mon ordi est infecté Résolu/Fermé

Question

Bonjour, 
j'ai besoin de votre aide s'il vous plaît 

mon ordi est infecté j'ai téléchargé commodo hier pour faire un essai il n'a rien trouvé 
j'ai avira ,malwarebytes super antispy  ils ne trouvent rien je sais que l'infection se trouve dans NIRCMD.exe c'est virus total qui le détecte  
au départ c'est malwarebyte qui l'a détecté mais tout n'a pas été supprimé 
merci à vous si vous pouvez prendre mon problème en charge 

Configuration: Windows Vista / Internet Explorer 8.0

Smart91 · Answer

Bonjour, 

Poste le rapport MalwareBystes si tu l'as. 
On va quand même faire un diagnostic de ton PC: 

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau  
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html  

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions. 
  
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » 

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.  
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.  
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix) 
-  Clique sur la loupe pour lancer l'analyse.  
-  Laisse l'outil travailler, il peut être assez long.  
-  Ferme ZHPDiag en fin d'analyse.  
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/  
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).  
-  Sélectionne le fichier ZHPDiag.txt.  
-  Clique sur "Cliquez ici pour déposer le fichier".  
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.  
-  Copie ce lien dans ta réponse. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

OK. Dès que tu es prêt, poste le rapport ZHPDiag

Smart

Smart91 · Answer

Peut-êter infecté par un rootkit

Tu vas faire ceci:

Avant de commencer, fais une sauvegarde de tous tes documents 

Attention pour ceux qui parcourent ce sujet, cet outil n'est pas à utiliser à la légère, et doit être recommandé uniquement par une personne formée à cet outil 
Imprime la procédure 

Télécharge ComboFix de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

-  /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
-  Double-clique sur ComboFix.exe 
-  Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 
-  Surtout, accepte d'installer la console de récupération 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC 
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Smart

Smart91 · Answer

Cela dépend de l'heure parce que demain je bosse :-) 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nynoune · Answer

combofix est en train pour le poster je prend le lien de tout à l'heure ? 
si tu n'es pas là ce sera pour demain 
bon courage pour ton travail moi je suis à la retraite depuis peu  mais je bosse bénévolement alors mon pc est important du moins ce qu'il contient 
merci encore

Smart91 · Answer

Pas de pb. Poste le rapport dès que c'est terminé

Smart

Smart91 · Answer

Tu n'as pas répondu à la suite e ma réponse. Heueusement que j'ai vu ta réponse.

Je n'ai pas compris ce que tu as fait pourquoi veux-tu activer le centre de sécurité. Il suffit de suivre à la lettre ce que j'ai écrit

Smart

Smart91 · Answer

Encore une fois réponds à la suite de mes réponses, c'est plus facile pour s'y retrouver

Smart

nynoune · Answer

je ne sais pas si il faut répondre sur le forum ou sur le lien de la messagerie c'est pour ça que j'embrouille tout lol 
 http://www.cijoint.fr/cjlink.php?file=cj201101/cijLGtqZTH.txt

Smart91 · Answer

OK. Maintenant tu vas faire ceci
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

-  Télécharge Malwarebytes
-  Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
-  Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation) 
-  Lance une analyse complète en cliquant sur "Exécuter un examen complet"
-  Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
-  L'analyse peut durer un bon moment.....
-  Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
-  Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
-  Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Tu peux poster le rapport directement dans ta réponse

Smart

nynoune · Answer

je peux te dire bonjour vu l'heure lol par contre j'ai cliqué sur répondre ai-je bien fait ? 
c'est la première fois qu'une telle chose m'arrive grrr 
je vais attendre tes instructions
encore merci smart 

malwarrebytes est ras
virus total trouve toujours ces infections dans NIRCMD.exe
ClamAV 0.96.4.0 2011.01.05 PUA.Tool.Nirsofer.NirCmd 
Jiangmin 13.0.900 2011.01.05 Trojan/Agent.dwsp 

Sophos 4.60.0 2011.01.05 NirCmd 
ViRobot 2011.1.5.4238 2011.01.05 Trojan.Win32.Agent.33280.BY 

 voici le rapport 
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5466

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999

06/01/2011 02:04:00
mbam-log-2011-01-06 (02-04-00).txt

Type d'examen: Examen complet (C:\|D:\|Q:\|)
Elément(s) analysé(s): 234476
Temps écoulé: 47 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Smart91 · Answer

Refais un scan ZHPDiag et poste le rapoort via cijoint

Smart

nynoune · Answer

hou je ne pensais pas avoir une réponse si tôt !!
voici le rapport
merci 
http://www.cijoint.fr/cjlink.php?file=cj201101/cijlvhAwC3.txt

Smart91 · Answer

Tu as plusieurs antivirus Antivir, Panda et des restes de Norton. 
Cela ne sert à rien siono d'engendrer des conflits et de ralentir ton PC. 
Il ne faut en garder qu'un seul, celui de ton choix. 
Pour désinstaller les restes de Nporton ==>  
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924 

Tu peux également supprimer Windows Defender et Super antispyware. Ne servent à rien et ralentissent le PC. 

Ensuite tu vas faire ceci: 

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)  
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html 
Copie/colle les lignes en gras suivantes : 
  
----------------------------------------------------------  
O4 - Global Startup: C:\Documents And Settings\mimi\Desktop\Centre de sauvegarde et de restauration - Raccourci.lnk - Clé orpheline 
O4 - Global Startup: C:\Documents And Settings\mimi\Desktop\computer.lnk - Clé orpheline 
O4 - Global Startup: C:\Documents And Settings\mimi\Desktop\Système - Raccourci.lnk - Clé orpheline 
O4 - Global Startup: C:\Users\mimi\Desktop\Centre de sauvegarde et de restauration - Raccourci.lnk - Clé orpheline 
O4 - Global Startup: C:\Users\mimi\Desktop\computer.lnk - Clé orpheline 
O4 - Global Startup: C:\Users\mimi\Desktop\Système - Raccourci.lnk - Clé orpheline 
[MD5.00000000000000000000000000000000] [APT] [{92D2E9EE-FEEB-49DF-BA0A-E1413F9099BB}] (.Pas de propriétaire.) -- C:\Program Files\JiangMin\Install\Setup.exe (.not file.) 
O64 - Services: CurCS - (.not file.) - 11c66cec (11c66cec)  .(.Pas de propriétaire - Pas de description.) - LEGACY_11C66CEC 
O64 - Services: CurCS - (.not file.) - 35c46de0 (35c46de0)  .(.Pas de propriétaire - Pas de description.) - LEGACY_35C46DE0 
O64 - Services: CurCS - (.not file.) - 41ecc232 (41ecc232)  .(.Pas de propriétaire - Pas de description.) - LEGACY_41ECC232 
O64 - Services: CurCS - (.not file.) - 48f8ec21 (48f8ec21)  .(.Pas de propriétaire - Pas de description.) - LEGACY_48F8EC21 
O64 - Services: CurCS - (.not file.) - 4a80becb (4a80becb)  .(.Pas de propriétaire - Pas de description.) - LEGACY_4A80BECB 
O64 - Services: CurCS - (.not file.) - 58f8c446 (58f8c446)  .(.Pas de propriétaire - Pas de description.) - LEGACY_58F8C446 
O64 - Services: CurCS - (.not file.) - 5a78c0da (5a78c0da)  .(.Pas de propriétaire - Pas de description.) - LEGACY_5A78C0DA 
O64 - Services: CurCS - (.not file.) - 5de0ef25 (5de0ef25)  .(.Pas de propriétaire - Pas de description.) - LEGACY_5DE0EF25 
O64 - Services: CurCS - (.not file.) - 6b74e80a (6b74e80a)  .(.Pas de propriétaire - Pas de description.) - LEGACY_6B74E80A 
O64 - Services: CurCS - (.not file.) - 6dfaef2c (6dfaef2c)  .(.Pas de propriétaire - Pas de description.) - LEGACY_6DFAEF2C 
O64 - Services: CurCS - (.not file.) - 75f825df (75f825df)  .(.Pas de propriétaire - Pas de description.) - LEGACY_75F825DF 
O64 - Services: CurCS - (.not file.) - 87dec625 (87dec625)  .(.Pas de propriétaire - Pas de description.) - LEGACY_87DEC625 
O64 - Services: CurCS - (.not file.) - 935a62ef (935a62ef)  .(.Pas de propriétaire - Pas de description.) - LEGACY_935A62EF 
O64 - Services: CurCS - (.not file.) - aac46bb1 (aac46bb1)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AAC46BB1 
O64 - Services: CurCS - (.not file.) - b3c294e4 (b3c294e4)  .(.Pas de propriétaire - Pas de description.) - LEGACY_B3C294E4 
O64 - Services: CurCS - (.not file.) - c0fc4a6b (c0fc4a6b)  .(.Pas de propriétaire - Pas de description.) - LEGACY_C0FC4A6B 
O64 - Services: CurCS - (.not file.) - c3fa9a73 (c3fa9a73)  .(.Pas de propriétaire - Pas de description.) - LEGACY_C3FA9A73 
O64 - Services: CurCS - (.not file.) - c542c2d1 (c542c2d1)  .(.Pas de propriétaire - Pas de description.) - LEGACY_C542C2D1 
O64 - Services: CurCS - (.not file.) - c6bd9ca6 (c6bd9ca6)  .(.Pas de propriétaire - Pas de description.) - LEGACY_C6BD9CA6 
O64 - Services: CurCS - (.not file.) - ca105088 (ca105088)  .(.Pas de propriétaire - Pas de description.) - LEGACY_CA105088 
O64 - Services: CurCS - (.not file.) - d150c6ab (d150c6ab)  .(.Pas de propriétaire - Pas de description.) - LEGACY_D150C6AB 
O64 - Services: CurCS - (.not file.) - d6d90af0 (d6d90af0)  .(.Pas de propriétaire - Pas de description.) - LEGACY_D6D90AF0 
O64 - Services: CurCS - (.not file.) - da58d077 (da58d077)  .(.Pas de propriétaire - Pas de description.) - LEGACY_DA58D077 
O64 - Services: CurCS - (.not file.) - dfd602cb (dfd602cb)  .(.Pas de propriétaire - Pas de description.) - LEGACY_DFD602CB 
O64 - Services: CurCS - (.not file.) - f0685faa (f0685faa)  .(.Pas de propriétaire - Pas de description.) - LEGACY_F0685FAA 
O64 - Services: CurCS - (.not file.) - f786a055 (f786a055)  .(.Pas de propriétaire - Pas de description.) - LEGACY_F786A055 
O64 - Services: CurCS - (.not file.) - fa84bede (fa84bede)  .(.Pas de propriétaire - Pas de description.) - LEGACY_FA84BEDE 
O64 - Services: CurCS - (.not file.) - KRegEx (KRegEx)  .(.Pas de propriétaire - Pas de description.) - LEGACY_KREGEX 
O64 - Services: CurCS - (.not file.) - KVREDIR (KVREDIR)  .(.Pas de propriétaire - Pas de description.) - LEGACY_KVREDIR 
O64 - Services: CurCS - (.not file.) - Jiangmin AntiVirus Software - System Guard (SysGuard)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYSGUARD 
----------------------------------------------------------  
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes  
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »  
- Copie/colle la totalité du rapport dans ta prochaine réponse  

Est-ce que tu sais ce q'uest ce logiciel installé sur ton PC  ==>  
KvAccies 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nynoune · Answer

ok merci je vais faire cela j'ai  ZHPFix  je ne fais rien sans ton avis 
pour KvAccies non je ne sais pas ce que c'est , ?

Smart91 · Answer

Lance ZHPFix avec les lignes que je t'ai données. On verra pour KvAccies plus tard

Smart

nynoune · Answer

voici le rapport smart 
Rapport de ZHPFix 1.12.3236 par Nicolas Coolman, Update du 05/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-06-01-2011-18-01-16.txt
Run by mimi at 06/01/2011 18:01:15
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - 11c66cec (11c66cec) .(.Pas de propriétaire - Pas de description.) - LEGACY_11C66CEC  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 35c46de0 (35c46de0) .(.Pas de propriétaire - Pas de description.) - LEGACY_35C46DE0  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 41ecc232 (41ecc232) .(.Pas de propriétaire - Pas de description.) - LEGACY_41ECC232  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 48f8ec21 (48f8ec21) .(.Pas de propriétaire - Pas de description.) - LEGACY_48F8EC21  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 4a80becb (4a80becb) .(.Pas de propriétaire - Pas de description.) - LEGACY_4A80BECB  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 58f8c446 (58f8c446) .(.Pas de propriétaire - Pas de description.) - LEGACY_58F8C446  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 5a78c0da (5a78c0da) .(.Pas de propriétaire - Pas de description.) - LEGACY_5A78C0DA  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 5de0ef25 (5de0ef25) .(.Pas de propriétaire - Pas de description.) - LEGACY_5DE0EF25  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 6b74e80a (6b74e80a) .(.Pas de propriétaire - Pas de description.) - LEGACY_6B74E80A  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 6dfaef2c (6dfaef2c) .(.Pas de propriétaire - Pas de description.) - LEGACY_6DFAEF2C  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 75f825df (75f825df) .(.Pas de propriétaire - Pas de description.) - LEGACY_75F825DF  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 87dec625 (87dec625) .(.Pas de propriétaire - Pas de description.) - LEGACY_87DEC625  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 935a62ef (935a62ef) .(.Pas de propriétaire - Pas de description.) - LEGACY_935A62EF  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aac46bb1 (aac46bb1) .(.Pas de propriétaire - Pas de description.) - LEGACY_AAC46BB1  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - b3c294e4 (b3c294e4) .(.Pas de propriétaire - Pas de description.) - LEGACY_B3C294E4  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - c0fc4a6b (c0fc4a6b) .(.Pas de propriétaire - Pas de description.) - LEGACY_C0FC4A6B  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - c3fa9a73 (c3fa9a73) .(.Pas de propriétaire - Pas de description.) - LEGACY_C3FA9A73  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - c542c2d1 (c542c2d1) .(.Pas de propriétaire - Pas de description.) - LEGACY_C542C2D1  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - c6bd9ca6 (c6bd9ca6) .(.Pas de propriétaire - Pas de description.) - LEGACY_C6BD9CA6  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - ca105088 (ca105088) .(.Pas de propriétaire - Pas de description.) - LEGACY_CA105088  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - d150c6ab (d150c6ab) .(.Pas de propriétaire - Pas de description.) - LEGACY_D150C6AB  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - d6d90af0 (d6d90af0) .(.Pas de propriétaire - Pas de description.) - LEGACY_D6D90AF0  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - da58d077 (da58d077) .(.Pas de propriétaire - Pas de description.) - LEGACY_DA58D077  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - dfd602cb (dfd602cb) .(.Pas de propriétaire - Pas de description.) - LEGACY_DFD602CB  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - f0685faa (f0685faa) .(.Pas de propriétaire - Pas de description.) - LEGACY_F0685FAA  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - f786a055 (f786a055) .(.Pas de propriétaire - Pas de description.) - LEGACY_F786A055  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - fa84bede (fa84bede) .(.Pas de propriétaire - Pas de description.) - LEGACY_FA84BEDE  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - KRegEx (KRegEx) .(.Pas de propriétaire - Pas de description.) - LEGACY_KREGEX  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - KVREDIR (KVREDIR) .(.Pas de propriétaire - Pas de description.) - LEGACY_KVREDIR  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Jiangmin AntiVirus Software - System Guard (SysGuard) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYSGUARD  => Clé supprimée avec succès

========== Fichier(s) ==========
c:\documents and settings\mimi\desktop\centre de sauvegarde et de restauration - raccourci.lnk  => Supprimé et mis en quarantaine
c:\documents and settings\mimi\desktop\computer.lnk  => Supprimé et mis en quarantaine
c:\documents and settings\mimi\desktop\système - raccourci.lnk  => Supprimé et mis en quarantaine
c:\users\mimi\desktop\centre de sauvegarde et de restauration - raccourci.lnk  => Fichier absent
c:\users\mimi\desktop\computer.lnk  => Fichier absent
c:\users\mimi\desktop\système - raccourci.lnk  => Fichier absent
c:\program files\jiangmin\install\setup.exe (.not file.)  => Fichier absent

========== Tache planifiée ==========
Task : {92D2E9EE-FEEB-49DF-BA0A-E1413F9099BB}  => Tâche supprimée avec succès


========== Récapitulatif ==========
30 : Clé(s) du Registre
7 : Fichier(s)
1 : Tache planifiée

nynoune · Answer

j'ai cherche sur virustotal il y avait jiangnim qui marquait Trojan/Agent.dwsp 

j'ai donc voulu télécharger jiangnim enfin je crois que je n'ai pas terminé le téléchargement je sais plus

Smart91 · Answer

Il ne fallait pas télécharger Jiangnim, le script que j'ai fait prédement pour ZHPFix était justement pour supprimer des restes de Jiangnim.
Et pour Kvaccies j'avis vu que cela appartenait à Jiangnim, je te l'aurai fais supprimer de tout façon
Refais uns scan ZHPdiag et poste le rapport on va voir ce qu'il en est

Smart

nynoune · Answer

pour jiangnuin c'était avant de faire appel à ton aide je n'ai rien téléchargé depuis 
je refais un scan comme tu demandes de ZHPDiag

nynoune · Answer

smart voici le rapport ZHPDiag merci 
 
http://www.cijoint.fr/cjlink.php?file=cj201101/cijL9jZ8dU.txt

Smart91 · Answer

Tant mieux pour Jiangnim.

Tu vas faire ceci:
Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\Windows\System32\drivers\sfi.dat
- Clique sur Send File et puis reanalyze
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport

Et tu fais la même chose pour ces autres fichiers:

C:\Windows\System32\accredit.dat 
C:\Windows\System32\accredit_1001.dat
C:\Windows	pcsd

Il ya des restes de l'antivirus Panda, Ne garde que Antivir
Pour supprimer Panda ==>  http://www.pandasecurity.com/france/homeusers/support/techsupport/card/06card_55500.htm

Smart

nynoune · Answer

voici les liens de virustotal ils sont RAS 

par contre toujours NIRCMD.exe infecté ce fichier n'existe pas sur seven 




http://www.virustotal.com/file-scan/report.html?id=3d7cdfd38052ae1f9e6530092948c44b97b52880d8085867568521dcf8493afd-1294338902

http://www.virustotal.com/file-scan/report.html?id=12c7519c3cb7de57596ea250276e3dd94f199986e253e76dc3d0dc3e6e60e6ba-1294339111

http://www.virustotal.com/file-scan/report.html?id=12c7519c3cb7de57596ea250276e3dd94f199986e253e76dc3d0dc3e6e60e6ba-1294339318

http://www.virustotal.com/file-scan/report.html?id=5b4ad9471199b915093c10522fe2b09ef47132e21eee90b0396e18d0c0311e69-1294339416

nynoune · Answer

je vais me restaurer un peu peut-être toi aussi ? 
à ce soir si tu es là merci de prendre du temps avec moi c'est sympa ,j'ai trop de choses importantes sur mon pc pour tout refaire ,je ne m'en sers pas tant que ce problème est là de peur de contaminer les adhérents

nynoune · Answer

j'ai fini de supprimer panda j'attends tes conseils quand tu pourras 
je voyais qu'il se passait quelque chose quand je tapais mon courrier ce n'était pas normal si je supprimais une lettre  il fallait faire espace espace pour arriver à continuer ,et hier donc les icônes du bureau ont changé de place et l'icône de IE est en double il y a celle du raccourci et la vraie

nynoune · Answer

dans le rapport combofix je viens de voir bitdefender alors que j'ai désinstallé car il posait problème pour la restauration 
regardes smart je ne le trouve pas sur le disque dur pourtant 
"Acer Empowering Technology Monitor"=c:\acer\Empowering Technology\SysMonitor.exe
"Acer Tour Reminder"=c:\acer\AcerTour\Reminder.exe
"BDAgent"="c:\program files\BitDefender\BitDefender 2010\bdagent.exe"
"lxctmon.exe"="c:\program files\Lexmark 5400 Series\lxctmon.exe"
"eDataSecurity Loader"=c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe
"Lexmark 5400 Series Fax Server"="c:\program files\Lexmark 5400 Series\fm3032.exe" /s

nynoune · Answer

tu penses que je peux supprimer ce fichier NIRCMD.exe ? 
le problème serait résolu et j'ai besoin de mon pc pour bosser un peu ça urge 
je peux essayer et le laisser dans la corbeille qu'en penses-tu smart ? 
heureusement qu'il y a des personnes super pour nous aider contre ces personnes malveillantes

nynoune · Answer

bonsoir smart

finalement j'ai supprimé le fichier NIRCDM .exe je vais passer cleaner 
je te remercie beaucoup pour ton aide commentcamarche est un bon site 
merci à vous tous pour vos conseils qui me servent bien souvent 
bonne soirée smart 
nynoune

Smart91 · Answer

Je suis un peu perdu dans ce sujet. Etant je te demande de faire des manips que tu fais plus d'autre à toi. 
Le meiux est de reprendre à zéro. 

Refais un scan ZHPDiag et poste le rapport vi cijoint 

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nynoune · Answer

bonsoir smart
lol je m'excuse je n'ai pas l'habitude de procéder ainsi , j ' étais stressée par ce problème ,je vais retélécharger zhpdiag donc mais si tu peux me dire quand tu t'en va , car j'attends et pas de réponse je sais que tu es bénévole tu as ta vie privée je sais tout cela je connais .
je refais depuis le début

nynoune · Answer

voici le rapport ZHPDiag smart merci 
http://www.cijoint.fr/cjlink.php?file=cj201101/cijmvxzXuc.txt

Smart91 · Answer

Je ne vois plus rien d'infectieux. Comment se comporte Ton PC.
Pour moi il ne reste plus qu'à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseills de prévention quand on surfe sur Internet

Smart

nynoune · Answer

il se comporte bien il est plus rapide pour l'eteindre et au départ aussi il y a qu'une chose c'est le petit bloc note crée par windows gadget et qui me sert beaucoup il n'est pas comme d'habitude il manque le tour ? 
tu me dis pour la suite merci smart heureusement que tu n' as pas toujours des mamy comme moi hein mdr ?

Smart91 · Answer

Félicitations ton PC est bien à jour. Mais  vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour 

Optimisation:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe
[HKLM\Software\BrowserChoice]
O23 - Service:  (gupdate) - Clé orpheline
[HKLM\Software\KvAccies]
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer » 
Tutoriel pour t'aide

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Il est nécessaire de désactiver puis réactiver la restauration système de Vista pour la purger.

Quelques conseils de Prévention

- Réactive l'UAC si ce n'est pas déjà fait. 

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

- Par rapport au P2P : http://www.libellules.ch/... 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

nynoune · Answer

merci beaucoup smart p2p je vais regarder ce que c'est je suis contre le téléchargement illégal j'espère que ce n'est pas ce que j'ai fait grr 
j'ai une question j'ai besoin de la barre toolbar de google pour la traduction ou puis-je la retélécharger j'ai essayé hier houa problème me suis dépêché de la supprimer 
merci en core à toi 
nynoune 




Rapport de ZHPFix 1.12.3236 par Nicolas Coolman, Update du 05/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-07-01-2011-20-03-54.txt
Run by mimi at 07/01/2011 20:03:54
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKLM\Software\BrowserChoice  => Clé supprimée avec succès
O23 - Service: (gupdate) - Clé orpheline  => Clé supprimée avec succès
HKLM\Software\KvAccies  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe  => Valeur supprimée avec succès


========== Récapitulatif ==========
3 : Clé(s) du Registre
2 : Valeur(s) du Registre


End of the scan

Smart91 · Answer

Normalement tu peux utiliser la toobar Google, elle n'est pas infectée, mais elle est inutile et ralentit le PC.

Fais la suite

Smart

nynoune · Answer

je vais lire les conseils 

ça y est j'ai passé ccleaner nettoyage registre j'ai purgé les restaurations et créé une nvlle si elle veut bien fonctionner 
par contre https://filehippo.com/windows/tuning-utilities/
c'est en anglais c'est pour ça que la toolbar google est utile pour la traduction 
quand j'ai installé la clé d'activation office 2010 payante ça m'a mis in disque virtuel Q qui pose problème pour les restaurations faut-il ouvrir un autre sujet ? 

merci beaucoup smart vive commentcamarche

nynoune · Answer

ben dis donc j'ai lu le lien " libellule"" je n'ai pas fait tout ça mais si on m'envoie une fichier mp3 il faut pas que je l'ouvre alors purée ça m'angoisse par contre les dossiers partage comme dropbox qu'en penses-tu car c'est pour mon travail de bénévolat!!
merci si tu peux me répondre

Smart91 · Answer

Tu sais tous les fichiers que l'on t'envoie ne sont pas forcément infectés, il faut également faire preuve de discernement et de confaince vis à vis de la personne qui envoie le fichier.
Pour ma part je n'ouvre et n'accepte aucun fichier de la part d'une personne que je ne connais pas

Je peux également te donner ceci:
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

Smart

nynoune · Answer

merci smart je vais telecharger wot et les extensions ça me sera très utile 
 moi non plus je n'ouvre pas quand je ne connais pas , c'est la le problème !!!et je scanne avant d'ouvrir .
si je savais comment et ou j'ai pu attraper ceci mais je vais faire doublement attention 
merci à toi 
nynoune

Smart91 · Answer

Heureux de t'avoir aidée et te souhaite une bonne année .... sans virus :-)

Smart

Mon ordi est infecté

41 réponses