Rootkit MBR:\\.\PHYSICALDRIVE0

Résolu
vo83 Messages postés 37 Statut Membre -  
vo83 Messages postés 37 Statut Membre -
Bonjour,

depuis plusieurs jours avast ne fait que m'avertir de menaces percistentes.
en lancant l'analyse, il me trouve une menace Rootkit MBR:\\.\PHYSICALDRIVE0

je ne sais vraimentpas quoi faire je ne peux pas le supprimer ni le mettre en quarantaine...

Quelqu'un pourrait-il m'aider???

merci d'avance.

31 réponses

  • 1
  • 2
Résumé de la discussion

Une alerte Avast signale une menace persistante de type rootkit MBR sur le lecteur physique 0 (\\.\PHYSICALDRIVE0), et la suppression ou la mise en quarantaine semble impossible. Plusieurs réponses recommandent des outils et des procédures de diagnostic et de nettoyage, comme Delfix pour supprimer des utilitaires, Malwarebytes pour une analyse et ZHPDiag pour un diagnostic plus approfondi. D'autres indiquent des outils complémentaires tels qu'Ad-Remover et les rapports détaillés, tandis que des tutoriels préconisent l'hébergement temporaire des rapports pour partage et analyse ultérieure. En complément, il peut être utile de croiser les résultats des outils et de vérifier la santé générale du système, car chaque solution peut détecter des éléments différents.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Master Flex Messages postés 450 Statut Membre 36
     
    Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.

    * Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")

    * Clique sur [Start Scan] pour démarrer l'analyse.

    * Si des éléments sont trouvés, clique sur "Continue" puis sur "Reboot Now"

    * Un rapport s'ouvrira au redémarrage de l'ordinateur.

    *Héberge le rapport sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    Note : Le rapport se trouve également sous C:\TDSSKiller.
    N°de version_Date_Heure_log.txt
    0
  2. vo83 Messages postés 37 Statut Membre
     
    voici les rapports :

    http://www.cijoint.fr/cjlink.php?file=cj201104/cij1pyBuFK.txt
    http://www.cijoint.fr/cjlink.php?file=cj201104/cijj2GoUa3.txt
    http://www.cijoint.fr/cjlink.php?file=cj201104/cij7JRfEY4.txt
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut pour avancer master flex :-)

    Nous allons effectuer un diagnostic de ton PC:
    Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    ou :
    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    ▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    ▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    ▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    ▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
    http://pjjoint.malekal.com/

    Si indispo:
    http://www.cijoint.fr/
    ou :
    http://ww38.toofiles.com/fr/documents-upload.html
    ou :
    https://www.cjoint.com/
    ou :
    https://www.casimages.com/

    ▶ Tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Hébergement de rapport sur pjjoint.malekal.com

    ▶ Rends toi sur pjjoint.malekal.com
    ▶ Clique sur le bouton Parcourir
    ▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
    ▶ Clique sur le bouton Envoyer
    ▶ Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.


    .::. Contributeur Sécurité .::.
    /!\ Absent du mardi 5 au vendredi 8 avril INCLUS /!\
    0
    1. Master Flex Messages postés 450 Statut Membre 36
       
      merci en faite c kil ya eu une coupure de courant encore et encore c'est pour ça
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      lol ça arrive :o)
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Master Flex Messages postés 450 Statut Membre 36
     
    ok merci alors voici la marche à suivre :)

    * Télécharge Ad-Remover (de Cyrildu17 / C_XX) sur ton Bureau.

    /!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\

    * Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files). .

    * (Sous Vista ou Seven, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur) .

    * Double-clique sur le raccourci d'Ad-Remover. situé sur ton Bureau.

    * Au menu principal, choisis l'option Nettoyer.

    * Poste le rapport généré (C:\Ad-Report-Scan-(date).log).

    * (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    0
  6. vo83 Messages postés 37 Statut Membre
     
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 01/03/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 17:30:08 le 03/04/2011, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    vo@VIRGINIE ( )

    ============== ACTION(S) ==============

    (!) -- Fichiers temporaires supprimés.

    ============== SCAN ADDITIONNEL ==============

    **** Internet Explorer Version [7.0.5730.13] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 16 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 03/04/2011 17:10:27 (3035 Octet(s))
    C:\Ad-Report-CLEAN[2].txt - 03/04/2011 17:30:22 (1236 Octet(s))

    Fin à: 17:31:40, 03/04/2011

    ============== E.O.F ==============
    0
    1. Master Flex Messages postés 450 Statut Membre 36
       
      J'aimerais avoir ce rapport stp
      C:\Ad-Report-CLEAN[1].txt - 03/04/2011 17:10:27 (3035 Octet(s))
      0
    2. Master Flex Messages postés 450 Statut Membre 36
       
      Et refais un zhp diag stp et poste le rapport
      0
  7. vo83 Messages postés 37 Statut Membre
     
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 01/03/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:10:15 le 03/04/2011, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    vo@VIRGINIE ( )

    ============== ACTION(S) ==============

    Dossier supprimé: C:\Documents and Settings\vo\Application Data\OfferBox
    Dossier supprimé: C:\Program Files\OfferBox

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
    Clé supprimée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
    Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
    Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
    Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
    Clé supprimée: HKLM\Software\OfferBox
    Clé supprimée: HKCU\Software\OfferBox
    Clé supprimée: HKCU\Software\Spointer
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox
    Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

    Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com

    ============== SCAN ADDITIONNEL ==============

    **** Internet Explorer Version [7.0.5730.13] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 16 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 03/04/2011 17:10:27 (593 Octet(s))

    Fin à: 17:11:44, 03/04/2011

    ============== E.O.F ==============
    0
    1. Master Flex Messages postés 450 Statut Membre 36
       
      ok merci refais un zhp diag et poste moi le rapport stp
      0
  8. vo83 Messages postés 37 Statut Membre
     
    http://www.cijoint.fr/cjlink.php?file=cj201104/cij8gMAMA1.txt
    0
  9. vo83 Messages postés 37 Statut Membre
     
    http://www.cijoint.fr/cjlink.php?file=cj201104/cijF73NGQd.txt
    0
  10. Master Flex Messages postés 450 Statut Membre 36
     
    Désolé pour le temps alors on touche à la fin il te reste des petites choses à enlever

    Attention ce script est fait uniquement pour cette désinfection et ne doit être utilisé que sous le contrôle d'une personne habilitée...


    *Lance ZHPFix depuis le raccourci du bureau représenté par une Icône verte .

    Si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> Exécuter en temps qu'administrateur).

    Si tu ne le trouve pas sur le bureau, relance un scan avec ZHPDiag sans l'héberger et tu dois voir l'écusson vert après cette analyse, clique dessus.

    Si aucune de ces deux options n'est faisable télécharge le sur ce site

    * Sélectionne puis fais un Clic droit et Copie les lignes en gras ci dessous : (Ctrl C pour Copier et Ctrl V pour coller)

    (Il est très important de sélectionner toutes ces lignes en partant de la 1ère lettre jusqu'à la dernière lettre.)

    ---------------------------------------------------

    O4 - HKLM\..\Run: [MSPY2002] . (...) -- C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe

    O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

    O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

    O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

    O4 - HKUS\S-1-5-21-381150471-3958095517-3942531886-1006\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

    O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1

    HKLM\Software\BrowserChoice]

    [HKLM\Software\CrazyLoader]

    O43 - CFD: 02/04/2011 - 22:27:06 - [65053991] ----D- C:\Program Files\Spybot - Search & Destroy

    O43 - CFD: 12/08/2010 - 20:52:10 - [5397] ----D- C:\Documents and Settings\vo\Application Data\CrazyLoader

    O43 - CFD: 12/08/2010 - 20:57:22 - [129880] ----D- C:\Documents and Settings\vo\Local Settings\Application Data\crazyloader Air

    O47 - AAKE:Key Export SP - "C:\Program Files\CrazyLoader\crazyloader.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\CrazyLoader\crazyloader.exe (.not file.)

    O64 - Services: CurCS - (.not file.) - AMService (AMService) .(...) - LEGACY_AMSERVICE

    O64 - Services: CurCS - (.not file.) - d22d4950 (d22d4950) .(...) - LEGACY_D22D4950

    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe

    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe


    ---------------------------------------------------

    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

    * Les lignes se collent automatiquement dans ZHPFix., sinon colle les lignes.

    * Clique sur le bouton « GO » pour lancer le nettoyage.

    * Copie/colle la totalité du rapport dans ta prochaine réponse.

    Une fois terminée envoi moi le rapport de Zhp Fix, puis fais un nouveau scan de ZHP Diag et envoi moi un rapport stp.

    N'oublie pas d'héberger le rapport ;)
    0
    1. vo83 Messages postés 37 Statut Membre
       
      une fois cliqué sur GO une page : uninstall s'ouvre
      "please help us improve our product by telling us why you chose to uninstall our product. Your feedback is completely anonymous and will bekept strictly confidential. ....
      0
    2. vo83 Messages postés 37 Statut Membre
       
      je clique sur "cancel" / "just uninstall" / "submit & uninstall"
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      salut

      just uninstall

      A+
      0
    4. vo83 Messages postés 37 Statut Membre
       
      merci
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      de rien :-)

      salut master flex ^^
      0
  11. vo83 Messages postés 37 Statut Membre
     
    Rapport de ZHPFix 1.12.3269 par Nicolas Coolman, Update du 30/03/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-04-04-2011-22-43-15.txt
    Run by vo at 04/04/2011 22:43:15
    Windows XP Home Edition Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    HKLM\Software\CrazyLoader => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - AMService (AMService) .(...) - LEGACY_AMSERVICE => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - d22d4950 (d22d4950) .(...) - LEGACY_D22D4950 => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O4 - HKLM\..\Run: [MSPY2002] . (...) -- C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe => Valeur supprimée avec succès
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe => Valeur absente
    O4 - HKUS\S-1-5-21-381150471-3958095517-3942531886-1006\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\Program Files\CrazyLoader\crazyloader.exe" [Enabled] .(.) -- C:\Program Files\CrazyLoader\crazyloader.exe (.not file.) => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

    ========== Dossier(s) ==========
    C:\Program Files\Spybot - Search & Destroy => Fichier supprimé au reboot
    C:\Documents and Settings\vo\Application Data\CrazyLoader => Supprimé et mis en quarantaine
    C:\Documents and Settings\vo\Local Settings\Application Data\crazyloader Air => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\windows\system32\ime\pintlgnt\imscinst.exe => Supprimé et mis en quarantaine
    c:\windows\system32\ime\tintlgnt\tintsetp.exe => Supprimé et mis en quarantaine
    c:\program files\spybot - search & destroy\teatimer.exe () => Fichier non supprimé
    c:\program files\crazyloader\crazyloader.exe => Fichier absent

    ========== Logiciel(s) ==========
    O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 => Logiciel supprimé avec succès

    ========== Autre ==========
    HKLM\Software\BrowserChoice] => Format Non supporté

    ========== Récapitulatif ==========
    3 : Clé(s) du Registre
    8 : Valeur(s) du Registre
    3 : Dossier(s)
    4 : Fichier(s)
    1 : Logiciel(s)
    1 : Autre

    End of the scan
    0
  12. vo83 Messages postés 37 Statut Membre
     
    voila le rapport de ZHPDiag :

    http://www.cijoint.fr/cjlink.php?file=cj201104/cijxPLqNnS.txt
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Master Flex te donnera la suite c était juste pour pas que tu attende inutilement :-)

      Bonne nuit ;-)
      0
    2. vo83 Messages postés 37 Statut Membre
       
      oki je verrais la suite demain alors.
      merci

      bonne nuit !
      0
  13. Master Flex Messages postés 450 Statut Membre 36
     
    Très bien merci juju :), merci de m'avoir avancé ;)

    voici le bout du tunnel il reste juste quelques traces, relance ZHP Fix

    Si tu ne le trouve pas sur le bureau, relance un scan avec ZHPDiag sans l'héberger et tu dois voir l'écusson vert après cette analyse, clique dessus.

    * Sélectionne puis fais un Clic droit et Copie les lignes en gras ci dessous : (Ctrl C pour Copier et Ctrl V pour coller)

    (Il est très important de sélectionner toutes ces lignes en partant de la 1ère lettre jusqu'à la dernière lettre.)

    ---------------------------------------------------

    O64 - Services: CurCS - (.not file.) - AMService (AMService) .(...) - LEGACY_AMSERVICE

    O64 - Services: CurCS - (.not file.) - d22d4950 (d22d4950) .(...) - LEGACY_D22D4950

    [HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zonemap\Domains\getmirar.com]

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zonemap\Domains\mirarsearch.com]

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\net-nucleus.com]

    ---------------------------------------------------

    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

    * Les lignes se collent automatiquement dans ZHPFix., sinon colle les lignes.

    * Clique sur le bouton « GO » pour lancer le nettoyage.

    * Copie/colle la totalité du rapport dans ta prochaine réponse.

    Une fois terminée envoi moi le rapport de Zhp Fix, puis fais un nouveau scan de ZHP Diag et envoi moi un rapport stp.

    N'oublie pas d'héberger le rapport ;)
    0
  14. vo83 Messages postés 37 Statut Membre
     
    Rapport de ZHPFix 1.12.3269 par Nicolas Coolman, Update du 30/03/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-05-04-2011-18-45-15.txt
    Run by vo at 05/04/2011 18:45:15
    Windows XP Home Edition Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    O64 - Services: CurCS - (.not file.) - AMService (AMService) .(...) - LEGACY_AMSERVICE => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - d22d4950 (d22d4950) .(...) - LEGACY_D22D4950 => Clé supprimée avec succès
    HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé supprimée avec succès
    HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zonemap\Domains\getmirar.com => Clé supprimée avec succès
    HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zonemap\Domains\mirarsearch.com => Clé supprimée avec succès
    HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\net-nucleus.com => Clé supprimée avec succès

    ========== Récapitulatif ==========
    6 : Clé(s) du Registre

    End of the scan
    0
  15. vo83 Messages postés 37 Statut Membre
     
    http://www.cijoint.fr/cjlink.php?file=cj201104/cijswIUMse.txt
    0
    1. vo83 Messages postés 37 Statut Membre
       
      pourquoi je n'ai plus de réponse depuis mercredi....????
      0
    2. Utilisateur anonyme
       
      Bonsoir

      Je prends la main suite à la demande de Master Flex

      Poste moi un nouveau ZHPDiag ,merci

      @+
      0
  16. vo83 Messages postés 37 Statut Membre
     
    http://www.cijoint.fr/cjlink.php?file=cj201104/cijKAZKsSL.txt
    0
  17. Utilisateur anonyme
     
    Bonjour

    Télécharge Malwaresbytes anti malware ici
    http://www.malwarebytes.org/mbam.php

    Bouton »Download free version »

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

    Fais un examen dit "Complet"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

    @+
    0
  18. vo83 Messages postés 37 Statut Membre
     
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6318

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    09/04/2011 14:52:14
    mbam-log-2011-04-09 (14-52-14).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 200033
    Temps écoulé: 39 minute(s), 24 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  • 1
  • 2