Infection + arrêt non planifié de windows 7

Résolu
letito -  
 letito -
Bonjour,
Je suis atteint depuis quelque jours d'un (ou plusieurs) virus il me semble.
En effet, de nombreux problèmes sont apparus :
-Mon ordi freeze de temps en temps comme un lag général de tout l'OS.(une sorte de ralentissement puis redevient normal par à coup)
-Lorsque je laisse allumer l'ordi, après un certain temps (possible mise en veille) il n'est plus possible de le réactiver. l'écran reste noir.
-Chaque fois que j'arrete l'ordi, il ne s'éteint pas convenablement et lors du démarrage il m'indique un arrêt non planifié

J'ai déjà fait plusieurs annalyses avec malware byte mais il ma seulement trouver un trojan d'un programme cacaoweb , que j'ai mis en quarantaine .
Seulement après avoir tout netoyé les problèmes sont tjs là.

Pouvez vous m'aider svp ? je sais que vous êtes des As ici alors merci déjà

Ps: mon systeme d'exploitation est win 7 ,32 bits
carte mère : asus P5KE
graphique: geforce 8800 gt

15 réponses

  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bonjour,

    [x] Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !

    [x] Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.

    -+-+-+-+-> ZHPDiag <-+-+-+-+-

    [x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

    [x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\

    [x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

    [x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

    [x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

    [x] Rend toi sur cjoint puis clique sur " Parcourir ".

    [x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

    [x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
    2
  2. letito
     
    merci pour ton aide,

    J'ai donc installer ZHP.diag mais lors de la fin de l'installation lorsque je clique sur terminer un message d'erreur apparait : impossible d'éxecuter le fichier c/.../ZHPDiag.exe createProcess a echouer ; code 740. L'operation demander demande une evaluation.

    Malgré tout je lance le programme en tant que administrateur=> c ok
    Cependant je ne trouve pas l'icone dont tu parle . ce qui se rapproche le plus d'un diagnostque est Windows Clean Manager en haut a droite...

    ça m'embête de buter sur des bêtises pareils . Désolé
    0
    1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      Tu as lancé ZHPFix et non ZHPDiag.. ;-)
      0
    2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, en espérant que xplode ne m'en voudra pas d'intervenir, quand tu lance zhpdiag c'est bien sur cet icône https://www.cjoint.com/?0cluKN7thSV si pas sur le bureau c'est que tu n'as pas cocher la case pour mettre le raccourci sur le bureau pour trouver l'icône de lancement qui normalement est program files et dans le dossier zhpdiag !! la tu le lances directement avec clique droit bien sur !!
      0
  3. letito
     
    autant pour moi :) j'ai mal regarder
    donc voici la rapport/diagnostic, enfin le lien :
    http://cjoint.com/data/0cluWiVQJka.htm
    0
  4. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok, fais ceci :

    -+-+-+-+-> RstHosts <-+-+-+-+-

    [x] Télécharge RstHosts sur ton bureau.

    [x] Lance le et clique sur [Restaurer]

    [x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

    Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\RstHosts.txt )

    -+-+-+-+-> AD-Remover <-+-+-+-+-

    [x] Télécharge AD-Remover ( de C_XX ).

    [x] Lance AD-Remover puis choisis l'option " Nettoyer ".

    Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

    [x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

    [x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. letito
     
    RstHosts => le lien est mort.
    J'ai essayé avec google mais de même...
    0
  7. letito
     
    Voici le fichier RstHosts :

    Rapport RstHosts v1.5 - 11/02/2011 à 21:07
    Mis à jour le 30/11/10 à 19h30 par Xplode
    Système d'exploitation : Windows 7 Ultimate (32 bits) [version 6.1.7600]
    Nom d'utilisateur : thib - THIB-PC (Administrateur)
    Exécuté depuis : C:\Users\thib\Downloads\RstHosts.exe
    Option : [Restaurer]

    ++++++++++ [[Restauration du fichier hosts]] ++++++++++

    -> Suppression... OK !
    -> BackUp sauvegardé sous C:\RstHostsBkp.bak ... OK !
    -> Copie du fichier hosts sain vers C:\Windows\system32\drivers\etc\hosts ... OK !

    -> Fichier Hosts restauré avec succès !

    ++++++++++ [[Propriétés du fichier hosts]] ++++++++++

    Emplacement : C:\Windows\system32\drivers\etc\hosts
    Attribut(s) : RASH
    Taille : 89 octets
    Date de création : 14/07/2009 - 03:04
    Date de modification : 21/11/2010 - 14:59
    Date de dernier accès : 11/02/2011 - 21:07

    ++++++++++ [[Contenu du fichier hosts ( Avant restauration )]] ++++++++++

    # Copyright (c) 1993-2009 Microsoft Corp.
    #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    #
    # This file contains the mappings of IP addresses to host names. Each
    # entry should be kept on an individual line. The IP address should
    # be placed in the first column followed by the corresponding host name.
    # The IP address and the host name should be separated by at least one
    # space.
    #
    # Additionally, comments (such as these) may be inserted on individual
    # lines or following the machine name denoted by a '#' symbol.
    #
    # For example:
    #
    # 102.54.94.97 rhino.acme.com # source server
    # 38.25.63.10 x.acme.com # x client host

    # localhost name resolution is handled within DNS itself.
    # 127.0.0.1 localhost
    # ::1 localhost
    #74.208.105.171 gs.apple.com
    74.208.10.249 gs.apple.com
    #127.0.0.1 gs.apple.com

    ++++++++++ [[Contenu du fichier hosts ( Après restauration )]] ++++++++++

    # Fichier Hosts créé par RstHosts

    127.0.0.1 localhost
    ::1 localhost

    ########## EOF - "C:\RstHosts.txt" - [2110 octets] ##########

    Et le rapport AD :

    ======= REPORT FROM AD-REMOVER 2.0.0.2,E | ONLY XP/VISTA/7 =======

    Updated by TeamXscript on 08/02/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    website: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Launched at 21:15:25 on 11/02/2011, Normal boot

    Microsoft Windows 7 Ultimate (X86)
    thib@THIB-PC (System manufacturer P5K-E)

    ============== ACTION(S) ==============

    (!) -- Temporary files deleted.

    ============== ADDITIONNAL SCAN ==============

    **** Mozilla Firefox Version [3.6.13 (fr)] ****

    Plugins\npContribute.dll (Adobe Systems, Inc.)
    Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension for Firefox )
    HKLM_Extensions|{01A8CA0A-4C96-465b-A49B-65C46FAD54F9} - C:\Program Files\Adobe\Adobe Contribute CS5\Plugins\FirefoxPlugin\{01A8CA0A-4C96-465b-A49B-65C46FAD54F9}

    -- C:\Users\thib\AppData\Roaming\Mozilla\FireFox\Profiles\tk08ac6n.default --
    Extensions\cacaoweb@cacaoweb.org (cacaoweb)
    Prefs.js - browser.download.lastDir, C:\\Users\\thib\\Documents\\Alexis\\Pictures\\majors
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13

    -- C:\Users\superannecat\AppData\Roaming\Mozilla\FireFox\Profiles\ch6o0kh8.default --
    Prefs.js - browser.startup.homepage, hxxp://www.google.be/ig?hl=fr&source=iglk
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.8

    ========================================

    **** Google Chrome Version [9.0.597.94] ****

    -- C:\Users\thib\AppData\Local\Google\Chrome\User Data\Default --
    Preferences - default_search_provider: "Google" (Enabled: true) (?)
    Preferences - homepage: hxxp://www.google.com/
    Preferences - homepage_is_newtabpage: false
    Plugin - Adobe Contribute CS5 (Enabled: true) (C:\Program Files\Mozilla Firefox\plugins\npContribute.dll)
    Plugin - "Adobe Contribute CS5 " (Enabled: true)

    ========================================

    **** Internet Explorer Version [8.0.7600.16385] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Toolbar|{517BDDE4-E3A7-4570-B21E-2B52B6139FC7} (C:\Program Files\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll)
    HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)
    HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)
    HKLM_ElevationPolicy\{28A36D69-07EA-44CE-B298-1A8B3E8B6FE1} - C:\Program Files\Skype\Phone\Skype.exe (Skype Technologies S.A.)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
    HKLM_ElevationPolicy\{71274DC5-D6B8-4B74-BBCF-04D76E30772B} - C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe (Skype Technologies S.A.)
    HKLM_ElevationPolicy\{88B89B96-F7B2-469D-8F22-5F3BE33DEDDE} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPluginBroker.exe (Skype Technologies S.A.)
    HKLM_Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - "Skype add-on for Internet Explorer" (C:\Program Files\Skype\Toolbars\Internet Explorer\icon.ico)
    BHO\{074C1DC5-9320-4A9A-947D-C042949C6216} - "ContributeBHO Class" (C:\Program Files\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll)
    BHO\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - "Skype add-on for Internet Explorer" (C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 File(s)
    C:\Program Files\Ad-Remover\Backup: 16 File(s)

    C:\Ad-Report-CLEAN[1].txt - 11/02/2011 (427 Byte(s))
    C:\Ad-Report-CLEAN[2].txt - 11/02/2011 (4170 Byte(s))

    End at: 21:16:31, 11/02/2011

    ============== E.O.F ==============
    0
  8. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok fais maintenant ceci :

    ▶▷▶▷▶▷▶▷▶▷ ZHPFix ◁◀◁◀◁◀◁◀◁◀

    /!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

    [x] Copie le texte en gras ci-dessous ( CTRL + C pour copier )


    M2 - MFEP: prefs.js [thib - tk08ac6n.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.9 (.http://www.cacaoweb.org/
    [HKCU\Software\cacaoweb]
    O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline
    O4 - HKUS\S-1-5-21-2535507182-72855083-1578473593-1001\..\Run: [AdobeBridge] Clé orpheline
    O51 - MPSK:{ce207e13-b1bc-11df-9c64-001bfcd5003d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- I:\SETUP.exe (.not file.)
    OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
    OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
    FireWallRaz
    EmptyTemp


    [x] Lance ZHPFix qui est présent sur ton bureau.

    [x] Clique sur le "H" bleu ( Coller les lignes Helper )

    [x] Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.

    [x] Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]

    [x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

    [x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

    [x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
    0
  9. letito
     
    Et celui après le netoyage de ZHPFix :

    Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-11-02-2011-21-36-29.txt
    Run by thib at 11/02/2011 21:36:29
    Windows 7 Ultimate Edition, 32-bit (Build 7600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    HKCU\Software\cacaoweb => Clé supprimée avec succès
    O51 - MPSK:{ce207e13-b1bc-11df-9c64-001bfcd5003d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- I:\SETUP.exe (.not file.) => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-21-2535507182-72855083-1578473593-1001\..\Run: [AdobeBridge] Clé orpheline => Valeur absente
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe => Valeur supprimée avec succès
    FirewallRaz : Aucune valeur présente dans la clé de registre "Standard Profile"
    FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"
    FirewallRaz (Private) : TCP Query User{6BC4BB85-B4A0-41A5-BF4A-611551B6BD45}C:\program files\electronic arts\crytek\crysis wars\bin32\crysis.exe => Valeur supprimée avec succès
    FirewallRaz (Private) : UDP Query User{8887A348-F9FE-47DC-AF49-36AE6A8ACEF5}C:\program files\electronic arts\crytek\crysis wars\bin32\crysis.exe => Valeur supprimée avec succès
    FirewallRaz (Private) : TCP Query User{9BBE93DD-616A-4C2C-A565-AB26083B9A51}C:\users\thib\appdata\roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
    FirewallRaz (Private) : UDP Query User{0F9EF9D5-8B61-46C2-8CC6-54B3B354A15F}C:\users\thib\appdata\roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
    FirewallRaz (Private) : TCP Query User{378A3C02-2DB5-47AE-88F3-2720CFF34D80}C:\users\thib\downloads\tinyumbrella-4.21.02.exe => Valeur supprimée avec succès
    FirewallRaz (Private) : UDP Query User{05E1C384-1169-4A2B-A3D0-0167FADD599B}C:\users\thib\downloads\tinyumbrella-4.21.02.exe => Valeur supprimée avec succès

    ========== Dossier(s) ==========
    Dossiers temporaires Windows supprimés: 347

    ========== Fichier(s) ==========
    Fichiers temporaires Windows supprimés : 874

    ========== Récapitulatif ==========
    2 : Clé(s) du Registre
    13 : Valeur(s) du Registre
    1 : Dossier(s)
    1 : Fichier(s)

    End of the scan

    J'ai vu qu'il y avais certain programme de ta propre conception! C sympa ça :)
    0
  10. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bien. Comment se porte le PC maintenant?
    0
  11. letito
     
    et bien bcp mieux ...
    merci beaucoup pour ton aide . heureusement qu'il y a des gens comme toi ^^
    tu a vu d'autre chose que ce sale truc de cacaoweb ? pour que je sache qui aurait pu mettre quoi sur le PC vu que c'est familiale :)
    Tout grand merci encore.
    0
  12. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Non hormis cacaotruc il y avait rien d'autre de particulier.. On va terminer la désinfection en supprimant tout les outils utilisés puis en purgeant la restauration système :

    -+-+-+-+-> DelFix <-+-+-+-+-

    [x] Télécharge DelFix sur ton bureau.

    [x] Lance le et appuie sur [Suppression]

    [x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

    Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

    [x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation].

    -+-+-+-+-> Purger la restauration système <-+-+-+-+-

    [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

    [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

    [x] Tutoriels :

    - Windows XP
    - Windows Vista
    - Windows 7
    0
  13. letito
     
    # DelFix v7.4 - Rapport créé le 11/02/2011 à 22:14
    # Mis à jour le 09/02/11 à 23h par Xplode
    # Système d'exploitation : Windows 7 Ultimate (32 bits) [version 6.1.7600]
    # Nom d'utilisateur : thib - THIB-PC (Administrateur)
    # Exécuté depuis : C:\Users\thib\Downloads\DelFix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\Program Files\ZHPDiag

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\Users\thib\Desktop\ZHPDiag.txt
    Supprimé : C:\Users\thib\Desktop\ZHPFixReport.txt
    Supprimé : C:\Users\thib\Desktop\RstHosts.txt
    Supprimé : C:\Users\thib\Downloads\RstHosts.exe

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

    ~~~~~~ Autre ~~~~~~

    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [1009 octets] ##########
    0
  14. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok c'est clean. ;-)

    Bonne soirée. @+
    Xplode - Contributeur sécurité.
    0