Virus pc

Résolu
pateGalette -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,

Voila j'ai beaucoup trop de beug dans mon pc ( freeze répétée , chdsk qui verifie mon pc au redemarrage , plantage de firefox etc je pense avoir un virus qelquepart

voici les rapport:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijvKKnwoD.txt
http://www.cijoint.fr/cjlink.php?file=cj201102/cijXeayZnZ.txt

Merci d'avance pour votre aide

Systeme : windows vista professionel
Pc: hp professionel
Ram : 3go
Navigateur : firefox
antivirus : nod32 smartsecurity

25 réponses

  • 1
  • 2
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    je ne sais pas.

    Mais l'idée d'utiliser un antivirus cracké revient à confier la combinaison de son coffre à un cambrioleur.

    Je te conseille de le remplacer au plus vite par un AV gratuit.

    A mon avis tu as le choix entre Antivir, Avast 5 et Microsoft Security essentials.
    ==

    Avant, je voudrais que tu fasse un clic droit et Modifier sur C:\windows\nod32restoretemdono.reg

    Poste le contenu dans ta réponse.

    ===

    Le rapport de MBAM dit "No action taken".

    Tu as supprimé tout ce que MBAM a trouvé ?
    1
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    pas si vite.

    Poste le rapport comme demandé.
    1
    1. pateGalette
       
      celui de mbam ?

      Malwarebytes' Anti-Malware 1.50.1.1100
      www.malwarebytes.org

      Version de la base de données: 5679

      Windows 6.0.6002 Service Pack 2
      Internet Explorer 7.0.6002.18005

      04/02/2011 23:17:14
      mbam-log-2011-02-04 (23-17-14).txt

      Type d'examen: Examen complet (C:\|D:\|F:\|)
      Elément(s) analysé(s): 349986
      Temps écoulé: 1 heure(s), 40 minute(s), 7 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    ton antivirus est une version pirate ?
    0
    1. pateGalette
       
      Bah surement car on m'a filer un cd en me disant d'installer sa que c'etais un bon antivirus donc je l'ai installer :/ Sa vient de la ?
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. pateGalette
     
    Je n'ai pas nod32 danc windows :s et non je n'ai pas supprimé il m'avait trouvé 4 choses je crois
    0
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    il s'agit de nod32restoretemdono.reg , pas de nod32.

    Affiche les fichiers et dossiers cachés et les dossiers système.
    0
  7. pateGalette
     
    J'ai le fichier que doi-je en faire ?
    0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Avant, je voudrais que tu fasse un clic droit et Modifier sur C:\windows\nod32restoretemdono.reg

    Poste le contenu dans ta réponse.
    0
  9. pateGalette
     
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\ESET\ESET Security\CurrentVersion\Plugins\01000400\Settings]
    "FailSafeServer"="http://update.eset.com/eset_upd/"
    "DefaultServer0"="http://u21.eset.com/eset_upd/"
    "DefaultServerWeight0"=dword:00000014
    "DefaultServer1"="http://u22.eset.com/eset_upd/"
    "DefaultServerWeight1"=dword:00000014
    "DefaultServer2"="http://u23.eset.com/eset_upd/"
    "DefaultServerWeight2"=dword:00000014
    "DefaultServer3"="http://u24.eset.com/eset_upd/"
    "DefaultServerWeight3"=dword:00000014
    "DefaultServer4"="http://89.202.157.135/eset_upd/"
    "DefaultServerWeight4"=dword:00000014
    "DefaultServer5"="http://89.202.157.136/eset_upd/"
    "DefaultServerWeight5"=dword:00000014
    "DefaultServer6"="http://89.202.157.137/eset_upd/"
    "DefaultServerWeight6"=dword:00000014
    "DefaultServer7"="http://89.202.157.138/eset_upd/"
    "DefaultServerWeight7"=dword:00000014
    "DefaultServer8"="http://89.202.157.139/eset_upd/"
    "DefaultServerWeight8"=dword:00000014
    "DefaultServer9"="http://u30.eset.com/eset_upd/"
    "DefaultServerWeight9"=dword:00000014
    "DefaultServer10"="http://u31.eset.com/eset_upd/"
    "DefaultServerWeight10"=dword:00000014
    "DefaultServer11"="http://u32.eset.com/eset_upd/"
    "DefaultServerWeight11"=dword:00000014
    "DefaultServer12"="http://u33.eset.com/eset_upd/"
    "DefaultServerWeight12"=dword:00000014
    "DefaultServer13"="http://u34.eset.com/eset_upd/"
    "DefaultServerWeight13"=dword:00000014
    "DefaultServer14"="http://u35.eset.com/eset_upd/"
    "DefaultServerWeight14"=dword:00000014
    "DefaultServer15"="http://u36.eset.com/eset_upd/"
    "DefaultServerWeight15"=dword:00000014
    "DefaultServer16"="http://u37.eset.com/eset_upd/"
    "DefaultServerWeight16"=dword:00000014
    "DefaultServer17"="http://u38.eset.com/eset_upd/"
    "DefaultServerWeight17"=dword:00000014
    "DefaultServer18"="http://u39.eset.com/eset_upd/"
    "DefaultServerWeight18"=dword:00000014
    "DefaultServer19"="http://u40.eset.com/eset_upd/"
    "DefaultServerWeight19"=dword:00000014
    "DefaultServer20"="http://u41.eset.com/eset_upd/"
    "DefaultServerWeight20"=dword:00000014
    "DefaultServer21"="http://u42.eset.com/eset_upd/"
    "DefaultServerWeight21"=dword:00000014
    "DefaultServer22"="http://u43.eset.com/eset_upd/"
    "DefaultServerWeight22"=dword:00000014
    "DefaultServer23"="http://u44.eset.com/eset_upd/"
    "DefaultServerWeight23"=dword:00000014
    "DefaultServer24"="http://u45.eset.com/eset_upd/"
    "DefaultServerWeight24"=dword:00000014
    "DefaultServer25"="http://u46.eset.com/eset_upd/"
    "DefaultServerWeight25"=dword:00000014
    "DefaultServer26"="http://u47.eset.com/eset_upd/"
    "DefaultServerWeight26"=dword:00000014
    "DefaultServer27"="http://u48.eset.com/eset_upd/"
    "DefaultServerWeight27"=dword:00000014
    "DefaultServer28"="http://u49.eset.com/eset_upd/"
    "DefaultServerWeight28"=dword:00000014
    "DefaultServerCount"=dword:0000001d
    0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    c'est un fichier lié au crack de Eset.

    Donc tu changes d'antivirus, tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport dans un lien Cijoint.
    0
  11. pateGalette
     
    http://www.cijoint.fr/cjlink.php?file=cj201102/cijmE9oHCx.txt
    0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Ok, relance MBAM, mets le à jour, exécute un scan complet, supprime tout ce qu'il trouve et poste le rapport.
    0
    1. pateGalette
       
      Malwarebytes' Anti-Malware 1.50.1.1100
      www.malwarebytes.org

      Version de la base de données: 5679

      Windows 6.0.6002 Service Pack 2
      Internet Explorer 7.0.6002.18005

      04/02/2011 23:17:14
      mbam-log-2011-02-04 (23-17-14).txt

      Type d'examen: Examen complet (C:\|D:\|F:\|)
      Elément(s) analysé(s): 349986
      Temps écoulé: 1 heure(s), 40 minute(s), 7 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu n'as pas besoin de l'update 6 de java ? Si tu en as besoin, supprime la ligne en gras de la liste ci-dessous.

    Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

    R3 - URLSearchHook: (no name) - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
    [MD5.00000000000000000000000000000000] [APT] [{3EFD025D-6E61-4F97-AB61-43B6561BB884}] (..) -- C:\Users\Christophe\Downloads\PhotoFiltre Studio X 10.3.0 + Serial\pfs-setup-en.exe (.not file.)
    O42 - Logiciel: Java 6 Update 6 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160060}
    [HKCU\Software\AppDataLow\Software\PriceGong]
    O44 - LFC:[MD5.8674C4329B510511C2E1CB906C8E954D] - 30/01/2011 - 13:49:50 --HA- . (. - .) -- C:\windows\nod32restoretemdono.reg   [5702]
    [MD5.B3E5D1D48638CA73DE6105F0D642904D] [SPRF] (. - Hmm.) -- C:\Users\Christophe\AppData\Roaming\plop.exe   [57344]


    Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

    Clique sur "Tous" puis sur "Nettoyer".

    Laisse l'outil travailler.

    Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

    Le rapport d'exécution va apparaître dans la fenêtre.

    Copie le dans ta réponse.
    0
    1. pateGalette
       
      Comment je sais si j'ai besoin de l'update ?
      0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    alors tu n'en a pas besoin.

    Parfois, pour des applications professionnelles, il faut conserver des versions anciennes de logiciels génériques car l'entreprise ne veut pas payer la mise à niveau d'un outil-maison qui s'en sert.

    Quand c'est le cas, les gens savent.
    0
  15. pateGalette
     
    Merci a toi pour ton aide Mon pc ne beug plus maintenant :)
    0
  16. pateGalette
     
    http://www.cijoint.fr/cjlink.php?file=cj201102/cijOfEFpJa.txt
    0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    je t'ai demandé un rapport ZHPFix et pas un nouveau rapport ZHPDiag.

    Je t'ai demandé de faire ce qui est indiqué ici :

    https://forums.commentcamarche.net/forum/affich-20751446-virus-pc#13

    Clique sur le lien.
    0
    1. pateGalette
       
      Rapport de ZHPFix 1.12.3227 par Nicolas Coolman, Update du 16/12/2010
      Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2011-15-47-19.txt
      Run by Christophe at 05/02/2011 15:47:19
      Windows Vista Business Edition, 32-bit Service Pack 2 (Build 6002)
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      ========== Processus mémoire ==========
      C:\Users\Christophe\AppData\Roaming\plop.exe [57344] => Supprimé et mis en quarantaine

      ========== Clé(s) du Registre ==========
      [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160060}] => Clé supprimée avec succès
      HKCU\Software\AppDataLow\Software\PriceGong => Clé supprimée avec succès

      ========== Valeur(s) du Registre ==========
      R3 - URLSearchHook: (no name) - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} => Valeur supprimée avec succès

      ========== Fichier(s) ==========
      c:\users\christophe\downloads\photofiltre studio x 10.3.0 + serial\pfs-setup-en.exe (.not file.) => Fichier absent
      c:\windows\nod32restoretemdono.reg => Supprimé et mis en quarantaine

      ========== Logiciel(s) ==========
      O42 - Logiciel: Java 6 Update 6 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160060} => Logiciel supprimé avec succès

      ========== Tache planifiée ==========
      Task : {3EFD025D-6E61-4F97-AB61-43B6561BB884} => Tâche supprimée avec succès


      ========== Récapitulatif ==========
      1 : Processus mémoire
      2 : Clé(s) du Registre
      1 : Valeur(s) du Registre
      2 : Fichier(s)
      1 : Logiciel(s)
      1 : Tache planifiée


      End of the scan
      0
  18. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    OK, on ne doit plus être loin de la fin.

    Fais redémarrer l'ordi, refais tourner ZHPDiag et poste le rapport dans un lien Cijoint.
    0
  19. pateGalette
     
    http://www.cijoint.fr/cjlink.php?file=cj201102/cijC1LFeQ9.txt
    0
  20. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    mets à jour Internet Explorer avc Windows update.

    ===

    Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

    O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline
    O4 - HKCU\..\Run: [LG LinkAir] Clé orpheline
    O4 - HKUS\S-1-5-21-1680341894-1657003019-1812497106-1004\..\Run: [AdobeBridge] Clé orpheline
    O4 - HKUS\S-1-5-21-1680341894-1657003019-1812497106-1004\..\Run: [LG LinkAir] Clé orpheline
    O23 - Service: Nero BackItUp Scheduler 4.0 (Nero BackItUp Scheduler 4.0) - Clé orpheline
    O23 - Service:  (pdfcDispatcher) - Clé orpheline
    O64 - Services: CurCS - C:\windows\system32\drivers\EagleXNt.sys (.not file.) - EagleXNt (EagleXNt)  .(.Pas de propriétaire - Pas de description.) - LEGACY_EAGLEXNT
    O64 - Services: CurCS - (.not file.) - epfwwfp (epfwwfp)  .(.Pas de propriétaire - Pas de description.) - LEGACY_EPFWWFP
    R3 - URLSearchHook: (no name) - {f4e6547e-325b-403c-a3bb-ad29ed37a92f} Clé orpheline
    [HKLM\Software\Conduit]


    Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

    Clique sur "Tous" puis sur "Nettoyer".

    Laisse l'outil travailler.

    Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

    Le rapport d'exécution va apparaître dans la fenêtre.

    Copie le dans ta réponse.
    0
    1. pateGalette
       
      Rapport de ZHPFix 1.12.3227 par Nicolas Coolman, Update du 16/12/2010
      Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2011-17-41-52.txt
      Run by Christophe at 05/02/2011 17:41:52
      Windows Vista Business Edition, 32-bit Service Pack 2 (Build 6002)
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      ========== Clé(s) du Registre ==========
      O23 - Service: Nero BackItUp Scheduler 4.0 (Nero BackItUp Scheduler 4.0) - Clé orpheline => Clé supprimée avec succès
      O23 - Service: (pdfcDispatcher) - Clé orpheline => Clé supprimée avec succès
      O64 - Services: CurCS - C:\windows\system32\drivers\EagleXNt.sys (.not file.) - EagleXNt (EagleXNt) .(.Pas de propriétaire - Pas de description.) - LEGACY_EAGLEXNT => Clé supprimée avec succès
      O64 - Services: CurCS - (.not file.) - epfwwfp (epfwwfp) .(.Pas de propriétaire - Pas de description.) - LEGACY_EPFWWFP => Clé supprimée avec succès
      HKLM\Software\Conduit => Clé supprimée avec succès

      ========== Valeur(s) du Registre ==========
      O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline => Valeur supprimée avec succès
      O4 - HKCU\..\Run: [LG LinkAir] Clé orpheline => Valeur supprimée avec succès
      O4 - HKUS\S-1-5-21-1680341894-1657003019-1812497106-1004\..\Run: [AdobeBridge] Clé orpheline => Valeur absente
      O4 - HKUS\S-1-5-21-1680341894-1657003019-1812497106-1004\..\Run: [LG LinkAir] Clé orpheline => Valeur absente
      R3 - URLSearchHook: (no name) - {f4e6547e-325b-403c-a3bb-ad29ed37a92f} Clé orpheline => Valeur supprimée avec succès


      ========== Récapitulatif ==========
      5 : Clé(s) du Registre
      5 : Valeur(s) du Registre


      End of the scan
      0
  • 1
  • 2