04/2009 - 15:31:20 | A | 2602492] 	H:\DSC00110.JPG
[28/04/2009 - 15:31:24 | A | 2792185] 	H:\DSC00111.JPG
[24/04/2009 - 08:16:36 | A | 2992625] 	H:\DSC00113.JPG
[24/04/2009 - 08:17:24 | A | 2819938] 	H:\DSC00114.JPG
[24/04/2009 - 08:18:56 | A | 2908546] 	H:\DSC00115.JPG
[24/04/2009 - 08:19:18 | A | 2786069] 	H:\DSC00116.JPG
[24/04/2009 - 08:19:38 | A | 2725318] 	H:\DSC00117.JPG
[24/04/2009 - 08:20:04 | A | 2766549] 	H:\DSC00118.JPG
[28/04/2009 - 15:36:12 | A | 2746142] 	H:\DSC00120.JPG
[24/04/2009 - 06:31:56 | A | 2790116] 	H:\DSC00098.JPG
[24/04/2009 - 07:55:12 | A | 2728456] 	H:\DSC00099.JPG
[24/04/2009 - 07:55:26 | A | 3025934] 	H:\DSC00100.JPG
[28/04/2009 - 15:36:26 | A | 2945587] 	H:\DSC00123.JPG
[24/04/2009 - 08:21:54 | A | 2641734] 	H:\DSC00124.JPG
[28/04/2009 - 15:36:34 | A | 2814340] 	H:\DSC00125.JPG
[24/04/2009 - 08:25:22 | A | 2911837] 	H:\DSC00127.JPG
[28/04/2009 - 15:36:54 | A | 2719242] 	H:\DSC00132.JPG
[24/04/2009 - 08:26:58 | A | 2634904] 	H:\DSC00133.JPG
[28/04/2009 - 15:37:00 | A | 2917757] 	H:\DSC00134.JPG
[11/09/2010 - 06:43:46 | RSHD ] 	H:\RECYCLER

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_DAVID-PC.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

et encore merci de passer du temps sur mon problème

Utilisateur anonyme · Answer

Re

1)Envoie ce fichier et ensuite supprime le.
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_DAVID-PC.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution. 

2)Lance une analyse Malwaresbytes et poste moi le rapport.

3)C - Ccleaner :   

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau  
.double-cliques sur le fichier pour lancer l'installation  
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur <gras>suivant  
.lis la licence et j'accepte  
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau  et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer  
.double-cliques sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm


4)Poste moi un nouveau ZHPDiag après toutes ces manipulations;merci.

@+

bruce82 · Answer

1) c'est déjà fait ^^
2) c'est en cours
3) j'ai déjà ccleaner

et je te tiens au courant pour la suite

bruce82 · Answer

2) rapport   
Malwarebytes' Anti-Malware 1.46   
www.malwarebytes.org   

Version de la base de données: 4240   

Windows 6.1.7600   
Internet Explorer 8.0.7600.16385   

11/09/2010 16:57:02   
mbam-log-2010-09-11 (16-57-02).txt   

Type d'examen: Examen complet (C:\|E:\|F:\|)   
Elément(s) analysé(s): 518519   
Temps écoulé: 1 heure(s), 22 minute(s), 17 seconde(s)   

Processus mémoire infecté(s): 0   
Module(s) mémoire infecté(s): 0   
Clé(s) du Registre infectée(s): 3   
Valeur(s) du Registre infectée(s): 3   
Elément(s) de données du Registre infecté(s): 0   
Dossier(s) infecté(s): 0   
Fichier(s) infecté(s): 6   

Processus mémoire infecté(s):   
(Aucun élément nuisible détecté)   

Module(s) mémoire infecté(s):   
(Aucun élément nuisible détecté)   

Clé(s) du Registre infectée(s):   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{271086d1-7j8d-7c80-tdgy-52m2gbrf4l47} (Generic.Bot.H) -> Quarantined and deleted successfully.   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{65062a83-oy6b-i27u-dyud-k4153817nv35} (Generic.Bot.H) -> Quarantined and deleted successfully.   
HKEY_CURRENT_USER\Software\victim (Malware.Trace) -> Quarantined and deleted successfully.   

Valeur(s) du Registre infectée(s):   
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows live messenger (Trojan.Agent) -> Quarantined and deleted successfully.   

Elément(s) de données du Registre infecté(s):   
(Aucun élément nuisible détecté)   

Dossier(s) infecté(s):   
(Aucun élément nuisible détecté)   

Fichier(s) infecté(s):   
C:\Windows\Temp\svchost.exe (Generic.Bot.H) -> Quarantined and deleted successfully.   
C:\Users\david\AppData\Roaming\Temps\svchost.exe (Generic.Bot.H) -> Quarantined and deleted successfully.   
C:\Users\david\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.   
C:\Users\david\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.   
C:\Users\david\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.   
C:\Users\david\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.  

3) pour l'analyse dans "nettoyeur" le message : Vous devez fermer Firefox/Mozilla afin de pouvoir nettoyer le cache. Sinon le nettoyage du cache sera ignoré  
est toujours la sniffff  
et il y a toujours un petit peu de "system - fichiers temporaire" 

Ensuite dans corriger les erreur  de "registre", voici un message :Le fichier référencé dans C:\Users\david\Downloads\UsbFix.exe ne peut être localisé. Ce genre de référence est souvent laissé après la désinstallation d'un programme.  

 Solution : effacer la valeur du registre. 


je te post ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201009/cijFEE7ohU.txt

Utilisateur anonyme · Answer

Re

Je viens de relire ton premier post ;c'est après passage ce Ccleaner que Firefox s'est mis en route?

@+

Utilisateur anonyme · Answer

Re

Viens tu d'installer Firefox?

Utilisateur anonyme · Answer

Re

A partir de quel site l'as tu téléchargé?

Utilisateur anonyme · Answer

Re

Poste moi un nouveau ZHPDiag;merci.
@+

bruce82 · Answer

comme tu voudras http://www.cijoint.fr/cjlink.php?file=cj201009/cijTxrqfBQ.txt

au fait j'aimerais apprendre a déverroller comme toi ; as tu des conseil ou des tuto a me filer ?

Utilisateur anonyme · Answer

re

Ok ,encore infecté ;(

Passons à un autre utilitaire pour essayer de trouver et d'éradiquer cette vérole.
pour cela:

*	Télécharge  http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en cours de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenu de cette citation dans la partie inférieure d'OTL "Personnalisation"

---------------------------------------------------------------------------
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
Winlogon.exe
Explorer.exe
Firefox.exe
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
-------------------------------------------------------------------------
* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

@+

bruce82 · Answer

et voici le rapport http://www.cijoint.fr/cjlink.php?file=cj201009/cijZjDg6cw.txt 

et celui la c'est "extra" http://www.cijoint.fr/cjlink.php?file=cj201009/cijUeqVepz.txt

Et encore merci de ton aide et du temps que tu passes pour régler le problème

Utilisateur anonyme · Answer

Bonjour

Je viens de constater que tu avais passé Malwaresbytes mais s'en l'avoir mis à jour.Fait le et lance une nouvelle analyse et poste moi le rapport;merci.

@+

bruce82 · Answer

up

Utilisateur anonyme · Answer

Bonsoir

J'attends le rapport Malwaresbytes et rien d'autre...

@+

bruce82 · Answer

des nouvelles?

bruce82 · Answer

Pour retrouver les noms des disques dur j'ai suivi ça https://forum.pcastuces.com/impossible_de_renommer_les_partitions-f3s3625.htm

Utilisateur anonyme · Answer

Bonsoir


Tu as installé cacaoweb?


- Utilsation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
-----------------------------------------------------------------------------------------------
[MD5.1755603E15D16D1154F7E039D3445EBC] - (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\cacaoweb\cacaoweb.exe   [305664]     
O4 - HKLM\..\Run: [Windows Defender] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe     
O4 - HKLM\..\Run: [Windows live messenger] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\Temps\svchost.exe     
O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\cacaoweb\cacaoweb.exe     
O4 - HKLM\..\Wow6432Node\Run: [Windows Defender] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe     
O4 - HKLM\..\Wow6432Node\Run: [Windows live messenger] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\Temps\svchost.exe 
O4 - HKLM\..\policies\Explorer\Run: [Policies] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe     
O4 - HKCU\..\policies\Explorer\Run: [Policies] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe     
O4 - HKUS\S-1-5-21-1959038664-1541212692-498172706-1001\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\cacaoweb\cacaoweb.exe     
O40 - ASIC: (no name) - {271086D1-7J8D-7C80-TDGY-52M2GBRF4L47} . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe     
O40 - ASIC: (no name) - {65062A83-OY6B-I27U-DYUD-K4153817NV35} . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\Temps\svchost.exe     
[HKCU\Software\cacaoweb]     


-------------------------------------------------------------------------------------------------
Puis lance  ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe  
 « Exécuter en tant qu'administrateur »
. 

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaîtrent. 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK 

> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide.  Ne touche plus à rien !  

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées. 

* Enfin clique sur le bouton [ Nettoyer]. 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 

Pense à réactiver tes défenses !...

A+

bruce82 · Answer

oui j'ais installer cacaoweb récemment :(

voici le rapport 
Rapport de ZHPFix v1.12.3148 par Nicolas Coolman, Update du 09/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-13-09-2010-22-18-06.txt
Run by david at 13/09/2010 22:17:59
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Users\david\AppData\Roaming\cacaoweb\cacaoweb.exe [305664]  => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O40 - ASIC: (no name) - {271086D1-7J8D-7C80-TDGY-52M2GBRF4L47} . (.) -- C:\Windows\Temp\svchost.exe  => Clé supprimée avec succès
O40 - ASIC: (no name) - {65062A83-OY6B-I27U-DYUD-K4153817NV35} . (.) -- C:\Users\david\AppData\Roaming\Temps\svchost.exe  => Clé supprimée avec succès
HKCU\Software\cacaoweb  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Windows Defender] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Windows live messenger] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\Temps\svchost.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\cacaoweb\cacaoweb.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [Windows Defender] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe  => Valeur absente
O4 - HKLM\..\Wow6432Node\Run: [Windows live messenger] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\Temps\svchost.exe  => Valeur absente
O4 - HKLM\..\policies\Explorer\Run: [Policies] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe  => Valeur supprimée avec succès
O4 - HKCU\..\policies\Explorer\Run: [Policies] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-1959038664-1541212692-498172706-1001\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\cacaoweb\cacaoweb.exe  => Valeur absente

========== Fichier(s) ==========
c:\windows	emp\svchost.exe  => Fichier supprimé au reboot
c:\users\david\appdataoaming	emps\svchost.exe  => Fichier supprimé au reboot


========== Récapitulatif ==========
1 : Processus mémoire
3 : Clé(s) du Registre
8 : Valeur(s) du Registre
2 : Fichier(s)


End of the scan


je dois redémarrer

bruce82 · Answer

firefox reste toujours ouvert :(

Utilisateur anonyme · Answer

Bonsoir

Tu as du redémarré ;poste moi un nouveau rapport ZHPDiag;merci.

@+

bruce82 · Answer

voila http://www.cijoint.fr/cjlink.php?file=cj201009/cijEWvDufF.txt

je sens que les chose avance avira a détecté un trojan que j'ais tout de suite supprimer ^^

bruce82 · Answer

MERCI guillaume5186, je suis un boulet ... j'ai trouvé la solution ^^
J'étais bien infecté mais je ne faisait pas l'analyse malwarebyte en mode sans échec :(    je sais c'est MAL. Je viens d'y penser hop je lance l'analyse il trouve 13 fichier infecté...supprimer, reboot en normal et c'est fini firefox tourne du tonnerre


:D  :D  :D


merci de ton soutien et de ton aide, et surtout SURTOUT de ta patience et du temps que tu m'as accordé.

Utilisateur anonyme · Answer

Bonsoir


Lance une analyse complète de ton PC et poste moi son rapport;merci.

@+

bruce82 · Answer

salut ;)
avec ZHP ou malwarebytes?

Utilisateur anonyme · Answer

Bonsoir

Il te faut désinstaller tous ces outils de désinfection.

Il te faut passer Ccleaner pour nettoyer toutes les traces.

Il te faut purger ta restauration pour éviter toute ré infection en cas de restauration.

@+

bruce82 · Answer

tout est fait ^^
merci a toi

Infecté? firefox.exe

28 réponses

Discussions similaires

Newsletters