PC infecté ? beagle ?? Résolu

Question

Bonjour,  
J'ai visiblement mon pc infecté (infecté c'est sur je veux dire) par beagle (ou une variante). 
symptomes : 
- internet indisponible (tous navigateurs) mais la connexion est bien active 
- client messagerie inopérent 
- avast non reconnu 
- un message d'erreur a l'ouverture (Socket Error #10061 Connection refused) - peut etre tout simplement parce que ma connexion est bloquée .. mais je poste au cas ou 

J'ai acces (maintenant) à internet en mode sans echec avec prise en charge du reseau. 

Si quelqu'un veut bien m'aider en me guidant a pas sur le quoi faire et comment, comment utiliser les résultats...etc . (egalement en precisant si la mani doit se faire en mode de demarrage normal ou sans echec) 

Merci de l'aide généreuse et amicale. 



Configuration: Windows 7 / Internet Explorer 7.0

glops · Answer

Bonjour  
Je vais essayer de t'aider. 
Si c'est "Bagle,"surtout ne démarre pas en mode sans échec en passant par Ms config et la clé SAFEBOOT 

puisque tu as accès à internet télécharge un logiciel pour faire un diagnostic complet 

=> Télécharge  ce logiciel: https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html  
=> Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.  
=> Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
=> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
=> Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/  puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. 

note: si le fichier est trop" lourd" tu devras le compresser au format *.Zip ou *.Rar pour pouvoir l'héberger sur cijoint.fr 
glops31 /-----------\    Une désinfection inachevée est inutile...   /------------  
 ----------------------/ Qui prend conseil est près de bien faire.\------------

loloeaz · Answer

Merci de l'aide. 

Je fais le scan en mode normal ou sans echec ? en admin ou pas?

loloeaz · Answer

en mode sans echec ; http://www.cijoint.fr/cjlink.php?file=cj201011/cijir4XNMe.txt

loloeaz · Answer

en mode de démarrage "normal" : http://www.cijoint.fr/cjlink.php?file=cj201011/cijlPWg8jA.txt

glops · Answer

Refais moi un ZHPdiag en mode normal s'il te plait et si tu peux

as tu des messages d'erreur lorsque tu essaie d'utiliser Avast ou d'autre log?

loloeaz · Answer

j'ai repondu entre temps avec mode normal 
non je n'ai pas de messages d'erreurs

glops · Answer

Pas de trace de Bagle sur ces rapports
en revanche une infection par supports amovibles est présente
voilà ce que tu vas faire pour en venir à 

Désactive l'UAC de Win7 suis ce tutoriel  si nécéssaire: http://www.depannetonpc.net/fiches-pratiques/lire_62_1_desactiver-l-uac-sous-windows-7.html

ensuite:

/!\ ferme toutes tes applications et enregistre le travail en cours en cours/!\

    => Télécharge UsbFix: http://www.teamxscript.org/usbfixTelechargement.html et enregistre-le sur ton bureau 
sur la même page tu auras un tutoriel vidéo" nettoyage" pour t'aider si besoin
    => Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) succeptibles d'avoir été infectées sans les ouvrir

    => Double clic sur le raccourci UsbFix présent sur ton bureau
    => choisi:  ( Suppression ) 
    => vérifie que tous tes supports amovibles sont connectés et clique sur OK
    => Ton bureau disparaîtra et le pc redémarrera .
    => Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
    => Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .    
    => Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

=> ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

loloeaz · Answer

voici le rapport :
############################## | UsbFix 7.035 | [Suppression]

Utilisateur: LesL4 (Administrateur) # LESL4-PC [HP-Pavilion WE184AA-ABF HPE-110fr]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 22:05:23 | 15/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM) i5 CPU 650 @ 3.20GHz
CPU 2: Intel(R) Core(TM) i5 CPU 650 @ 3.20GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 6071 Mo 
A:\ -> CD-ROM
C:\ (%systemdrive%) -> Disque fixe # 461 Go (398 Go libre(s) - 86%) [WIN7&PROGRAMMES] # NTFS
D:\ -> Disque fixe # 98 Go (3 Go libre(s) - 3%) [PERSO] # NTFS
E:\ -> Disque fixe # 287 Go (63 Go libre(s) - 22%) [INTERNET] # NTFS
Z:\ -> Disque fixe # 12 Go (2 Go libre(s) - 14%) [FACTORY_IMAGE] # NTFS

################## | Éléments infectieux |


Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2823226816-3040431354-2244793164-500
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3561389762-582386370-3923469459-1001
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3561389762-582386370-3923469459-500
Supprimé! D:\$RECYCLE.BIN\S-1-5-20
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3561389762-582386370-3923469459-1001
Supprimé! E:\$RECYCLE.BIN\S-1-5-20
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-3561389762-582386370-3923469459-1001
Supprimé! Z:\$RECYCLE.BIN\S-1-5-21-3561389762-582386370-3923469459-1001
Supprimé! Z:\$RECYCLE.BIN\S-1-5-21-3561389762-582386370-3923469459-500

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{366b0f43-1341-11df-84bc-4061867b0c06}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a581858a-1871-11df-a813-4061867b0c06}

################## | Listing |

[15/11/2010 - 22:08:21 | SHD ] 	C:\$Recycle.Bin
[15/11/2010 - 20:56:28 | D ] 	C:\32788R22FWJFW
[07/04/2010 - 18:50:52 | D ] 	C:\divx
[14/07/2009 - 06:08:56 | SHD ] 	C:\Documents and Settings
[21/03/2010 - 17:02:30 | D ] 	C:\GC900
[15/11/2010 - 22:03:00 | ASH | 4774490112] 	C:\hiberfil.sys
[23/08/2010 - 18:26:06 | D ] 	C:\hp
[10/03/2010 - 20:24:12 | D ] 	C:\Intel
[13/11/2010 - 17:01:25 | RHD ] 	C:\MSOCache
[15/11/2010 - 20:01:44 | N | 0] 	C:
tuser.dat
[15/11/2010 - 20:01:44 | N | 0] 	C:
tuser.dat.LOG1
[15/11/2010 - 20:01:44 | N | 0] 	C:
tuser.dat.LOG2
[03/04/2010 - 13:28:56 | D ] 	C:\NVIDIA
[15/11/2010 - 22:03:02 | ASH | 6365986816] 	C:\pagefile.sys
[14/07/2009 - 04:20:08 | D ] 	C:\PerfLogs
[15/11/2010 - 19:57:16 | D ] 	C:\Program Files
[15/11/2010 - 21:51:45 | D ] 	C:\Program Files (x86)
[15/11/2010 - 21:52:12 | D ] 	C:\ProgramData
[21/03/2010 - 17:14:18 | D ] 	C:\Sounds
[14/11/2010 - 07:37:32 | SHD ] 	C:\System Volume Information
[15/11/2010 - 22:08:21 | D ] 	C:\UsbFix
[15/11/2010 - 22:05:24 | A | 918] 	C:\UsbFix.txt
[06/02/2010 - 14:12:36 | D ] 	C:\Users
[15/11/2010 - 21:30:07 | D ] 	C:\Windows
[15/11/2010 - 22:08:21 | SHD ] 	D:\$RECYCLE.BIN
[04/11/2010 - 09:21:01 | N | 36084] 	D:\budget.xlsx
[13/11/2010 - 20:57:34 | N | 20680704] 	D:\compte en banque.mny
[01/11/2010 - 14:09:26 | N | 542769] 	D:\confirm.mht
[15/11/2010 - 16:15:33 | D ] 	D:\PERSO
[06/02/2010 - 15:13:50 | SHD ] 	D:\System Volume Information
[26/05/2007 - 15:16:26 | N | 139] 	D:\TV sur Ordinateur.url
[13/11/2010 - 08:41:25 | D ] 	D:\Zorro
[11/11/2010 - 19:24:16 | N | 4421392384] 	D:\Zorro1.iso
[13/11/2010 - 09:32:14 | N | 4279306240] 	D:\Zorro2.iso
[15/11/2010 - 22:08:21 | SHD ] 	E:\$RECYCLE.BIN
[05/11/2010 - 20:02:23 | D ] 	E:\Adobe
[11/11/2010 - 13:51:58 | D ] 	E:\Adobe.Creative.Suite.5.Master.Collection.Multilingual
[15/11/2010 - 15:56:25 | N | 118028640] 	E:\Conspiracy.2010.TRUEFRENCH.DVDRiP.XViD-FiCTiON.avi.part
[10/11/2010 - 17:19:53 | N | 1048576000] 	E:\Disney.Channel.All.Star.Party.PAL.WII-LOADER.part1.rar
[08/11/2010 - 14:03:22 | N | 1048576000] 	E:\Disney.Channel.All.Star.Party.PAL.WII-LOADER.part2.rar
[08/11/2010 - 17:43:59 | N | 1048576000] 	E:\Disney.Channel.All.Star.Party.PAL.WII-LOADER.part3.rar
[12/11/2010 - 14:43:44 | N | 103119515] 	E:\Disney.Channel.All.Star.Party.PAL.WII-LOADER.part4.rar.part
[10/11/2010 - 20:10:02 | N | 490861936] 	E:\Disney.Channel.All.Star.Party.PAL.WII-LOADER.part5.rar.part
[11/11/2010 - 13:43:28 | D ] 	E:\FILMS
[06/02/2010 - 17:48:08 | D ] 	E:\jdownloader
[13/11/2010 - 11:36:37 | D ] 	E:\jeux
[13/11/2010 - 22:37:25 | N | 4981884] 	E:\Le dernier des Mohicans - French DVDRip.avi.part
[13/11/2010 - 09:39:48 | N | 367361908] 	E:\NK1_03_Jyi.rar
[13/11/2010 - 11:05:39 | N | 367833748] 	E:\NK1_05_KFD.rar
[08/11/2010 - 19:52:59 | D ] 	E:\Olive et Tom
[13/11/2010 - 20:57:33 | N | 20686136] 	E:\Sauvegarde Fichier Money.mbf
[11/11/2010 - 12:06:56 | N | 1048576000] 	E:\Sonic_Colours_PAL_Wii-WiiERD.part1.rar
[11/11/2010 - 09:07:36 | N | 1048576000] 	E:\Sonic_Colours_PAL_Wii-WiiERD.part2.rar
[12/11/2010 - 17:57:41 | N | 76223440] 	E:\Sonic_Colours_PAL_Wii-WiiERD.part3.rar.part
[13/11/2010 - 13:09:46 | N | 966945503] 	E:\Sonic_Colours_PAL_Wii-WiiERD.part4.rar.part
[12/11/2010 - 08:19:24 | N | 505685894] 	E:\Sonic_Colours_PAL_Wii-WiiERD.part5.rar
[06/02/2010 - 15:13:51 | SHD ] 	E:\System Volume Information
[13/11/2010 - 22:37:25 | N | 12055288] 	E:\TO7_05_5j0.rar.part
[15/11/2010 - 16:11:06 | N | 59111292] 	E:\TO7_06_QDe.rar.part
[12/11/2010 - 14:43:44 | N | 113032240] 	E:\TO7_07_hbu.rar.part
[15/11/2010 - 16:11:06 | N | 24692116] 	E:\UC1HD_07_LXr.part1.rar.part
[15/11/2010 - 16:11:06 | N | 28627658] 	E:\Very Bad Cops_.avi.part
[13/11/2010 - 08:37:38 | D ] 	E:\Zorro
[15/11/2010 - 22:08:21 | SHD ] 	Z:\$RECYCLE.BIN
[06/02/2010 - 14:17:07 | D ] 	Z:\boot
[13/07/2009 - 18:39:00 | ASH | 383562] 	Z:\bootmgr
[06/02/2010 - 14:17:06 | N | 0] 	Z:\BT_HP.FLG
[06/01/2010 - 02:52:55 | N | 485] 	Z:\CSP.DAT
[06/01/2010 - 03:04:46 | N | 15537] 	Z:\DeployRp.log
[06/03/2010 - 15:54:49 | D ] 	Z:\hp
[06/03/2010 - 15:54:49 | N | 0] 	Z:\hpdrcu.prc
[06/02/2010 - 14:17:06 | N | 22] 	Z:\language.ini
[06/02/2010 - 14:17:07 | D ] 	Z:\preload
[06/02/2010 - 14:17:07 | SD ] 	Z:\Recovery
[06/01/2010 - 03:04:45 | N | 0] 	Z:\RPCONFIG.LOG
[19/01/2010 - 11:15:09 | SHD ] 	Z:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
Z:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_LESL4-PC.zip
http://www.teamxscript.org/Sample/Upload.php
Merci de votre contribution.

################## | E.O.F |

glops · Answer

Tu vas maintenant utiliser un logiciel plus généraliste et très efficace que tu pourras conserver et utiliser régulièrement.

Passe le en mode normal si tu peux

=> Télécharge Malwarebytes antimalware:http://www.malwarebytes.org/mbam/program/mbam-setup.exe
=> Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement ici: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 
=> Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
=> Lance une analyse complète en cliquant sur "Exécuter un examen complet"
=> Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
=> L'analyse peut durer un bon moment....~2 heures
=> Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
=>Vérifie que tout ce qui est en rouge est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
=> Un rapport va s'ouvrir dans le bloc note... héberge le sur http://www.cijoint.fr/ avant de me poster le lien
=> Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

loloeaz · Answer

ok je vais faire ça, merci

l'analyse risquant d'etre longue comme tu l'indique je ne suis pas sur de reposter d'ici a demain ...

je te remercie en tout cas de ton attention deja

je poursuis ma route contre mon infection

glops · Answer

poste le rapport si tu fais le scan ce soir, je suis présent assez tard ce soir  ;-)

loloeaz · Answer

voici le rapport (j'ai pensé que ca mettrait davantage que les 51mn désolé): 

Malwarebytes' Anti-Malware 1.46 
www.malwarebytes.org 

Version de la base de données: 5115 

Windows 6.1.7600 
Internet Explorer 8.0.7600.16385 

16/11/2010 06:30:38 
mbam-log-2010-11-16 (06-30-38).txt 

Type d'examen: Examen complet (C:\|D:\|E:\|Z:\|) 
Elément(s) analysé(s): 377725 
Temps écoulé: 51 minute(s), 7 seconde(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 0 
Clé(s) du Registre infectée(s): 0 
Valeur(s) du Registre infectée(s): 0 
Elément(s) de données du Registre infecté(s): 0 
Dossier(s) infecté(s): 0 
Fichier(s) infecté(s): 9 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Clé(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Valeur(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Elément(s) de données du Registre infecté(s): 
(Aucun élément nuisible détecté) 

Dossier(s) infecté(s): 
(Aucun élément nuisible détecté) 

Fichier(s) infecté(s): 
C:\Program Files (x86)\Analyse Securite\PC Tools Utilities\crd.exe (TheftMarker.Crude) -> No action taken. 
C:\Program Files (x86)\Gravure\AnyDVD\ADVDHD.6.6.8.0-PATCH.exe (RiskWare.Tool.CK) -> No action taken. 
D:\PERSO\Utilitaires, Documentation et Driver Materiel\Analyse - Sécurité\PCT.Perf.Toolkit.2011.1.0.0.114\PCT.Perf.Toolkit.2011.1.0.0.114\serial\crd.exe (TheftMarker.Crude) -> No action taken. 
D:\PERSO\Utilitaires, Documentation et Driver Materiel\Gravure\AnyDVD\AnyDVD HD 6.6.8.0\Patch\ADVDHD.6.6.8.0-PATCH.exe (RiskWare.Tool.CK) -> No action taken. 
D:\PERSO\Utilitaires, Documentation et Driver Materiel\Gravure\NERO\Nero8\Nero-8.3.2.1\Nero.v8.3.2.1.Incl.Keymaker-EMBRACE\Nero.v8.3.2.1.Incl.Keymaker-EMBRACE\keygen.exe (Trojan.Agent) -> No action taken. 
D:\PERSO\Utilitaires, Documentation et Driver Materiel\Gravure\NERO\Nero9\Keymaker.Nero.9.4.26.0 v5.55\Keymaker.Nero.9.4.26.0 v5.55.exe (Trojan.Agent) -> No action taken. 
D:\PERSO\Utilitaires, Documentation et Driver Materiel\Image\IntoCartoon_Pro_v3.0\IntoCartoon Pro v3.0\Patch.exe (Trojan.Bancos) -> No action taken. 
D:\PERSO\Utilitaires, Documentation et Driver Materiel\Video\ConvertXtoDVD4\ConvertXtoDVD_4_Keygen.exe (Trojan.Agent.CK) -> No action taken. 
D:\PERSO\Utilitaires, Documentation et Driver Materiel\Video\Corel.VideoStudio.Pro.X3\keygen.exe (Trojan.Dropper.PGen) -> No action taken.

glops · Answer

bonjour

cela confirme bien le doute sur l'emploi de keygen et autre keymaker,je te conseille de virer tout ça ainsi que les programmes installés grâce à ça si tu veux conserver l'intégrité de ton PC
tu pourras lire ceci sur les dangers des cracks et keygen /
https://forum.malekal.com/viewtopic.php?t=893&start=
il vaut mieux privilégier les alternatives gratuites et pour les graveurs c'est pas ce qu'il manque,ceci dit:


Le rapport de MalwareBytes indique "No action taken".

Tu n'as pas supprimé la sélection ou tu n'as pas posté le bon rapport 

=>si tu n'as pas fermé MBAM clique sur supprimer la sélection et poste moi le 
=>Si tu as bien cliqué sur Supprimer, il a du te proposer un second rapport : c'est celui ci qu'il me faut. Tu le retrouveras en lançant MalwareBytes et en allant dans l'onglet "Rapports/logs

=>si tu as fermé le programme il faut refaire une recherche et ne pas oublier de supprimer la sélection à la fin avant de me poster le rapport qui apparait

loloeaz · Answer

rebonjour,

je comprends bien sur ta réponse sur les "dangers" des cracks et autre keygen.
certains sont pourtant sur mon disque depuis bien longtemps sans que cela ait causé des pbs..

Mais je comprends le bien fondé de ta réponse. et j'assume les conséquences de ce que je fait

concernant MalwareBytes , effectivement j'ai du posté un mauvais rapport, mais je pense pourtant avoir supprimé ensuite toutes les infections mentionnées.

Je vais refaire tourner comme hier soir (je ne suis pas chez moi la, mais ma femme devrait y arriver chez moi) et je poste le rapport ensuite,

Merci d'être toujours là en passant...

loloeaz · Answer

Désolé pour le délai de réponse ca a été un peu difficile d'organiser ça a distance..
voici le rapport - visiblement ce matin j'avais bien supprimé les fichiers infectés, puisque je pense qu'il n'y a plus rien dans le rapport la.
Pour autant mes pbs sont toujours là .. :-(

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5115

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

16/11/2010 16:45:54
mbam-log-2010-11-16 (16-45-54).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|Z:\|)
Elément(s) analysé(s): 379846
Temps écoulé: 45 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

glops · Answer

ok ,nous allons utiliser l'outil pour "Bagle"


=> Télécharges maintenant  Findykill : 
http://www.teamxscript.org/findykillTelechargement.htm sur ton bureau :     
        
=>   tutoriel recherche: 
http://pagesperso-orange.fr/NosTools/tuto_fyk2.html    

      /!\ Ne fais pas le nettoyage tout de suite /!\    

=> Lance l'installation avec les paramètres par défaut    
=> double clic ou Fais un clic droit sur le raccourci FindyKill sur ton bureau    
=> Choisis exécuter en tant qu'administrateur (vista)    
=>Au menu principal,choisi l option 1 (Recherche)   
=> Post le rapport FindyKill.txt

loloeaz · Answer

voici le rapport


############################## | FindyKill V5.052 |

# User : LesL4 (Administrateurs) # LESL4-PC
# Update on 23/10/2010 by El Desaparecido
# Start at: 20:02:53 | 16/11/2010
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# Intel(R) Core(TM) i5 CPU         650  @ 3.20GHz
# Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-bit) # 
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled

# A:\ # Disque CD-ROM
# C:\ # Disque fixe local # 461,49 Go (399,72 Go free) [WIN7&PROGRAMMES] # NTFS
# D:\ # Disque fixe local # 97,66 Go (3,08 Go free) [PERSO] # NTFS
# E:\ # Disque fixe local # 287,49 Go (62,6 Go free) [INTERNET] # NTFS
# Z:\ # Disque fixe local # 11,54 Go (1,62 Go free) [FACTORY_IMAGE] # NTFS

################## | Eléments infectieux |

C:\Windows\prefetch\WINUPGRO.EXE-C12B80B5.pf  

################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# (!) Uac = 0x0 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.052 ! |

glops · Answer

refais moi un ZHPDiag pour faire le point Stp?

loloeaz · Answer

Le voici

http://www.cijoint.fr/cjlink.php?file=cj201011/cijNaOmQBd.txt

loloeaz · Answer

bonjour ...

p'tit ..up

glops · Answer

bonjour Je ne t'abandonne pas ne t'inquiète pas ,les discussions que je suis s'affichent en gras ;-) Nous allons vérifier un fichier supposé infecté sur virus total de cette manière: => rends toi sur https://www.virustotal.com/gui/ => clique sur "parcourir" et dans le champ saisis le chemin vers le fichier possiblement "infecté" soit : C:\Windows\SysNative\CleanMFT64.exe => clique sur envoyer le fichier Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). tu peux demander à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier" => fais un copié/collé du résultat dans le bloc note => héberge ensuite ce rapport sur: http://www.cijoint.fr et poste moi le lien

loloeaz · Answer

Merci d'être toujours la surtout encore.. 

ok je savais pas qu'on pouvait suivre les discussions comme ça.. Merci 

ok je vais suivre ton indication pour Virustotal et je te tiens au courant. 


Juste une chose : lors de l'analyse via Findykill (voir mon post d'hier) il y a eu une detection d'un fichier supposé infecté : 

################## | Eléments infectieux | 
C:\Windows\prefetch\WINUPGRO.EXE-C12B80B5.pf  

dans ton indication c'était marqué de ne pas faire de nettoyage, donc je n'ai rien fait.; c'est correct ?? 

J'attends ta réponse avant de lancer l'analyse via Virustotal .

glops · Answer

oui, tu peux faire l'analyse sur VT on s'occupera du prefetch plus tard ;-)

loloeaz · Answer

voilà le resultat
http://www.cijoint.fr/cjlink.php?file=cj201011/cijlX8kdhq.doc

glops · Answer

le fichier est légitime

je ne t'oublies pas mais, pour tout te dire je bloque un peu sur ton problème,je suis en train de prendre des renseignements auprès de la communauté des "helpers"
certains outils ont du mal sur Win7_64b

je te fais signe dès que j'ai du nouveau

loloeaz · Answer

ok pas de probleme bien sur.

juste une remarque qui aussi guidera ma connaissance : le fait que en mode sans echec je n'ai pas ce souci de connexion; c'est bien que quelque chose se charge en mode normal, non ? pas moyen d'anlyser tous les process ou fichiers annexes qui se chargent au démarrage ?

on ne s'occupe toujours pas du prefetch ? aucun interet selon toi ?


au cas ou on trouverait pas de solution, je pense que le we prochain je me resoudrai a une reinstall complete (j'ai une partition pour sur mon disque ) + les cd.

je guette de tes news.

glops · Answer

oui quelque chose bloque au démarrage,je vois bien les processus lancés sur les rapports de ZHPDiag et d'ailleurs à ce sujet refais moi un ZHPdiag en mode normal Stp?

supprime le fichier en question dans le prefetch si tu le vois en manuel sinon on peut se servir d'un log
A+

loloeaz · Answer

j'ai supprimé manuellement, sans pb, le fichier dans prefetch

ci-joint le ZHPdiag :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijlTJiJZJ.txt

loloeaz · Answer

Quand je reviens en mode normal outre le message lié au Socket Error #10061 Connection refused, j'ai aussi souvent un applicatifqui ne veut pas s'arreter et je dois forcer pour redemarrer - l'applicatif est désqigné par "launcher" mais aucun idée a quoi ça correspond.

glops · Answer

merci pour ses précisions, je regarde ça et ........Allez les bleus !;-)

glops · Answer

bonjour lololeaz  

tu vas désactiver ton spybot et repasser findyKill  

désactive le Tea timer de Spybot, pour cela:  

=>Lancer Spybot  
=> Cliquer sur Mode, puis cocher Mode avancé  
=> Cliquer sur Outils puis sur Résident  
=> Décocher la case Résident "Tea Timer"  
=>fermer spybot  

=>  sous vista ou win7; Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.  
=> tutoriel nettoyage : http://www.teamxscript.org/findykillNettoyage.html  
 => Branche toutes tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir  
=> Fais clic droit sur le raccourci FindyKill sur ton bureau  
=>Choisis exécuter en tant qu'administrateur  
=> Au menu principal,choisis l'option 2 (Suppression)  

      /!\ il y aura 2 redémarrage, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué"  

      /!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c'est normal !  
      
=> ensuite post le rapport "FindyKill.txt"  
=> :!: FindyKill te proposera d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php]  
=> Ce dossier a été créé par FindyKill et est enregistré sur ton bureau.  
=> Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de FindyKill dans ses recherches.  
=> Il faut sélectionner "FindyKill" dans le menu déroulant  
=> Merci d'avance pour ta contribution !!  

    [*] Note : le rapport FindyKill.txt est sauvegardé a la racine du disque  

glops31 /-----------\    Une désinfection inachevée est inutile...   /------------   
 ----------------------/ Qui prend conseil est près de bien faire.\------------

loloeaz · Answer

ok bien noté tout ça

personne pour faire ça dans la journée, donc je le ferai ce soir en rentrant

loloeaz · Answer

bonjour, voici le rapport,

j'ai vraiment connecté toutes les sources externes que je pouvais (je suis aussi surpris avec le lecteur K mentionné par ailleurs quie je ne connais vraiment...)


############################## | FindyKill V5.052 |

# User : LesL4 (Administrateurs) # LESL4-PC
# Update on 23/10/2010 by El Desaparecido
# Start at: 20:39:56 | 18/11/2010
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# Intel(R) Core(TM) i5 CPU         650  @ 3.20GHz
# Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-bit) # 
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled

# A:\ # Disque CD-ROM
# C:\ # Disque fixe local # 461,49 Go (399,44 Go free) [WIN7&PROGRAMMES] # NTFS
# D:\ # Disque fixe local # 97,66 Go (3,08 Go free) [PERSO] # NTFS
# E:\ # Disque fixe local # 287,49 Go (64,31 Go free) [INTERNET] # NTFS
# F:\ # Disque fixe local
# G:\ # Disque amovible # 3,72 Go (3,62 Go free) [FLASH DRIVE] # NTFS
# Z:\ # Disque fixe local # 11,54 Go (1,62 Go free) [FACTORY_IMAGE] # NTFS

################## | Eléments infectieux |

Supprimé ! C:\Windows\prefetch\WINUPGRO.EXE-C12B80B5.pf 

################## | CRC32 ... |


################## | Registre | 


################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | Fichiers corrompus  |

... OK !  

################## | Upload |

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_LesL4-PC.zip : http://www.teamxscript.org/Sample/Upload.php 
Merci pour votre contribution . 

################## | ! Fin du rapport # FindyKill V5.052 ! |



j'ai uploader le dossier zip egalement

glops · Answer

bonjour 

Pour continuer il faudrait que tu ailles dans le gestionnaire des tâches planifiées (GTP) de ton windows: 
bouton Windows / "Panneau de configuration" / "Système et maintenance" (ou "Système et sécurité"), puis tout en bas, dans la rubrique "Outils d'administration", clique sur "Tâches panifiées".

 Tu supprimes toutes les tâches qui n'ont plus de fichiers (no file)et qui sont de ce fait en échec. 

pour t' aider en voici la liste relevé sur le rapport: 

[MD5.00000000000000000000000000000000] [APT] [CreateChoiceProcessTask] (.Pas de propriétaire.) -- C:\Windows\System32\browserchoice.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [TuneUpUtilities_Task_BkGndMaintenance] (.Pas de propriétaire.) -- C:\Program Files (x86)\Analyse Securite\TuneUp Utilities 2010\OneClick.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{58EEB0A2-B39E-4D8C-B6FE-002FF28FEBED}] (.Pas de propriétaire.) -- K:\ClickMe.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{5EC5C5BF-EDC0-4366-9C07-268C60E74881}] (.Pas de propriétaire.) -- D:\FlashTool_E2\FlashUSB\Uninstall.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{C00899BC-43C5-4B7F-A83C-05D4401173B7}] (.Pas de propriétaire.) -- C:\Users\LesL4\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\27JAFOLY\GetFile[1].exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{C0FA1991-D29C-482A-B152-228B396DB74B}] (.Pas de propriétaire.) -- C:\Users\LesL4\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WURH6UVE\epson31774eu[1].exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{C6CB412A-96D7-4A2C-89F4-786FD10783F2}] (.Pas de propriétaire.) -- C:\Users\LesL4\Desktop\gusetupnew.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{C7894F2B-5CDB-4460-9EC6-14F8041C3EA4}] (.Pas de propriétaire.) -- E:\a trier\Pinnacle Studio Ultimate v12 Final\Pinnacle.pixie.activation.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{DDAD3E6B-FADF-41BB-AD51-D5AC98AA429E}] (.Pas de propriétaire.) -- E:\railroad\class.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{E6B66AD0-1516-4059-8622-9F171F45D973}] (.Pas de propriétaire.) -- C:\Users\LesL4\Desktop\ComboFix.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{FBA6672F-2B09-4CFD-8303-DC473BBED5E0}] (.Pas de propriétaire.) -- C:\Users\LesL4\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EABLHMFN\B2CAppSetup[1].exe (.not file.)  

glops31 /-----------\    Une désinfection inachevée est inutile...   /------------  
 ----------------------/ Qui prend conseil est près de bien faire.\------------

loloeaz · Answer

Voilà les taches ont toutes été supprimées.
Redémarrage, mais pas de meilleur résultat :-(

glops · Answer

comment se fait il qu' il y avait une trace de combofix dans les tâches planifiées, as tu utilisé ce log?

loloeaz · Answer

avant de venir crier au secours, oui j'ai tenté d'utiliser combofix.
mais je n'avais pu vu que j'ai eu un message d'erreur qui me disait que ce n'etait pas la bonne version pour moi (pas 64bits je suppose)

glops · Answer

oui,comboFix est incompatible avec win7 64b, comme d'autres outils d'ailleurs

/!\ comboFix n'est pas à utiliser à la légère/!\

Bon je continue à chercher ;)

loloeaz · Answer

je sais bien ...

c'est quand on est dans le trou qu'on fait encore plus n'importe quoi ..... je sais bien


merci de tes recherches...
sans solution, demain je pense que je vais tout reinstaller...

glops · Answer

tu me mets la pression là....;-))

loloeaz · Answer

non non tu as essayé beaucoup de choses déjà je crois... :-)

glops · Answer

as tu essayé de rétablir les paramètres web sur IE ?

Ferme toutes les fenêtres d'Internet Explorer ou de l'Explorateur Windows qui sont actuellement ouvertes.

ouvre IE

Clique sur Outils, puis sur Options Internet.
      
Clique sur l'onglet Avancé, puis sur Réinitialiser.

Dans la boîte de dialogue Réinitialiser les paramètres d'Internet Explorer, clique sur Réinitialiser.

Une fois la réinitialisation effectuée, clique sur Fermer, sur OK puis à nouveau sur OK.

Ferme Internet Explorer puis relance le

https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

loloeaz · Answer

je fais lancer le test ...

loloeaz · Answer

non .... aucun changement apres cette manip.

glops · Answer

désinstalle complètement Spybot S&D et ré-essaye

essaie aussi en désactivant le pare-feu momentanément

loloeaz · Answer

alors spybot desinstallé -> pas d'effet
pare feu desactivé : pas d'effet
j'ai essayé de desactiver avast aussi : pas d'effet

effectivement pas sur qu'avast soit actif, ou soit pas bloquant, puisque j'ai le message du centre de securité qui me dit ne pas trouver d'antivirus sur mon poste

on pourrait même faire une desinstall totale

le message d'erreur(Socket Error #10061 Connection refused) ne vous donne aucune piste ?

on pourrait aussi desinstaller un a un les log que j'ai...

a vot' bon coeur d'idées....

loloeaz · Answer

J'ai avancé un peu aussi en refaisant un MBAM en mode rapide et sans echec ; visiblement rien de détecté

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5115

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

19/11/2010 20:27:43
mbam-log-2010-11-19 (20-27-43).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 144051
Temps écoulé: 3 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

loloeaz · Answer

et ........... nous avons un gagnant ! :-)  

j'ai desinstallé avast et installé et miracle tout est revenu ......  



en revanche toujours ce fameux message socket ..... si vous voulez continuer a chercher :-)  


un grand MERCI a vous 2 pour vos suggestions, aide et ... ténacité..  

(en revanche mystere tout de meme sur le pourquoi du comment de cette affaire...)  

mais j'aurai bien retenu la leçon quoiqu'il en soit sur pas mal de choses (solutions gratuites plutot que crack verrolé) et programmes de detections ..

je vais maintenant pouvoir reprendre un autre sujet abandonné jusque la, puisque ma connexion (free) s'amenuise peu a peu ces temps ci ....

glops · Answer

alors on s'amuse en mon absence ...lol

bon c'est super ça!!

bin disons qu' à l'origine "Bagle" ne dois pas y être étranger même si il n'était pas très visible ,je pense que c'est une variante qui se planquait bien
le "winupro".exe c'est "Bagle" en principe

pour le message il apparait souvent lorsqu'un log essaie de se connecter et qu'il est bloqué par le pare-feu, Reste à trouver lequel??
mais il y a sûrement d'autres causes.

Essaie de faire un nettoyage du registre avec ccleaner

Pour nettoyer le registre et les fichiers temporaires:

=>Télécharge et installe ccleaner : https://www.ccleaner.com/ccleaner/download/slim

=> Lance ccleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".
=> Dans le menu nettoyeur , clique sur "Analyse".
=> Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
=> Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs"
=> Réponds a OUI a la question qui te sera posée.
=> Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
=> recommence la recherche et la suppression des erreurs jusqu'à ce qu'il ne reste plus rien.
=>un  tutoriel pour t'aider :  http://www.libellules.ch/phpBB2/ccleaner-t30432.html

=>Tu peux conserver ce logiciel et l'utiliser régulièrement.

loloeaz · Answer

J'ai suivi toute la procedure pour ccleaner + redemarrage, mais toujours le message d'erreur au demarrage

glops · Answer

bonjour

on va essayer de voir si sur un ZHPdiage plus complet on voit quelque chose de plus

relance ZHpDiag mais avant de lancer le scan clique sur l'icône représentant un tournevis puis sur le bouton "tous"

poste le lien vers le rapport hébergé

Bon Week-end

loloeaz · Answer

voici le rapport
http://www.cijoint.fr/cjlink.php?file=cj201011/cijx6AS8zy.txt

bon week end egalement

glops · Answer

je te propose de faire un ZHPfix

=> Lance ZHPFix (via le raccourci sur ton Bureau, soit via ZHPDiag)  
=> Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
=> Copie/colle ledocument suivant  et place les dans ZHPFix :  

Voir le Fichier : lololeazFix.txt

=>les lignes copiées et seulement celles-là doivent  se placer dans la fenêtre  
=> valide par "OK"  
=> Clique sur « Tous », puis sur « Nettoyer »  
=> Copie/colle la totalité du rapport dans ta prochaine réponse 

on sait d'où venait "Bagle" ;)

Voir le Fichier : pas_bien.txt

je te conseille de virer tout ça et d'abandonner ces pratiques , des infections plus sévères que "Bagle" se propagent par ce moyen => virut

loloeaz · Answer

voila

Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-11-2010-15-33-29.txt
Run by LesL4 at 20/11/2010 15:33:29
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab  => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{166B1BCA-3F9C-11CF-8075-444553540000}]  => Clé supprimée avec succès
[HKCR\CLSID\{166B1BCA-3F9C-11CF-8075-444553540000}]  => Clé supprimée avec succès
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} () - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab  => Clé supprimée avec succès
O16 - DPF: {FAB2BB9D-91E9-457E-9D42-75A7FCCBBC00} () - https://www.disneylandparis.com/fr-fr/  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [fsm] Clé orpheline  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-3561389762-582386370-3923469459-1001\..\Run: [fsm] Clé orpheline  => Valeur absente

========== Fichier(s) ==========
c:\documents and settings\lesl4\desktop\jaquette wii.lnk  => Supprimé et mis en quarantaine
c:\documents and settings\lesl4\desktop\jdownloader - raccourci.lnk  => Supprimé et mis en quarantaine
c:\users\lesl4\desktop\jdownloader - raccourci.lnk  => Supprimé et mis en quarantaine
c:\users\lesl4\desktop\jaquette wii.lnk  => Supprimé et mis en quarantaine
c:\windows\prefetch
etstat.exe-981f3b53.pf  => Supprimé et mis en quarantaine
c:\windows\prefetchoute.exe-3a1bbdcf.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\ping.exe-371f41e2.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\scserver.exe-17d31468.pf  => Supprimé et mis en quarantaine
c:\windows\prefetchundll32.exe-411a328d.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\powercfg.exe-668fa411.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\lpremove.exe-284ef282.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\wudfhost.exe-affef87c.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\acrobroker.exe-a7f5654b.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\adobearm.exe-7105d3a2.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\wlmail.exe-303ceb39.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\wlcomm.exe-324c9362.pf  => Supprimé et mis en quarantaine
c:\windows\prefetchundll32.exe-de9673f9.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\agrobust.db  => Supprimé et mis en quarantaine
c:\windows\prefetch\agglfaulthistory.db  => Supprimé et mis en quarantaine
c:\windows\prefetch\agglfgapphistory.db  => Supprimé et mis en quarantaine
c:\windows\prefetch\agglglobalhistory.db  => Supprimé et mis en quarantaine
c:\windows\prefetch\avira-antivir-personal-free_a-aef36b07.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\windowslivephotoviewer.exe-f21874f1.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch
otepad.exe-d8414f97.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\guardgui.exe-bdaefb77.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\ccsetup300_slim.exe-5d8884a7.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\ccleaner64.exe-779bd542.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\unrar.exe-bb08b660.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch	askhost.exe-7238f31d.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\acrord32.exe-96b65281.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\aggluad_p_s-1-5-21-3561389762-582386370-3923469459-1001.db  => Supprimé et mis en quarantaine
c:\windows\prefetch\aggluad_s-1-5-21-3561389762-582386370-3923469459-1001.db  => Supprimé et mis en quarantaine
c:\windows\prefetchegsvr32.exe-d5170e12.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\wmpnscfg.exe-fc0d39bf.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\csc.exe-a3b8d95d.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\wmpnetwk.exe-d9f2a96f.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch	racerpt.exe-7f6d2695.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\cocimanager.exe-ee10785a.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\divxupdate.exe-8e4fdfd8.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\jusched.exe-60f1fb86.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\mscorsvw.exe-c3c515bd.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\googlecrashhandler.exe-a163c36e.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\mscorsvw.exe-57d17daf.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\webcammax.exe-ce789c99.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch
asvc.exe-b158719f.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\sppsvc.exe-b0f8131b.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\ielowutil.exe-903b8ac1.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\logitechupdate.exe-285abf20.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\lulnchr.exe-c0d0849e.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch	rustedinstaller.exe-3cc531e5.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\iexplore.exe-4b6c9213.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\flashutil10k_activex.exe-45ca86d9.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\wmiadap.exe-f8dfdfa2.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\jdownloader.exe-d5fa3359.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\googleupdate.exe-b95715f5.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\wermgr.exe-0f2ac88c.pf  => Supprimé et mis en quarantaine
c:\windows\prefetchundll32.exe-a3e35360.pf  => Supprimé et mis en quarantaine
c:\windows\prefetchundll32.exe-230fc512.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\vssvc.exe-b8afc319.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\consent.exe-531bd9ea.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\cmd.exe-ac113aa8.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\schtasks.exe-ad598958.pf  => Supprimé et mis en quarantaine
c:\windows\prefetch\skypenames2.exe-25793e46.pf  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
5 : Clé(s) du Registre
2 : Valeur(s) du Registre
63 : Fichier(s)


End of the scan

loloeaz · Answer

en  plus de cela j'ai fait du grand menage entre les programmes installés et les fichiers d'installations stockés sur mes disques,

ca va mieux .. ca respire bien mieux tout ça (fini le message d'erreur du depart du socket..)

je vais maintenant glaner un peu le net a la recheche de solutions gratuites pour tout ce que je faisais avant

glops · Answer

parfait ;)

je te poste la finalisation de ce travail dès que je l'ai rédigée 

@+

glops · Answer

voilà;

Pas grand chose à dire de plus en fait ton PC est à jour et qu'il faut continuer à tenir à jour Win7 et les navigateurs
 
vérifie quand même que tu aies bien la dernière version de Flash player  
ActiveX pour IE et
Plugin pour les autres navigateurs

ainsi que la dernière version de Adobe reader en cliquant sur le point d'interrogation (aide) et rechercher mise à jour
Une fois installée et pour plus de sécurité,il faut désactiver l'interprétation du javascript  comme ceci:
* Lancer Adobe Reader
* Cliquer sur Edition --> Préférences --> JavaScript
* Décocher "Activer Acrobat JavaScript"
* Valider


pour sécuriser davantage Firefox y  rajouter  les modules ADblock +:
 pour bloquer un maximum de pubs, sources d'infection parfois et WOT:
 Pour être prévenu sur les dangers de certains sites.
il est aussi souhaitable d'installer WOT pour IE:

Tous ces logiciels sont exploités par les auteurs de malwares ce qui implique que ne pas les tenir à jour représente de grosses failles de sécurité.
 
Pour faciliter la gestion des mises à jour: installer "UpdateChecker":  qui permet d'être tenu au courant des dernières versions des logiciels sensibles ,de les télécharger en tenant compte que ce sont parfois les versions Anglaises qui sont proposées.

Pense à vider la quarantaine de MBAM pour cela ouvre le programme et sous l'onglet "Quarantaine" => tout supprimer

______________________________________________________________


Il ne faut pas garder les outils qui ont servi pendant la désinfection car ils sont très régulièrement mis à jour pour suivre l'évolution des malwares,pour les désinstaller suis ces indications:

=> Lance ZHPFix par le raccourci représentant une seringue
=> Clique sur l'icône représentant la lettre A "nettoyeur de tools"
=> une liste des outils va apparaitre coche les cases des outils à désinstaller ou clique sur "Tous" en bas
=> clique ensuite sur nettoyer
=> copie le rapport généré à la fin et héberge le sur:cijoint.fr

______________________________________________________________

TRES IMPORTANT

Pour éviter de re-infecter ton ordinateur, tu vas maintenant supprimer les points de restauration et en créer un nouveau , pour cela suivre ce tutoriel

______________________________________________________________

L'ordinateur est maintenant débarrassé de tous les malwares ,il faut retenir qu'aucun antivirus ou Antispyware ne le protègera à 100% ,la prudence est de rigueur sur le net ,tu trouveras des informations à propos de la sécurité sur internet en lisant ce pdf  provenant du site de malekal_morte ,il fait parti d'un projet anti-malware et je t'invite à le diffuser autour de toi. 

J'attends le rapport de suppression des outils (zhptools) 

A+

loloeaz · Answer

voici le rapport de fin de desinstallation :

Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre : 
Run by LesL4 at 20/11/2010 19:52:19
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Logiciel(s) ==========
O63 - Logiciel: ZHPDiag 1.27 - (.Nicolas Coolman.) [HKLM] -- ZHPDiag_is1  => Logiciel supprimé avec succès


========== Récapitulatif ==========
1 : Logiciel(s)


End of the scan


j'ai réalisé toutes les autres opérations egalement

MERCI MERCI encore pour toutte cette aide vraiment "clé en main" .. VRAIMENT MERCI

glops · Answer

Désinstalle aussi usbFix et findykill en les lançant et en choisissant "désinstaller"

Si tu veux tu peux marquer résolu sur le post d'origine
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

Je ne te dis pas à bientôt ;-)

loloeaz · Answer

ok ou itout de mon "passé" est désinstallé ! :-)

dans les interventions que nous avons fait j'ai supprimé les cookies dont j'ai demandé à un moderateur de marquer le sujet comme résolu.

non pas a bientot effectivement, mais merci encore, et merci pour ceux que tu aideras egalement

laurent

PC infecté ? beagle ??

60 réponses

Votre réponse

Newsletters