Sujet Précédent Sujet Suivant

Je crois bien être infecté

Fermé
yan_370 - 19 janv. 2011 à 19:22
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 24 janv. 2011 à 20:23
Bonjour,
Je ne suis pas super callé en informatique mais assez pour comprendre que mon ordi est surement infecté ou j'sais aps quoi ! ..je voudrait savoir si c est possible de ciblé et d'enrayé mon problème sans avoir a formaté ...
p.s: a la moindre action mon cpu monte dans le tapis

Merci d'avance :)


27 réponses

  • 1
  • 2
Réponse 1 / 27
yan_370
19 janv. 2011 à 21:51
oui oui ..ça fait ça 20 min que je l'ai fait !
Quoi yé bin 15h45 ? :p

J'me suis informé un peu sur des forums pis la solutions qui revenait le plus c'était pas en mode sans échec d'essayer combo fix et ccleaner !
est ce que ça serait bon pour moi tu penses ?
1
yan_370
19 janv. 2011 à 22:05
oups scuse j'voulais dire ; la solution qui revenait le plus c'était en mode échec ...( y avait une négation de trop )
0
Réponse 2 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
19 janv. 2011 à 19:28
Bonsoir,

Télécharge ZhpDiag de Nicolas Coolman .

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

Une fois installé le programme s'ouvre automatiquement .

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

Rend toi sur ce site : http://www.cijoint.fr/index.php

Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])

Un lien va etre créer ,poste ce lien dans ta prochaine réponse.
0
Réponse 3 / 27
yan_370
19 janv. 2011 à 19:47
http://www.cijoint.fr/cjlink.php?file=cj201101/cijLecOKL1.txt

:)
0
Réponse 4 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
19 janv. 2011 à 19:52
ça t'arrive de télécharger des cracks en Torrent ?

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 27
yan_370
19 janv. 2011 à 20:09
Oui en effet ça met déjà arrivé ( téléchargé des cracks ) ..j'avais un ami qui m'avais conseillé certain trucs ...et comme j'mis connait pas vraiment en info je lui ai fait confiance :(
Pourquoi c'est mauvais ?

P.S: par chance j'ai fait justement ce matin un scan avec MBAM :)
Voici le résultat :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4698

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2011-01-19 12:20:55
mbam-log-2011-01-19 (12-20-55).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 275331
Temps écoulé: 3 heure(s), 37 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 15
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 33

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP780\A0107725.DLL (PUP.FunWebProducts) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108839.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108749.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108730.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108731.scr (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108733.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108736.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108740.SCR (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108741.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108742.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108743.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108746.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108747.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108748.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108763.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108750.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108751.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108752.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108753.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108754.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108755.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108756.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108757.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108758.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108759.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108760.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108761.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108837.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108764.EXE (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108765.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108762.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP799\A0108838.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{BB97F294-38E4-4EEE-B0DA-F37B6C60842E}\RP800\A0108862.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
0
Réponse 6 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
19 janv. 2011 à 20:44 
Pourquoi c'est mauvais ?


Les cracks téléchargés sont souvent source d'infections .

relance ZhpDiag et colle moi le nouveau rapport (toujours a l'aide de Cijoint) .
0
Réponse 7 / 27
yan_370
19 janv. 2011 à 21:32
http://www.cijoint.fr/cjlink.php?file=cj201101/cijVrRHbtD.txt

Merci
0
Réponse 8 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
19 janv. 2011 à 21:42
Run by billybob at 2011-01-19 15:26:46

Ce n'est pas le dernier rapport ou alors ton horloge pc est détraqué ?!
0
Réponse 9 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
19 janv. 2011 à 21:57
N'installe aucuns autre outils pour l'instant /!\

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

1/Double Clique sur l'icone ZhpFix .

2/ZhpFix va s'ouvrir ,clique sur "importer un rapport ZhpDiag" puis "ok" .

3/Laisse travailler l'outil.

4/Coche ces cases (et pas d'autres !):

[HKCU\Software\PermissionResearch]
[HKCU\Software\PriceGong]
O43 - CFD: 2011-01-06 - 10:09:48 ----D- D:\Documents and Settings\billybob\Application Data\PriceGong

5/Pour finir clique sur "Nettoyer" .


6/colle le rapport obtenu .

===========

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

D:\WINDOWS\system32\RUNDLL32.EXE

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.
0
Réponse 10 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
19 janv. 2011 à 22:30
J'attend les deux rapports .
0
Réponse 11 / 27
yan_370
19 janv. 2011 à 22:37
okay j'ai essayer de faire ce que tu m'as demandé et ça quasiment marché ! ..j'veux dire j'ai fait ce que tu voulais avec ZHP diag mais pour ce qui est du rapport sur virustotal j'ai compris de tout ça ! ..j'veux dire j'ai fait scanner le fichier que tu m'as demandé mais j'ai pas vu de rapport apparent ...désolé comme j'te dis j'suis pas un maitre pour ce qui est de l'info ...peux tu m'aider ?!

p.s: est ce u,il fallait que j'te post un rapport a la suite du rapport ZHP diag ?? ..et au fait c'est quoi que tu m'as demandé de nettoyer ..des infections ?
Merci :)
0
yan_370
19 janv. 2011 à 22:47
http://www.cijoint.fr/cjlink.php?file=cj201101/cijnO9e8uU.txt
Voilà le rapport zhpdiag

et j'ai revérifier le fichier en question avec virustotal ..et y me dise que le fichier est clean :)
0
Réponse 12 / 27
yan_370
19 janv. 2011 à 22:52
MD5 : 037b1e7798960e0420003d05bb577ee6
SHA1 : 303a90020bf3beaf9acd0ea86487c853636a99a3
SHA256: dee53d6d332dadd40c0ce34a425a6c0781f611765dcd4299d869f2b1ee80ae66
ssdeep: 384:4rvAw66vILDzNRhbHeJh8+oXBjxJd5IyYQGSbdkDjkoebjDISEWa1gW:4vAOUbSEln5IyYp
amDjobj8Sw1
File size : 33280 bytes
First seen: 2008-05-21 02:27:09
Last seen : 2011-01-19 21:24:27
TrID:
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Run a DLL as an App
original name: RUNDLL.EXE
internal name: rundll
file version.: 5.1.2600.5512 (xpsp.080413-2105)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x1BDC
timedatestamp....: 0x480252D5 (Sun Apr 13 18:37:09 2008)
machinetype......: 0x14c (I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x126A, 0x1400, 5.98, 401ca1fe30e1281d3d87f03414fae300
.data, 0x3000, 0x38, 0x200, 0.25, a7f7e8f7f41d7ffb4b369fe282510650
.rsrc, 0x4000, 0x6720, 0x6800, 5.55, dd0772b1a39fd539ffa943a7d46d68c9

[[ 5 import(s) ]]
msvcrt.dll: _except_handler3, _wtoi, _vsnwprintf
KERNEL32.dll: FreeLibrary, LocalFree, lstrlenA, WideCharToMultiByte, LocalAlloc, lstrlenW, GetProcAddress, FormatMessageW, GetLastError, LoadLibraryW, ActivateActCtx, CreateActCtxW, SearchPathW, GetFileAttributesW, ReleaseActCtx, DeactivateActCtx, SetErrorMode, ExitProcess, GetModuleHandleW, GetStartupInfoW, GetCommandLineW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter
GDI32.dll: GetStockObject
USER32.dll: RegisterClassW, LoadStringW, CharNextW, SetClassLongW, LoadIconW, DefWindowProcW, CreateWindowExW, MessageBoxW, LoadCursorW, DestroyWindow
IMAGEHLP.dll: ImageDirectoryEntryToData
ExifTool:
file metadata
CharacterSet: Unicode
CodeSize: 5120
CompanyName: Microsoft Corporation
EntryPoint: 0x1bdc
FileDescription: Run a DLL as an App
FileFlagsMask: 0x003f
FileOS: Windows NT 32-bit
FileSize: 32 kB
FileSubtype: 0
FileType: Win32 EXE
FileVersion: 5.1.2600.5512 (xpsp.080413-2105)
FileVersionNumber: 5.1.2600.5512
ImageVersion: 5.1
InitializedDataSize: 27136
InternalName: rundll
LanguageCode: English (U.S.)
LegalCopyright: Microsoft Corporation. All rights reserved.
LinkerVersion: 7.1
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 5.1
ObjectFileType: Executable application
OriginalFilename: RUNDLL.EXE
PEType: PE32
ProductName: Microsoft Windows Operating System
ProductVersion: 5.1.2600.5512
ProductVersionNumber: 5.1.2600.5512
Subsystem: Windows GUI
SubsystemVersion: 4.0
TimeStamp: 2008:04:13 20:37:09+02:00
UninitializedDataSize: 0
0
Réponse 13 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
19 janv. 2011 à 23:18
Il me faut le rapport ZhpFix et non ZhpDiag .

Le rapport VirusTotal n'est pas complet . 
et au fait c'est quoi que tu m'as demandé de nettoyer ..des infections ?


Oui,ce sont des adwares ou du moins des restes dans les clés de registre .
0
Réponse 14 / 27
yan_370
20 janv. 2011 à 00:04
j'suis pas capable d'importer mon rapport zhpfix !
0
Réponse 15 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
20 janv. 2011 à 07:55
Comment va le pc ? Encore des soucis ?
0
Réponse 16 / 27
yan_370
20 janv. 2011 à 15:10
Ouin bin c'est moins pire ..j'ai l'impression qu'il lag pas mal moins merci :)

sauf au démarrage yé vraiment très lent et il m'indique à chaque fois que mon firewall est désactivé ! ..est ce que c'est dut justement à la lenteur du démarrage ?
0
yan_370
20 janv. 2011 à 15:21
J'ai p-e parlé trop vite ce matin :( ..à la moindre action ( exemple : écoute de la musique et navigue ou écoute des vidéo ) mon cpu grimpe dans le tapis encore !!
Y aurais tu d'autre actions à porter tu crois pour améliorer ses performance ??

Merci encore :)
0
Réponse 17 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
20 janv. 2011 à 17:05
J'ai du louper quelquechose ....

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0
Réponse 18 / 27
yan_370
20 janv. 2011 à 18:12
Voici le résultat !



ComboFix 11-01-19.04 - billybob 2011-01-20 11:33:12.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.2.1033.18.1023.589 [GMT -5:00]
Lancé depuis: d:\documents and settings\billybob\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-12-20 au 2011-01-20 ))))))))))))))))))))))))))))))))))))
.

2011-01-19 18:31 . 2010-09-23 18:42 95672 ----a-w- d:\program files\Internet Explorer\Plugins\nppdf32.dll
2011-01-18 17:55 . 2011-01-18 17:55 -------- d-----w- d:\documents and settings\NetworkService\Local Settings\Application Data\Apple
2011-01-04 18:56 . 2011-01-04 21:04 -------- d-----w- d:\documents and settings\billybob\Application Data\Apple Computer
2011-01-04 18:54 . 2009-05-18 18:17 26600 ----a-w- d:\windows\system32\drivers\GEARAspiWDM.sys
2011-01-04 18:54 . 2008-04-17 17:12 107368 ----a-w- d:\windows\system32\GEARAspi.dll
2011-01-04 18:50 . 2011-01-04 18:50 -------- d-----w- d:\program files\iPod
2011-01-04 18:50 . 2011-01-04 18:54 -------- d-----w- d:\program files\iTunes
2011-01-04 18:50 . 2011-01-04 18:54 -------- d-----w- d:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2011-01-04 18:44 . 2011-01-04 18:50 -------- d-----w- d:\documents and settings\All Users\Application Data\Apple Computer
2011-01-04 18:44 . 2011-01-04 18:44 -------- d-----w- d:\documents and settings\billybob\Local Settings\Application Data\Apple
2011-01-04 18:43 . 2011-01-04 18:43 -------- d-----w- d:\program files\Apple Software Update
2011-01-04 18:42 . 2011-01-04 18:42 -------- d-----w- d:\program files\Bonjour
2011-01-04 18:41 . 2011-01-04 18:50 -------- d-----w- d:\program files\Common Files\Apple
2011-01-04 18:41 . 2011-01-04 18:41 -------- d-----w- d:\documents and settings\All Users\Application Data\Apple
2011-01-04 18:40 . 2011-01-04 18:56 -------- d-----w- d:\documents and settings\billybob\Local Settings\Application Data\Apple Computer
2010-12-25 15:32 . 2011-01-06 19:32 -------- d-----w- d:\documents and settings\billybob\Local Settings\Application Data\Conduit
2010-12-23 01:49 . 2010-12-23 01:49 -------- d-----w- d:\program files\Crawler

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-29 22:38 . 2010-11-29 22:38 94208 ----a-w- d:\windows\system32\QuickTimeVR.qtx
2010-11-29 22:38 . 2010-11-29 22:38 69632 ----a-w- d:\windows\system32\QuickTime.qts
2009-09-04 22:01 . 2009-09-04 22:01 525656 ----a-w- d:\program files\DXSETUP.exe
2009-09-04 22:01 . 2009-09-04 22:01 94024 ----a-w- d:\program files\DSETUP.dll
2009-09-04 22:01 . 2009-09-04 22:01 1691464 ----a-w- d:\program files\dsetup32.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="d:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"WeatherEye"="d:\documents and settings\billybob\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe" [2009-10-27 718232]
"uTorrent"="d:\program files\uTorrent\uTorrent.exe" [2011-01-20 395640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"IntelliPoint"="d:\program files\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024]
"avgnt"="d:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"PAC207_Monitor"="d:\windows\PixArt\PAC207\Monitor.exe" [2007-12-10 323584]
"Monitor"="d:\windows\PixArt\PAC207\Monitor.exe" [2007-12-10 323584]
"SunJavaUpdateSched"="d:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
"Adobe ARM"="d:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"QuickTime Task"="d:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="d:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="d:\progra~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

d:\documents and settings\All Users\Start Menu\Programs\Startup\
Windows Search.lnk - d:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "d:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-25 304128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\WINDOWS\\system32\\sessmgr.exe"=
"d:\\Documents and Settings\\All Users\\Application Data\\NexonUS\\NGM\\NGM.exe"=
"d:\\Nexon\\Combat Arms\\NMService.exe"=
"d:\\WINDOWS\\system32\\dpvsetup.exe"=
"d:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"d:\\Program Files\\Windows Live\\Mail\\wlmail.exe"=
"d:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Nexon\\Combat Arms\\Engine.exe"=
"d:\\Program Files\\uTorrent\\uTorrent.exe"=
"d:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Program Files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;d:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-17 108289]
R2 WinDefend;Windows Defender;d:\program files\Windows Defender\MsMpEng.exe [2006-11-03 13592]
S2 gupdate;Service Google Update (gupdate);d:\program files\Google\Update\GoogleUpdate.exe [2010-06-09 136176]
S3 ctlsb16;Creative SB16/AWE32/AWE64 Driver (WDM);d:\windows\system32\drivers\ctlsb16.sys [2009-10-10 96256]
S3 PAC207;PC Camer@;d:\windows\system32\drivers\PFC027.SYS [2009-08-02 618112]
S3 ZD1211BU(SMC);802.11g Wireless USB2.0 Adapter Driver(SMC);d:\windows\system32\drivers\ZD1211BU.sys [2006-08-24 477696]
S4 sptd;sptd;d:\windows\system32\drivers\sptd.sys [2008-10-13 717296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'

2011-01-18 d:\windows\Tasks\AppleSoftwareUpdate.job
- d:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 16:50]

2011-01-20 d:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- d:\program files\Google\Update\GoogleUpdate.exe [2010-06-09 11:15]

2011-01-20 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- d:\program files\Google\Update\GoogleUpdate.exe [2010-06-09 11:15]

2011-01-20 d:\windows\Tasks\Maintenance en 1 clic.job
- d:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 13:23]

2011-01-20 d:\windows\Tasks\MP Scheduled Scan.job
- d:\program files\Windows Defender\MpCmdRun.exe [2006-11-04 00:20]

2011-01-20 d:\windows\Tasks\User_Feed_Synchronization-{7BCC27F1-B3EC-4520-96FF-0776AC955961}.job
- d:\windows\system32\msfeedssync.exe [2007-08-13 08:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2851639
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: Open using &Advanced JPEG Compressor - d:\program files\Advanced JPEG Compressor\ajcieex.htm
FF - ProfilePath - d:\documents and settings\billybob\Application Data\Mozilla\Firefox\Profiles\wun02cg4.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2851639&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - uTorrentBar_FR Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ca/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - d:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - d:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - d:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: FaceMod Dislike Button: {64e8cc5b-20db-4212-8320-178fc5ae71f7} - d:\program files\Mozilla Firefox\extensions\{64e8cc5b-20db-4212-8320-178fc5ae71f7}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: FoxyProxy Standard: foxyproxy@eric.h.jung - %profile%\extensions\foxyproxy@eric.h.jung
FF - Ext: FoxyProxy Basic: foxyproxy@eric.h.jung - %profile%\extensions\foxyproxy@eric.h.jung
FF - Ext: Adobe DLM (powered by getPlus(R)): {E2883E8F-472F-4fb0-9522-AC9BF37916A7} - %profile%\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
FF - Ext: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - %profile%\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - Ext: uTorrentBar_FR Community Toolbar: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - %profile%\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - d:\program files\Java\jre6\lib\deploy\jqs\ff

pref(dom.disable_open_during_load, true);
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: nglayout.initialpaint.delay - 100
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-20 11:51
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(256)
d:\windows\system32\WININET.dll
d:\windows\system32\nview.dll
d:\windows\system32\NVWRSFR.DLL
d:\windows\system32\ieframe.dll
d:\windows\system32\webcheck.dll
d:\windows\system32\WPDShServiceObj.dll
d:\windows\system32\PortableDeviceTypes.dll
d:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
d:\program files\Avira\AntiVir Desktop\avguard.exe
d:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
d:\program files\Bonjour\mDNSResponder.exe
d:\windows\system32\nvsvc32.exe
d:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
d:\windows\System32\snmp.exe
d:\windows\system32\SearchIndexer.exe
d:\windows\system32\rundll32.exe
d:\windows\system32\RUNDLL32.EXE
d:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2011-01-20 11:59:33 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-01-20 16:59
ComboFix2.txt 2010-09-27 22:07

Avant-CF: 28 551 462 912 bytes free
Après-CF: 28 640 079 872 bytes free

- - End Of File - - 7DCF72DEB24272585A8DEDF0610E44E7


P.S: Mon pc semble plus lent qu'avant est-ce normal ?
0
Réponse 19 / 27
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
20 janv. 2011 à 19:39 
P.S: Mon pc semble plus lent qu'avant est-ce normal ?


Rien a voir avec Combofix puisqu'il n'a strictement rien supprimé et il ne révele pas grand chose d'ailleurs ..

Peux tu me donner le(s) processus qui font monter ton CPU ? regarde via le gestionnaire de taches .
0
Réponse 20 / 27
yan_370
20 janv. 2011 à 20:03
Okay il me semble plus stable en ce moment sauf à la moindre action il monte en flèche ( est ce dut ma mémoire vive ? )!! ..ça vient par bourré ! ..de temps à autre depuis hier il est très stable et d'autre fois vraiment très lent ( comme avant )

pour l'instant ds les taches en cours demandant le plus en cpu il y a :

-plugin-container.exe
-firefox
-csrss.exe
-juched.exe
-ipoint.exe
-avgnt.exe
-service.exe
-lsass.exe
-svchost.exe
-wlcomm.exe
-monitor.exe
-system

C'est eu qui travaille le plus !
merci :)
0

Discussions similaires

cette phrase est elle correcte
Jo -
Raymond PENTIER -

10 réponses
Vérifier que le server freebox est bien connecté à internet
Fatfa265 -
Pierr10 -

1 réponse
j'suis content, j'suis content de Bach vieille chanson française
M1O2N3i4K7 -
M1O2N3i4K7 -

3 réponses
Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Arnaques sur annonce le bon coin
chantaletjacques -
bt -

56 réponses