Ordi infecté : Spyware, malware ou virus ?Résolu/Fermé

Question

Bonjour, 

Je soupçonne mon ordi d'abriter un virus, au mieux un spyware/malware.

J'ai ESET nod 32 version pro, et j'utilise régulièrement Spybot et Malware Bytes.
D'ailleurs, celui-ci bug en cours de scan ( je n'ai réussi qu'à finir un scan en entier, qui avait trouvé quelques spyware ). Depuis mon ordi bug à mort ( et il est quasi neuf ).

J'ai essayé de le rebooter à partir d'une image système ( les 5 DVD que j'ai gravé au moment où mon ordi s'est lancé pour la 1ère fois )  mais un message s'est affiché disant qu'il ne détectait pas d'image système sur mes DVD ( qui normalement contiennent sans pbm l'image ).

Que faire ? 
Merci d'avance

Configuration: Windows 7 64 bits / Firefox 3.6.15

gen-hackman · Accepted Answer

salut desinstalle spybot il est pourri

puis option 2 de ca :

https://www.luanagames.com/index.fr.html

Rhadamanthe · Answer

Salut Gen-Hackman.
ça sent le logiciel maison RogueKiller... Est-ce que c'est fiable à 100% ? J'aime pas trop les exe. qui trainent sur le net.

gen-hackman · Answer

c'est comme tu veux c'est toi qui vois si tu veux guerir ou pas

Rhadamanthe · Answer

Ouais mais c'est zarbi qu'il n'y ait pas de retours ou d'avis sur le lien que vous proposez en téléchargement :

juju666 · Answer

Pour info:

Télécharge sur le bureau RogueKiller (par tigzy)

&#9654 Quitte tous tes programmes en cours
&#9654 Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
&#9654 Lance RogueKiller.exe.
&#9654 Lorsque demandé, tape 1  et valide
&#9654 Si le programme demande pour supprimer le proxy, tapez 2 si tu es sûr que ce n'est pas toi qui l'a mis, sinon tape 1
&#9654 Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
&#9654 Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe.

Rhadamanthe · Answer

Ok je vais essayer.

Par contre, je vois pas trop à quoi renvoie un proxy.
Comment je peux savoir si c'est moi qui l'ait installé ou pas ?

juju666 · Answer

si tu sais tu l as installé, si tu sais pas tu l'as pas installé :o)

par contre c est option 2 pas option 1 ^^

Rhadamanthe · Answer

"par contre c est option 2 pas option 1 ^^ " ===> What ? x)

juju666 · Answer

tu lance rogue killer puis quand il a fini son pré scan tu appuie sur 2 et appuie sur enter

juju666 · Answer

mdrr gen :o)

bon ben allé on va passer ton tool alors :P

DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Exécuter List_Kill'em

une fois terminée , clic sur "terminer" 

lance-le via le raccourci apparu sur ton bureau comme précité au début 

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal ,c'est une recherche supplémentaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

++

Rhadamanthe · Answer

C'est la "recherche par nom" qui prend du temps ?

MrRhadamanthe · Answer

Me revoilà ( en inscrit cette fois -_- )

Liste Kill'em :

http://www.cijoint.fr/cjlink.php?file=cj201103/cij3RYPeYX.txt

More :

http://www.cijoint.fr/cjlink.php?file=cj201103/cij6LcHibt.txt

juju666 · Answer

Kill'em va faire un malheur :D


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta réponse 

Ensuite:

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

Termine par ça:

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


 FIREWALLRAZ


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".  

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

++ :)

MrRhadamanthe · Answer

Merci !
Deux questions : 
-c'est normal qu'il faille réinstaller le logiciel à chaque fois ? Je trouve pas l'exe, le seul programme que j'ai c'est l'éxécutable donc j'ai utilisé ça.
- j'ai fait "suppression" je suppose que c'était ça. ça m'a lancé une fenêtre bleue, normal. Au final je me suis retrouvé avec juste une fenêtre "mes documents" et plus de bureau.

J'ai arrêté l'ordi parce que ça buggait.
je relance la suppression ?

MrRhadamanthe · Answer

Sinon il m'a l'air d'avoir tout de même fini le scan, je vous sors donc le doc

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.6 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Bastien (Administrateurs) 
Update on 10/03/2011 by g3n-h@ckm@n ::::: 08.40
Start at: 02:17:27 | 12/03/2011

Intel(R) Core(TM) i3 CPU       M 330  @ 2.13GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-bit) # 
Internet Explorer 8.0.7600.16385

WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 74,52 Go (8,14 Go free) [OS] | NTFS
D:\ -> Disque fixe local | 202,08 Go (91,23 Go free) [DATA] | NTFS
E:\ -> Disque CD-ROM
 
Killed : PID 2940 'Firefox.exe'
Killed : PID 1236 'explorer.exe'
Killed : PID 2280 'explorer.exe'
 

¤¤¤¤¤¤¤¤¤¤ Fichiers | Dossiers 

Mis en quarantaine : C:\Users\Bastien\Documents\cc_20110202_012119.reg   
Mis en quarantaine : C:\Users\Bastien\AppData\Local\GDIPFONTCACHEV1.DAT   
Mis en quarantaine : C:\ProgramData\FullRemove.exe   
Mis en quarantaine : C:\Program Files (x86)\Common Files\CPInstallAction.dll   
Mis en quarantaine : C:\Program Files (x86)\Common Files\MSIactionall.dll   
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

C:\Windows\System32\Drivers\etc\hosts
127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤¤¤¤

Suppression : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktop   
Suppression : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktopChanges   

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Search Page	=         	http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Centre de securite ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	=      	1 (0x1) 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio -> Start = 3   
 EapHost -> Start = 2   
 Wlansvc -> Start = 2   
 SharedAccess -> Start = 2   
 windefend -> Start = 3   
 wuauserv -> Start = 2   
 wscsvc -> Start = 2   
 
 ¤¤¤¤¤¤¤¤¤¤ Winlogon
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 AutoRestartShell	=      	1 (0x1) 
 Shell	=         	explorer.exe 
 Userinit	=         	C:\Windows\SysWow64\userinit.exe, 
 VMapplet	=         	SystemPropertiesPerformance.exe /pagefile 
 System	=         	 
 PowerdownAfterShutdown	=         	1 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

TDSS | svchost | Internet Explorer: 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600 

device: opened successfully
user: error reading MBR 

Disk trace:
error: Read  Descripteur non valide
kernel: error reading MBR 


Fin du Nettoyage :  2:17:49

 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

MrRhadamanthe · Answer

Lien pjjoint : 
https://pjjoint.malekal.com/files.php?id=537eb1f3dd1010

MrRhadamanthe · Answer

Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-12-03-2011-02-38-12.txt
Run by Bastien at 12/03/2011 02:38:12
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
FirewallRaz : Aucune valeur présente dans la clé de registre "Standard Profile"
FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"
FirewallRaz (Domain) : FPS-SpoolSvc-In-TCP-NoScope  => Valeur supprimée avec succès
FirewallRaz (Public) : FPS-SpoolSvc-In-TCP  => Valeur supprimée avec succès
FirewallRaz (Domain) : CoreNet-GP-LSASS-Out-TCP  => Valeur supprimée avec succès
FirewallRaz (Domain) : RemoteSvcAdmin-In-TCP-NoScope  => Valeur supprimée avec succès
FirewallRaz (Public) : RemoteSvcAdmin-In-TCP  => Valeur supprimée avec succès
FirewallRaz (Domain) : NetPres-In-TCP-NoScope  => Valeur supprimée avec succès
FirewallRaz (Domain) : NetPres-Out-TCP-NoScope  => Valeur supprimée avec succès
FirewallRaz (None) : NetPres-WSD-In-UDP  => Valeur supprimée avec succès
FirewallRaz (None) : NetPres-WSD-Out-UDP  => Valeur supprimée avec succès
FirewallRaz (Public) : NetPres-In-TCP  => Valeur supprimée avec succès
FirewallRaz (Public) : NetPres-Out-TCP  => Valeur supprimée avec succès
FirewallRaz (None) : {D2281951-1EF2-4E42-BB1D-D6A267C6B912}  => Valeur supprimée avec succès
FirewallRaz (Private) : {49D50F17-5B6C-4384-AE74-D8C477529704}  => Valeur supprimée avec succès
FirewallRaz (Private) : TCP Query User{0FB544EF-1344-4AF3-82F1-9646A18B4DF2}C:\users\bastien\appdata\local	emp\keygen.exe  => Valeur supprimée avec succès
FirewallRaz (Private) : UDP Query User{DB6F8F35-7A5E-4BF9-B058-A1DE43E1643D}C:\users\bastien\appdata\local	emp\keygen.exe  => Valeur supprimée avec succès


========== Récapitulatif ==========
17 : Valeur(s) du Registre


End of the scan

juju666 · Answer

C:\users\bastien\appdata\local	emp\keygen.exe >> pas bien ! à part ça tu n'utilise pas de trucs créé par le premier internaute venu ! :P

et voilà pourquoi tu te retrouve sur ccm ^^

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


 [MD5.00000000000000000000000000000000] [APT] [AutoKMS] (.Pas de propriétaire.) -- C:\Windows\AutoKMS.exe (.not file.)   
P2 - FPN: [HKLM] [@adobe.com/FlashPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\Macromed\Flash\NPSWF64_10_3_162.dll (.not file.)
O4 - HKCU\..\Run: [360desktop] Clé orpheline
O4 - HKUS\S-1-5-21-235982672-3924241134-720617381-1001-235982672-3924241134-720617381-1000\..\Run: [360desktop] Clé orpheline
O4 - Global Startup: C:\Users\Bastien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.)  -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe    => Safer Net Working®Spybot S&D
O20 - AppInit_DLLs: . (.Pas de propriétaire - Pas de description.) - C:\Windows\system32
vinitx.dll (.not file.)
O23 - Service:  (Microsoft SharePoint Workspace Audit Service) - Clé orpheline
O24 - Default MHTML Editor: Last - .(...) -  (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{4D24C5B9-279B-4160-ACA5-CA29E37EB36E}] (.Pas de propriétaire.) -- E:\_AUTORUN\Autorun.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{7B5EFE64-593D-4C10-9E26-B37340E4FFF0}] (.Pas de propriétaire.) -- E:\_AUTORUN\Autorun.exe (.not file.)
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM][64Bits] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1    
O43 - CFD: 11/03/2011 - 23:57:10 - [5146] ----D- C:\ProgramData\Spybot - Search & Destroy     
O43 - CFD: 10/03/2011 - 15:45:56 - [61557889] ----D- C:\Program Files (x86)\Spybot - Search & Destroy   
O51 - MPSK:{af907d36-e6d6-11df-96e8-806e6f6e6963}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\EAUTORUN.exe (.not file.)
O87 - FAEL: "TCP Query User{0FB544EF-1344-4AF3-82F1-9646A18B4DF2}C:\users\bastien\appdata\local	emp\keygen.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\bastien\appdata\local	emp\keygen.exe (.not file.)   
O87 - FAEL: "UDP Query User{DB6F8F35-7A5E-4BF9-B058-A1DE43E1643D}C:\users\bastien\appdata\local	emp\keygen.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\bastien\appdata\local	emp\keygen.exe (.not file.)    




&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".  

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   


Ensuite:

&#9654 télécharge Ccleaner et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l'installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur » 

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK 
&#9654 clique sur suivant 
&#9654 lis la licence et j'accepte 
&#9654 cliques sur suivant 
&#9654 là tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
&#9654 cliques sur installer 
&#9654 cliques sur fermer 
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir 
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
&#9654 &#9654 cliques sur nettoyeur 
&#9654cliques sur windows et dans la colonne avancé 
&#9654coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
&#9654 cliques sur analyse une fois l'analyse terminé 
&#9654 cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
&#9654 &#9654 cliques maintenant sur registre et puis sur rechercher les erreurs 
&#9654 laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
&#9654 il te demande de sauvegarder OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
&#9654 il supprime et fermer tu vérifies en relançant rechercher les erreurs 
&#9654 tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
&#9654 tu peux fermer Ccleaner 

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------ 

Mise à jour Windows : 

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp  

&#9654 Désinstaller les anciennes versions de Java :  

&#9654 Télécharge JavaRa.zip  

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)  

&#9654 Double-clique sur le répertoire JavaRa obtenu.  

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)  

&#9654 Clique sur Remove Older Versions.  

&#9654 Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.  

&#9654 Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.  

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )  

&#9654 Tu peux fermer l'application   

&#9654 &#9654 Met à jour Adobe : 

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/
&#9654 &#9654 Décocher le scan Macàfric

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

&#9654 &#9654 pour supprimer les outils de désinfection :

&#9654 Télécharge Delfix sur ton bureau : 

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message 
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 

------ 

Tu peux garder Malwarebytes pour un scan de temps à autres 

----- 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web 
Et celui ci, sur les logiciels gratuits à éviter 

------ 

&#9654 &#9654 Pense à marquer le fil comme résolu  

------ 

Si tu as d'autres questions, je t'écoute avec plaisir :)

@+

MrRhadamanthe · Answer

Merci !!
mais merde : 
 j'avais pré-copié le rapport ZHPfixe mais j'ai fermé mon naviguateur vu que CCleaner me le demandait. Et comme j'ai passé un coup de Delfix, apparemment ça me l'a supprimé, du coup je peux plus le copier x)
Grave ? Je refais un coup de ZHPfixe avec ta balise ? 

Sinon voilà le rapport 

# Nom d'utilisateur : Bastien - PCDEBASTIEN (Administrateur)
# Exécuté depuis : C:\Users\Bastien\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Kill'em
Supprimé : C:\Program Files (x86)\List_Kill'em
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\Users\Bastien\Downloads\RK_Quarantine
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\List'em.txt
Supprimé : C:\ZHPExportRegistry-12-03-2011-02-38-12.txt
Supprimé : C:\ZHPExportRegistry-12-03-2011-02-59-24.txt
Supprimé : C:\Users\Bastien\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Bastien\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Bastien\Desktop\Kill'em.txt
Supprimé : C:\Users\Bastien\Desktop\More.txt
Supprimé : C:\Users\Bastien\Desktop\List_Kill'em.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Bastien\Downloads\List_Killem_Install.exe
Supprimé : C:\Users\Bastien\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\Bastien\Downloads\RogueKiller.exe
Supprimé : C:\Users\Bastien\Downloads\RKreport[1].txt
Supprimé : C:\Users\Bastien\Downloads\RKreport[2].txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1705 octets] ##########

juju666 · Answer

oui c est préférable ^^ tu repassera un coup de delfix ;)

MrRhadamanthe · Answer

Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
Fichier d'export Registre : 
Run by Bastien at 12/03/2011 03:28:18
Windows 7 Home Premium Edition, 64-bit  (Build 7600)

========== Clé(s) du Registre ==========
P2 - FPN: [HKLM] [@adobe.com/FlashPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\Macromed\Flash\NPSWF64_10_3_162.dll (.not file.)  => Clé non supprimée
O23 - Service:  (Microsoft SharePoint Workspace Audit Service) - Clé orpheline  => Clé absente
O51 - MPSK:{af907d36-e6d6-11df-96e8-806e6f6e6963}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\EAUTORUN.exe (.not file.)  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [360desktop] Clé orpheline  => Valeur absente
O4 - HKUS\S-1-5-21-235982672-3924241134-720617381-1001-235982672-3924241134-720617381-1000\..\Run: [360desktop] Clé orpheline  => Valeur absente
O24 - Default MHTML Editor: Last - .(...) -  (.not file.)  => Valeur absente
TCP Query User{0FB544EF-1344-4AF3-82F1-9646A18B4DF2}C:\users\bastien\appdata\local	emp\keygen.exe  => Valeur absente
UDP Query User{DB6F8F35-7A5E-4BF9-B058-A1DE43E1643D}C:\users\bastien\appdata\local	emp\keygen.exe  => Valeur absente

========== Elément(s) de donnée du Registre ==========
O20 - AppInit_DLLs: . (.Pas de propriétaire - Pas de description.) - C:\Windows\system32
vinitx.dll (.not file.)  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\ProgramData\Spybot - Search & Destroy  => Dossier absent
C:\Program Files (x86)\Spybot - Search & Destroy  => Fichier supprimé au reboot

========== Fichier(s) ==========
c:\windows\autokms.exe (.not file.)  => Fichier absent
c:\windows\system32\macromed\flash
pswf64_10_3_162.dll  => Supprimé et mis en quarantaine
c:\users\bastien\appdataoaming\microsoft\internet explorer\quick launch\spybot - search & destroy.lnk  => Supprimé et mis en quarantaine
c:\program files (x86)\spybot - search & destroy\spybotsd.exe  => Supprimé et mis en quarantaine
c:\windows\system32
vinitx.dll  => Supprimé et mis en quarantaine
e:\_autorun\autorun.exe (.not file.)  => Fichier absent

========== Logiciel(s) ==========
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM][64Bits] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1  => Logiciel déjà supprimé

========== Tache planifiée ==========
Task : AutoKMS  => Tache absente
Task : {4D24C5B9-279B-4160-ACA5-CA29E37EB36E}  => Tache absente
Task : {7B5EFE64-593D-4C10-9E26-B37340E4FFF0}  => Tache absente


========== Récapitulatif ==========
3 : Clé(s) du Registre
5 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)
6 : Fichier(s)
1 : Logiciel(s)
3 : Tache planifiée


End of the scan

juju666 · Answer

voilà :)

je t ai supprimé spybot qui sert à rien

Rhadamanthe · Answer

Et voilà le rapport de Delfix, enfin le 2e.

# DelFix v7.5 - Rapport créé le 12/03/2011 à 03:33
# Mis à jour le 02/03/11 à 20h par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600] 
# Nom d'utilisateur : Bastien - PCDEBASTIEN (Administrateur)
# Exécuté depuis : C:\Users\Bastien\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ZHPExportRegistry-12-03-2011-03-28-21.txt
Supprimé : C:\Users\Bastien\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Bastien\Downloads\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1071 octets] ##########



C'est bon alors ? L'ordi est sain ? 

En tout cas merci beaucoup à toi ( et à Gen-Hackman ), je voulais pas paraître sceptique hein ! C'est juste que je croyais que vous ne juriez que par Hijack this ! ça m'a étonné ce nouveau logiciel.

Merci encore.

Une autre question :

- Comment ça se fait qu'en essayant de restaurer mon PC par une image système ( gravée sur 5 DVD R ), ça ne marche pas ?
J'avais voulu testé ça à partir des options avancées dans l'onglet restauration du panneau de config. ça m'a fait redémarrer l'ordi, et quand il m'a dit que je pouvais insérer un DVD, il m'a dit juste après qu'il ne trouvait rien dessus. Je précise que je me suis pas trompé avec le rebootage par CD de réinstallation. j'avais bien choisi image système.
Et les 5 dvd avaient l'air d'être bien installés. Ils ne sont pas vierges, il y a bien l'image dessus en plus quand je vais dans le lecteur DVD. 
Une idée Juju ?

juju666 · Answer

HijackThis ça fait 2 ans qu'on l'utilise plus ^_^
Y'a eu RSIT (qui l'utilisais) mais qui donnait plus d'infos, puis sont apparus ZHPDiag et OTL

Houlaaa pour ta restauration ça ?? T'as bien dans le bios en first boot ton lecteur dvd ?

Rhadamanthe · Answer

J'en sais rien, comment je peux faire pour le savoir ? x)

juju666 · Answer

https://www.programmez.com/tutoriels.php?titre=Installer-XP-apres-Vista-en-dual-boot&tutoriel=80

point 25 directement

Rhadamanthe · Answer

Ok merci. Je verrai si ça marche.

Topic résolu, merci d'avoir pris du temps pour m'aider.

Vive toi, vive CCM.

juju666 · Answer

mdr :o)

@+ bonne nuit

Ordi infecté : Spyware, malware ou virus ?

28 réponses

Discussions similaires

Newsletters