Portable tres lent et peut etre contamine Fermé

Question

Bonjour, 

Tout est dans le titre.

Quelqu'un peut il m'aider a verifier si tout va bien et si on peut ameliorer quelquechose...

Merci d'avance.


Configuration: Windows XP / IE

sherred · Answer

ok  salut
  on va regarder ca ensemble
* Télécharge ZHPDiag (de Nicolas Coolman).  https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
Rend toi sur Cijoint  http://www.cijoint.fr/
 et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier" 
Un lien sera généré, copie et colle-le dans ta prochaine réponse.

VieuxPC · Answer

Bonjour,

Ca a rame un peu mais ca y est


Voila le lien : 

http://www.cijoint.fr/cjlink.php?file=cj201011/cij6hywYI9.txt

Merci d'avance...

sherred · Answer

1)tu a  trop de protection ,= conflit 
désinstaller Norton

La désinstallation de Norton s'avère souvent incomplète, il faut systématiquement utiliser l'utilitaire de désinstallation Norton pour tout supprimer : Norton Removal Tool
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

Télécharge UsbFix (de Chiquitine29) sur ton bureau 
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

2) Spybot Search & Destroy
ne sert a rien desinstalle le 


3)
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir 

--> Double clic sur UsbFix 

clic sur le bouton Recherche


et  ne touche plus a rien pendant le scan

Une fois l'analyse terminée, un rapport de scan  est proposé... appuie sur une touche pour ouvrir ce rapport.
 copier/coller ce rapport  dans ta prochaine réponse
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque

VieuxPC · Answer

Pour Norton et Spybot c'est fait. Par contre USBfix, le lien ne marche pas (ca me met page introuvable)

VieuxPC · Answer

Voila:



############################## | UsbFix 7.034 | [Research]

User: GIGABYTE (Administrator) # DARA [ ]
Updated 25/10/10 by El Desaparecido / C_XX
Started at 07:47:21 | 05/11/2010
Website: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU:  Intel(R) Pentium(R) M processor 1.73GHz
Microsoft Windows XP Home Edition (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Windows Firewall: Disabled /!\
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
Firewall: ZoneAlarm Firewall 8.0.298.000 [Enabled]
RAM -> 502 Mb 
C:\ (%systemdrive%) -> Fixed drive # 19 Gb (4 Mb free - 19%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Fixed drive # 37 Gb (4 Mb free - 12%) [New Volume] # NTFS
F:\ -> Removable drive # 7 Gb (7 Mb free - 100%) [Transcend] # FAT32

################## | Files # Infected Folders |



################## | Registry |

Found ! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{17c55693-1510-11de-8dd3-001364411032}
Shell\explore\Command = F:\forever.exe
Shell\open\Command = F:\forever.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{29b3a0e5-8651-11dd-87a9-00c09fb630c9}
Shell\explore\Command = F:\forever.exe
Shell\open\Command = F:\forever.exe


################## | Vaccin |

F:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

sherred · Answer

relance usbfix
et cette fois fait l'option suppression

--> Le pc va redémarer 

-->Après redémarrage poste le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque 
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

vieuxPC · Answer

############################## | UsbFix 7.034 | [Deletion]

User: GIGABYTE (Administrator) # DARA [ ]
Updated 25/10/10 by El Desaparecido / C_XX
Started at 09:54:56 | 06/11/2010
Website: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU:  Intel(R) Pentium(R) M processor 1.73GHz
Microsoft Windows XP Home Edition (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Windows Firewall: Disabled /!\
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
Firewall: ZoneAlarm Firewall 8.0.298.000 [Enabled]
RAM -> 502 Mb 
C:\ (%systemdrive%) -> Fixed drive # 19 Gb (4 Mb free - 19%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Fixed drive # 37 Gb (4 Mb free - 12%) [New Volume] # NTFS
F:\ -> Removable drive # 7 Gb (7 Mb free - 100%) [Transcend] # FAT32

################## | Files # Infected Folders |


Deleted ! C:\Recycler\S-1-5-21-220523388-861567501-725345543-1004
Deleted ! E:\Recycler\S-1-5-21-220523388-861567501-725345543-1004

################## | Registry |

Deleted ! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{17c55693-1510-11de-8dd3-001364411032}
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{29b3a0e5-8651-11dd-87a9-00c09fb630c9}

################## | Listing |

[01/01/2005 - 06:50:47 | C | 0] 	C:\AUTOEXEC.BAT
[21/10/2008 - 12:22:49 | DC ] 	C:\Backups
[02/10/2009 - 18:11:41 | C | 211] 	C:\boot.ini
[01/01/2005 - 06:50:47 | C | 0] 	C:\CONFIG.SYS
[09/04/2010 - 10:33:30 | DC ] 	C:\Documents and Settings
[22/11/2009 - 20:39:41 | DC ] 	C:\Downloads
[27/09/2006 - 19:22:31 | D ] 	C:\HEROSOFT
[05/11/2010 - 07:35:38 | ASH | 526503936] 	C:\hiberfil.sys
[01/01/2005 - 06:50:47 | C | 0] 	C:\IO.SYS
[02/05/2010 - 10:31:45 | C | 127] 	C:\mbam-error.txt
[01/01/2005 - 06:50:47 | C | 0] 	C:\MSDOS.SYS
[27/09/2006 - 18:45:58 | RHD ] 	C:\MSOCache
[04/08/2004 - 19:00:00 | N | 47564] 	C:\NTDETECT.COM
[09/03/2009 - 14:32:33 | N | 250048] 	C:
tldr
[05/11/2010 - 07:35:37 | ASH | 792723456] 	C:\pagefile.sys
[04/11/2010 - 15:02:45 | RD ] 	C:\Program Files
[06/11/2010 - 09:59:00 | SHD ] 	C:\RECYCLER
[01/01/2005 - 06:54:33 | SHD ] 	C:\System Volume Information
[06/10/2009 - 14:37:13 | C | 2123] 	C:\TB.txt
[09/07/2010 - 16:04:25 | D ] 	C:\Unikey 3.62
[06/11/2010 - 09:59:00 | DC ] 	C:\UsbFix
[06/11/2010 - 09:59:06 | AC | 1105] 	C:\UsbFix.txt
[29/01/2010 - 13:30:30 | D ] 	C:\Vietkey2000
[25/11/2010 - 11:38:11 | D ] 	C:\WINDOWS
[06/01/2010 - 16:31:39 | D ] 	E:\Commun
[05/09/2001 - 22:00:58 | N | 1700352] 	E:\gdiplus.dll
[05/03/2008 - 10:47:03 | D ] 	E:\MAISON Version finale
[22/07/2009 - 08:43:06 | D ] 	E:\MHZ
[11/03/2010 - 14:51:50 | D ] 	E:\MUSIQUE Version finale
[06/11/2010 - 09:59:00 | SHD ] 	E:\RECYCLER
[28/09/2006 - 11:15:21 | SHD ] 	E:\System Volume Information
[11/10/2010 - 15:11:00 | RASHD ] 	F:\Autorun.inf
[16/05/2008 - 07:12:52 | D ] 	F:\AutoRun

################## | Vaccin |

C:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)

################## | Upload |

Please send the file: C:\UsbFix_Upload_Me_DARA.zip
http://www.teamxscript.org/Sample/Upload.php
Thank you for your contribution.

################## | E.O.F |

sherred · Answer

télécharge Malwarebyte's ici 
http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.46.exe
ou ici
https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
le programme va se mettre automatiquement a jour. 

Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression". 

Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des éléments on été trouvés > click sur supprimer la sélection. 

si il t'es demandé de redémarrer > click sur "yes". 

A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum. 

Copie et colle le rapport stp. 

PS : les rapport sont aussi rangé dans l onglet rapport/log

VieuxPC · Answer

Voila :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5059

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/6/2010 6:57:21 PM
mbam-log-2010-11-06 (18-57-21).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 135968
Temps écoulé: 9 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

sherred · Answer

tu me refait  ZHPDiag   et on finalise

moment de grace · Answer

salut à vous

[MD5.84AD9ADEBD9FA8A2346B9F71D5D55605] - (. - .) -- C:\Vietkey2000\VKNT.EXE   [78848]

http://www.virustotal.com/file-scan/report.html?id=0af79556836fd070d37524055a86408376aa8d397ef48a36bd255cf2a1cc0115-1285730981

@+

VieuxPC · Answer

Bonjour a tous,

Alors le VKNT.exe est installe ici d'office sur les PC (permet d'avoir les caracteres vietnamiens), donc c'est normal qu'il soit la.

Sinon voici le lien : 


http://www.cijoint.fr/cjlink.php?file=cj201011/cijsAUo5SE.txt

VieuxPC · Answer

======= REPORT FROM AD-REMOVER 2.0.0.2,B | ONLY XP/VISTA/7 =======

Updated by TeamXscript on 07/11/10 at 01:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 15:17:49 on 09/11/2010, Normal boot

Microsoft Windows XP Home Edition Service Pack 3 (X86) 
GIGABYTE@DARA ( ) 
 
============== ACTION(S) ==============


File deleted: C:\Program Files\Mozilla FireFox\Components\AskHPRFF.js
File deleted: C:\Documents and Settings\GIGABYTE\Application Data\Mozilla\FireFox\Profiles\l0dn97z6.default\searchplugins\askcom.xml

(!) -- Temporary files deleted.


-- File opened: C:\Documents and Settings\GIGABYTE\Application Data\Mozilla\FireFox\Profiles\l0dn97z6.default\Prefs.js --
Line deleted:  
Line deleted:  
Line deleted: user_pref("browser.search.defaultengine", "Ask.com"); 
Line deleted: user_pref("browser.search.defaultenginename", "Ask.com"); 
Line deleted: user_pref("browser.search.order.1", "Ask.com"); 
Line deleted: user_pref("browser.search.selectedEngine", "Ask.com"); 
-- File closed --
 

Key deleted: HKLM\Software\Classes\CLSID\{47C6C527-6204-4F91-849D-66E234DEE015}
Key deleted: HKLM\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}
Key deleted: HKLM\Software\Classes\AppID\{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}
Key deleted: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}
Key deleted: HKLM\Software\Classes\CLSID\{9461b922-3c5a-11d2-bf8b-00c04fb93661}
Key deleted: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
Key deleted: HKLM\Software\Classes\CLSID\{B791A095-A4AC-4312-8894-5B7E8FF5B3CD}
Key deleted: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
Key deleted: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
Key deleted: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
Key deleted: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
Key deleted: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
Key deleted: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
Key deleted: HKLM\Software\Classes\TypeLib\{ECA4E801-17AE-4863-9F5C-AF4047AABEE0}
Key deleted: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
Key deleted: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
Key deleted: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
Key deleted: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
Key deleted: HKLM\Software\Classes\AskToolBar.SettingsPlugin
Key deleted: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
Key deleted: HKLM\Software\AskBarDis
Key deleted: HKLM\Software\pandobar
Key deleted: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

Value deleted: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== ADDITIONNAL SCAN ==============

** Mozilla Firefox Version [3.6.11 (fr)] **

-- C:\Documents and Settings\GIGABYTE\Application Data\Mozilla\FireFox\Profiles\l0dn97z6.default\Prefs.js --
browser.download.dir, C:\Documents and Settings\GIGABYTE\My Documents\Téléchargements
browser.download.lastDir, C:\Documents and Settings\GIGABYTE\Desktop
browser.startup.homepage, hxxp://www.girlgamesnow.com/games/card_board_games.html
browser.startup.homepage_override.mstone, rv:1.9.2.11

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: YES
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 File(s)
C:\Program Files\Ad-Remover\Backup: 14 File(s)

C:\Ad-Report-CLEAN[1].txt - 09/11/2010 (1133 Byte(s)) 

End at: 15:19:11, 09/11/2010 
 
============== E.O.F ==============

sherred · Answer

passe Ccleaner https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 24 heures .
tu fait le nettoyage
Fichiers temporaires de Windows 
Cookies, cache, historique d'Internet Explorer, Opera et Firefox 
Documents récents de Windows
et ensuite onglet registre recherche et réparation de la base de registre.

_____________________________
-----------------------------
NETTOYAGE démarrage
dans le menu DEMARRER
tu clic sur EXECUTER   ou sous touche vista + r (la touche vista c'est celle a coter de ctrl a gauche du clavier)
et tu tape "msconfig"
tu va dans l'onglé démarrage
et tu décoche tout "sauf l'antivirus" si il s'y trouve 
tu ne risque rien "ca n'efface rien" 
tu redémarre le pc 
une fenêtre va s'afficher tu la décoche  et ok

-------------------------------

VIEUXPC · Answer

Ca y est. C'est fait

VieuxPc · Answer

Toujours un peu lent, mais a priori, aucune alerte ni comportement anormal.

VieuxPc · Answer

C'est un portable. Je ne saurais pas le "depiauter" . Donc je crois que je vais me contenter de ca pour le moment.

A moins qu'on puisse secouer pour retirer la poussiere, mais ca m'etonnerait !!!

VieuxPc · Answer

Par contre est-ce qu'il y a des choses a supprimer suite au nettoyage et d'autres a garder pour usage ulterieur ?

sherred · Answer

MBAM  a garder

utilise
ToolsCleaner, merci A.Rothstein & Dj Quiou, 
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
ou
> http://pc-system.fr/
qui va désinstaller les outils que l'on a utilisés

VieuxPc · Answer

Voila ca a marche nickel.

Merci...

Portable tres lent et peut etre contamine

20 réponses

Discussions similaires