Problème avec un Virus Résolu/Fermé

Question

Bonjour, 
 
 Voilà , je suis inquiet , hier j'ai téléchargé une démo via : jeux vidéo.com  et, dès la fin du DL , je clique droit pour analyser via l'antivirus , et là  mon ordinateur s'est mis à ramer énormément ! 
 Depuis , j'ai eu de nombreux pop-ups spybot récurrents, m'indiquant que le registre de tel ou tel programme à été modifié, et l'UC est complétement accaparée ( de l'ordre de 50% ! )  Je suis sûr que c'est un virus , mais mon AV ne trouve rien ...
 Si quelqu'un peut me donner un coup de main, s'il vous plait ! 
 Je vous remercie d'avance ! 



Configuration: Windows XP / Firefox 3.6.13

Smart91 · Answer

Bonjour

On va faire un diagnostic de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

manvantara · Answer

Bonjour , 

Tout d'abord, Smart, je tiens à te remercier pour la promptitude de ta réponse, c'est sympa ! 
Voici le lien du scan de Zhp, en espérant que ça ne soit pas trop méchant.
 Merci d'avance à toutes et à tous.

 http://www.cijoint.fr/cjlink.php?file=cj201102/cij7peslJj.txt

Smart91 · Answer

Tu peuix désinstaller Spybot il est dépassé aujourd'hui et ne fait que ralentir ton PC. 

Tu as également deux parefeu Zone Alarm et Sygate: Un seul suffit cela évite des conflits et un ralentissement du PC. 
  
Tu es infecté par des adwarea en allant sur des sites de jeu pas très recommandés  

Tu vas faire ceci:  

-  Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html  
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.  
- Déconnecte toi et ferme toutes les applications en cours   
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.    
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .   
- Laisse travailler l'outil et ne touche à rien ...   
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)   
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )   


Et ensuite ceci:  


* Télécharge et installe Malwarebytes  
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée  
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)  
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"  
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser   
* A la fin de l'analyse, clique sur "Afficher les résultats"  
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"  
* Enregistre le rapport  
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes  
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.  

Cela fait deux rapports à poster  

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

manvantara · Answer

Bonsoir, 

 Merci encore pour ton intervention et tes conseils.
 >je croyais avoir désinstallé zone alarm ..
 > que me conseillerais-tu à la place de  spybot ?
 J'ai fait un nettoyage complet,  malwarebyte ne trouve plus le virus, mais depuis que je l'ai, ma machine fait un petit bruit de chargement dicontinu ttes les secondes, comme si la  Ram était sollicitée en permanence ! 
 Ci dessous, je poste les rapports que tu m'as demandés,
 Merci d'avance pour ton aide , 
Cordialement.

Ad remover:

 http://www.cijoint.fr/cjlink.php?file=cj201102/cijF2jNGWL.txt 

Mbam :

 http://www.cijoint.fr/cjlink.php?file=cj201102/cijsOjG90z.txt

Smart91 · Answer

Recommence avec MBAM tu n'as supprimé les éléments infectés, car tu n'as suivi les instructions données pourtant elles étaient mises en gras:

* A la fin de l'analyse, clique sur "Afficher les résultats" 
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"

Smart

manvantara · Answer

Bonjour, 
 
 Désolé, mais apparemment le virus à été supprimé par malwarebytes , du coup je n'ai plus accès aux deux options que tu cites plus haut, à la fin du scan il me fait un rapport , que je t'envoie : 


http://www.cijoint.fr/cjlink.php?file=cj201102/cijVFGIaWF.txt 
 
Cordialement

Smart91 · Answer

Tu n'as pas posté le bon rapport, je le vois par la date et l'heure: 

25/02/2011 22:12:58 
mbam-log-2011-02-25 (22-12-54).txt 

Alors que je t'ai refait la demande le 25 fév 2011 à 22:58  
Cela veut dire que tu as posté le rapport d'un scan que tu as fait plus trois quart d'heure avant ma demande 

Et bien sûr le rapport montre que les infections n'ont pas été supprimées ==> No action Taken  

Fichier(s) infecté(s): 
c:\WINDOWS\system32\ALZALZ.BIN (Spyware.Passwords) -> No action taken. 
c:\WINDOWS\system32\ALZZip.BIN (Spyware.Passwords) -> No action taken. 

Soit tu mets le bon rapport qui se trouve sous l'onglet "Rapports/Log de MBAM et vérifie qu'il n'y a pas No action taken 

Soit tu recommences en suivant ce que j'avais dit ici : 
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)  
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"  
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser  
* A la fin de l'analyse, clique sur "Afficher les résultats"  
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"  
* Enregistre le rapport  
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes  
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.  

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

manvantara · Answer

Désolé  !! 
 En fait , à la fin du scan MBAM ne me propose plus l'option " afficher les résultats ! il m'affiche DIRECTEMENT un rapport qui s'auto-enregistre dans le dossier " log " du soft. Je poste celui-ci en espérant que ça soit bon .
 
 Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5883

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

26/02/2011 16:00:20
mbam-log-2011-02-26 (16-00-20).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 223394
Temps écoulé: 41 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Smart91 · Answer

"En fait , à la fin du scan MBAM ne me propose plus l'option " afficher les résultats ! il m'affiche DIRECTEMENT un rapport qui s'auto-enregistre dans le dossier " log " du soft" 

C'est normal car MBAM ne trouve plus d'infections. En fait tu as dû les supprimer mais tu n'as pas posté le bon rapport. Peu importe. 

Refais un scan ZHPDiag et poste le rapport via cijoint 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

manvantara · Answer

Merci pour tes réponses.
Oui , je les ai supprimés, mais la ram de mon pc semble encore encombrée.
 
 Voici le dernier rapport zhpdiag:
 

http://www.cijoint.fr/cjlink.php?file=cj201102/cijdT5LABM.txt

Smart91 · Answer

Tu n'as désinstallé Spybot et tu as toujours deux parefeu, mais c'est comme tu veux, c'est ton PC après tout.

J'ai un doute de restes sur un Rogue (Infection faux antivirus). Tu vas faire ceci: 

- Télécharge sur le bureau RogueKiller de Tigzy 
- Quitte tous tes programmes en cours 
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur 
- Sinon lance simplement RogueKiller.exe 
- Lorsque demandé, tape 1 [SCAN] et valide 
- Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le. 

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

manvantara · Answer

"Tu n'as désinstallé Spybot et tu as toujours deux parefeu, mais c'est comme tu veux, c'est ton PC après tout." 

...J'ai pourtant désinstallé zone-alarm il y a très longtemps...
 Voici le rapport de rogue : 

http://www.cijoint.fr/cjlink.php?file=cj201102/cijb4KqyYa.txt 

 Merci encore pour ta patience !

Smart91 · Answer

Pourquoi tu l'as fait 3 fois ?

Relance RogueKiller et choisis l'option 2 et poste le rapport

Smart

manvantara · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cijbVspl4m.txt

Smart91 · Answer

Refais un rapport ZHPDiag et poste le via ciJoint

Smart

manvantara · Answer

Voici: 

http://www.cijoint.fr/cjlink.php?file=cj201102/cijZiJcLEo.txt

Smart91 · Answer

Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\Windows\ALCMTR.exe
- Clique sur Send File et puis reanalyze
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport

Smart

manvantara · Answer

Erf vraiment désolé smart , mais comment je poste le rapport de virus total s'il te plait ?

Smart91 · Answer

Quand tu arrives sur le rapport il suffit de copier l'adresse du lien qui se trouve en haut dans la barre d'adresse du navigateur Internet

Smart

manvantara · Answer

Bonjour,  

 merci pour ta patience smart,  
 Voici le rapport : 
  
http://www.virustotal.com/file-scan/report.html?id=1dfd05b1c0050db44f5b4293e5574bfc292af804a63fc0a70131bb498c326977-1298869258

Smart91 · Answer

Le lien que tu m'a donné arrive sur la page d'accueil de Virustotal et non sur celle du rapport. 
Je pense que le mieux est de recommencer l'analyse et de reposter le lien vers le rapport 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

manvantara · Answer

Bonjour , 

 Pardon de n'avoir pas répondu plus tôt !
 
je te poste le rapport en espérant que cela passe ( le site était indisponible hier ) 
 
au cas ou, Mac afee mentionne cette ligne dans le rapport : 

McAfee-GW-Edition	2010.1C	2011.03.01	Heuristic.LooksLike.Worm.Agent.I  et c'est le seul fichier trouvé.
 
http://www.virustotal.com/file-scan/report.html?id=1dfd05b1c0050db44f5b4293e5574bfc292af804a63fc0a70131bb498c326977-1298991977

Smart91 · Answer

Oui il ya des soucis avec VT, ils sont en train d'apporter des modifs sur le site.

Bon concernat ce fichier j'ai remonté le rappotr VT au dévellopeur de ZHPDiag car pour moi c'est un faus positif. On ne va pas le supprimer pour le moment:

Tu vas faire ceci car il reste encore des traces:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKCU\Software\Prodiff]
[HKCU\Software\Totem]
O43 - CFD: 25/02/2011 - 17:04:54 - [150805] ----D- C:\Program Files\Everest Poker
O43 - CFD: 01/11/2008 - 00:49:12 - [0] ----D- C:\Documents and Settings\Administrateur\Local Settings\Application Data\DFH
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline
O23 - Service:  (vsdatant) - Clé orpheline
O51 - MPSK:{90bd0f06-ce29-11dc-9408-001a4d320c88}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\ResidentEvil2.exe (.not file.)

---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Smart

manvantara · Answer

Voici : 

Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-01-03-2011-18-56-52.txt
Run by Administrateur at 01/03/2011 18:56:52
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\Prodiff  => Clé supprimée avec succès
HKCU\Software\Totem  => Clé supprimée avec succès
O23 - Service: (vsdatant) - Clé orpheline  => Clé non supprimée
O51 - MPSK:{90bd0f06-ce29-11dc-9408-001a4d320c88}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\ResidentEvil2.exe (.not file.)  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline  => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Everest Poker  => Dossier absent
C:\Documents and Settings\Administrateur\Local Settings\Application Data\DFH  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Valeur(s) du Registre
2 : Dossier(s)


End of the scan

Smart91 · Answer

Redémarre le PC. Comment se comporte-il ?

Refais un dernier scan ZHPDiag et poste le rapport via cijoint.
Ensuite on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

manvantara · Answer

Le pc se comporte très bien; plutôt rapide, et le problème de "grattage " dont je te parlais plus haut à cessé depuis le dernier nettoyage mbam.
 Voici le dernier rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201103/cijIvQTGqU.txt

Smart91 · Answer

Tout d'abord désinstalle AD-aware de lavasoft, il ne sert à rien et alentit tpn PC

Fais les mises à jours suivantes:

Mise à jour Windows XP SP2 vers SP3:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr

Mise à jour IE8
https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

Mise à jour Java 6 update 24 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 24

Mise à jour Avast 5 vers Avast 6:
Ouvre Avast Antivirus, va dans Maintenance puis dans Mise à jour et clique sur Mise à jour du programme

Mise à jour Adobe reader 10.0.1==>
ftp://ftp.adobe.com/pub/adobe/reader/win/10.x/10.0.1/fr_FR/AdbeRdr1001_fr_FR.exe Installer

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour 

Fais déjà ceci on fera la suite après

Smart

manvantara · Answer

mm D'accord avec toi pour la plupart des MAJ , mais sp3 ne m'a posé que des problèmes auparavant , donc j'aimerais éviter de l'installer .
 Quant à IE8 , pareil , je n'utilise que firefox et préfèrerais éviter IE .
 
 Cordialement.

Smart91 · Answer

OK pour SP3. mais il faut savoir que Microsoft va arêter les MAJ pour SP2
En revanche il faut passer IE à la version 8 car les MAJ Windows se font par IE

Smart

manvantara · Answer

Bonjour,

Voilà , j'ai effectué toutes les maj que tu conseillais , sauf sp3, par contre après la dernière maj java j'ai viré les versions précédentes, ce qui n'est pas malin à mon avis . J'espère juste que ça n'est pas trop grave.
 Pour la suite, tu peux sans doute me donner les liens qui me permettront de faire mes recherches sur le site (ça m'embête de te monopoliser ainsi...)
 Merci encore pour ton aide précieuse.

Smart91 · Answer

"par contre après la dernière maj java j'ai viré les versions précédentes, ce qui n'est pas malin à mon avis . J'espère juste que ça n'est pas trop grave."  

Au contraire tu as bien fait cela ne sert à rien de garder les anciennes versions, d'ailleurs je l'avais bien précisé dans ma réponse. 

Avant de passer à suite, je voudrais que tu fasses ceci: 

Va sur ce site https://www.virustotal.com/gui/ 
- Clique sur parcourir 
- Dans nom du fichier colle ce fichier : C:\Program Files\setup.exe 
- Clique sur Send File et puis reanalyze 
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

manvantara · Answer

Bonjour Smart, 

Voici : 

http://www.virustotal.com/file-scan/report.html?id=276a54ea027d460e81e60f84016e060ffb6a7254ef394f14c91fe0772cbe719a-1299160956

apparemment, il a trouvé un trojan :(

Smart91 · Answer

OK. Mais 1/43 je ne touche pas. 
On passe à la suite.

Optimisation:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
CTFDisabled
OPT:O4 - HKLM\..\Run: [nwiz] . (...) -- C:\Windows\System32
wiz.exe
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-746137067-1220945662-839522115-500\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - Global Startup: C:\Documents And Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk . (.Adobe Systems, Inc..)  -- C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer » 
Tutoriel pour t'aide 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
Dans la barre des tâches de Windows, clique sur Démarrer. 
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
Clique sur Appliquer. 
Ensuite décoche "Désactiver la restauration du systeme" 
Clique sur appliquer puis ok 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

- Par rapport au P2P : http://www.libellules.ch/... 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas 

Smart

manvantara · Answer

Oui, jusque là j'ai été plutôt prudent, mais il suffit d'une fois ...
Je suis sûr à 98% d'avoir chopé ce virus sur Jeux Vidéo.com à la suite du DL d'un jeu nommé : duty call , quelque chose comme ça ..Il serait bon d'informer CCM que ce site est vérolé, à moins que je sois le seul à ne pas le savoir :) 

En tout cas, je ne saurais que trop te remercier pour ton aide et le temps que tu as passé sur ce problème ! 
 
Bonne fin de journée !

manvantara · Answer

oulaAa ....

J'ai un doute affreux là !!... je lance zhpfix > nettoyer et là , ça me sort des pop ups à l'infini pour une donation paypal via le site !! Comme un virus quoi, est ce normal ?

manvantara · Answer

De quoi tu parles stp ? je ne comprends pas trop

manvantara · Answer

Je peux avoir une réponse svp ? 
 Que signifie ces pop ups sauvages via le paypal de zhpfix ? 

  De plus Smart, comment se fait-il que tu donne toujours la même procédure en cas d'infection ? Cela ne devrait il pas différer en fonction du type de virus/malware ?

Smart91 · Answer

Me voilà

Donc si j'ai bien compris tu as lancé ZHPFix pour faire l'optimisation et tu reçois des pop pup. Ce n'est pas normal

Refais un sacn ZHPDiag et poste le rapport via cijoint

"De plus Smart, comment se fait-il que tu donne toujours la même procédure en cas d'infection ? Cela ne devrait il pas différer en fonction du type de virus/malware ?"

Il peut te sembler que la procédure est la même mais ce n'est pas le cas. les scripts que je mets en gras sont propre à chaque peronne


Smart

manvantara · Answer

J' ai lancé zhpfix, puis le nettoyage, une fois celui ci terminé , je suis redirigé vers la page paypal de donation du site  des créateurs de zhp , page qui se multiplie à l'infini prenant,toutes les ressources du pc avec le bruit interne qui va bien ....
le genre d'action qui te fait éteindre ta machine direct ......
 Donc après, ça fait réfléchir même si en l'occurrence il est un peu tard pour ça ...

Smart91 · Answer

Surprenant ce n'est pas le genre de Nicolas de faire cela.
Donc tu dois avoir le rapport ZHPFix. Est-ce que tu peux le poster.

Et refais un scan ZHPDiag et poste le rapport via cijoint

Smart

manvantara · Answer

bonjour ,

 Lorsque j'essaie d'aller sur windows update , ceci s'affiche :
Nous vous remercions d'avoir récupéré des mises à jour sur notre site.

L'utilisation de ce site Web nécessite Microsoft Internet Explorer version 5 ou ultérieure.

Pour installer la dernière version du navigateur, accédez au site Web Téléchargements d'Internet Explorer.

SI vous préférez utiliser un navigateur différent, vous pouvez récupérer les mises à jour à partir du Centre de téléchargement Microsoft ou bénéficier des dernières mises à jour prioritaires ou de sécurité en utilisant la fonctionnalité Mises à jour automatiques. Pour activer la fonctionnalité Mises à jour automatiques :

   1. Cliquez sur Démarrer, puis sur Panneau de configuration.
   2. Selon l'affichage du Panneau de configuration que vous utilisez (Classique ou Catégorie), effectuez l'une des opérations suivantes :
          * Cliquez sur Système, puis sur l'onglet Mises à jour automatique.
          * Cliquez sur Performances et maintenance, sur Système, puis sur l'onglet Mises à jour automatiques.
   3. Sélectionnez une option. Vérifiez que la fonctionnalité Mises à jour automatiques n'est pas désactivée.
 
le site est donc inaccessible .
> Dans mon panneau de config , certains dossiers sont en anglais ?
> Sur msn également la barre des tâches est en anglais.
> Les fenêtres intempestives via le paypal sont pour moi inquiétantes et anormales, comment puis je être sur de la fiabilité de zhpfix, diag  ? 
 Pourquoi les commentaires de ryuzuke ont été modérés ?
 Merci d'avance pour les réponses .

Smart91 · Answer

On va prendre les pb un par un et ne pas se disperser d'abord ZHPFix.

Comme je te l'ai dit ZHPDiag et ZHPFix sont fiables. je t'avais demandé de refaire un scan ZHPDiag et de poster le rapport via cijoint.

On va faire autrement. Il se peut que ZHPFix a été patché, ainsi que ZHPDiag.

Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\Program Files\ZHPDiag\ZHPFix.exe
- Clique sur Send File et puis reanalyze
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport

Et tu fais de même avec ce fichier: 
C:\Program Files\ZHPDiag\ZHPDiag.exe 

Smart

manvantara · Answer

Bonsoir, 
 Il me trouve un trojan " PUA.Packed.ASPack" 
 
http://www.virustotal.com/file-scan/report.html?id=01fee2f5f4dcabb938184ab4273b568be7cd26312185d6b0dd739c573193b29b-1299367090

 http://www.virustotal.com/file-scan/report.html?id=861eba085b2610582ff72fe526a157da94061c65574736da6a655529345409ae-1299367328

Smart91 · Answer

Comme je je te l'ai déjà prnos les pb un par un.
Tu vas désinstaller ZhPDiag et le réinstaller et refaire un scan.
Je te redonne la procédure:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

Problème avec un Virus

44 réponses

Discussions similaires