Infecté? firefox.exe

Résolu
bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   -  
bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,

depuis 2/3 jours je remarque certain ralentissement de mon pc. Ps de panique je lance un coup de ccleaner et la surprise mozilla semble ouvert tandis que je n'ai ouvert aucune fenetre internet. Je vais voir ldans le gestionnaire des tache et la effectivement j'ai firefox.exe *32 (je précise je suis en windows 7 64bits) ; je le sélectionne fin de tache .... et il revient ???

Je suis ouvert a toute les idées possible
j'ai fait un scan malwarebytes pas de succès, antivir non plus

Merci de votre aide ^^

28 réponses

  • 1
  • 2
Résumé de la discussion

Des ralentissements apparaissent et firefox.exe *32 se relance malgré l’arrêt via le Gestionnaire des tâches, sur Windows 7 64 bits, ce qui indique une infection potentielle et une nécessité d’outils de décontamination.
Plusieurs solutions ont été proposées, notamment l’analyse en mode sans échec et un scan Malwarebytes qui a détecté des fichiers malveillants et permis leur suppression, améliorant sensiblement les performances.
D’autres outils recommandés, tels que ZHPDiag, OTL et UsbFix, servent à identifier les traces d’infection, générer des rapports et guider le nettoyage approfondi avant rétablissement du fonctionnement normal.
Note technique: certains antivirus signalent Process.exe comme RiskTool, ce qui peut compliquer les nettoyages et justifie l’emploi d’outils dédiés et d’analyses en bonne et due forme, puis un redémarrage pour confirmer.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonsoir

    Pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Ou

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://www.cijoint.fr/index.php
    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    A+
    0
    1. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
       
      ok je fais ça quand j'ai le temps et je te tiens au courant demain apres midi au pire
      0
    2. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
       
      bon j'ais eu le temps de le faire ^^ http://www.cijoint.fr/cjlink.php?file=cj201009/cijDRj1j9N.txt

      merci de m'aider ^^
      0
  2. Utilisateur anonyme
     
    Re

    # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Télécharge et install UsbFix de El Desaparecido , C_XX & Chimay8
    Ici : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

    Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    # Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau.

    # Choisi Suppression

    # Laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaîtra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

    (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    @+

    0
  3. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
     
    bon alors voila firefox est toujours ouvert meme sans l'ouvrir :(, et tout mes icone ont disparu après usbfix, j'ai du faire altCtrlSupr pour redémarrer l'ordi (c'est un détail mais cela peut t'aider ....)

    voici le rapport

    ############################## | UsbFix 7.024 | [Suppression]

    Utilisateur: david (Administrateur) # DAVID-PC [System manufacturer System Product Name]
    Mis à jour le 09/09/10 par El Desaparecido / C_XX
    Lancé à 14:37:06 | 11/09/2010
    Site Web: http://www.teamxscript.org
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
    CPU 2: Intel(R) Core(TM) i5 CPU 750 @ 2.67GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #
    Internet Explorer 8.0.7600.16385

    Pare-feu Windows: Activé
    RAM -> 4087 Mo
    C:\ (%systemdrive%) -> Disque fixe # 298 Go (103 Go libre(s) - 35%) [boss] # NTFS
    D:\ -> Disque fixe # 100 Mo (70 Mo libre(s) - 70%) [System Reserved] # NTFS
    E:\ -> Disque fixe # 466 Go (203 Go libre(s) - 44%) [mini boss] # NTFS
    F:\ -> Disque fixe # 466 Go (321 Go libre(s) - 69%) [Archive] # NTFS
    H:\ -> Disque amovible # 7 Go (7 Go libre(s) - 99%) [USB2] # FAT32
    I:\ -> CD-ROM
    J:\ -> CD-ROM
    R:\ -> CD-ROM

    ################## | Éléments infectieux |

    Supprimé! C:\Users\david\AppData\Roaming\logs.dat
    Supprimé! C:\Users\david\AppData\Local\Temp\UuU.uUu
    Supprimé! C:\Users\david\AppData\Local\Temp\XxX.xXx
    Supprimé! C:\Users\david\AppData\Local\Temp\xxxyyyzzz.dat
    Supprimé! H:\Autorun.inf

    ################## | Registre |

    Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d75bfb59-287e-11df-86e2-90e6ba194596}

    ################## | Listing |

    [11/09/2010 - 14:42:06 | SHD ] C:\$Recycle.Bin
    [06/08/2010 - 14:26:14 | A | 2898] C:\aqua_bitmap.cpp
    [10/02/2010 - 18:27:40 | HD ] C:\ASUS.000
    [30/06/2010 - 20:45:36 | HD ] C:\ASUS.001
    [05/03/2010 - 15:17:41 | HD ] C:\ASUS.SYS
    [18/01/2010 - 13:12:25 | D ] C:\ATI
    [20/03/2009 - 17:42:25 | A | 24] C:\autoexec.bat
    [05/03/2010 - 14:44:03 | SHD ] C:\Boot
    [14/07/2009 - 03:38:58 | RASH | 383562] C:\bootmgr
    [05/03/2010 - 14:44:04 | RASH | 8192] C:\BOOTSECT.BAK
    [20/03/2009 - 17:42:25 | A | 10] C:\config.sys
    [14/07/2009 - 07:08:56 | SHD ] C:\Documents and Settings
    [24/12/2009 - 07:25:34 | D ] C:\drivers
    [05/01/2010 - 22:32:58 | HD ] C:\dvmexp
    [11/09/2010 - 12:44:34 | H | 338] C:\dvmexp.idx
    [07/11/2007 - 08:00:40 | A | 17734] C:\eula.1028.txt
    [07/11/2007 - 08:00:40 | A | 17734] C:\eula.1031.txt
    [07/11/2007 - 08:00:40 | A | 10134] C:\eula.1033.txt
    [07/11/2007 - 08:00:40 | A | 17734] C:\eula.1036.txt
    [07/11/2007 - 08:00:40 | A | 17734] C:\eula.1040.txt
    [07/11/2007 - 08:00:40 | A | 118] C:\eula.1041.txt
    [07/11/2007 - 08:00:40 | A | 17734] C:\eula.1042.txt
    [07/11/2007 - 08:00:40 | A | 17734] C:\eula.2052.txt
    [07/11/2007 - 08:00:40 | A | 17734] C:\eula.3082.txt
    [07/11/2007 - 08:00:40 | A | 1110] C:\globdata.ini
    [15/04/2010 - 01:11:05 | RSH | 204528] C:\grldr
    [11/09/2010 - 14:34:55 | ASH | 3214188544] C:\hiberfil.sys
    [07/11/2007 - 08:03:18 | A | 562688] C:\install.exe
    [07/11/2007 - 08:00:40 | A | 843] C:\install.ini
    [07/11/2007 - 08:03:18 | A | 76304] C:\install.res.1028.dll
    [07/11/2007 - 08:03:18 | A | 96272] C:\install.res.1031.dll
    [07/11/2007 - 08:03:18 | A | 91152] C:\install.res.1033.dll
    [07/11/2007 - 08:03:18 | A | 97296] C:\install.res.1036.dll
    [07/11/2007 - 08:03:18 | A | 95248] C:\install.res.1040.dll
    [07/11/2007 - 08:03:18 | A | 81424] C:\install.res.1041.dll
    [07/11/2007 - 08:03:18 | A | 79888] C:\install.res.1042.dll
    [07/11/2007 - 08:03:18 | A | 75792] C:\install.res.2052.dll
    [07/11/2007 - 08:03:18 | A | 96272] C:\install.res.3082.dll
    [24/12/2009 - 16:39:27 | D ] C:\Intel
    [30/12/2009 - 14:12:23 | RASH | 0] C:\IO.SYS
    [04/04/2010 - 21:24:05 | A | 178] C:\lxbk.log
    [30/12/2009 - 14:12:23 | RASH | 0] C:\MSDOS.SYS
    [12/02/2010 - 20:14:33 | RHD ] C:\MSOCache
    [29/02/2004 - 17:44:34 | A | 52576] C:\orange.bmp
    [11/09/2010 - 14:34:57 | ASH | 4285587456] C:\pagefile.sys
    [14/07/2009 - 05:20:08 | D ] C:\PerfLogs
    [10/04/2010 - 11:20:27 | A | 55] C:\plugin.ini
    [09/09/2010 - 00:48:44 | RD ] C:\Program Files
    [10/09/2010 - 22:45:12 | RD ] C:\Program Files (x86)
    [09/09/2010 - 10:06:51 | HD ] C:\ProgramData
    [24/12/2009 - 16:40:53 | D ] C:\RaidTool
    [05/03/2010 - 14:58:16 | SHD ] C:\Recovery
    [31/07/2010 - 13:23:52 | D ] C:\Root
    [05/03/2010 - 15:17:53 | H | 57] C:\splash.idx
    [10/09/2010 - 18:57:45 | SHD ] C:\System Volume Information
    [28/04/2010 - 20:13:56 | HD ] C:\temp
    [11/09/2010 - 14:42:06 | D ] C:\UsbFix
    [11/09/2010 - 14:37:08 | A | 4504] C:\UsbFix.txt
    [09/03/2010 - 02:36:12 | RD ] C:\Users
    [07/11/2007 - 08:00:40 | A | 5686] C:\vcredist.bmp
    [07/11/2007 - 08:09:22 | A | 1442522] C:\VC_RED.cab
    [07/11/2007 - 08:12:28 | A | 232960] C:\VC_RED.MSI
    [30/07/2009 - 22:07:16 | AH | 9392] C:\version
    [10/04/2010 - 11:52:46 | A | 64575] C:\vraylog.txt
    [10/04/2010 - 10:52:41 | A | 109] C:\VRSpawner.log
    [10/09/2010 - 21:17:39 | D ] C:\Windows
    [05/03/2010 - 14:35:51 | D ] C:\Windows.old
    [11/09/2010 - 14:42:06 | SHD ] D:\$RECYCLE.BIN
    [24/12/2009 - 06:09:45 | SHD ] D:\Boot
    [22/04/2009 - 07:28:23 | RASH | 383200] D:\bootmgr
    [24/12/2009 - 06:09:46 | RASH | 8192] D:\BOOTSECT.BAK
    [07/07/2010 - 21:08:42 | RSH | 204528] D:\grldr
    [07/02/2010 - 20:49:28 | SHD ] D:\System Volume Information
    [11/09/2010 - 14:42:06 | SHD ] E:\$RECYCLE.BIN
    [29/12/2009 - 12:03:54 | A | 2085586] E:\13 Silk Route Suite- Juntos (Together) [Rumba].wma
    [20/01/2010 - 20:35:59 | D ] E:\Activision
    [04/08/2010 - 11:44:04 | SH | 3032] E:\AlbumArtSmall.jpg
    [04/04/2010 - 20:54:43 | SH | 9549] E:\AlbumArt_{9B773B33-2276-4A82-BCC6-F55D1D3E924A}_Large.jpg
    [04/04/2010 - 20:54:43 | SH | 2210] E:\AlbumArt_{9B773B33-2276-4A82-BCC6-F55D1D3E924A}_Small.jpg
    [04/08/2010 - 11:44:04 | SH | 12284] E:\AlbumArt_{ED272D1E-D695-4E3C-BF93-219EEC8E6833}_Large.jpg
    [04/08/2010 - 11:44:04 | SH | 3032] E:\AlbumArt_{ED272D1E-D695-4E3C-BF93-219EEC8E6833}_Small.jpg
    [18/08/2010 - 08:55:44 | D ] E:\cv sandrine
    [28/05/2010 - 14:52:45 | D ] E:\david
    [04/08/2010 - 11:44:04 | SH | 352] E:\desktop.ini
    [04/04/2010 - 12:57:12 | D ] E:\diaporama bi
    [04/08/2010 - 11:44:04 | SH | 12284] E:\Folder.jpg
    [10/09/2010 - 00:25:14 | D ] E:\game
    [19/01/2010 - 01:11:25 | D ] E:\guitar
    [04/04/2010 - 20:54:15 | D ] E:\guitare
    [31/05/2010 - 18:10:05 | D ] E:\illustrator
    [31/05/2010 - 18:17:10 | D ] E:\InDesign
    [12/12/2009 - 18:47:45 | A | 1611459809] E:\Le mariage de XXXX.wmv
    [05/05/2010 - 17:53:16 | D ] E:\logiciel
    [05/05/2010 - 18:08:15 | D ] E:\logiciel XXXX
    [29/04/2010 - 16:38:32 | D ] E:\mariage
    [25/03/2010 - 08:12:46 | RA | 528] E:\MediaID.bin
    [05/05/2010 - 14:43:03 | D ] E:\musique XXXX
    [05/03/2010 - 14:21:33 | D ] E:\pes
    [31/05/2010 - 18:06:36 | D ] E:\photoshop cs4
    [31/05/2010 - 19:48:09 | D ] E:\police
    [01/06/2010 - 21:04:37 | D ] E:\pps
    [30/12/2009 - 12:44:22 | A | 4041238] E:\Ronan Keating - Nothing At All.MP3
    [06/08/2010 - 17:27:41 | D ] E:\réglement
    [08/06/2010 - 14:11:07 | D ] E:\XXXX
    [07/08/2010 - 14:06:51 | D ] E:\sauvevarde tomtom
    [02/03/2010 - 09:01:58 | D ] E:\savegame
    [19/08/2010 - 21:21:08 | D ] E:\son
    [25/05/2010 - 22:14:54 | SHD ] E:\System Volume Information
    [31/05/2010 - 20:36:36 | D ] E:\tuto
    [23/03/2010 - 15:53:02 | D ] E:\web
    [15/04/2010 - 01:14:54 | D ] E:\windows
    [27/04/2010 - 19:07:49 | D ] E:\wordpress-2.9.2-fr_FR
    [11/09/2010 - 14:42:06 | SHD ] F:\$RECYCLE.BIN
    [18/08/2010 - 12:56:45 | D ] F:\boulot
    [06/09/2010 - 14:58:07 | D ] F:\crow
    [16/08/2010 - 18:14:01 | D ] F:\film
    [16/08/2010 - 18:12:51 | D ] F:\jeux
    [09/09/2010 - 23:51:50 | D ] F:\photo
    [07/08/2010 - 14:08:43 | A | 747] F:\sauvevarde tomtom - .lnk
    [16/08/2010 - 21:09:36 | SHD ] F:\System Volume Information
    [27/08/2010 - 14:25:15 | A | 708812800] F:\ubuntu-10.04-desktop-i386-fr-juillet2010.iso
    [24/08/2009 - 15:06:14 | A | 2607112] H:\DSC01114.JPG
    [24/08/2009 - 15:06:38 | A | 2864591] H:\DSC01115.JPG
    [24/08/2009 - 15:06:10 | A | 2826347] H:\DSC01113.JPG
    [21/02/2007 - 10:07:50 | A | 1505386] H:\100_0382.JPG
    [25/05/2010 - 19:16:00 | A | 183264] H:\Enzo_prédic.jpg
    [26/04/2006 - 18:01:16 | A | 386765] H:\Photo 083.jpg
    [24/04/2009 - 07:55:56 | A | 2794823] H:\DSC00101.JPG
    [28/04/2009 - 15:29:50 | A | 2699038] H:\DSC00102.JPG
    [24/04/2009 - 07:58:14 | A | 2645990] H:\DSC00103.JPG
    [24/04/2009 - 08:07:18 | A | 2717201] H:\DSC00104.JPG
    [24/04/2009 - 08:07:32 | A | 2757913] H:\DSC00105.JPG
    [24/04/2009 - 08:07:52 | A | 2847045] H:\DSC00106.JPG
    [28/04/2009 - 15:31:04 | A | 2747470] H:\DSC00107.JPG
    [28/04/2009 - 15:31:10 | A | 2673573] H:\DSC00108.JPG
    [28/04/2009 - 15:31:20 | A | 2602492] H:\DSC00110.JPG
    [28/04/2009 - 15:31:24 | A | 2792185] H:\DSC00111.JPG
    [24/04/2009 - 08:16:36 | A | 2992625] H:\DSC00113.JPG
    [24/04/2009 - 08:17:24 | A | 2819938] H:\DSC00114.JPG
    [24/04/2009 - 08:18:56 | A | 2908546] H:\DSC00115.JPG
    [24/04/2009 - 08:19:18 | A | 2786069] H:\DSC00116.JPG
    [24/04/2009 - 08:19:38 | A | 2725318] H:\DSC00117.JPG
    [24/04/2009 - 08:20:04 | A | 2766549] H:\DSC00118.JPG
    [28/04/2009 - 15:36:12 | A | 2746142] H:\DSC00120.JPG
    [24/04/2009 - 06:31:56 | A | 2790116] H:\DSC00098.JPG
    [24/04/2009 - 07:55:12 | A | 2728456] H:\DSC00099.JPG
    [24/04/2009 - 07:55:26 | A | 3025934] H:\DSC00100.JPG
    [28/04/2009 - 15:36:26 | A | 2945587] H:\DSC00123.JPG
    [24/04/2009 - 08:21:54 | A | 2641734] H:\DSC00124.JPG
    [28/04/2009 - 15:36:34 | A | 2814340] H:\DSC00125.JPG
    [24/04/2009 - 08:25:22 | A | 2911837] H:\DSC00127.JPG
    [28/04/2009 - 15:36:54 | A | 2719242] H:\DSC00132.JPG
    [24/04/2009 - 08:26:58 | A | 2634904] H:\DSC00133.JPG
    [28/04/2009 - 15:37:00 | A | 2917757] H:\DSC00134.JPG
    [11/09/2010 - 06:43:46 | RSHD ] H:\RECYCLER

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_DAVID-PC.zip
    https://www.ionos.fr/?affiliate_id=77097
    Merci de votre contribution.

    ################## | E.O.F |

    et encore merci de passer du temps sur mon problème
    0
  4. Utilisateur anonyme
     
    Re

    1)Envoie ce fichier et ensuite supprime le.
    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_DAVID-PC.zip
    https://www.ionos.fr/?affiliate_id=77097
    Merci de votre contribution.


    2)Lance une analyse Malwaresbytes et poste moi le rapport.

    3)C - Ccleaner :

    https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

    .enregistres le sur le bureau
    .double-cliques sur le fichier pour lancer l'installation
    .sur la fenêtre de l'installation langage bien choisir français et OK
    .cliques sur <gras>suivant

    .lis la licence et j'accepte
    .cliques sur suivant
    .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
    .cliques sur installer
    .cliques sur fermer
    .double-cliques sur l'icône de Ccleaner pour l'ouvrir
    .une fois ouvert tu cliques sur option et puis avancé
    .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
    .cliques sur nettoyeur
    .cliques sur windows et dans la colonne avancé
    . coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
    .cliques sur analyse une fois l'analyse terminé
    .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
    .clique maintenant sur registre et puis sur rechercher les erreurs
    .laisse tout coché et clique sur réparer les erreurs sélectionnées
    .il te demande de sauvegarder OUI
    .tu lui donnes un nom pour pouvoir la retrouver et enregistre
    .clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
    .il supprime et fermé tu vérifies en relançant rechercher les erreurs
    .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
    .tu peux fermer Ccleaner.

    Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm

    4)Poste moi un nouveau ZHPDiag après toutes ces manipulations;merci.

    @+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
     
    1) c'est déjà fait ^^
    2) c'est en cours
    3) j'ai déjà ccleaner

    et je te tiens au courant pour la suite
    0
  7. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
     
    2) rapport
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4240

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    11/09/2010 16:57:02
    mbam-log-2010-09-11 (16-57-02).txt

    Type d'examen: Examen complet (C:\|E:\|F:\|)
    Elément(s) analysé(s): 518519
    Temps écoulé: 1 heure(s), 22 minute(s), 17 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 3
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 6

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{271086d1-7j8d-7c80-tdgy-52m2gbrf4l47} (Generic.Bot.H) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{65062a83-oy6b-i27u-dyud-k4153817nv35} (Generic.Bot.H) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\victim (Malware.Trace) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows live messenger (Trojan.Agent) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\Temp\svchost.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
    C:\Users\david\AppData\Roaming\Temps\svchost.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
    C:\Users\david\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
    C:\Users\david\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Users\david\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.
    C:\Users\david\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.

    3) pour l'analyse dans "nettoyeur" le message : Vous devez fermer Firefox/Mozilla afin de pouvoir nettoyer le cache. Sinon le nettoyage du cache sera ignoré
    est toujours la sniffff
    et il y a toujours un petit peu de "system - fichiers temporaire"

    Ensuite dans corriger les erreur de "registre", voici un message :Le fichier référencé dans C:\Users\david\Downloads\UsbFix.exe ne peut être localisé. Ce genre de référence est souvent laissé après la désinstallation d'un programme.

    Solution : effacer la valeur du registre.

    je te post ZHPDiag
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijFEE7ohU.txt
    0
  8. Utilisateur anonyme
     
    Re

    Je viens de relire ton premier post ;c'est après passage ce Ccleaner que Firefox s'est mis en route?

    @+
    0
    1. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
       
      non mais c'est a ce moment la ou j'ais constater que firefox était toujours ouvert.... en fait dès le démarrage du pc il est ouvert, alors que je ne l'ai pas encore ouvert une seule fois

      la bonne nouvelle c'est que cette fois malwarebytes a trouvé des trucs ... et supprimer c'est un bon début :D
      0
  9. Utilisateur anonyme
     
    Re

    Viens tu d'installer Firefox?
    0
    1. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
       
      en fait quand j'ais vu que firefox était constament ouvert.... je me suis dis que j'avais mal installer un plugin ou un truc du genre. Donc j'ais tout d'abord désintaller firefox pour en réinstaller un nouveau. Et là il est resté fermé genre 1 ou 2 heure, puis retour a la case départ. Donc oui j'ai installer un firefox hier ou avant hier
      0
  10. Utilisateur anonyme
     
    Re

    A partir de quel site l'as tu téléchargé?
    0
    1. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
       
      je ne pense pas que le problème vient de la puisqu'il était présent avant, mais voici le lien http://www.mozilla-europe.org/fr/firefox/
      0
  11. Utilisateur anonyme
     
    Re

    Poste moi un nouveau ZHPDiag;merci.
    @+
    0
  12. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
     
    comme tu voudras http://www.cijoint.fr/cjlink.php?file=cj201009/cijTxrqfBQ.txt

    au fait j'aimerais apprendre a déverroller comme toi ; as tu des conseil ou des tuto a me filer ?
    0
  13. Utilisateur anonyme
     
    re

    Ok ,encore infecté ;(

    Passons à un autre utilitaire pour essayer de trouver et d'éradiquer cette vérole.
    pour cela:

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.

    * Fait un double-clic sur l'icône d'OTL pour le lancer
    /!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

    * Assure toi d'avoir fermé toutes les applications en cours de fonctionnement.

    * Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

    * Copies et colles le contenu de cette citation dans la partie inférieure d'OTL "Personnalisation"

    ---------------------------------------------------------------------------
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    cdrom.sys
    disk.sys
    ndis.sys
    mountmgr.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    Winlogon.exe
    Explorer.exe
    Firefox.exe
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT
    -------------------------------------------------------------------------
    * Cliques sur l'icône "Analyse" (en haut à gauche) .
    * Laisse le scan aller à son terme sans te servir du PC
    * A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
    * Copie et colle le ou les rapports dans ta réponse stp...
    * Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

    @+
    0
  14. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
     
    et voici le rapport http://www.cijoint.fr/cjlink.php?file=cj201009/cijZjDg6cw.txt

    et celui la c'est "extra" http://www.cijoint.fr/cjlink.php?file=cj201009/cijUeqVepz.txt

    Et encore merci de ton aide et du temps que tu passes pour régler le problème
    0
  15. Utilisateur anonyme
     
    Bonjour

    Je viens de constater que tu avais passé Malwaresbytes mais s'en l'avoir mis à jour.Fait le et lance une nouvelle analyse et poste moi le rapport;merci.

    @+
    0
    1. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
       
      ok je fais ça. Par contre depuis oldtimer je ne peux plus renommer mes disques dur, y a t il une solution ?
      0
    2. Utilisateur anonyme
       
      Re

      Je ne vois pas en quoi OTL est responsable de cela...

      @+
      0
    3. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
       
      si ce n'est pas ça c'est usbfix ... car zhp je suis sur qu'il a gardé le nom de mes disque dur
      0
    4. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
       
      ce qui est bizarre c'est que dans gestion des diques les nom n'ont pas changé !!!
      0
  16. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
     
    up
    0
  17. Utilisateur anonyme
     
    Bonsoir

    J'attends le rapport Malwaresbytes et rien d'autre...

    @+
    0
    1. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
       
      ah oui pardon le voici :
      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 4599

      Windows 6.1.7600
      Internet Explorer 8.0.7600.16385

      12/09/2010 13:16:15
      mbam-log-2010-09-12 (13-16-15).txt

      Type d'examen: Examen complet (C:\|E:\|F:\|)
      Elément(s) analysé(s): 528891
      Temps écoulé: 3 heure(s), 34 minute(s), 51 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 3
      Valeur(s) du Registre infectée(s): 3
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 8

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{271086d1-7j8d-7c80-tdgy-52m2gbrf4l47} (Generic.Bot.H) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{65062a83-oy6b-i27u-dyud-k4153817nv35} (Generic.Bot.H) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\victim (Malware.Trace) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows live messenger (Trojan.Agent) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Windows\Temp\svchost.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
      C:\Users\david\AppData\Roaming\Temps\svchost.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
      F:\jeux\origine\Napoleon Total War [PC-DVD][Multi8][Spanish][www.consolasatope.com]\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Not selected for removal.
      F:\jeux\origine\Napoleon Total War [PC-DVD][Multi8][Spanish][www.consolasatope.com]\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Not selected for removal.
      C:\Users\david\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
      C:\Users\david\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
      C:\Users\david\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.
      C:\Users\david\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.
      0
    2. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
       
      et pour les nom des disques dur tu as une idées ?
      0
  18. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
     
    des nouvelles?
    0
  19. Utilisateur anonyme
     
    Bonsoir

    Tu as installé cacaoweb?

    - Utilsation de l'outil ZHPFix :

    * Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
    -----------------------------------------------------------------------------------------------
    [MD5.1755603E15D16D1154F7E039D3445EBC] - (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\cacaoweb\cacaoweb.exe [305664]
    O4 - HKLM\..\Run: [Windows Defender] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe
    O4 - HKLM\..\Run: [Windows live messenger] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\Temps\svchost.exe
    O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\cacaoweb\cacaoweb.exe
    O4 - HKLM\..\Wow6432Node\Run: [Windows Defender] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe
    O4 - HKLM\..\Wow6432Node\Run: [Windows live messenger] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\Temps\svchost.exe
    O4 - HKLM\..\policies\Explorer\Run: [Policies] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe
    O4 - HKCU\..\policies\Explorer\Run: [Policies] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe
    O4 - HKUS\S-1-5-21-1959038664-1541212692-498172706-1001\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\cacaoweb\cacaoweb.exe
    O40 - ASIC: (no name) - {271086D1-7J8D-7C80-TDGY-52M2GBRF4L47} . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe
    O40 - ASIC: (no name) - {65062A83-OY6B-I27U-DYUD-K4153817NV35} . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\Temps\svchost.exe
    [HKCU\Software\cacaoweb]

    -------------------------------------------------------------------------------------------------
    Puis lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
    « Exécuter en tant qu'administrateur »
    .

    * Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaîtrent.

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton [ OK

    > À ce moment là, il apparaîtra au début de chaque ligne une petite case vide. Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

    * Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées.

    * Enfin clique sur le bouton [ Nettoyer].

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

    Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

    Pense à réactiver tes défenses !...

    A+

    0
  20. bruce82 Messages postés 3307 Date d'inscription   Statut Membre Dernière intervention   367
     
    oui j'ais installer cacaoweb récemment :(

    voici le rapport
    Rapport de ZHPFix v1.12.3148 par Nicolas Coolman, Update du 09/09/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-13-09-2010-22-18-06.txt
    Run by david at 13/09/2010 22:17:59
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Processus mémoire ==========
    C:\Users\david\AppData\Roaming\cacaoweb\cacaoweb.exe [305664] => Supprimé et mis en quarantaine

    ========== Clé(s) du Registre ==========
    O40 - ASIC: (no name) - {271086D1-7J8D-7C80-TDGY-52M2GBRF4L47} . (.) -- C:\Windows\Temp\svchost.exe => Clé supprimée avec succès
    O40 - ASIC: (no name) - {65062A83-OY6B-I27U-DYUD-K4153817NV35} . (.) -- C:\Users\david\AppData\Roaming\Temps\svchost.exe => Clé supprimée avec succès
    HKCU\Software\cacaoweb => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O4 - HKLM\..\Run: [Windows Defender] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [Windows live messenger] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\Temps\svchost.exe => Valeur supprimée avec succès
    O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Wow6432Node\Run: [Windows Defender] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe => Valeur absente
    O4 - HKLM\..\Wow6432Node\Run: [Windows live messenger] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\Temps\svchost.exe => Valeur absente
    O4 - HKLM\..\policies\Explorer\Run: [Policies] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe => Valeur supprimée avec succès
    O4 - HKCU\..\policies\Explorer\Run: [Policies] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-21-1959038664-1541212692-498172706-1001\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\david\AppData\Roaming\cacaoweb\cacaoweb.exe => Valeur absente

    ========== Fichier(s) ==========
    c:\windows\temp\svchost.exe => Fichier supprimé au reboot
    c:\users\david\appdata\roaming\temps\svchost.exe => Fichier supprimé au reboot

    ========== Récapitulatif ==========
    1 : Processus mémoire
    3 : Clé(s) du Registre
    8 : Valeur(s) du Registre
    2 : Fichier(s)

    End of the scan

    je dois redémarrer
    0
  • 1
  • 2