Help virus

Résolu/Fermé
samsam - 11 avril 2011 à 09:12
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 10 mai 2011 à 11:26
Bonjour,



Un virus me bloque toutes mes apllications, j'ai tout de meme reussi à farze un hijackthis en mode sans echec, là, je suis sur un autre ordi car je ne peux meme pas acceder à internet, merci de votre aide

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:12:03, on 11/04/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\2\AlertModule.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Documents and Settings\admin\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Program Files\Turtle Beach Catalina\EnMixCPL.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [WTLXPan] WTLXPan.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [nLp06511nJgNa06511] C:\Documents and Settings\All Users.WINDOWS\Application Data\nLp06511nJgNa06511\nLp06511nJgNa06511.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_1_0_4.cab
O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
A voir également:

60 réponses

voici le rapport zhpdiag

http://www.cijoint.fr/cjlink.php?file=cj201104/cijBB991W3.txt


puis celui de roquekiller qui m'a créé un dossier RK_Quarantine sur le bureau :



RogueKiller V4.3.8 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: admin [Droits d'admin]
Mode: Recherche -- Date : 16/04/2011 10:51:35

Processus malicieux: 0

Entrees de registre: 3
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND

Fichier HOSTS:


Termine : << RKreport[1].txt >>
RKreport[1].txt
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
Modifié par flo-91 le 16/04/2011 à 12:06
Pourquoi tu ne me donne pas le rapport de ZHPFIX ?
Il faut fixer les lignes comme indiquer plus haut avec ZHPFIX.
Relance ensuite roguekiller option 2.
0
ok
0
le rapport zhpfix aprés le passage roquekiller



http://www.cijoint.fr/cjlink.php?file=cj201104/cijlarUxeN.txt

et le rapport RK aprés l'option 2:

RogueKiller V4.3.8 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: admin [Droits d'admin]
Mode: Suppression -- Date : 16/04/2011 12:15:51

Processus malicieux: 0

Entrees de registre: 3
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\admin\Local Settings\Application Data\Microsoft\Wallpaper1.bmp)

Fichier HOSTS:


Termine : << RKreport[1].txt >>
RKreport[1].txt
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
Modifié par flo-91 le 16/04/2011 à 12:28
Tu ne m'as toujours pas donné de rapport ZHPFIX ( un rapport qui montre la suppression ).
Tu ne me donne que des ZHPDIAG.
Le rapport de ZHPFIX se trouve ici C:\ZHPFIX

Sinon le pc sava comment ?
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 12:30
normalement les ZHPFix sont sur le bureau sous le nom ZHPFixReport.txt
ou alors là : C:\Program Files\ZHPDiag\ZHPFixReport.txt
0
excuses moi, le voici le rappot zhpfix ...

pour l'ordi, rn mode normal, je n'ai que mon fond d'écran et rien d'autre ...



Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre :
Run by admin at 16/04/2011 10:47:43
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [Xrihijo] . (.madshi.net - madVR settings helper dll.) -- C:\WINDOWS\stratc.dll => Valeur supprimée avec succès
O4 - HKCU\..\Run: [XjFfFSETuJNIM] . (.BitSprx - Bit Library.) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\XjFfFSETuJNIM.exe => Valeur supprimée avec succès
O4 - HKCU\..\RunOnce: [pIe28247hDkIi28247] . (...) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\pIe28247hDkIi28247\pIe28247hDkIi28247.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-57989841-115176313-1177238915-1004\..\Run: [Xrihijo] . (.madshi.net - madVR settings helper dll.) -- C:\WINDOWS\stratc.dll => Valeur absente
O4 - HKUS\S-1-5-21-57989841-115176313-1177238915-1004\..\Run: [XjFfFSETuJNIM] . (.BitSprx - Bit Library.) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\XjFfFSETuJNIM.exe => Valeur absente
O4 - HKUS\S-1-5-21-57989841-115176313-1177238915-1004\..\RunOnce: [pIe28247hDkIi28247] . (...) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\pIe28247hDkIi28247\pIe28247hDkIi28247.exe => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

========== Elément(s) de donnée du Registre ==========
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified => Donnée supprimée avec succès

========== Fichier(s) ==========
c:\windows\stratc.dll => Supprimé et mis en quarantaine
c:\documents and settings\all users.windows\application data\xjfffsetujnim.exe => Supprimé et mis en quarantaine
c:\documents and settings\all users.windows\application data\pie28247hdkii28247\pie28247hdkii28247.exe => Supprimé et mis en quarantaine


========== Récapitulatif ==========
8 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
3 : Fichier(s)


End of the scan
0
que dois je faire ... j'ai essayé de démarrer en mode normal j'ai un écran vide à part les logiciesl que j'ai chargés, je peux toutefois me connecter via FF mais dans l'onglet démarer/tous les programmes, il n'y a que windows recovery et son racourci rien d'autre .

Il est resté 2mn et a rebooté, je l'ai reconnecté, ça a l'air de tenir ...

pour info mon antii virus m'annonce :

Guard automn bloqué : l'accés au fichier C:\automn.inf a été bloqué


voilà ou j'en suis pour info
0
pour info, ma carte son remarche, j'ai fait un test en lançant une vidéo de yahoo ça lit avec du son ... je n'y comprend rien ... toujours pour info, il n'y a plus acun document dans "mes documents", " ma musique" ; "mes images"
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
donc, et si ça aide contre windows recovery, parcqu'entre temps, il est revenu encore ... là, je crois qu'il a son compte pour de bon mais, méfiance ...


roguekiller ( version 4.3.4 )
2: suppression

puis malewarebytes ( updaté)
examen complet + suppression ( il y en a pour un moment )

re-roguekiller
6 raccourcis RAZ

si vous passez du mode sans échec en mode normal et que l'écran est toujours vide, redémarrez l'ordi ...


chez moi, ça marche, la carte son fonctionne et j'ai mes dossiers, enfin pour le moment, je reviendrais pleurer ici si ça redeconne et je laisse le post ouvert quelques jours avant de le déclarer résolu .je ne fais pas le malin parce qu'il est revenu une fois deja et j'ai toujours le racourcis sur le bureau .

merci à flo-91 pour son aide et à gen_hackman ;)


si je dois faire autre chose, genre refaire un point de restauration ou divers nettoyages, merci de me l'indiquer ;)
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
16 avril 2011 à 20:04
Ok, malwarebytes a trouvé des fichiers infecté ?
Si oui, poste le rapport.

Fait ceci aussi :


Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur "parcourir" et copie colle ceci pour aller chercher le fichier demandé :

C:\WINDOWS\Explorer.exe
0
voilà le rapport :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6374

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16/04/2011 18:57:15
mbam-log-2011-04-16 (18-57-15).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 528993
Temps écoulé: 1 heure(s), 50 minute(s), 14 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\admin\application data\Sun\Java\deployment\cache\6.0\29\1548335d-1849cf33 (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\documents and settings\admin\application data\Sun\Java\deployment\cache\6.0\36\269bfa4-7b41a7c5 (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.
c:\documents and settings\admin\local settings\temp\d5wdd434.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\documents and settings\all users.windows\application data\19455796.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\program files\ZHPDiag\quarantine\pie28247hdkii28247.exe.vir (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.
c:\program files\ZHPDiag\quarantine\stratc.dll.vir (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\program files\ZHPDiag\quarantine\xjfffsetujnim.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d9071eec-4aec-4817-849e-4f9f273cdf4c}\RP4\A0000615.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d9071eec-4aec-4817-849e-4f9f273cdf4c}\RP4\A0000616.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d9071eec-4aec-4817-849e-4f9f273cdf4c}\RP4\A0000617.exe (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.
c:\documents and settings\admin\application data\Adobe\plugs\mmc26.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\admin\application data\Adobe\plugs\mmc79.exe (Trojan.Agent) -> Quarantined and deleted successfully.
0
lorsque j'allume l'ordi, je n'ai que mon fond d'écran rien d'autre, je suis obligé de redémarrer à partir du mode sans échec et là tout s'installe normalement, ce qui veut dire qu'il en reste .. :(
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
17 avril 2011 à 17:29
Tu ne m''as pas fait virus total comme indiqué plus haut
0
si, je l'ai fait mais je ne comprend pas la manip ...
0
sinon en resultat c'est là :

http://www.virustotal.com/...
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
Modifié par flo-91 le 18/04/2011 à 09:58
Ton lien n'est pas complet.
Il faut de rendre sur la page du site, cliquer sur "parcourir" et pour aller chercher le fichier "explorer.exe" à analyser tu tape

C:\WINDOWS\Explorer.exe


Ensuite, tu cliques sur "send file" et si on te dit que le fichier a déja été analysé, tu le réanalyse a partir de ton pc en cliquant sur "reanalyse".

A la fin il faut que tu montre quelque chose de ce type :

http://www.virustotal.com/file-scan/report.html?id=37cad9b096de4ab38004260ae0fd1dde2b9a2b536a0810645a4992b1b1001175-1303113302
0
je l'ai fait plusieurs fois, le lien n'est pas complet lorsque je le post ;

tu trouvera le lien là, je n'ai pas trop le choix :

http://www.cijoint.fr/cjlink.php?file=cj201104/cijWlp3wyy.txt
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
18 avril 2011 à 18:18
OK,

Merci à Xplode d'etre passé ;)

Samsam : Poste un nouveau rapport ZHPDIAG, j'aimerai vérifier quelque chose.
0
j'ai l'impression que ça bloque avec cijpont.fr , j'en ai essayé plusieurs avant que ça marche avec celui-ci donc, voici le rapport :

http://www.filefactory.com/file/cbc9726/n/ZHPDiag.txt
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
19 avril 2011 à 11:00
Ok, je veux être sur que tu seras tranquille après alors fait ceci :


> Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau :

https://support.kaspersky.com/downloads/utils/tdsskiller.exe

> Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit
dessus, et sur exécuter en tant qu'administrateur)
>Clique sur Start Scan
> Si l'outil a trouvé des éléments, choisi Cure,
puis sur Reboot Now
> Le PC va redémarrer, et un rapport va s'ouvrir
> Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer
N° de version_Date_Heure_log.txt)


2)


* Lance ZHPFix (via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :

[MD5.693580DFFC1949FD5FDAF39D181521B1] - (.Team H2O - Team H2O CLEDX.) -- C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe [200069]
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe


* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse


3)


> Nouveau scan avec malwarebytes mit à jour.
0
le rapport de zhpfix, pour tdsskiller, il me fait une erreur d'application, je ne peux pas l'ouvrir et j'ai lancé malwarebiytes, il y en a pour un petit moment :


Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre :
Run by admin at 19/04/2011 19:19:39
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente


========== Récapitulatif ==========
2 : Valeur(s) du Registre


End of the scan
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
19 avril 2011 à 20:15
Ok,
Il faudra que tu me relance TDSS Killer, tu essaira en mode sans echec.
0
ok, dés que se termine malwarebytes ;)
0
Malewarebytes n'a rien détecté, concernant tdsskiller même en mode sans échec rien n'y fait, et lorsque je relance en mode normal, je dois m'y reprendre à 2 fois pour que le bureau soit visible, voilà pour info ;) sinon, l'ordi va quand même beaucoup mieux ...
0
voilà ou j'en suis ....
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
21 avril 2011 à 11:00
Ok, tu vas faire ceci :


*/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac­er-l-uac
Télécharge OtmoveIT (de Old_Timer) sur ton Bureau
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
https://www.androidworld.fr/
(c est le numéro 7 en bas de la page) :

* Double-clique sur OTMoveIt.exe pour le lancer.
/!\Utilisateur de Vista : Clique droit sur le logo de OtmoveIT, « exécuter en tant qu'Administrateur »
* Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.



:processes
explorer.exe

:files
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

:commands
[emptytemp]
[reboot]


# clique sur MoveIt! pour lancer la suppression.
# Le résultat apparaitra dans le cadre "Results".
# Clique sur Exit pour fermer.
# Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
# Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
0
j'ai fait la procédure, ce matin le pc est parti normalement et hier j'ai même pu pas mal bosser dessus, tout allait bien, lorsque j'ai fait la procédure au redémarrage, ça a bipé de partout j'ai tout eu, écran noir, écran noir en mode sans échec ou il m'ouvrait juste un pop up cmd.exe, uniquement fond d'écran en mode normal avec le rapport ouvert, j'avoue j'ai eu peur bref, au bout de 4/5 redémarrages, j'ai pu tout avoir ...

Mais j'ai confiance, je pense que tu sais ce que tu fais, j'avoue avoir eu quelques gouttes de sueur ;) :
voici le rapport :

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: admin
->Temp folder emptied: 14823618 bytes
->Temporary Internet Files folder emptied: 135885284 bytes
->Java cache emptied: 407442 bytes
->FireFox cache emptied: 48859025 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 4516533 bytes

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Administrateur.ADMIN-991F60A85
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Administrateur.ADMIN-991F60A85.000
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Administrateur.ADMIN-991F60A85.001
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: All Users.WINDAUBE

User: All Users.WINDOWS

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User.WINDAUBE
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: HelpAssistant
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 55986 bytes

User: Invité
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService.AUTORITE NT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService.AUTORITE NT.000
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 1159 bytes

User: LVF
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService.AUTORITE NT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService.AUTORITE NT.000
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 153867575 bytes
->Java cache emptied: 1034 bytes
->Flash cache emptied: 11161 bytes

User: sam
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 15608 bytes

User: sam.MICRODAUBE
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: TEMP

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 32768 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 342,00 mb


OTM by OldTimer - Version 3.1.17.2 log created on 04212011_112420

Files moved on Reboot...

Registry entries deleted on Reboot...
0
le pc a l'air d"être stable, je n'ai pas relancé pour voir mais il à l'air de fonctionner normalement ..

désolé de te donner autant de mal :)

voici le rapport :

http://www.filefactory.com/file/cbd5697/n/ZHPDiag.txt
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
21 avril 2011 à 13:49
Ok, et TDSS Killer tu as réussi à le lancer ?
0
toujours pas :(
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
Modifié par flo-91 le 21/04/2011 à 13:59
Meme pas en mode sans échec ?
Fait ceci :

* Lance ZHPFix (via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O64 - Services: CurCS - (.not file.) - 80b00340 (80b00340) .(...) - LEGACY_80B00340
O64 - Services: CurCS - (.not file.) - 880b1ff0 (880b1ff0) .(...) - LEGACY_880B1FF0
O64 - Services: CurCS - (.not file.) - uwxyqpog (uwxyqpog) .(...) - LEGACY_UWXYQPOG
O64 - Services: CurCS - (.not file.) - {B7B9F50B-38BE-4453-9E419F8171F77511} ({B7B9F50B-38BE-4453-9E419F8171F77511}) .(...) - LEGACY_{B7B9F50B-38BE-4453-9E419F8171F77511}


* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse


Si tdss killer ne marche pas tu me fais un scan gmer ensuite :

> Télécharge GMER :
http://www2.gmer.net/gmer.zip

* Dézipper le programme.
* Double cliquer sur Gmer.exe
* Le programme se lance et fait un auto scan
(il s'agit de l'onglet : Rootkit/Malware).


=> Des lignes rouges doivent apparaître en cas d'infection :

* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files

Tu me dit s'il a trouvé quelque chose
0
le rapport : tdsskiller ne marche toujours pas, je te fais le scann gmer ..



Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-21-04-2011-14-01-13.txt
Run by admin at 21/04/2011 14:01:13
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - 80b00340 (80b00340) .(...) - LEGACY_80B00340 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 880b1ff0 (880b1ff0) .(...) - LEGACY_880B1FF0 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - uwxyqpog (uwxyqpog) .(...) - LEGACY_UWXYQPOG => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - {B7B9F50B-38BE-4453-9E419F8171F77511} ({B7B9F50B-38BE-4453-9E419F8171F77511}) .(...) - LEGACY_{B7B9F50B-38BE-4453-9E419F8171F77511} => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente


========== Récapitulatif ==========
4 : Clé(s) du Registre
2 : Valeur(s) du Registre


End of the scan
0
gmer n'a rien trouvé mais j'ai du le lancer en mode sans echec, il plantait ..
0
Utilisateur anonyme
22 avril 2011 à 01:53
tu rigoles ?

y'a trois ans j'y comprenais rien j'osais meme pas toucher une souris de peur de faire une conn$$$$$$$
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
22 avril 2011 à 01:57
mouhahahahaha moi c'était y'a 5 ans, t'as assimilé bien plus vite que moi x')
0
je ne te crois pas gen LOL, si je te disais que mon 1er ordi, je l'ai eu il y a ............... 27 ans tu me croirais ? et je suis toujours aussi nul haha !
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
22 avril 2011 à 02:01
windows 1.0 :o)))

start config.sys
start autoexect.bat

:o)
0
En tout cas, au delà de vos connaissances, de votre passion et de votre altruisme, vous êtes bien sympas et je vous à remercie vraiment sincèrement de m'avoir aidé ....

une pensée pour Flo qui a bien du se prendre la tête ...

merci beaucoup les gars :;)
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
22 avril 2011 à 02:12
de rien :)
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
Modifié par flo-91 le 22/04/2011 à 11:16
Salut,

Finalement, il n'y avait pas grand chose d'autre à faire ^^
Je veux toujours chercher compliqué..

@samsam, tu peux virer les outils grâce à ceci :


Ce logiciel est utilisé pour nettoyer les outils qui ont servi à la désinfection :
N'oublie pas de réactiver l'UAC si tu as eu besoin de la desactiver

[*] Téléchargez DelFix d'Xplode
[*] Lancez puis puis cliquez sur le bouton Suppression
[*] Après quelques secondes, un rapport s'ouvrira.
[*] Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSearch.txt )

Tu peux aussi te resservir des autres informations que j'avais mentionné ici ( sans le zhpfix biensur ):

https://forums.commentcamarche.net/forum/

Pour ma part je suis aussi étudiant, l'informatique c'est juste une passion, j'ai vraiment commencé il y a 2 ans voilà :-)
Si tu veux te former pour essayer de devenir Helper comme nous, il existe des formations sur internet gratuites via des forums de passionnés, notamment :

http://security-domain.be/helper-formation/index.php


A bientot ;-)

++
*>flo-91<*®

N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),
il y a peut être déjà la solution à votre problème =)
0
merci Flo ;) 2 ans ? ben dis donc .... j'irais voir ce forum merci ;)

Pour les étudiants, j'imagine que se sont des études techniques, pas littérature ou philo ;)

non, il n'y avait pas grand chose à faire Flo, bon, j'ai toujours le soucis au démarrage mais je m'en tire bien ;)

merci à tous de m'avoir aidé, je me répète mais c'est un plaisir ,)
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
22 avril 2011 à 11:26
non, il n'y avait pas grand chose à faire Flo, bon, j'ai toujours le soucis au démarrage mais je m'en tire bien ;)

Je vais voir ce que je peux faire, c'est tout de même bizarre .


Pour les étudiants, j'imagine que se sont des études techniques, pas littérature ou philo ;)

Pas du tout, je suis en terminale ES ( économique et sociale ) où ce sont l'économie, et les langues qui priment ^^
Apres on est pas tous pareil, certains sont avantagés par leurs études oui ^^


A bientot.
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
30 avril 2011 à 11:16
Re sam !

Fait ceci pour virer les outils :

Ce logiciel est utilisé pour nettoyer les outils qui ont servi à la désinfection :
N'oublie pas de réactiver l'UAC si tu as eu besoin de la desactiver

[*] TéléchargezDelFix d'Xplode
[*] Lancez puis puis cliquez sur le bouton [b][Suppression][/b]
[*] Après quelques secondes, un rapport s'ouvrira.
[*] Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSearch.txt )
0
ok ;)
0
rien à faire ça déconne toujours autant, il m'a laissé quelques jours de répits , i me fait une bombe d'erreur d'application de sychost.exe et je galère pour le démarrer ...

je ne sais vraiment pas quoi faire ...
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
10 mai 2011 à 11:26
Hello :) pour avancer fait ceci stp :

Sauvegarde tes données importantes car on est pas à l''abri d''un plantage.
▶ Télécharge et dézippe BurnCDCC.zip ---> ftp://terabyteunlimited.com/burncdcc.zip
▶ Télécharge Super Grub : http://download.linux-live-cd.org/Super_Grub_Disk/download/binaries/sgd/cdrom/super_grub_disk_0.9799.iso
▶ Avec l''onglet "browse", sélectionne super_grub_disk_0.9799.iso que tu viens de télécharger

▶ ▶ coche alors "read verify" , "Finalyze" et "autoeject"

▶ Déplace sous speed le curseur pour le mettre à 32X , insère un cd vierge et clic start

▶ Laisse ton cd dans le graveur; tu redémarre la machine et il va te dire "Appuyez sur n''importe quelle touche pour démarrer sur le CD" => appuie sur une touche.
si pas voir : https://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot

▶ Choisi avec les flèches de ton clavier ?WIN=> MBR & !WIN! et presse Enter

Aide en image : http://imagesup.org/image
0
pipo687r Messages postés 11 Date d'inscription samedi 17 mai 2008 Statut Membre Dernière intervention 22 avril 2011 1
Modifié par pipo687r le 13/04/2011 à 13:31
slt tout le monde pour ton problem mon ami j'ai pas lu tout les comments mais je te done un truc
- va dans demarrer \ executer \ et tape REGEDIT pour ouvrir les registre
- va dans HKEY_LOCAL MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENT VERTION \ RUN
- te voila dans les aplication que windows ouvre achaque demarage
- tu va trouver la premier cé ( par defaut )
- la desieme cé generalement ton antivirus
- les autre son soit des aplication que ta instaler soit des virus
- ya les nom des aplication ou virus apré ya le type apré le lieu
- toi tu lit les nom et l'emplacement si cé un virus tu note son lieu pour le suprimer apré
- apré lavoir suprimer de la colone tu redemar ton pc pour que le virus ne demarre pas avec windows et tu va le suprime
bon courage
-1
Utilisateur anonyme
22 avril 2011 à 12:01
ouais et si le virus demarre dans le shell tu le cherches 20 ans ^^
0