Pb de virus, aidez moi svp
Résolu
Marmotte
-
moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention -
moment de grace Messages postés 29042 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonsoir,
Mon ordi est devenu subitement lent (depuis 1 h). Je ne sais pas si ca date d'aujourd'hui mais Je viens de lancer une recherche dans C\\ et avast m'a trouvé ceci :
menace : Win32:MalOb-CV
emplacement : C:\users\...\AppData\Local\Temp\i9q17c3.exe
Il juge la menace SEVERE et m'a fais mettre le fichier en quarantaine.
Je suis assez inquiète car en ce moment j'utilise pas mal mon pc pour des rapports.
SVP, aidez moi
Mon ordi est devenu subitement lent (depuis 1 h). Je ne sais pas si ca date d'aujourd'hui mais Je viens de lancer une recherche dans C\\ et avast m'a trouvé ceci :
menace : Win32:MalOb-CV
emplacement : C:\users\...\AppData\Local\Temp\i9q17c3.exe
Il juge la menace SEVERE et m'a fais mettre le fichier en quarantaine.
Je suis assez inquiète car en ce moment j'utilise pas mal mon pc pour des rapports.
SVP, aidez moi
A voir également:
- Pb de virus, aidez moi svp
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Impossible de terminer l'opération car le fichier contient un virus - Forum Virus
39 réponses
bonjour
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
moment de grace, je viens d'essayer de télécharger ZHPDiag, sans succés, puisqu'une fois l'installation faites, ce message d'erreur apparait :
Impossible d'exécuter le fichier :
C\program files\ZHPDiag\ZHPDiag.exe
CreateProcess a échoué : code 740
L'opération demandée nécessite une élévation
Je vais essayer MBAM
Merci de vos réponses, ca me stresse ce virus :(
Impossible d'exécuter le fichier :
C\program files\ZHPDiag\ZHPDiag.exe
CreateProcess a échoué : code 740
L'opération demandée nécessite une élévation
Je vais essayer MBAM
Merci de vos réponses, ca me stresse ce virus :(
Voici le lien de mon rapport :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijMLppUjc.txt
merci de m'aider
http://www.cijoint.fr/cjlink.php?file=cj201011/cijMLppUjc.txt
merci de m'aider
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok
1)
* Télécharge Defogger
http://www.jpshortstuff.247fixes.com/Defogger.exe
=> lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé
puis
Lances ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7),
Cliques sur le bouton MBRfix' situé dans la partie droite de l'écran,
Cliques sur 'Non' au message qui s'affiche à l'écran,
Laisses travailler l'outil,
A la fin du traitement, un rapport s'affiche
Copie ce rapport
Redémarre le pc pour prendre en compte les modifications.
................
2)
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
Double clic sur le raccourci UsbFix présent sur le bureau .
Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.
Si un message te demande de redémarrer l'ordinateur fais le ...
Au redémarrage, le fix se relance... laisses l'opération s'effectuer.
Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php
Il est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
...............
3)
Relance MalwareByte's Anti-Malware (que tu pourras garder ensuite)
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
1)
* Télécharge Defogger
http://www.jpshortstuff.247fixes.com/Defogger.exe
=> lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé
puis
Lances ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7),
Cliques sur le bouton MBRfix' situé dans la partie droite de l'écran,
Cliques sur 'Non' au message qui s'affiche à l'écran,
Laisses travailler l'outil,
A la fin du traitement, un rapport s'affiche
Copie ce rapport
Redémarre le pc pour prendre en compte les modifications.
................
2)
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
Double clic sur le raccourci UsbFix présent sur le bureau .
Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.
Si un message te demande de redémarrer l'ordinateur fais le ...
Au redémarrage, le fix se relance... laisses l'opération s'effectuer.
Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php
Il est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
...............
3)
Relance MalwareByte's Anti-Malware (que tu pourras garder ensuite)
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
première étape effectué : Rapport de ZHPFix 1.12.3216 par Nicolas Coolman, Update du 09/11/2010
Fichier d'export Registre :
Run by Delphine at 11/11/2010 23:44:08
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: WDC_WD2500BEVT-22ZCT0 rev.11.01A11 -> \Device\Ide\IdeDeviceP2T0L0-4
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS intelide.sys PCIIDEX.SYS atapi.sys
1 ntkrnlpa!IofCallDriver[0x826D605F] -> \Device\Harddisk0\DR0[0x851D5478]
3 CLASSPNP[0x8859C745] -> ntkrnlpa!IofCallDriver[0x826D605F] -> [0x85090328]
5 acpi[0x806946A0] -> ntkrnlpa!IofCallDriver[0x826D605F] -> \Device\Ide\IdeDeviceP2T0L0-4[0x85095BA0]
kernel: MBR read successfully
user & kernel MBR OK
Resultat après le fix :
Master Boot Record non infecté
========== Récapitulatif ==========
1 : Master Boot Record
End of the scan
Fichier d'export Registre :
Run by Delphine at 11/11/2010 23:44:08
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: WDC_WD2500BEVT-22ZCT0 rev.11.01A11 -> \Device\Ide\IdeDeviceP2T0L0-4
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS intelide.sys PCIIDEX.SYS atapi.sys
1 ntkrnlpa!IofCallDriver[0x826D605F] -> \Device\Harddisk0\DR0[0x851D5478]
3 CLASSPNP[0x8859C745] -> ntkrnlpa!IofCallDriver[0x826D605F] -> [0x85090328]
5 acpi[0x806946A0] -> ntkrnlpa!IofCallDriver[0x826D605F] -> \Device\Ide\IdeDeviceP2T0L0-4[0x85095BA0]
kernel: MBR read successfully
user & kernel MBR OK
Resultat après le fix :
Master Boot Record non infecté
========== Récapitulatif ==========
1 : Master Boot Record
End of the scan
Je viens de faire l'étape 2, parcontre j'avais pas lu qu'il fallait désactiver le controle utilisateur. Je recommence ?
Merci de votre aide
le rapport :
############################## | UsbFix 7.035 | [Suppression]
Utilisateur: Delphine (Administrateur) # PC-DE-DELPHINE [Acer Extensa 5620]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 23:48:03 | 11/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Core(TM)2 Duo CPU T5670 @ 1.80GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T5670 @ 1.80GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6001 32-Bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Pare-feu Windows: Activé
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 110 Go (60 Go libre(s) - 55%) [Acer] # NTFS
D:\ -> Disque fixe # 110 Go (110 Go libre(s) - 100%) [DATA] # NTFS
E:\ -> Disque fixe # 3 Go (3 Go libre(s) - 98%) [XPe] # NTFS
F:\ -> CD-ROM
################## | Éléments infectieux |
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-569270743-2514144733-378673625-1003
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-569270743-2514144733-378673625-500
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-569270743-2514144733-378673625-1003
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-569270743-2514144733-378673625-500
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-569270743-2514144733-378673625-1003
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-569270743-2514144733-378673625-500
################## | Registre |
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\G
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{46a86b52-a009-11df-93c9-000000000000}
################## | Listing |
[11/11/2010 - 23:49:17 | SHD ] C:\$RECYCLE.BIN
[27/03/2008 - 17:58:39 | D ] C:\Acer
[18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
[28/03/2008 - 02:19:32 | D ] C:\Book
[11/02/2008 - 00:06:12 | D ] C:\Boot
[21/01/2008 - 03:34:29 | RASH | 333203] C:\bootmgr
[11/02/2008 - 00:06:13 | N | 8192] C:\BOOTSECT.BAK
[18/09/2006 - 22:43:37 | N | 10] C:\config.sys
[02/11/2006 - 13:59:44 | SHD ] C:\Documents and Settings
[28/03/2008 - 05:30:35 | D ] C:\Elements
[11/11/2010 - 23:42:22 | ASH | 2143764480] C:\hiberfil.sys
[27/03/2008 - 18:43:11 | RHD ] C:\MSOCache
[09/03/2010 - 19:01:30 | D ] C:\NVIDIA
[11/11/2010 - 23:42:21 | ASH | 2459627520] C:\pagefile.sys
[30/04/2008 - 16:53:50 | N | 2433] C:\Patch.rev
[21/01/2008 - 03:43:50 | D ] C:\PerfLogs
[28/03/2008 - 05:30:34 | N | 149] C:\preload.rev
[11/11/2010 - 23:19:38 | D ] C:\Program Files
[11/11/2010 - 23:19:38 | HD ] C:\ProgramData
[11/11/2010 - 11:06:43 | SHD ] C:\System Volume Information
[11/11/2010 - 23:49:17 | D ] C:\UsbFix
[11/11/2010 - 23:48:04 | A | 2550] C:\UsbFix.txt
[11/03/2010 - 13:21:38 | D ] C:\Users
[27/07/2010 - 00:04:47 | D ] C:\Windows
[09/03/2010 - 18:53:03 | T | 25079] C:\_wdsuef.dmp
[11/11/2010 - 23:49:17 | SHD ] D:\$RECYCLE.BIN
[22/12/2009 - 14:56:58 | N | 9161776] D:\DTLite4355-0068.exe
[04/08/2010 - 21:42:49 | D ] D:\Jeux
[04/08/2010 - 21:43:48 | D ] D:\Program Files
[25/02/2010 - 20:28:11 | SHD ] D:\System Volume Information
[11/11/2010 - 23:49:17 | SHD ] E:\$RECYCLE.BIN
[26/02/2010 - 05:09:14 | N | 0] E:\Arcade.dat
[25/02/2010 - 20:28:11 | SHD ] E:\System Volume Information
[23/11/2008 - 04:33:33 | R | 734994432] F:\Batman The Dark Knight cd1.avi
[23/11/2008 - 05:42:14 | R | 733802496] F:\Batman The Dark Knight cd2.avi
[02/11/2008 - 13:26:37 | R | 729131008] F:\Le Monde de Narnia Prince Caspian CD1.avi
[02/11/2008 - 11:43:57 | R | 717922304] F:\Le Monde de Narnia Prince Caspian CD2.avi
[16/11/2008 - 15:01:41 | R | 733657088] F:\Wanted CD1.avi
[16/11/2008 - 15:00:59 | R | 734015488] F:\Wanted CD2.avi
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-DELPHINE.zip
http://www.teamxscript.org/Sample/Upload.php
Merci de votre contribution.
################## | E.O.F |
Merci de votre aide
le rapport :
############################## | UsbFix 7.035 | [Suppression]
Utilisateur: Delphine (Administrateur) # PC-DE-DELPHINE [Acer Extensa 5620]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 23:48:03 | 11/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Core(TM)2 Duo CPU T5670 @ 1.80GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T5670 @ 1.80GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6001 32-Bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Pare-feu Windows: Activé
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 110 Go (60 Go libre(s) - 55%) [Acer] # NTFS
D:\ -> Disque fixe # 110 Go (110 Go libre(s) - 100%) [DATA] # NTFS
E:\ -> Disque fixe # 3 Go (3 Go libre(s) - 98%) [XPe] # NTFS
F:\ -> CD-ROM
################## | Éléments infectieux |
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-569270743-2514144733-378673625-1003
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-569270743-2514144733-378673625-500
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-569270743-2514144733-378673625-1003
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-569270743-2514144733-378673625-500
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-569270743-2514144733-378673625-1003
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-569270743-2514144733-378673625-500
################## | Registre |
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\G
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{46a86b52-a009-11df-93c9-000000000000}
################## | Listing |
[11/11/2010 - 23:49:17 | SHD ] C:\$RECYCLE.BIN
[27/03/2008 - 17:58:39 | D ] C:\Acer
[18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
[28/03/2008 - 02:19:32 | D ] C:\Book
[11/02/2008 - 00:06:12 | D ] C:\Boot
[21/01/2008 - 03:34:29 | RASH | 333203] C:\bootmgr
[11/02/2008 - 00:06:13 | N | 8192] C:\BOOTSECT.BAK
[18/09/2006 - 22:43:37 | N | 10] C:\config.sys
[02/11/2006 - 13:59:44 | SHD ] C:\Documents and Settings
[28/03/2008 - 05:30:35 | D ] C:\Elements
[11/11/2010 - 23:42:22 | ASH | 2143764480] C:\hiberfil.sys
[27/03/2008 - 18:43:11 | RHD ] C:\MSOCache
[09/03/2010 - 19:01:30 | D ] C:\NVIDIA
[11/11/2010 - 23:42:21 | ASH | 2459627520] C:\pagefile.sys
[30/04/2008 - 16:53:50 | N | 2433] C:\Patch.rev
[21/01/2008 - 03:43:50 | D ] C:\PerfLogs
[28/03/2008 - 05:30:34 | N | 149] C:\preload.rev
[11/11/2010 - 23:19:38 | D ] C:\Program Files
[11/11/2010 - 23:19:38 | HD ] C:\ProgramData
[11/11/2010 - 11:06:43 | SHD ] C:\System Volume Information
[11/11/2010 - 23:49:17 | D ] C:\UsbFix
[11/11/2010 - 23:48:04 | A | 2550] C:\UsbFix.txt
[11/03/2010 - 13:21:38 | D ] C:\Users
[27/07/2010 - 00:04:47 | D ] C:\Windows
[09/03/2010 - 18:53:03 | T | 25079] C:\_wdsuef.dmp
[11/11/2010 - 23:49:17 | SHD ] D:\$RECYCLE.BIN
[22/12/2009 - 14:56:58 | N | 9161776] D:\DTLite4355-0068.exe
[04/08/2010 - 21:42:49 | D ] D:\Jeux
[04/08/2010 - 21:43:48 | D ] D:\Program Files
[25/02/2010 - 20:28:11 | SHD ] D:\System Volume Information
[11/11/2010 - 23:49:17 | SHD ] E:\$RECYCLE.BIN
[26/02/2010 - 05:09:14 | N | 0] E:\Arcade.dat
[25/02/2010 - 20:28:11 | SHD ] E:\System Volume Information
[23/11/2008 - 04:33:33 | R | 734994432] F:\Batman The Dark Knight cd1.avi
[23/11/2008 - 05:42:14 | R | 733802496] F:\Batman The Dark Knight cd2.avi
[02/11/2008 - 13:26:37 | R | 729131008] F:\Le Monde de Narnia Prince Caspian CD1.avi
[02/11/2008 - 11:43:57 | R | 717922304] F:\Le Monde de Narnia Prince Caspian CD2.avi
[16/11/2008 - 15:01:41 | R | 733657088] F:\Wanted CD1.avi
[16/11/2008 - 15:00:59 | R | 734015488] F:\Wanted CD2.avi
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-DELPHINE.zip
http://www.teamxscript.org/Sample/Upload.php
Merci de votre contribution.
################## | E.O.F |
Re bonsoir,
MalwareBytes vient de terminer m'analyse et a ouvert le rapport suivant :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 5096
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
12/11/2010 00:38:41
mbam-log-2010-11-12 (00-38-41).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 218340
Temps écoulé: 42 minute(s), 20 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Que dois-je faire maintenant ?
Merci vraiment pour tout ce qui a été fais
MalwareBytes vient de terminer m'analyse et a ouvert le rapport suivant :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 5096
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
12/11/2010 00:38:41
mbam-log-2010-11-12 (00-38-41).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 218340
Temps écoulé: 42 minute(s), 20 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Que dois-je faire maintenant ?
Merci vraiment pour tout ce qui a été fais
me dire comment va le pc
et
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
et
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
ok je viens de lancer une nouvelle analyse (ZHP diag)
Le pc fonctionne mais je sais pas si c'est bon ou pas.
par curiosité informatique, j'ai eu un virus ?Trojan?cheval de troie ?
il y a un moyen de savoir depuis quand et peut être la source d'infection ?
j'espère ne pas vous ennuyer avec mes questions
Je poste le rapport dés que je l'ai :)
merci
Le pc fonctionne mais je sais pas si c'est bon ou pas.
par curiosité informatique, j'ai eu un virus ?Trojan?cheval de troie ?
il y a un moyen de savoir depuis quand et peut être la source d'infection ?
j'espère ne pas vous ennuyer avec mes questions
Je poste le rapport dés que je l'ai :)
merci
Voici le lien de mon deuxième rapport :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijCSeWtVe.txt
http://www.cijoint.fr/cjlink.php?file=cj201011/cijCSeWtVe.txt
l'origine, difficile à dire, un pc pas à jour par exemple, comme le tien
ton rapport est propre mais je ne suis pas convaincu
............
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
Télécharge ici :List_Kill'em et enregistre le sur ton bureau
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Fais de même avec more.txt qui se trouve sur ton bureau
ton rapport est propre mais je ne suis pas convaincu
............
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
Télécharge ici :List_Kill'em et enregistre le sur ton bureau
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Fais de même avec more.txt qui se trouve sur ton bureau
et de 2 rapports !!
http://www.cijoint.fr/cjlink.php?file=cj201011/cijz6auTCF.txt
http://www.cijoint.fr/cjlink.php?file=cj201011/cijRWKTayt.txt
merci
http://www.cijoint.fr/cjlink.php?file=cj201011/cijz6auTCF.txt
http://www.cijoint.fr/cjlink.php?file=cj201011/cijRWKTayt.txt
merci
ca a l'air d'aller
1)
Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :
choisis l'option CLEAN
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
colle le contenu dans ta reponse
...................
2)
Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse
....................
3)
fais tourner avast et voyons ce qu'il en dit
1)
Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :
choisis l'option CLEAN
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
colle le contenu dans ta reponse
...................
2)
Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse
....................
3)
fais tourner avast et voyons ce qu'il en dit
voici le 1er rapport
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.2.0 ¤¤¤¤¤¤¤¤¤¤
User : Delphine (Administrateurs)
Update on 11/11/2010 by g3n-h@ckm@n ::::: 19.00
Start at: 01:50:48 | 12/11/2010
Intel(R) Core(TM)2 Duo CPU T5670 @ 1.80GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled
C:\ -> Disque fixe local | 110,06 Go (60,15 Go free) [Acer] | NTFS
D:\ -> Disque fixe local | 110,06 Go (109,55 Go free) [DATA] | NTFS
E:\ -> Disque fixe local | 3 Go (2,95 Go free) [XPe] | NTFS
F:\ -> Disque CD-ROM | 4,08 Go (0 Mo free) [Divx] | CDFS
¤¤¤¤¤¤¤¤¤¤ Files/folders :
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤
127.0.0.1 localhost
¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval = 1 (0x1)
FirstRunDisabled = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2
¤¤¤¤¤¤¤¤¤¤ Winlogon
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = explorer.exe
Userinit = C:\Windows\System32\userinit.exe,
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
FEATURE_BROWSER_EMULATION | svchost :
====================================
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: error reading MBR
End of Scan : 1:51:10,72
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.2.0 ¤¤¤¤¤¤¤¤¤¤
User : Delphine (Administrateurs)
Update on 11/11/2010 by g3n-h@ckm@n ::::: 19.00
Start at: 01:50:48 | 12/11/2010
Intel(R) Core(TM)2 Duo CPU T5670 @ 1.80GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled
C:\ -> Disque fixe local | 110,06 Go (60,15 Go free) [Acer] | NTFS
D:\ -> Disque fixe local | 110,06 Go (109,55 Go free) [DATA] | NTFS
E:\ -> Disque fixe local | 3 Go (2,95 Go free) [XPe] | NTFS
F:\ -> Disque CD-ROM | 4,08 Go (0 Mo free) [Divx] | CDFS
¤¤¤¤¤¤¤¤¤¤ Files/folders :
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤
127.0.0.1 localhost
¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval = 1 (0x1)
FirstRunDisabled = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2
¤¤¤¤¤¤¤¤¤¤ Winlogon
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = explorer.exe
Userinit = C:\Windows\System32\userinit.exe,
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
FEATURE_BROWSER_EMULATION | svchost :
====================================
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: error reading MBR
End of Scan : 1:51:10,72
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
