L'invasion recommence argh !

Question

Bonjour, 

voilà, j'étais déjà venue vous voir et mon sujet est maintenant en "résolu" pourtant c'est pas résolu :(...
mon antivirus vient de me refaire une alerte comme quoi le virus était là :(.
et mon ordi démarre difficilement, il reste très longtemps sur un écran noir, ça finit par apparaître mais ça met du temps.

voici le zhp diag :

http://www.cijoint.fr/cjlink.php?file=cj201011/cijddL2SKH.txt


merci d'avance pour votre aide !

Configuration: Windows Vista / Firefox 3.5.15

Tigzy · Answer

salut

Tu peux envoyer le rapport de ton antivirus?

Tigzy · Answer

Relance ZHPDiag et relance un scan, un fois le scan fini clique sur le bouclier vert ZHPFix. 
Ensuite clique sur le H "Coller les lignes Helper" 
Copie colle ces lignes dans la fenêtre



F2 - REG:system.ini: UserInit=C:\Windows\system32\ezShellStart.exe



Tu cliques ensuite sur "Tous" (ou tu coches la ligne), puis sur "Nettoyer" 
ZHPFix va générer un rapport, envoie le pour vérification.


C'est normal ça?
DhcpDomain = lyse.net

helpalaide · Answer

Pour l'antivirus je n'ai eu qu'une alerte accompagnée d'un bip, qui a disparu depuis.
Le dernier rapport était correct sauf la dernière mise à jour qui a échoué. Tu veux le rapport de la dernière mise à jour ?
Je n'ose pas lancer Avira pour un scan parce que la dernière fois quand j'avais fait ça il avait tout planté et l'ordi ne démarrait même plus...

Pour "lyse" c'est mon fournisseur internet, je vis en Norvège, c'est pour ça. Enfin si "DhcpDomain" veut dire "fournisseur internet parce que ça par contre c'est du chinois pour moi...

Je vais faire le reste de ce que tu m'as dit.

Merci

helpalaide · Answer

voici le rapport :

Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre : 
Run by loulou at 03/11/2010 17:44:02
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Logiciel(s) ==========
O63 - Logiciel: ZHPDiag 1.27 - (.Nicolas Coolman.) [HKLM] -- ZHPDiag_is1  => Logiciel supprimé avec succès


========== Récapitulatif ==========
1 : Logiciel(s)


End of the scan


Il m'a dit qu'il fallait que je redémarre, mais comme la dernière fois c'est à chaque fois que je redémarrais que ça merdait plus je préfère demander avant de le faire, je redémarre ?

helpalaide · Answer

D'accord, quand j'étais sur le H, la ligne que tu m'avais donnée était déjà inscrite, c'est normal ?

et pour cliquer sur "tous" et "nettoyer" j'ai dû cliquer sur le "A" d'abord. C'était bien ça ?

helpalaide · Answer

J'ai refait :

Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-03-11-2010-18-03-59.txt
Run by loulou at 03/11/2010 18:03:59
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

==========  ==========
F2 - REG:system.ini: UserInit=C:\Windows\system32\ezShellStart.exe  => Donnée supprimée avec succès


==========  ==========
1 : 


End of the scan


c'est ça ?

helpalaide · Answer

en lisant le truc je vois que c'est exactement la même chose. Pourtant cette fois j'ai tout bien fait, j'ai pas été sur le A ( c'était "nettoyeur de tools" ) je suis bien restée sur le H, effectivement en faisant ok j'arrivais à la suite.
par contre un truc qui bugue c'est que ZHP fix n'indique plus aucune légende plus aucun nom de menu, y'a plus que les symboles...

Tigzy · Answer

C'est ok pour la clé.
Redémarre et dit moi si ça change quelque chose

helpalaide · Answer

Au démarrage j'ai toujours un long moment avec un écran noir, ça dure de longues minutes.

Et à chaque fois que je vais sur un site d'annonces immobilières ( finn.no LA référence en Norvège donc bon... ) ça me bippe qu'il y a un virus.

Cette fois j'ai copié le message que l'antivirus me donne :


Un Virus ou programme indésirable a été trouvé sur votre ordinateur
C:\Users\loulou\AppData\Local\Mozilla\Firefox\Profiles\...\DBED4EFDd01

Il s'agit d'un résultat heuristique et blabla ( j'ai pas tout noté c'était long et copier coller marchait pas )

Contient le code suspect : HEUR/HTMLMalware

Tigzy · Answer

Télécharger et enregistrer  sur le bureau 
 Combofix

=Desactiver l'antivirus
=Double-clic sur  Combofix 
= Presser  1 si  demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans  C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus
============
supprimer ensuite
 combofix
QooBox qui est à C:\

helpalaide · Answer

Voici le rapport :

ComboFix 10-11-02.06 - loulou 03/11/2010  19:46:00.1.2 - x86
Microsoft® Windows Vista(TM) Home Basic   6.0.6002.2.1252.33.1033.18.1791.1019 [GMT 1:00]
Lancé depuis: c:\users\loulou\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Install.cmd

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-10-03 au 2010-11-03  ))))))))))))))))))))))))))))))))))))
.

2010-11-03 18:54 . 2010-11-03 18:54	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-11-02 19:18 . 2010-11-02 19:18	--------	d-----w-	c:\program files\Conduit
2010-11-02 19:18 . 2010-11-02 19:18	--------	d-----w-	c:\program files\Protection_ZoneAlarm
2010-11-02 19:17 . 2010-04-05 20:00	221568	----a-w-	c:\windows\system32\drivers
etio.sys
2010-11-02 19:17 . 2010-09-29 16:14	104448	----a-w-	c:\windows\system32\zlcommdb.dll
2010-11-02 19:17 . 2010-09-29 16:14	69120	----a-w-	c:\windows\system32\zlcomm.dll
2010-11-02 07:07 . 2010-10-07 23:21	6146896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{AE448173-D08B-4453-A1E2-7180BCD46CD5}\mpengine.dll
2010-10-30 17:04 . 2010-10-30 17:04	--------	d-----w-	c:\users\loulou\AppData\Roaming\CheckPoint
2010-10-30 17:04 . 2010-10-30 17:04	--------	d-----w-	c:\program files\CheckPoint
2010-10-30 17:04 . 2010-09-29 16:15	46592	----a-w-	c:\windows\system32\vsutil_loc040c.dll
2010-10-30 17:04 . 2010-09-29 16:14	1238528	----a-w-	c:\windows\system32\zpeng25.dll
2010-10-30 17:03 . 2010-11-02 19:23	--------	d-----w-	c:\windows\system32\ZoneLabs
2010-10-30 17:03 . 2010-05-15 15:30	457304	----a-w-	c:\windows\system32\drivers\vsdatant.sys
2010-10-30 17:03 . 2010-10-30 17:03	--------	d-----w-	c:\program files\Zone Labs
2010-10-30 17:03 . 2010-10-30 17:03	--------	d-----w-	c:\programdata\CheckPoint
2010-10-30 17:03 . 2010-11-03 18:53	--------	d-----w-	c:\windows\Internet Logs
2010-10-30 08:55 . 2010-10-30 08:55	--------	d-----w-	c:\program files\CCleaner
2010-10-30 01:26 . 2010-10-30 01:26	--------	d-----w-	c:\program files\Windows Portable Devices
2010-10-30 01:09 . 2009-09-10 02:00	1164800	----a-w-	c:\windows\system32\UIRibbonRes.dll
2010-10-30 01:09 . 2009-09-10 02:00	92672	----a-w-	c:\windows\system32\UIAnimation.dll
2010-10-30 01:09 . 2009-09-10 02:01	3023360	----a-w-	c:\windows\system32\UIRibbon.dll
2010-10-30 01:07 . 2009-10-01 01:01	40448	----a-w-	c:\windows\system32\drivers\WpdUsb.sys
2010-10-30 01:07 . 2009-10-01 01:01	61952	----a-w-	c:\windows\system32\WpdMtpUS.dll
2010-10-30 01:07 . 2009-10-01 01:01	33280	----a-w-	c:\windows\system32\WpdConns.dll
2010-10-30 01:07 . 2009-10-01 01:02	2537472	----a-w-	c:\windows\system32\wpdshext.dll
2010-10-30 01:07 . 2009-10-01 01:02	334848	----a-w-	c:\windows\system32\PortableDeviceApi.dll
2010-10-30 01:07 . 2009-10-01 01:02	87552	----a-w-	c:\windows\system32\WPDShServiceObj.dll
2010-10-30 01:07 . 2009-10-01 01:01	546816	----a-w-	c:\windows\system32\wpd_ci.dll
2010-10-30 01:07 . 2009-10-01 01:01	160256	----a-w-	c:\windows\system32\PortableDeviceTypes.dll
2010-10-30 01:07 . 2009-10-01 01:01	350208	----a-w-	c:\windows\system32\WPDSp.dll
2010-10-30 01:07 . 2009-10-01 01:01	196608	----a-w-	c:\windows\system32\PortableDeviceWMDRM.dll
2010-10-30 01:07 . 2009-10-01 01:01	100864	----a-w-	c:\windows\system32\PortableDeviceClassExtension.dll
2010-10-30 01:07 . 2009-10-01 01:01	839168	----a-w-	c:\windows\system32\drivers\UMDF\WpdMtpDr.dll
2010-10-30 01:07 . 2009-10-01 01:01	226816	----a-w-	c:\windows\system32\WpdMtp.dll
2010-10-30 01:06 . 2009-10-08 21:07	4096	----a-w-	c:\windows\system32\oleaccrc.dll
2010-10-30 01:06 . 2009-10-08 21:08	555520	----a-w-	c:\windows\system32\UIAutomationCore.dll
2010-10-30 01:06 . 2009-10-08 21:08	234496	----a-w-	c:\windows\system32\oleacc.dll
2010-10-28 03:32 . 2010-11-03 18:11	--------	d-----w-	c:\program files\ZHPDiag
2010-10-28 03:23 . 2010-10-28 03:23	--------	d-----w-	c:\users\loulou\AppData\Roaming\Uniblue
2010-10-28 03:22 . 2010-10-28 03:23	--------	dc-h--w-	c:\programdata\{92E7A367-8E12-4830-AA70-29C32E331A81}
2010-10-15 03:29 . 2010-08-10 15:53	274944	----a-w-	c:\windows\system32\schannel.dll
2010-10-14 13:47 . 2010-09-13 13:56	168960	----a-w-	c:\program files\Windows Media Player\wmplayer.exe
2010-10-14 13:47 . 2010-09-13 13:56	8147456	----a-w-	c:\windows\system32\wmploc.DLL

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-19 09:41 . 2009-12-10 04:33	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-08-26 16:33 . 2010-10-29 11:54	173056	----a-w-	c:\windows\apppatch\AcXtrnal.dll
2010-08-26 16:33 . 2010-10-29 11:54	542720	----a-w-	c:\windows\apppatch\AcLayers.dll
2010-08-26 16:33 . 2010-10-29 11:54	458752	----a-w-	c:\windows\apppatch\AcSpecfc.dll
2010-08-26 16:33 . 2010-10-29 11:54	2159616	----a-w-	c:\windows\apppatch\AcGenral.dll
2010-08-17 14:11 . 2010-09-15 03:46	128000	----a-w-	c:\windows\system32\spoolsv.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}"= "c:\program files\Protection_ZoneAlarm	bProt.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
2010-06-13 18:10	2734688	----a-w-	c:\program files\Protection_ZoneAlarm	bProt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}"= "c:\program files\Protection_ZoneAlarm	bProt.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D7F26D0E-9801-45C3-A091-8A65E4ED73B5}"= "c:\program files\Protection_ZoneAlarm	bProt.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files\PACKARD BELL\SetUpMyPC\SmpSys.exe" [2008-07-08 1038136]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-04-28 1828136]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-10-30 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2008-05-07 6139904]
"SmpcSys"="c:\program files\Packard Bell\SetupMyPC\SmpSys.exe" [2008-07-08 1038136]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-12-19 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-19 8497696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-19 81920]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
"FijiKeyboard"="c:\acer\Preload\Autorun\DRV\FIJI Keyboard\ABoard.exe" [2008-09-18 79416]
"PCMAgent"="c:\program files\CyberLink\PowerCinema\PCMAgent.exe" [2008-03-21 143360]
"CLMLServer"="c:\program files\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe" [2008-04-11 196608]
"PlayMovie"="c:\program files\CyberLink\PlayMovie\PMVService.exe" [2008-03-31 172032]
"TkBellExe"="c:\program files\Common Files\Real\Update_OBealsched.exe" [2009-09-13 198160]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-02-15 141608]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2010-09-29 1043968]
"ISW"="c:\program files\CheckPoint\ZAForceField\ForceField.exe" [2010-09-28 738808]

c:\users\loulou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Screen Clipper and Launcher.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate1ca554932a491a0;Service Google Update (gupdate1ca554932a491a0);c:\program files\Google\Update\GoogleUpdate.exe [2009-10-25 133104]
R3 vsdatant7;vsdatant7;c:\windows\system32\drivers\vsdatant.win7.sys [x]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\program files\CyberLink\PlayMovie\000.fcl [2008-03-31 41456]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\program files\CheckPoint\ZAForceField\ISWKL.sys [2010-09-28 26872]
S2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\program files\CheckPoint\ZAForceField\IswSvc.exe [2010-09-28 493048]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'

2010-11-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-25 07:59]

2010-11-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-25 07:59]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.yahoo.com
mStart Page = hxxp://fr.yahoo.com
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
FF - ProfilePath - c:\users\loulou\AppData\Roaming\Mozilla\Firefox\Profiles\qiov97qv.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.ethicle.com/fr/
FF - component: c:\program files\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerMozillaPlugin.dll
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components
prpffbrowserrecordext.dll
FF - component: c:\users\loulou\AppData\Roaming\Mozilla\Firefox\Profiles\qiov97qv.default\extensions\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}\components\FFExternalAlert.dll
FF - component: c:\users\loulou\AppData\Roaming\Mozilla\Firefox\Profiles\qiov97qv.default\extensions\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}\components\RadioWMPCore.dll
FF - plugin: c:\program files\CheckPoint\ZAForceField\TrustChecker\bin
pFFApi.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39
pGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin
ew_plugin
pdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pdeployJava1.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-{D77D43B5-ED55-426b-B67B-E21F804F6102} - c:\program files\HP\Digital Imaging\{D77D43B5-ED55-426b-B67B-E21F804F6102}\setup\hpzscr01.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-03 19:54
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\program files\CyberLink\PlayMovie\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3492993167-3005667656-3394403377-1000\Software\SecuROM\License information*]
"datasecu"=hex:c3,43,8f,55,7e,e9,0e,d4,96,f4,0c,d8,ba,18,96,9f,5a,98,9d,5e,01,
   3d,8d,b6,4c,1a,d6,94,2f,9d,c5,ed,40,78,62,ad,68,fc,2d,99,05,b5,54,47,2f,ef,\
"rkeysecu"=hex:cb,bd,f2,61,5a,4e,c6,95,f2,29,8b,82,ba,6b,3d,44
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(644)
c:\program files\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
Heure de fin: 2010-11-03  19:57:33
ComboFix-quarantined-files.txt  2010-11-03 18:57

Avant-CF: 220 465 676 288 bytes free
Après-CF: 220 472 213 504 bytes free

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 45D7DBFEB06EBBE4BDD7B04BB0EC3B5F

helpalaide · Answer

Quand je veux supprimer "combofix" il me dit qu'il est déjà ouvert ailleurs et que donc je peux pas le supprimer ( pourtant j'ai rien d'ouvert que cette page internet )

Quand je veux supprimer "qoobox" il me dit que je n'ai pas l'autorisation de le faire, ça doit être un truc de vista mais je ne sais pas comment on fait pour "supprimer en tant qu'administrateur" je connais pour démarrer un programme mais pour supprimer en cliquant sur le bouton droit je ne vois aucun choix qui semble correspondre.

helpalaide · Answer

Non pour moi c'est pas grave qu'il y ait ce programme c'est sûr.

Et pour le reste je fais quoi ?

helpalaide · Answer

Non... je viens de redémarrer, toujours cet écran noir qui dure au départ...

pas de bip d'Avira comme quoi il y a un virus par contre...

Mais le Windows security center me dit que la malware protection est pas à jour et quand je mets à jour ça a l'air de marcher et pourtant... ça marche pas, il me dit toujours la même chose.

Au démarrage il m'a aussi signalé que Nero home avait arrêté de fonctionner je sais pas si ç a a un rapport...

helpalaide · Answer

je fais quoi maintenant ?

helpalaide · Answer

s'il vous plaît y'a quelqu'un ?

je viens de réavoir une alerte d'antivira comme quoi dans le fichier C:\Users\loulou\AppData\Local\Mozilla\...\C9C607C6d01 un virus ou un programme indésirable HEUR/HTML.Malware a été trouvé.

Je fais quoi ???

helpalaide · Answer

l'antivirus continue de bipper et de me dire qu'il y a des virus... comment je fais ?

Tigzy · Answer

salut

Désolé du retard, mais je n'ai pas le temps de continuer;
Je laisse la main à quelqu'un d'autre;

helpalaide · Answer

oui bien sûr je peux comprendre ça :)

tu as prévenu quelqu'un d'autre ou il faut que j'attende que quelqu'un passe par ici par hasard ? ( parce que j'ai l'impression qu'une fois que quelqu'un commence à répondre les autres ne lisent plus les sujets _ ce qui se comprend _ )

merci

helpalaide · Answer

s'il vous plaît une réponse ?

moment de grace · Answer

bonjour

1)

peux tu copier le lien de ton premier sujet résolu

2)

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


;c:\windows\system32\drivers\vsdatant.win7.sys 


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

........................

3)

Télécharges sur ton bureau MBRCheck

https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe


Utilisateurs Windows XP => double clique >>sur MBRCheck.exe 
* Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur MBRCheck.exe pour le lancer. 

* Une fenêtre s'ouvre : 
* Si tu as un message de ce genre : Done! Press ENTER to exit... 
* Appuie sur Entrée 
* Si tu as un message de ce genre : Found non-standard or infected MBR. 
* Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
* Appuie sur la touche N puis ur Entrée 
* Un fichier texte du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt (i.e. MBRCheck_xx.xx.xx.xx.xx.xx.txt). 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport  

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

helpalaide · Answer

Bonjour Moment de grace,

merci de me répondre :)

voici le lien de mon premier fil : https://forums.commentcamarche.net/forum/affich-19639859-au-secours-l-ordi-ne-demarre-plus

je vais me mettre de ce pas au boulot

helpalaide · Answer

Voici le lien de virus total :

http://www.virustotal.com/file-scan/report.html?id=711d6fe2974340f4ab98899bfa1976e090cb838777455db649d0248b6c1efea1-1289322510

je continue

helpalaide · Answer

Voici le résultat de mbr :

http://www.cijoint.fr/cjlink.php?file=cj201011/cij65QRuKz.txt

moment de grace · Answer

* Relance l'outil MBRCheck.exe 

1)Tu verras ceci >>Found non-standard or infected MBR. 
Tape la lettre Y puis valide avec la touche [Entrée] 

2) * Ensuite, tu auras ceci :Options 
Choisis l'option 2 (tape le chiffre) et appuie sur [Entrée] 

3) * Ensuite, tu verras ceci >> Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 
Tape le chiffre 0 puis valide avec [Entrée] 

4)* Tu auras maintenant un choix à faire, avec des codes de MBR :Available MBR codes 
* Tape le chiffre 3 puis valide avec [Entrée] 

5)* Ensuite, tu verras ceci :Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: 
tu dois taper YES (en minuscules ça va aussi) puis valide avec [Entrée] 

6)En principe, tu devrais maintenant voir ceci (ajouté au bout de la ligne) :Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code! 


...suivi de "Please reboot your computer to complete the fix." 

* Maintenant, je te demanded'éteindre ton PC (via le bouton "Démarrer") 
* Patiente 5 minutes. Après les 5 minutes, démarre ton PC normalement, puis viens coller le contenu du rapport de l'outil (du même fichier texte, qui se trouve sur ton Bureau).

helpalaide · Answer

j ecris d un autre ordi  ( et donc dsl j ai plus les accents ) parce que l ordi demarre plus du tout du tout
au demarrage il me marque :
D ROM boot priotity No medium 
reboot and select proper boot device
insert boot media in selected boot device and press a key

j ai essaye de demarrer en mode sans echec en tapant F8 et il me demande de choisir entre 
P0-ST3320813AS
P1-HL-DT-ST DVDRAM GH40F
Generic USB SD reader
         ""        SF     ""
         ""        SM    ""
         ""        MS     ""

argh quoi...

moment de grace · Answer

ta mbr (ce qui lance windows )est infecté

as tu le cd de windows ?

helpalaide · Answer

non je n ai pas le cd de windows vista on nous a vendu le pc sans
je n ai qu un cd windows xp de mon ancien ordi

moment de grace · Answer

télécharge et grave la console de réparation Vista

http://www.vista-xp.fr/forum/topic1474.html#p8627

et dis moi quand c'est fait

helpalaide · Answer

je dois choisir entre la console vista 32 bits et 64 bits
y a un moyen pour que je sache laquelle il me faut ?

helpalaide · Answer

d acc merci
je l ai fait mais ca me telecharge un mini fichier et il me dit que windows sait pas l ouvrir et me demande si je veux chercher un programme online pour l4ouvrir c est normal ?
 c est ce truc que je grave ?
le fichier s appelle Windows Vista 32-bit Repair Disc.torrent
c est ca ?

moment de grace · Answer

il te faut un logiciel de téléchargement torrent

c'est expliqué plus bas


1) Pour télécharger WinRE, le logiciel de partage P2P µTorrent doit être installé sur votre PC.

2) Pensez à autoriser µTorrent à accéder à Internet dans votre pare-feu.

3) Durant l'installation de µTorrent, il vous est proposé d'installer la barre d'outil Ask.com Toolbar. Refusez en décochant toutes les cases avant de cliquer sur Installer.

helpalaide · Answer

ok c est telecharge et grave

helpalaide · Answer

j ai suivi les instructions donnees sur la page que tu m as donne j ai fait repair system mais quand j arrive au petit tableau intitule system recovery options et que je devrais voir apparaitre "windows vista" pour le selectionner avant de cliquer sur next eh bien la case est vide

helpalaide · Answer

h mais en faisant "next" j arrive tout de meme au menu suivant.
je fais lequel startup repair ou restauration du systeme ou quoi ?

gen-hackman · Answer

salut pour avancer : 

choisis le dernier menu (la case noire avec le caractère blanc) 

un fois là dessus : 

X:\System32\cmd.exe , tape : 

bootrec.exe /Fixboot 

puis entrée 

bootrec.exe /Fixmbr 

puis entrée 

retire le cd , puis tape exit  puis entrée

vois si ton pc redemarre normalement 
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤&#164

helpalaide · Answer

Bonjour,

lorsque j ai fait la premiere commande il m a dit command not found ou un truc comme ca
la deuxieme il m a dit que c etait successfully executed

je viens de redemarrer ca ne marche toujours pas ca me marque partition not valid
je ne peux toujours pas demarreer sans echec non plus

moment de grace · Answer

ok

opte alors pour la restauration systeme à une date antérieure au plantage du pc

helpalaide · Answer

quand je clique sur restore system il me dit :
To perform an offline System restore you must specify which Windows installation you would like to restore.
For example, if the installation located in "C:Windows" should be restored, enter the following command :
rstrui.exe/OFFLINE.C:Windows
( manque les antislashs dans mon texte pas reussi a le trouver sur ce put*** de clavier )

le truc c est que je vois nulle part pour entrer la commande

je precise encore si jamais ca vient de la que je ne vois pas apparaitre "windows vista" pour le choisir avant d aboutir a la liste des choses qu on peut faire.

gen-hackman · Answer

salut c'est un pc de grande surface ?

helpalaide · Answer

on l a achete a helkjøp c est un grand magasin qui fait appareils menagers tel et informatique ici en Norvege

moment de grace · Answer

Pour effectuer une restauration du système déconnecté, vous devez spécifier l'installation de Windows que vous souhaitez restaurer. 
 
Par exemple, si l'installation situé dans "C: Windows" devrait être rétabli, entrez la commande suivante: 

rstrui.exe/OFFLINE.C:Windows  


CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

helpalaide · Answer

eh bien oui j avais compris mais je la fais ou la commande dans "command prompt"?

gen-hackman · Answer

salut comme tu as fait ici (sans le commandes qui sont dedans evidemment) :

https://forums.commentcamarche.net/forum/affich-19711211-l-invasion-recommence-argh?full#42

helpalaide · Answer

il me dit qu il ne peut pas restaurer le systeme car il n y a aucune sauvegarde sur l ordi ( ??? )

il me dit que je peux aller creer un point de restauration en allant sur system protection mais quand je clique dessus il me dit que je peux pas parce que je suis sur un truc limite.

j ai aussi essaye de passer par le menu d en dessous a savoir complete system restore et il me dit la meme chose qu il  a pas de backup blabla
si je veux faire quand meme il faut que je lui rentre une "location", une "date and time" et "computer"

helpalaide · Answer

je fais quoi ?

gen-hackman · Answer

au petit tableau intitule system recovery options et que je devrais voir apparaitre "windows vista" pour le selectionner avant de cliquer sur next eh bien la case est vide

tu es sur d'avoir pris la bonne console de recupération pour 32 bits et non 64 ?

helpalaide · Answer

eh bien oui je suis sure par contre il est possible que j ai merde dans la copie du cd d un fichier iso le tuto qui etait sur le site ne correspondait pas au programme tel qu il est desormais.

je vais regraver le machin en faisant bien attention

gen-hackman · Answer

non si ca a fonctionné , tu n'as pas "merdé"

helpalaide · Answer

voui effectivement parce que j ai tout recommence depuis le debut et bah c est toujours exactement pareil

je fais quoi ?

helpalaide · Answer

je fais quoi maintenant ?

gen-hackman · Answer

après relecture du sujet il semblerait que ton pc soit tatoué par la marque du fabricant. 

ce qui fait que le mbr , n'est pas réparable..... 
erreur que font les fabricants ! 

je pense que tu vas devoir reinstaller ton systeme 

je vois que ca... 

[Edit::]

tes données sont recuperables
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤&#164

helpalaide · Answer

oui... comment je fais ?

j ai regarde hier sur le lien que vous m aviez donne avant
il est dit qu il faut le cd de vista integrale ou un truc comme ca
je le trouve ou ?

de plus il etait marque qu il me fallait la product key je ne la vois nulle part sur ma tour

mais bon ca au pire je peux installer le truc et ensuite j ai trente jours pour trouver cette key dans mes papiers c etait peut etre sur le guide d utilisation ou sur la facture ? j ai forcement garde ces machins meme si la tout de suite je les trouve pas :D

helpalaide · Answer

des idees ?

gen-hackman · Answer

bonjour

où télécharger vista ? aucune idée je n'ai jamais utilisé ce systeme d'exploitation...

L'invasion recommence argh !

55 réponses

Discussions similaires

Newsletters