Xp home security

olivier -  
 olivier -
Bonjour,

je me suis fait infecter par xp home security 2011
j'ai réussi a m'en débarasser grace aux conseils du forum ( rogue killer, malawarebytes)
mais j'aurais besoin de votre aide car mon systeme ralentit et je ne m'en sors pas avec tous les outils décrits de nettoyage en profondeur

merci

olivier

46 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection de type XP Home Security 2011 provoque ralentissements et nécessite un nettoyage en profondeur sous Windows XP, après des tentatives avec RogueKiller et Malwarebytes. Parmi les éléments clés, ZHPDiag avec ZHPFix et l’analyse via ESET Online Scanner permettent d’identifier les éléments indésirables, tandis que RogueKiller fournit un rapport détaillé des anomalies détectées. Des mesures complémentaires évoquées incluent la vérification et la restauration du fichier hosts ainsi que la suppression des paramètres proxy dans les navigateurs, afin de prévenir les redirections et les tentatives de reinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonjour

    On va faire une analyse de ton systéme.
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou le lien FTP en secours :
    ftp://zebulon.fr/ZHPDiag2.exe

    * Télécharge ZHPDiag ( de Nicolas coolman ).
    ou
    ZHPDiag

    ***********************
    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
    * Laisse toi guider lors de l'installation
    * Il se lancera automatiquement à la fin de l'installation
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur le site cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    0
  2. olivier
     
    Merci
    voici le rapport

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijS3OfZTr.txt
    0
  3. olivier
     
    quelqu'un a t il pu lire et analyser le rapport de ZHPdiag?

    merci
    0
  4. Utilisateur anonyme
     
    * Télécharge et installe : Malwarebyte's Anti-Malware
    * (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
    * Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin du scan, clique sur Afficher les résultats
    * Coche tous les éléments détectés puis clique sur Supprimer la sélection
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer, clique sur Yes
    * Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
    * Si tu as besoin d'aide regarde ce tutorial
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. olivier
     
    bonsoir
    MalawareBytes refuse d'aller jusqu'au bout de l'analyse complète, il buggue au milieu...
    je vais faire un examen rapide et poster le rapport
    Par ailleurs j'ai des fenetres WORD qui font des pop up alors que je n'ai rien demandé, cela fait il partie de l'infection??
    0
  7. olivier
     
    bonsoir

    voici le rapport de l'examen rapide

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6183

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    27/03/2011 22:18:07
    mbam-log-2011-03-27 (22-18-07).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 153450
    Temps écoulé: 14 minute(s), 0 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  8. Utilisateur anonyme
     
    Tu connais ce programme: C:\Program Files\ujpmahuj
    Si ta réponse est non vires le..

    1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
    2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    3/Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

    ----------------------------------------------------------
    O1 - Hosts: 17.250.248.77 idisk0.mac.com idisk1.mac.com idisk2.mac.com idisk3.mac.com idisk4.mac.com idisk5.mac.com idisk6.mac.com idisk7.mac.com idisk8.mac.com idisk9.mac.com idisk10.mac.com idisk11.mac.com idisk12.mac.com idisk13.mac.com idisk14.mac.com
    [HKCU\Software\TBSB09293]
    O43 - CFD: 17/05/2008 - 15:30:24 - [0] ----D- C:\Program Files\DosPop
    O64 - Services: CurCS - C:\WINDOWS\system32\svchost.exe - Service client pour NetWare (NWCWorkstation) .(.Microsoft Corporation - Generic Host Process for Win32 Services.) - LEGACY_NWCWORKSTATION
    [HKCR\nctaudiofile2.audiofile2]
    [HKCR\nctaudiofile2.audiofile2.2]
    [HKCR\nctaudiofile2.audiofile2lameenc]
    [HKCR\nctaudiofile2.audiofile2lameenc.1]
    O4 - HKLM\..\Run: [NWEReboot] Clé orpheline
    O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline
    O41 - Driver: (InCDPass) . (. - .) - C:\Windows\System32\drivers\InCDPass.sys (.not file.)
    O41 - Driver: (InCDRm) . (. - .) - C:\Windows\System32\drivers\InCDRm.sys (.not file.)
    O51 - MPSK:{dd064997-23bb-11df-b5ae-0013d386838a}\AutoRun\command - Clé orpheline
    O51 - MPSK:{e4e21cdf-d6d6-11de-b95a-0013d386838a}\AutoRun\command - Clé orpheline
    O67 - Shell Spawning: <.exe> <exefile>[HKCU\..\open\Command] "%1" %* (.not file.)
    O68 - StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer>[HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Administrateur\Local Settings\Application Data\han.exe (.not file.)
    [HKCU\Software\FLVPlayer4FreeToolbar]
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\ujpmahuj\dpeykhba.exe,
    O42 - Logiciel: Adobe Reader 8.1.2 - Français - (.Adobe Systems Incorporated.) [HKLM] -- {AC76BA86-7AD7-1036-7B44-A81200000003}
    O42 - Logiciel: Adobe Reader 8.1.2 Security Update 1 (KB403742) - (.Pas de propriétaire.) [HKLM] -- {AC76BA86-7AD7-1036-7B44-A81200000003}_Adobe Reader 8.1.2 - Français
    O42 - Logiciel: Java 6 Update 16 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216016FF}
    O42 - Logiciel: Java 6 Update 3 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160030}
    O42 - Logiciel: Java 6 Update 5 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160050}
    O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1
    O43 - CFD: 07/05/2010 - 18:18:38 - [66295145] ----D- C:\Program Files\Spybot - Search & Destroy
    EmptyTemp

    ----------------------------------------------------------
    * Clique sur"ok" (Tu dois avoir seulement les lignes copiées sur le forum)
    * Clique sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse

    =========================================================

    Télécharger Eset Nod32 :
    http://download.eset.com/special/eos/esetsmartinstaller_fra.exe
    * Lancer le fichier
    * Accepter les conditions
    * Autoriser le programme à accéder à Internet
    * Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)
    * Téléchargement des signatures

    Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte !

    * Le scan débute dés la fin du téléchargement
    * Générer le rapport
    * Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte...

    Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum.
    Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt

    Pour vous aider voici un tuto rédigé par dorgane :
    https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

    0
  9. olivier
     
    quand j'essaye de virer le fichier C:\Program Files\ujpmahuj
    reponse: impossible car le répertoire n'est pas vide

    mon firefox et IE refuse d'ouvrir ESET nod 32
    0
  10. olivier
     
    et je n'arrive pas a telecharger ZHPFIX,
    ca fait partie de l'infection??
    0
  11. Utilisateur anonyme
     
    quand j'essaye de virer le fichier C:\Program Files\ujpmahuj
    reponse: impossible car le répertoire n'est pas vide


    On feras différement.

    je n'arrive pas a telecharger ZHPFIX

    Zhpfix est deja sur ton bureau.Regardes bien.

    ca fait partie de l'infection??

    Certainement.

    Relances Roguekiller
    * Quitter tous les programmes en cours
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Sinon lancer simplement RogueKiller.exe
    * Lorsque demandé, taper 1 et valider
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
    0
  12. olivier
     
    bonjour
    voici le rapport roguekiller option 1

    RogueKiller V4.3.4 par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Recherche -- Date : 28/03/2011 18:16:15

    Processus malicieux: 0

    Entrees de registre: 0

    Fichier HOSTS:
    127.0.0.1 localhost
    17.250.248.77 idisk0.mac.com idisk1.mac.com idisk2.mac.com idisk3.mac.com idisk4.mac.com idisk5.mac.com idisk6.mac.com idisk7.mac.com idisk8.mac.com idisk9.mac.com idisk10.mac.com idisk11.mac.com idisk12.mac.com idisk13.mac.com idisk14.mac.com idisk15.mac.com idisk16.mac.com idisk17.mac.com idisk18.mac.com idisk19.mac.com idisk20.mac.com idisk21.mac.com idisk22.mac.com idisk23.mac.com idisk24.mac.com idisk25.mac.com

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  13. olivier
     
    j'ai telechargé sur un autre ordinateur ESETnod 32 et ZHPfix

    dois je faire la manip décrite plus haut?

    merci
    0
  14. Utilisateur anonyme
     
    * Quitter tous les programmes en cours
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * lancer RogueKiller.exe
    * Lorsque demandé, taper 3 et valider
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

    Ensuite fais; https://forums.commentcamarche.net/forum/affich-21404980-xp-home-security#7
    0
  15. olivier
     
    voila le rapport Roguekiller option 3

    je lance ZHPFix
    0
  16. olivier
     
    RogueKiller V4.3.4 par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Administrateur [Droits d'admin]
    Mode: HOSTS RAZ -- Date : 28/03/2011 19:22:59

    Processus malicieux: 0

    Fichier HOSTS:
    127.0.0.1 localhost
    17.250.248.77 idisk0.mac.com idisk1.mac.com idisk2.mac.com idisk3.mac.com idisk4.mac.com idisk5.mac.com idisk6.mac.com idisk7.mac.com idisk8.mac.com idisk9.mac.com idisk10.mac.com idisk11.mac.com idisk12.mac.com idisk13.mac.com idisk14.mac.com idisk15.mac.com idisk16.mac.com idisk17.mac.com idisk18.mac.com idisk19.mac.com idisk20.mac.com idisk21.mac.com idisk22.mac.com idisk23.mac.com idisk24.mac.com idisk25.mac.com

    Nouveau fichier HOSTS:
    127.0.0.1 localhost

    Termine : << RKreport[4].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
    0
  17. olivier
     
    bonsoir
    voici le rapport ZHPFix

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijKxC6qgq.txt
    0
  18. Utilisateur anonyme
     
    Tres bien.

    Ton pc doit etre beaucoup plus rapide??

    Fait Eset Nod32 et post le rapport
    0
  19. olivier
     
    effectivement il est plus rapide
    je lance eset nod 32 et je te tiens au jus

    merci
    0
  20. olivier
     
    j'ai lancé ESETnod 32 puis j'ai interrompu pour redémarrer car ZHPfix me l'avait demandé
    il ne marche plus, il dit que les parametres proxy ne permettent pas la mise a jour...
    Bizarre
    0
  21. olivier
     
    j'ai encore redémarré
    pour avoir internet je suis obligé de faire "réparer la connexion"
    et ESETNod 32 ne peut se mettre a jour a cause des parametres proxy
    0
  • 1
  • 2
  • 3