Help virus

Résolu
samos99doublecreme Messages postés 13 Date d'inscription   Statut Membre Dernière intervention   -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai bien peur de m'être pris un tas de cochonneries pouvez vous m'aider ? impossible de poster un hijackthis, j'ai une "syntax error " qui apparait à chaque fois ...

Merci de votre aide

22 réponses

  • 1
  • 2
  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Aide à l'utilisation
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs en le renommant SAMOS.exe avant de l'enregistrer sur ton Bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    1
  2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    regarde ici pour le rapport combofix => C:\ComboFix.txt

    de plus

    peux tu refaire ZHP maintenant ?

    Fais un nouveau rapport ZHPdiag stp

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    1
  3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    il reste des choses

    supprime combofix renommé

    et refais le stp sans renommé combo
    1
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    1)

    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
    * Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
    * Merci à Malekal pour le tutoriel
    * Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    * Double clique sur mbr.exe
    * Un rapport sera généré : mbr.log
    * En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
    * Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:

    => Sous XP : "%userprofile%\Bureau\mbr" -f

    => Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f

    * (veuillez à bien respecter les guillemets)
    * Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
    * Réactive tes protections .Poste ce rapport et supprime le ensuite.

    o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    o Relance mbr.exe
    o Réactive tes protections.
    o Le nouveau mbr.log devrait être celui-ci :
    o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
    o device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    ........................

    2)

    * Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

    http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

    * Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
    * L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
    * A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    1)

    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    [MD5.693580DFFC1949FD5FDAF39D181521B1] - (.Team H2O - Team H2O CLEDX.) -- C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe [200069]
    O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe (.not file.)
    O4 - HKCU\..\Run: [AdVantage] C:\Documents and Settings\admin\Application Data\advantage\AdVantage.exe (.not file.)
    O4 - HKUS\S-1-5-21-57989841-115176313-1177238915-1004\..\Run: [AdVantage] C:\Documents and Settings\admin\Application Data\advantage\AdVantage.exe (.not file.)
    O42 - Logiciel: AdVantage (Powering DAEMON Tools) - (.AdVantage.) [HKCU] -- advantage_DAEM
    [HKCU\Software\advantage]
    O43 - CFD:Common File Directory ----D- C:\Program Files\advantage
    O43 - CFD:Common File Directory ----D- C:\Program Files\VVSN
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

    Copie/Colle le rapport à l'écran dans ton prochain message

    le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

    .....................

    2)

    Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet (examen assez long)
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

    1
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    tu peux vider la quarantaine de MBAM

    comment va le pc ?

    Fais un nouveau rapport ZHPdiag stp

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    1
  8. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    pour terminer

    1)

    Mettre à jour internet explorer (même si tu ne l'utilises pas)
    https://support.microsoft.com/fr-fr/allproducts
    .............

    2)

    * Lancez Adobe Reader
    * Cliquez sur Edition --> Préférences --> JavaScript
    * Décochez "Activer Acrobat JavaScript"
    * Validez

    ....................

    3)
    IMPORTANT

    Purger la restauration systeme XP

    http://www.bibou0007.com/windows-xp-f101/purger-la-restauration-du-systeme-sous-windows-xp-t151.htm

    .................

    4)

    Télécharge DelFix sur ton bureau.

    http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

    1. Lance le, choisis le bouton SUPPRESSION

    2. Patiente pendant le scan jusqu'à l'ouverture du rapport.

    3. Copie/Colle le contenu du rapport dans ta prochaine réponse.

    Note : Le rapport se trouve également sous C:\DelFixSearch

    ...................

    Recommandations pour l'avenir

    Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
    - logiciels non à jour (windows, internet explorer, java, adobe reader etc)
    - installation de toolbar
    - fréquentation de sites piégés
    - P2P
    - Application de cracks
    - Supports usb

    Pour t'aider dans cette tâche, voici quelques pistes

    Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
    http://www.mozilla-europe.org/fr/firefox/

    Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus
    pour bloquer les publicités
    http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

    ............................

    WOT - Extension pour ton navigateur internet :
    Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
    Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
    Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

    ........................

    Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

    ..........................

    Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX)
    http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
    Au menu principal, choisis l'option 3 (Vaccination).
    ............................

    garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
    .......................

    Pour savoir si ton PC est à jour utilise Sécunia

    https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php

    ...................

    Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
    https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

    * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
    * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse

    ..........................
    utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

    ........................
    A lire pour mieux comprendre l'environnement qui t'entoure
    http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
    https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

    http://www.libellules.ch/...

    1
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    0
  10. samos99doublecreme Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    désolé, j'ai du m'absenter, pour le site www.cijoint impossible d'uploader, il me dit que le serveur est introuvable ...

    que faire ?
    0
  11. samos99doublecreme Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    pareil, j'ai le site mais pour lancer l'upload, " erreur de chargement"
    0
  12. samos99doublecreme Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    ça a été la guerre, combofix s'y est repris à plusieurs fois, plantes du pc, écran bleu, etc ... je n'ai pas retrouvé le .txt j'ai donc fait un highjackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:12:41, on 23/10/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\FsUsbExService.Exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\IoctlSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\Program Files\OrangeHSS\Launcher\Launcher.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
    C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\2\AlertModule.exe
    C:\Program Files\OrangeHSS\systray\systrayapp.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
    C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
    C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
    C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\2\FTCOMModule.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Mozilla Firefox\plugin-container.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\admin\Bureau\HiJackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
    O4 - HKLM\..\Run: [EnvyHFCPL] C:\Program Files\Turtle Beach Catalina\EnMixCPL.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [WTLXPan] WTLXPan.Exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
    O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
    O4 - HKCU\..\Run: [AdVantage] C:\Documents and Settings\admin\Application Data\advantage\AdVantage.exe
    O4 - HKCU\..\Run: [RegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://*.mappy.com
    O15 - Trusted Zone: http://*.orange.fr
    O15 - Trusted Zone: http://rw.search.ke.voila.fr
    O15 - Trusted Zone: http://orange.weborama.fr
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_1_0_4.cab
    O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    0
  13. samos99doublecreme Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    au moins, j'arrive à poster normalement ....
    0
  14. samos99doublecreme Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    aucune trace du .txt de combofix, même avec le nouveau nom ...

    anyway, voici le rapport ZHP, j'ai comme l'impression que ça va un peu mieux, merci déjà de ton aide précieuse ;)

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijKtx8rex.txt
    0
  15. samos99doublecreme Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    J'ai fait comme tu m'as dit mais encore aucune trace du .txt, même avec une recherche, le scan de combofix part tout seul sans me demander ni la langue ni me proposer le "1" du démarrage ...

    donc, j'ai refait un ZHP là :

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijpbDXbL3.txt
    0
  16. samos99doublecreme Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    Voici donc le 1er log :

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    copy of MBR has been found in sector 0x0FFFAC44
    malicious code @ sector 0x0FFFAC47 !
    PE file found in sector at 0x0FFFAC5D !

    j'ai fait la procedure : "%userprofile%\Bureau\mbr" -f comme tu me l'a demandé

    Voici le nouveau log :

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    copy of MBR has been found in sector 0x0FFFAC44
    malicious code @ sector 0x0FFFAC47 !
    PE file found in sector at 0x0FFFAC5D !

    le rapport de tdsskiller se trouve là :

    http://www.cijoint.fr/cjlink.php?file=cj201010/cij0hKbkNi.txt
    0
  17. samos99doublecreme Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    voici le rapport ZHPfix :

    Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
    Fichier d'export Registre :
    Run by admin at 24/10/2010 13:48:53
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Processus mémoire ==========
    C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe [200069] => Supprimé et mis en quarantaine

    ========== Clé(s) du Registre ==========
    HKCU\Software\advantage => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe (.not file.) => Valeur supprimée avec succès
    O4 - HKCU\..\Run: [AdVantage] C:\Documents and Settings\admin\Application Data\advantage\AdVantage.exe (.not file.) => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-21-57989841-115176313-1177238915-1004\..\Run: [AdVantage] C:\Documents and Settings\admin\Application Data\advantage\AdVantage.exe (.not file.) => Valeur absente
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

    ========== Dossier(s) ==========
    C:\Program Files\advantage => Supprimé et mis en quarantaine
    C:\Program Files\VVSN => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\program files\vvsn\vvsn.exe () => Fichier absent
    c:\documents and settings\admin\application data\advantage\advantage.exe () => Fichier absent

    ========== Logiciel(s) ==========
    O42 - Logiciel: AdVantage (Powering DAEMON Tools) - (.AdVantage.) [HKCU] -- advantage_DAEM => Logiciel déjà supprimé

    ========== Récapitulatif ==========
    1 : Processus mémoire
    1 : Clé(s) du Registre
    5 : Valeur(s) du Registre
    2 : Dossier(s)
    2 : Fichier(s)
    1 : Logiciel(s)

    End of the scan

    .... et le rapport malwarebytes :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4932

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    24/10/2010 15:42:50
    mbam-log-2010-10-24 (15-42-50).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 493028
    Temps écoulé: 1 heure(s), 45 minute(s), 5 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\admin\Application Data\advantage\AdVUninst.exe (Adware.Vomba) -> Quarantined and deleted successfully.
    C:\Program Files\Mozilla Firefox\components\AdVComponent.dll (Adware.Vomba) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{D9071EEC-4AEC-4817-849E-4F9F273CDF4C}\RP181\A0064406.exe (Adware.Vomba) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{D9071EEC-4AEC-4817-849E-4F9F273CDF4C}\RP182\A0066489.exe (Adware.Vomba) -> Quarantined and deleted successfully.
    0
  18. samos99doublecreme Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    Il va beaucoup mieux et c'est grâce à toi merci beaucoup ... ;) este que je peux désinstaller tout ça maintenant ?

    voici le rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijO4rgPFG.txt
    0
  19. samos99doublecreme Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    voici le rapport Delfix, je continue avec tes recommandations ...

    Rapport DelFix v6.0 - 25/10/2010 à 10:47,29
    Mis à jour le 22/10/10 à 13h30 par Xplode
    Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
    Navigateur : Internet Explorer [Navigateur par défaut]
    Processeur : Intel(R) Celeron(R) CPU E1200 @ 1.60GHz
    Mémoire vive totale : 0,99 Go
    Nom d'utilisateur : admin - ADMIN-991F60A85 (Administrateur)
    Exécuté depuis : C:\Documents and Settings\admin\Bureau\DelFix.exe

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\Qoobox
    Supprimé : C:\SDFix
    Supprimé : C:\_OTL
    Supprimé : C:\tdsskiller
    Supprimé : C:\Kill'em
    Supprimé : C:\Program Files\ZHPDiag
    Supprimé : C:\Program Files\trend micro
    Supprimé : C:\Documents and Settings\admin\DoctorWeb
    Supprimé : C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\ZHP

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\UsbFix_Upload_Me_ADMIN-991F60A85.zip
    Supprimé : C:\ZHPExportRegistry-24-10-2010-13-48-55.txt
    Supprimé : C:\WINDOWS\grep.exe
    Supprimé : C:\WINDOWS\PEV.exe
    Supprimé : C:\WINDOWS\NIRCMD.exe
    Supprimé : C:\WINDOWS\MBR.exe
    Supprimé : C:\WINDOWS\sed.exe
    Supprimé : C:\WINDOWS\SWREG.exe
    Supprimé : C:\WINDOWS\SWSC.exe
    Supprimé : C:\WINDOWS\SWXCACLS.exe
    Supprimé : C:\WINDOWS\zip.exe
    Supprimé : C:\Documents and Settings\admin\Bureau\ZHPDiag.exe
    Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\ZHPDiag.lnk
    Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\ZHPFix.lnk
    Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\MBRCheck.lnk

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKLM\Software\swearware
    Clé Supprimée : HKLM\Software\OldTimer Tools
    Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\List_Kill'em
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP

    ########## EOF - "C:\DelFixSuppr.txt" - [2119 octets] ##########
    0
  20. samos99doublecreme Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    le lien de de USBFix (de Chiquitine29 et C_XX) n'est pas bon mais je vais essayer de la trouver autre part ...
    0
  • 1
  • 2