Grosse infection

Résolu
trebiac Messages postés 206 Statut Membre -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

En surfant j'ai une fenêtre Java qui est apparue, comme une mise à jour puis un message m'informant d'une infection.

En gros, comme un fond d'écran, j'ai « YOUR SYSTEM IS INFECTED ! System has been stopped due to a serious malfinction. Spyware activity has been detected.
It is recommended to use spyware removal tool to prevent data loss.
Do not run any application before all spyware removed."

J'ai voulu passer Malwarebyte, la mise à jour a fonctionné mais après quelques secondes de scan il s'est fermé. Idem pour spybot et hijack.
Après un redémarrage c'est la protection résidente d'avast qui s'est coupée.

Impossible de les relancer, les chemins ne seraient plus valides !!!

Au redémarrage un message m'annonçait que j'étais infecté par « worm.win32.netsky », virus de force 5 sur un échelle de 0 à 5...

Maintenant j'ai un pseudo antivirus avec un logo comme celui du centre de protection windows qui me trouve 16 trojan mais pour les supprimer il me faut un mot de passe, indiquer mon mail ...

Enfin j'ai du net, je peux ouvrir les pages qui sont dans mes favoris mais pas google que j'ai en page d'accueil.

Comment faire ?

Un coup de main serait le bien venu !

Merci d'avance



--
Le piano, c'est l'accordéon des riches

41 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection logicielle apparaît après l'affichage d'une fenêtre d'alerte 'YOUR SYSTEM IS INFECTED', et des symptômes incluent des outils de sécurité désactivés et un avertissement Netsky, rendant l'accès à Google problématique. Des réponses proposent des outils de désinfection hors ligne et des étapes spécifiques, notamment SmitFraudFix, le déchargement temporaire des protections et l'utilisation de rapports pour diagnostiquer l'infection. En parallèle, des contributeurs évoquent des outils comme Rkill et ComboFix et expliquent que ces procédures nécessitent des précautions sur Vista/7 et peuvent nécessiter des rapports de progression.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    essaie ca avant

    Note importante :
    Pour les ordinateurs équipés de Windows Vista et Windows 7, la désactivation du Contrôle des comptes utilisateurs est obligatoire
    sous peine de ne pas pouvoir faire fonctionner correctement l'outil.
    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    Désactivez les protections résidente "anti-virus et anti-spyware" le temps d'installer smitfraudfix et de faire l'analyse.

    Télechargez Smitfraudfix.exe
    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    Regardez le tuto:
    http://www.malekal.com/tutorial_SmitFraudfix.php

    Exécutez le en choisissant l'option 1

    l'outil va générer un rapport

    Copie/colle le rapport sur un forum .

    note: Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus, etc...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Site officiel: http://siri.urz.free.fr/Fix/SmitfraudFix.php
    1
  2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    essaie ainsi

    redémarrer le pc en mode sans échec avec prise en charge réseau

    https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

    Télécharge rkill

    Enregistre-le sur ton Bureau
    Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
    Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
    change de lien de téléchargement en utilisant le suivant à partir d'ici:
    https://download.bleepingcomputer.com/grinler/rkill.exe
    https://download.bleepingcomputer.com/grinler/rkill.exe

    Rkill COM: Rkill COM:
    https://download.bleepingcomputer.com/grinler/rkill.com
    https://download.bleepingcomputer.com/grinler/rkill.com

    Rkill SCR: Rkill RCS:
    https://download.bleepingcomputer.com/grinler/rkill.scr
    https://download.bleepingcomputer.com/grinler/rkill.scr

    une fois qu'il aura terminé

    lance MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet (examen assez long)
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement.
    Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . ]Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection
    Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
    0
  3. trebiac Messages postés 206 Statut Membre 131
     
    Bonjour

    Merci, je m'y colle mais je risque d'en avoir pour un moment

    je te recontact pour la suite ou si je beug
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      ok

      essaie
      si ca coince dis le
      0
  4. trebiac Messages postés 206 Statut Membre 131
     
    Re

    ça coince!!!

    J'ai passé Rkill comme indiqué en .exe, .com, .scr voici le log du .exe, veux-tu les autres ?

    This log file is located at C:\rkill.log.
    Please post this only if requested to by the person helping you.
    Otherwise you can close this log when you wish.
    Ran as User on 2010-09-25 at 19:45:20.

    Services Stopped:

    Processes terminated by Rkill or while it was running:

    C:\Users\User\Desktop\rkill.exe

    Rkill completed on 2010-09-25 at 19:45:22.

    En revanche impossible de passer MalwareByte's Anti-Malware, il se met à jour, il se lance mais se coupe après 2 secondes et ensuite ne veut plus repartir : « lien introuvable ».
    Je le désinstalle, le réinstalle à nouveau mais le même problème se reproduit !

    Que faire ?

    Merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    toujour en mode sans echec avec réseau

    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Aide à l'utilisation
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs en le renommant TREBIAC.exe avant de l'enregistrer sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt
    0
  7. trebiac Messages postés 206 Statut Membre 131
     
    re

    nouvelle info : dans tous mes programmes j'ai trouvé "antivirus 2010" le programme qui s'ouvre de manière intempestive en mode normal.

    je ne devrait pas le supprimer avant de réessayer malwarbyte ou tenter combo ?
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      je doute que tu puisses le supprimer

      essaie avant combofix
      0
  8. trebiac Messages postés 206 Statut Membre 131
     
    Bonsoir et merci pour tes réponses

    Pour "antivirus 2010" je n'ai pas essayé manuellement.

    Pendant le scan j'ai eu le message suivant « PEV.exe a cessé de fonctionner », quelle signification ?

    J'ai obtenu ce log :

    ComboFix 10-09-25.01 - User 2010-09-25 21:16:28.8.1 - x86 NETWORK
    Microsoft® Windows Vista(TM) Édition Familiale Basique 6.0.6000.0.1252.1.1036.18.1015.500 [GMT 2:00]
    Lancé depuis: c:\users\User\Desktop\ComboFix.exe
    SP: AVG Anti-Spyware *disabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\programdata\.wtav
    c:\windows\system32\USRINI~1.EXE

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_userinit

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-25 au 2010-09-25 ))))))))))))))))))))))))))))))))))))
    .

    2010-09-25 19:23 . 2010-09-25 19:23 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-09-16 18:07 . 2010-09-16 18:07 -------- d-----w- c:\program files\ma-config.com
    2010-09-16 18:07 . 2010-09-16 18:07 -------- d-----w- c:\programdata\ma-config.com

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-25 18:28 . 2006-12-06 18:31 1660 ----a-w- c:\windows\bthservsdp.dat
    2010-09-25 18:24 . 2009-02-13 20:18 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-09-25 18:23 . 2007-09-05 00:02 -------- d-----w- c:\programdata\Spybot - Search & Destroy
    2010-09-25 18:05 . 2008-12-26 22:03 -------- d-----w- c:\users\User\AppData\Roaming\Malwarebytes
    2010-09-25 15:41 . 2010-05-15 22:18 -------- d-----w- c:\users\User\AppData\Roaming\vlc
    2010-09-25 15:36 . 2007-05-31 18:32 -------- d-----w- c:\users\User\AppData\Roaming\dvdcss
    2010-09-20 18:33 . 2010-05-18 00:02 -------- d-----w- c:\program files\Warblade
    2010-09-15 22:00 . 2006-11-02 15:45 702978 ----a-w- c:\windows\system32\perfh00C.dat
    2010-09-15 22:00 . 2006-11-02 15:45 122898 ----a-w- c:\windows\system32\perfc00C.dat
    2010-09-12 23:33 . 2010-05-29 16:47 -------- d-----w- c:\program files\adslTV
    2010-08-26 18:13 . 2007-05-24 17:03 124368 ----a-w- c:\users\User\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-08-26 18:07 . 2010-08-26 18:06 -------- d-----w- c:\program files\burnatonce
    2010-08-24 16:50 . 2010-08-24 16:50 -------- d-----w- c:\program files\7-Zip
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-12-18 98304]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-12-18 106496]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2006-12-18 81920]
    "PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2006-11-13 139264]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-14 815104]
    "WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2006-10-18 317152]
    "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2006-10-18 472800]
    "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 46704]
    "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-11-06 159744]
    "CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-05-25 1006264]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-3 703280]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    BootExecute REG_MULTI_SZ ???1??? I\0 \0lsdelete

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Driver]
    @=""

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
    @=""

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2006-11-02 167936]
    R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2010-09-12 251248]
    S1 aswSP;aswSP; [x]
    S1 PersonalSecureDrive;PersonalSecureDrive;c:\windows\System32\drivers\psd.sys [2006-09-28 32000]
    S2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe [2006-11-02 22016]
    S2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe [2006-11-02 22016]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-05-06 51792]
    S3 mvb35316;mvb35316; [x]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
    bthsvcs REG_MULTI_SZ BthServ
    Cognizance REG_MULTI_SZ ASBroker ASChannel
    .
    Contenu du dossier 'Tâches planifiées'

    2010-09-25 c:\windows\Tasks\User_Feed_Synchronization-{79429774-221B-4724-82DA-E75D865B71CD}.job
    - c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Settings,ProxyOverride = local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    FF - ProfilePath - c:\users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3dwrb8xy.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1561552&SearchSource=3&q=
    FF - prefs.js: browser.search.selectedEngine - GoogIe
    FF - prefs.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=GFJFqPCN&q=
    FF - prefs.js: network.proxy.http - 174.142.104.57
    FF - prefs.js: network.proxy.http_port - 3128
    FF - prefs.js: network.proxy.type - 4
    FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

    ---- PARAMETRES FIREFOX ----

    FF - user.js: browser.search.selectedEngine - GoogIe
    FF - user.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=GFJFqPCN&q=
    FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-09-25 21:26
    Windows 6.0.6000 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BthServ]
    "ServiceDll"="%SystemRoot%\System32\bthserv.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHUSB]
    "ImagePath"="System32\Drivers\BTHUSB.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTKRNL]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwaudio]
    "ImagePath"="system32\drivers\btwaudio.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwavdt]
    "ImagePath"="system32\drivers\btwavdt.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwrchid]
    "ImagePath"="system32\DRIVERS\btwrchid.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\catchme]
    "ImagePath"="\??\c:\users\User\AppData\Local\Temp\catchme.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdfs]
    "ImagePath"="system32\DRIVERS\cdfs.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdrom]
    "ImagePath"="system32\DRIVERS\cdrom.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CertPropSvc]
    "ServiceDll"="%SystemRoot%\System32\certprop.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\circlass]
    "ImagePath"="\SystemRoot\system32\drivers\circlass.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CLFS]
    "ImagePath"="System32\CLFS.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\clr_optimization_v2.0.50727_32]
    "ImagePath"="%systemroot%\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CLTNetCnService]
    "ImagePath"="\"c:\program files\Common Files\Symantec Shared\ccSvcHst.exe\" /h ccCommon"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CmBatt]
    "ImagePath"="system32\DRIVERS\CmBatt.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdide]
    "ImagePath"="\SystemRoot\system32\drivers\cmdide.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CognizanceCredMgr]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Compbatt]
    "ImagePath"="system32\DRIVERS\compbatt.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMSysApp]
    "ImagePath"="%SystemRoot%\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\crcdisk]
    "ImagePath"="system32\drivers\crcdisk.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Crusoe]
    "ImagePath"="\SystemRoot\system32\drivers\crusoe.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\crypt32]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CryptSvc]
    "ServiceDll"="%SystemRoot%\system32\cryptsvc.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DCLocator]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DcomLaunch]
    "ServiceDll"="%SystemRoot%\system32\rpcss.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DfsC]
    "ImagePath"="System32\Drivers\dfsc.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DFSR]
    "ImagePath"="%SystemRoot%\system32\DFSR.exe"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp]
    "ServiceDll"="%SystemRoot%\system32\dhcpcsvc.dll"
    0
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
    0
  10. trebiac Messages postés 206 Statut Membre 131
     
    c'est ça ?

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijp6yArop.txt
    0
  11. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    1)

    /!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !

    crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
    Copies y ce texte dedans et enregistres le

    KillAll::

    Driver::

    aswSP
    aswFsBlk


    * Désactive tes logiciels de protection
    * Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
    http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

    * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

    ..................

    2)

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    0
  12. trebiac Messages postés 206 Statut Membre 131
     
    ça c'est fait (je pence) le log est en fin de message

    1)

    /!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !

    crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
    Copies y ce texte dedans et enregistres le

    KillAll::

    Driver::

    aswSP
    aswFsBlk

    * Désactive tes logiciels de protection
    * Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
    http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

    * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    le log :

    ComboFix 10-09-25.01 - User 2010-09-25 22:10:06.9.1 - x86 NETWORK
    Microsoft® Windows Vista(TM) Édition Familiale Basique 6.0.6000.0.1252.1.1036.18.1015.528 [GMT 2:00]
    Lancé depuis: c:\users\User\Desktop\ComboFix.exe
    Commutateurs utilisés :: c:\users\User\Desktop\CFScript.txt
    SP: AVG Anti-Spyware *disabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_ASWFSBLK
    -------\Legacy_ASWSP
    -------\Service_aswFsBlk
    -------\Service_aswSP

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-25 au 2010-09-25 ))))))))))))))))))))))))))))))))))))
    .

    2010-09-25 20:16 . 2010-09-25 20:19 -------- d-----w- c:\users\User\AppData\Local\temp
    2010-09-25 20:16 . 2010-09-25 20:16 -------- d-----w- c:\users\Public\AppData\Local\temp
    2010-09-25 20:16 . 2010-09-25 20:16 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-09-16 18:07 . 2010-09-16 18:07 -------- d-----w- c:\program files\ma-config.com
    2010-09-16 18:07 . 2010-09-16 18:07 -------- d-----w- c:\programdata\ma-config.com

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-25 19:34 . 2006-12-06 18:31 12 ----a-w- c:\windows\bthservsdp.dat
    2010-09-25 18:24 . 2009-02-13 20:18 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-09-25 18:23 . 2007-09-05 00:02 -------- d-----w- c:\programdata\Spybot - Search & Destroy
    2010-09-25 18:05 . 2008-12-26 22:03 -------- d-----w- c:\users\User\AppData\Roaming\Malwarebytes
    2010-09-25 15:41 . 2010-05-15 22:18 -------- d-----w- c:\users\User\AppData\Roaming\vlc
    2010-09-25 15:36 . 2007-05-31 18:32 -------- d-----w- c:\users\User\AppData\Roaming\dvdcss
    2010-09-20 18:33 . 2010-05-18 00:02 -------- d-----w- c:\program files\Warblade
    2010-09-15 22:00 . 2006-11-02 15:45 702978 ----a-w- c:\windows\system32\perfh00C.dat
    2010-09-15 22:00 . 2006-11-02 15:45 122898 ----a-w- c:\windows\system32\perfc00C.dat
    2010-09-12 23:33 . 2010-05-29 16:47 -------- d-----w- c:\program files\adslTV
    2010-08-26 18:13 . 2007-05-24 17:03 124368 ----a-w- c:\users\User\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-08-26 18:07 . 2010-08-26 18:06 -------- d-----w- c:\program files\burnatonce
    2010-08-24 16:50 . 2010-08-24 16:50 -------- d-----w- c:\program files\7-Zip
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-12-18 98304]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-12-18 106496]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2006-12-18 81920]
    "PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2006-11-13 139264]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-14 815104]
    "WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2006-10-18 317152]
    "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2006-10-18 472800]
    "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 46704]
    "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-11-06 159744]
    "CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-05-25 1006264]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-3 703280]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    BootExecute REG_MULTI_SZ ???1???I\0\0lsdelete

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Driver]
    @=""

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
    @=""

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2006-11-02 167936]
    R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2010-09-12 251248]
    S1 PersonalSecureDrive;PersonalSecureDrive;c:\windows\System32\drivers\psd.sys [2006-09-28 32000]
    S2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe [2006-11-02 22016]
    S2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe [2006-11-02 22016]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-05-06 51792]
    S3 mvb35316;mvb35316; [x]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
    bthsvcs REG_MULTI_SZ BthServ
    Cognizance REG_MULTI_SZ ASBroker ASChannel
    .
    Contenu du dossier 'Tâches planifiées'

    2010-09-25 c:\windows\Tasks\User_Feed_Synchronization-{79429774-221B-4724-82DA-E75D865B71CD}.job
    - c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Settings,ProxyOverride = local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    FF - ProfilePath - c:\users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3dwrb8xy.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1561552&SearchSource=3&q=
    FF - prefs.js: browser.search.selectedEngine - GoogIe
    FF - prefs.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=GFJFqPCN&q=
    FF - prefs.js: network.proxy.http - 174.142.104.57
    FF - prefs.js: network.proxy.http_port - 3128
    FF - prefs.js: network.proxy.type - 4
    FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

    ---- PARAMETRES FIREFOX ----

    FF - user.js: browser.search.selectedEngine - GoogIe
    FF - user.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=GFJFqPCN&q=
    FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-09-25 22:19
    Windows 6.0.6000 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BthServ]
    "ServiceDll"="%SystemRoot%\System32\bthserv.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHUSB]
    "ImagePath"="System32\Drivers\BTHUSB.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTKRNL]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwaudio]
    "ImagePath"="system32\drivers\btwaudio.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwavdt]
    "ImagePath"="system32\drivers\btwavdt.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwrchid]
    "ImagePath"="system32\DRIVERS\btwrchid.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\catchme]
    "ImagePath"="\??\c:\users\User\AppData\Local\Temp\catchme.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdfs]
    "ImagePath"="system32\DRIVERS\cdfs.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdrom]
    "ImagePath"="system32\DRIVERS\cdrom.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CertPropSvc]
    "ServiceDll"="%SystemRoot%\System32\certprop.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\circlass]
    "ImagePath"="\SystemRoot\system32\drivers\circlass.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CLFS]
    "ImagePath"="System32\CLFS.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\clr_optimization_v2.0.50727_32]
    "ImagePath"="%systemroot%\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CLTNetCnService]
    "ImagePath"="\"c:\program files\Common Files\Symantec Shared\ccSvcHst.exe\" /h ccCommon"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CmBatt]
    "ImagePath"="system32\DRIVERS\CmBatt.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdide]
    "ImagePath"="\SystemRoot\system32\drivers\cmdide.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CognizanceCredMgr]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Compbatt]
    "ImagePath"="system32\DRIVERS\compbatt.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMSysApp]
    "ImagePath"="%SystemRoot%\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\crcdisk]
    "ImagePath"="system32\drivers\crcdisk.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Crusoe]
    "ImagePath"="\SystemRoot\system32\drivers\crusoe.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\crypt32]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CryptSvc]
    "ServiceDll"="%SystemRoot%\system32\cryptsvc.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DCLocator]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DcomLaunch]

    je passe à l'étape 2
    "ServiceDll"="%SystemRoot%\system32\rpcss.dll"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DfsC]
    "ImagePath"="System32\Drivers\dfsc.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DFSR]
    "ImagePath"="%SystemRoot%\system32\DFSR.exe"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp]
    "ServiceDll"="%SystemRoot%\system32\dhcpcsvc.dll"
    0
  13. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    => ZHPdiag stp
    0
  14. trebiac Messages postés 206 Statut Membre 131
     
    re

    j'arrive à installer zhp ensuite je clique sur la loupe en haut à gauche, puis laisse l'outil scanner (ça prend une demi seconde !! ???).

    Une fois le scan terminé, je ne peux pas cliquer sur l'icône en forme de disquette et enregistrer le fichier sur mon bureau car le logiciel se ferme.

    Il reste les icônes zhp exe, dialogue et fix mais pour dialogue ça me dit que le chemin n'existe pas.

    Je suis toujours en mode sans échec avec connexion
    0
  15. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    essaie en mode normal en supprimant le ZHP que tu possèdes et en le refaisant entièrement

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    0
  16. trebiac Messages postés 206 Statut Membre 131
     
    re bonsoir

    encore merci pour ton aide

    ZHP ne veut pas partir même en mode normal (je le charge mais dès que je le lance il se ferme!!!)

    il démarre puis se coupe immédiatement (j'ai tous supprimé et redémarré mais rien)

    en revanche j'ai récupérer mon fond d'écran, antivirus 2010 ne s'ouvre plus pour le moment mais est toujours présent dans "mes logiciels"

    la désinfection ne doit pas être fini car j'ai voulu passer jv16 et ça se coupe également après quelques secondes...

    comment terminer ???
    0
  17. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    non ce n'est pas finit, ce rogue est revenu sous une nouvelle forme que l'on découvre

    voyons killem en mode normal


    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)


    Télécharge ici :List_Kill'em et enregistre le sur ton bureau

    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    Executer List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis le bouton TOOLS

    puis le bouton KILLPROXY

    poste le rapport


    ............

    choisis l'option Search

    laisse travailler l'outil

    il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Fais de même avec more.txt qui se trouve sur ton bureau
    0
  18. trebiac Messages postés 206 Statut Membre 131
     
    ok

    merci, merci encore

    je ne peux plus continuer (famille + fatigue = inefficacité)

    je recommence demain, quelle sont tes heures ?

    j'espère que tu sera là pour suivre mes déboire !

    surtout que je ne peux plus mettre avast en protection résidende ni lancer un nettoyeur ...

    et plus "DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)" sont coupés, no comprendo !!!

    à demain j'espère
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      surtout apres 13 h

      @+
      0
  19. trebiac Messages postés 206 Statut Membre 131
     
    ok

    merci et bonne continuation
    0
  20. trebiac Messages postés 206 Statut Membre 131
     
    Bonjour

    « Télécharge ici :List_Kill'em » : fait

    « choisis le bouton TOOLS

    puis le bouton KILLPROXY

    poste le rapport »
    Voila

    ¤¤¤¤¤¤¤¤¤¤ Proxy_Kill by Gen-Hackman

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Firefox ¤¤¤¤¤¤¤¤¤¤

    Deleted : user_pref("network.proxy.http", "174.142.104.57");
    Deleted : user_pref("network.proxy.http_port", 3128);

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Sinon je n'ai toujours pas d'antivirus et mon parfeu est indiqué comme désactivé

    J'espère que les liens pour les rapports sont ok

    Merci pour la suite

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijOkJun6V.txt

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijj1JD2BQ.txt
    0
  21. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    1)

    Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    choisis l'option CLEAN
    ton PC va redemarrer,

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    colle le contenu dans ta reponse

    ...............

    2)

    supprime le zhp que tu possèdes et on fait ainsi

    redémarrer le pc en mode sans échec avec prise en charge réseau

    https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

    Télécharge rkill

    Enregistre-le sur ton Bureau
    Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
    Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
    change de lien de téléchargement en utilisant le suivant à partir d'ici:
    https://download.bleepingcomputer.com/grinler/rkill.exe
    https://download.bleepingcomputer.com/grinler/rkill.exe

    Rkill COM: Rkill COM:
    https://download.bleepingcomputer.com/grinler/rkill.com
    https://download.bleepingcomputer.com/grinler/rkill.com

    Rkill SCR: Rkill RCS:
    https://download.bleepingcomputer.com/grinler/rkill.scr
    https://download.bleepingcomputer.com/grinler/rkill.scr

    une fois qu'il aura terminé

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    ensuite

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    pour t'aider sur ci joijnt : https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

    0
  • 1
  • 2
  • 3