Help virus - Page 3

Résolu
Précédent
  • 1
  • 2
  • 3
  1. samsam
     
    voici le rapport zhpdiag

    http://www.cijoint.fr/cjlink.php?file=cj201104/cijBB991W3.txt

    puis celui de roquekiller qui m'a créé un dossier RK_Quarantine sur le bureau :

    RogueKiller V4.3.8 par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: admin [Droits d'admin]
    Mode: Recherche -- Date : 16/04/2011 10:51:35

    Processus malicieux: 0

    Entrees de registre: 3
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
    [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND
    [WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND

    Fichier HOSTS:

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
    1. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
       
      Pourquoi tu ne me donne pas le rapport de ZHPFIX ?
      Il faut fixer les lignes comme indiquer plus haut avec ZHPFIX.
      Relance ensuite roguekiller option 2.
      0
    2. samsam
       
      ok
      0
    3. samsam
       
      le rapport zhpfix aprés le passage roquekiller



      http://www.cijoint.fr/cjlink.php?file=cj201104/cijlarUxeN.txt

      et le rapport RK aprés l'option 2:

      RogueKiller V4.3.8 par Tigzy
      contact sur http://www.sur-la-toile.com
      mail: tigzyRK<at>gmail<dot>com
      Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

      Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
      Demarrage : Mode sans echec avec prise en charge reseau
      Utilisateur: admin [Droits d'admin]
      Mode: Suppression -- Date : 16/04/2011 12:15:51

      Processus malicieux: 0

      Entrees de registre: 3
      [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
      [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
      [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\admin\Local Settings\Application Data\Microsoft\Wallpaper1.bmp)

      Fichier HOSTS:


      Termine : << RKreport[1].txt >>
      RKreport[1].txt
      0
    4. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
       
      Tu ne m'as toujours pas donné de rapport ZHPFIX ( un rapport qui montre la suppression ).
      Tu ne me donne que des ZHPDIAG.
      Le rapport de ZHPFIX se trouve ici C:\ZHPFIX

      Sinon le pc sava comment ?
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      normalement les ZHPFix sont sur le bureau sous le nom ZHPFixReport.txt
      ou alors là : C:\Program Files\ZHPDiag\ZHPFixReport.txt
      0
  2. samsam
     
    excuses moi, le voici le rappot zhpfix ...

    pour l'ordi, rn mode normal, je n'ai que mon fond d'écran et rien d'autre ...

    Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
    Fichier d'export Registre :
    Run by admin at 16/04/2011 10:47:43
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Valeur(s) du Registre ==========
    O4 - HKCU\..\Run: [Xrihijo] . (.madshi.net - madVR settings helper dll.) -- C:\WINDOWS\stratc.dll => Valeur supprimée avec succès
    O4 - HKCU\..\Run: [XjFfFSETuJNIM] . (.BitSprx - Bit Library.) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\XjFfFSETuJNIM.exe => Valeur supprimée avec succès
    O4 - HKCU\..\RunOnce: [pIe28247hDkIi28247] . (...) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\pIe28247hDkIi28247\pIe28247hDkIi28247.exe => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-21-57989841-115176313-1177238915-1004\..\Run: [Xrihijo] . (.madshi.net - madVR settings helper dll.) -- C:\WINDOWS\stratc.dll => Valeur absente
    O4 - HKUS\S-1-5-21-57989841-115176313-1177238915-1004\..\Run: [XjFfFSETuJNIM] . (.BitSprx - Bit Library.) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\XjFfFSETuJNIM.exe => Valeur absente
    O4 - HKUS\S-1-5-21-57989841-115176313-1177238915-1004\..\RunOnce: [pIe28247hDkIi28247] . (...) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\pIe28247hDkIi28247\pIe28247hDkIi28247.exe => Valeur absente
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

    ========== Elément(s) de donnée du Registre ==========
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified => Donnée supprimée avec succès

    ========== Fichier(s) ==========
    c:\windows\stratc.dll => Supprimé et mis en quarantaine
    c:\documents and settings\all users.windows\application data\xjfffsetujnim.exe => Supprimé et mis en quarantaine
    c:\documents and settings\all users.windows\application data\pie28247hdkii28247\pie28247hdkii28247.exe => Supprimé et mis en quarantaine

    ========== Récapitulatif ==========
    8 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    3 : Fichier(s)

    End of the scan
    0
  3. samsam
     
    que dois je faire ... j'ai essayé de démarrer en mode normal j'ai un écran vide à part les logiciesl que j'ai chargés, je peux toutefois me connecter via FF mais dans l'onglet démarer/tous les programmes, il n'y a que windows recovery et son racourci rien d'autre .

    Il est resté 2mn et a rebooté, je l'ai reconnecté, ça a l'air de tenir ...

    pour info mon antii virus m'annonce :

    Guard automn bloqué : l'accés au fichier C:\automn.inf a été bloqué

    voilà ou j'en suis pour info
    0
  4. samsam
     
    pour info, ma carte son remarche, j'ai fait un test en lançant une vidéo de yahoo ça lit avec du son ... je n'y comprend rien ... toujours pour info, il n'y a plus acun document dans "mes documents", " ma musique" ; "mes images"
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. samsam
     
    donc, et si ça aide contre windows recovery, parcqu'entre temps, il est revenu encore ... là, je crois qu'il a son compte pour de bon mais, méfiance ...

    roguekiller ( version 4.3.4 )
    2: suppression

    puis malewarebytes ( updaté)
    examen complet + suppression ( il y en a pour un moment )

    re-roguekiller
    6 raccourcis RAZ

    si vous passez du mode sans échec en mode normal et que l'écran est toujours vide, redémarrez l'ordi ...

    chez moi, ça marche, la carte son fonctionne et j'ai mes dossiers, enfin pour le moment, je reviendrais pleurer ici si ça redeconne et je laisse le post ouvert quelques jours avant de le déclarer résolu .je ne fais pas le malin parce qu'il est revenu une fois deja et j'ai toujours le racourcis sur le bureau .

    merci à flo-91 pour son aide et à gen_hackman ;)

    si je dois faire autre chose, genre refaire un point de restauration ou divers nettoyages, merci de me l'indiquer ;)
    0
  7. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Ok, malwarebytes a trouvé des fichiers infecté ?
    Si oui, poste le rapport.

    Fait ceci aussi :

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur "parcourir" et copie colle ceci pour aller chercher le fichier demandé :

    C:\WINDOWS\Explorer.exe
    0
    1. samsam
       
      voilà le rapport :

      Malwarebytes' Anti-Malware 1.50.1.1100
      www.malwarebytes.org

      Version de la base de données: 6374

      Windows 5.1.2600 Service Pack 3
      Internet Explorer 8.0.6001.18702

      16/04/2011 18:57:15
      mbam-log-2011-04-16 (18-57-15).txt

      Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
      Elément(s) analysé(s): 528993
      Temps écoulé: 1 heure(s), 50 minute(s), 14 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 12

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      c:\documents and settings\admin\application data\Sun\Java\deployment\cache\6.0\29\1548335d-1849cf33 (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
      c:\documents and settings\admin\application data\Sun\Java\deployment\cache\6.0\36\269bfa4-7b41a7c5 (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.
      c:\documents and settings\admin\local settings\temp\d5wdd434.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
      c:\documents and settings\all users.windows\application data\19455796.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      c:\program files\ZHPDiag\quarantine\pie28247hdkii28247.exe.vir (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.
      c:\program files\ZHPDiag\quarantine\stratc.dll.vir (Trojan.Hiloti) -> Quarantined and deleted successfully.
      c:\program files\ZHPDiag\quarantine\xjfffsetujnim.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
      c:\system volume information\_restore{d9071eec-4aec-4817-849e-4f9f273cdf4c}\RP4\A0000615.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
      c:\system volume information\_restore{d9071eec-4aec-4817-849e-4f9f273cdf4c}\RP4\A0000616.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      c:\system volume information\_restore{d9071eec-4aec-4817-849e-4f9f273cdf4c}\RP4\A0000617.exe (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.
      c:\documents and settings\admin\application data\Adobe\plugs\mmc26.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      c:\documents and settings\admin\application data\Adobe\plugs\mmc79.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      0
  8. samsam
     
    lorsque j'allume l'ordi, je n'ai que mon fond d'écran rien d'autre, je suis obligé de redémarrer à partir du mode sans échec et là tout s'installe normalement, ce qui veut dire qu'il en reste .. :(
    0
    1. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
       
      Tu ne m''as pas fait virus total comme indiqué plus haut
      0
    2. samsam
       
      si, je l'ai fait mais je ne comprend pas la manip ...
      0
    3. samsam
       
      sinon en resultat c'est là :

      http://www.virustotal.com/...
      0
    4. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
       
      Ton lien n'est pas complet.
      Il faut de rendre sur la page du site, cliquer sur "parcourir" et pour aller chercher le fichier "explorer.exe" à analyser tu tape

      C:\WINDOWS\Explorer.exe


      Ensuite, tu cliques sur "send file" et si on te dit que le fichier a déja été analysé, tu le réanalyse a partir de ton pc en cliquant sur "reanalyse".

      A la fin il faut que tu montre quelque chose de ce type :

      http://www.virustotal.com/file-scan/report.html?id=37cad9b096de4ab38004260ae0fd1dde2b9a2b536a0810645a4992b1b1001175-1303113302
      0
    5. samsam
       
      je l'ai fait plusieurs fois, le lien n'est pas complet lorsque je le post ;

      tu trouvera le lien là, je n'ai pas trop le choix :

      http://www.cijoint.fr/cjlink.php?file=cj201104/cijWlp3wyy.txt
      0
  9. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    OK,

    Merci à Xplode d'etre passé ;)

    Samsam : Poste un nouveau rapport ZHPDIAG, j'aimerai vérifier quelque chose.
    0
    1. samsam
       
      j'ai l'impression que ça bloque avec cijpont.fr , j'en ai essayé plusieurs avant que ça marche avec celui-ci donc, voici le rapport :

      http://www.filefactory.com/file/cbc9726/n/ZHPDiag.txt
      0
  10. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Ok, je veux être sur que tu seras tranquille après alors fait ceci :

    > Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau :

    https://support.kaspersky.com/downloads/utils/tdsskiller.exe

    > Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit
    dessus, et sur exécuter en tant qu'administrateur)
    >Clique sur Start Scan
    > Si l'outil a trouvé des éléments, choisi Cure,
    puis sur Reboot Now
    > Le PC va redémarrer, et un rapport va s'ouvrir
    > Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer
    N° de version_Date_Heure_log.txt)

    2)

    * Lance ZHPFix (via ZHPDiag)
    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Copie/colle les lignes suivantes et place les dans ZHPFix :

    [MD5.693580DFFC1949FD5FDAF39D181521B1] - (.Team H2O - Team H2O CLEDX.) -- C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe [200069]
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe


    * Clique sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse


    3)


    > Nouveau scan avec malwarebytes mit à jour.
    0
  11. samsam
     
    le rapport de zhpfix, pour tdsskiller, il me fait une erreur d'application, je ne peux pas l'ouvrir et j'ai lancé malwarebiytes, il y en a pour un petit moment :

    Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
    Fichier d'export Registre :
    Run by admin at 19/04/2011 19:19:39
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Valeur(s) du Registre ==========
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

    ========== Récapitulatif ==========
    2 : Valeur(s) du Registre

    End of the scan
    0
    1. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
       
      Ok,
      Il faudra que tu me relance TDSS Killer, tu essaira en mode sans echec.
      0
    2. samsam
       
      ok, dés que se termine malwarebytes ;)
      0
  12. samsam
     
    Malewarebytes n'a rien détecté, concernant tdsskiller même en mode sans échec rien n'y fait, et lorsque je relance en mode normal, je dois m'y reprendre à 2 fois pour que le bureau soit visible, voilà pour info ;) sinon, l'ordi va quand même beaucoup mieux ...
    0
  13. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Ok, tu vas faire ceci :

    */!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac­er-l-uac
    Télécharge OtmoveIT (de Old_Timer) sur ton Bureau
    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
    https://www.androidworld.fr/
    (c est le numéro 7 en bas de la page) :

    * Double-clique sur OTMoveIt.exe pour le lancer.
    /!\Utilisateur de Vista : Clique droit sur le logo de OtmoveIT, « exécuter en tant qu'Administrateur »
    * Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

    * Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.


    :processes
    explorer.exe

    :files
    C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe

    :commands
    [emptytemp]
    [reboot]


    # clique sur MoveIt! pour lancer la suppression.
    # Le résultat apparaitra dans le cadre "Results".
    # Clique sur Exit pour fermer.
    # Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
    # Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
    0
    1. samsam
       
      j'ai fait la procédure, ce matin le pc est parti normalement et hier j'ai même pu pas mal bosser dessus, tout allait bien, lorsque j'ai fait la procédure au redémarrage, ça a bipé de partout j'ai tout eu, écran noir, écran noir en mode sans échec ou il m'ouvrait juste un pop up cmd.exe, uniquement fond d'écran en mode normal avec le rapport ouvert, j'avoue j'ai eu peur bref, au bout de 4/5 redémarrages, j'ai pu tout avoir ...

      Mais j'ai confiance, je pense que tu sais ce que tu fais, j'avoue avoir eu quelques gouttes de sueur ;) :
      voici le rapport :

      All processes killed
      ========== PROCESSES ==========
      No active process named explorer.exe was found!
      ========== FILES ==========
      C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe moved successfully.
      ========== COMMANDS ==========

      [EMPTYTEMP]

      User: admin
      ->Temp folder emptied: 14823618 bytes
      ->Temporary Internet Files folder emptied: 135885284 bytes
      ->Java cache emptied: 407442 bytes
      ->FireFox cache emptied: 48859025 bytes
      ->Google Chrome cache emptied: 0 bytes
      ->Flash cache emptied: 4516533 bytes

      User: Administrateur
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: Administrateur.ADMIN-991F60A85
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: Administrateur.ADMIN-991F60A85.000
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: Administrateur.ADMIN-991F60A85.001
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: All Users

      User: All Users.WINDAUBE

      User: All Users.WINDOWS

      User: Default User
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: Default User.WINDAUBE
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: Default User.WINDOWS
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: HelpAssistant
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes
      ->Java cache emptied: 0 bytes
      ->FireFox cache emptied: 0 bytes
      ->Google Chrome cache emptied: 0 bytes
      ->Flash cache emptied: 55986 bytes

      User: Invité
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 67 bytes

      User: LocalService
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: LocalService.AUTORITE NT
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: LocalService.AUTORITE NT.000
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes
      ->Flash cache emptied: 1159 bytes

      User: LVF
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: NetworkService
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: NetworkService.AUTORITE NT
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: NetworkService.AUTORITE NT.000
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 153867575 bytes
      ->Java cache emptied: 1034 bytes
      ->Flash cache emptied: 11161 bytes

      User: sam
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes
      ->Java cache emptied: 0 bytes
      ->FireFox cache emptied: 0 bytes
      ->Flash cache emptied: 15608 bytes

      User: sam.MICRODAUBE
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: TEMP

      %systemdrive% .tmp files removed: 0 bytes
      %systemroot% .tmp files removed: 0 bytes
      %systemroot%\System32 .tmp files removed: 0 bytes
      %systemroot%\System32\dllcache .tmp files removed: 0 bytes
      %systemroot%\System32\drivers .tmp files removed: 0 bytes
      Windows Temp folder emptied: 32768 bytes
      %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
      %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
      RecycleBin emptied: 0 bytes

      Total Files Cleaned = 342,00 mb


      OTM by OldTimer - Version 3.1.17.2 log created on 04212011_112420

      Files moved on Reboot...

      Registry entries deleted on Reboot...
      0
  14. samsam
     
    le pc a l'air d"être stable, je n'ai pas relancé pour voir mais il à l'air de fonctionner normalement ..

    désolé de te donner autant de mal :)

    voici le rapport :

    http://www.filefactory.com/file/cbd5697/n/ZHPDiag.txt
    0
    1. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
       
      Ok, et TDSS Killer tu as réussi à le lancer ?
      0
    2. samsam
       
      toujours pas :(
      0
    3. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
       
      Meme pas en mode sans échec ?
      Fait ceci :

      * Lance ZHPFix (via ZHPDiag)
      * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
      * Copie/colle les lignes suivantes et place les dans ZHPFix :

      O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
      O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
      O64 - Services: CurCS - (.not file.) - 80b00340 (80b00340) .(...) - LEGACY_80B00340
      O64 - Services: CurCS - (.not file.) - 880b1ff0 (880b1ff0) .(...) - LEGACY_880B1FF0
      O64 - Services: CurCS - (.not file.) - uwxyqpog (uwxyqpog) .(...) - LEGACY_UWXYQPOG
      O64 - Services: CurCS - (.not file.) - {B7B9F50B-38BE-4453-9E419F8171F77511} ({B7B9F50B-38BE-4453-9E419F8171F77511}) .(...) - LEGACY_{B7B9F50B-38BE-4453-9E419F8171F77511}


      * Clique sur « Tous », puis sur « Nettoyer »
      * Copie/colle la totalité du rapport dans ta prochaine réponse


      Si tdss killer ne marche pas tu me fais un scan gmer ensuite :

      > Télécharge GMER :
      http://www2.gmer.net/gmer.zip

      * Dézipper le programme.
      * Double cliquer sur Gmer.exe
      * Le programme se lance et fait un auto scan
      (il s'agit de l'onglet : Rootkit/Malware).


      => Des lignes rouges doivent apparaître en cas d'infection :

      * sur ces lignes rouges:
      o Services: Clique droit puis delete service
      o Process: Clique droit puis kill process
      o Adl, file: Clique droit puis delete files

      Tu me dit s'il a trouvé quelque chose
      0
    4. samsam
       
      le rapport : tdsskiller ne marche toujours pas, je te fais le scann gmer ..



      Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
      Fichier d'export Registre : C:\ZHPExportRegistry-21-04-2011-14-01-13.txt
      Run by admin at 21/04/2011 14:01:13
      Windows XP Professional Service Pack 3 (Build 2600)
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

      ========== Clé(s) du Registre ==========
      O64 - Services: CurCS - (.not file.) - 80b00340 (80b00340) .(...) - LEGACY_80B00340 => Clé supprimée avec succès
      O64 - Services: CurCS - (.not file.) - 880b1ff0 (880b1ff0) .(...) - LEGACY_880B1FF0 => Clé supprimée avec succès
      O64 - Services: CurCS - (.not file.) - uwxyqpog (uwxyqpog) .(...) - LEGACY_UWXYQPOG => Clé supprimée avec succès
      O64 - Services: CurCS - (.not file.) - {B7B9F50B-38BE-4453-9E419F8171F77511} ({B7B9F50B-38BE-4453-9E419F8171F77511}) .(...) - LEGACY_{B7B9F50B-38BE-4453-9E419F8171F77511} => Clé supprimée avec succès

      ========== Valeur(s) du Registre ==========
      O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
      O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente


      ========== Récapitulatif ==========
      4 : Clé(s) du Registre
      2 : Valeur(s) du Registre


      End of the scan
      0
    5. samsam
       
      gmer n'a rien trouvé mais j'ai du le lancer en mode sans echec, il plantait ..
      0
  15. gen-hackman
     
    tu rigoles ?

    y'a trois ans j'y comprenais rien j'osais meme pas toucher une souris de peur de faire une conn$$$$$$$
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      mouhahahahaha moi c'était y'a 5 ans, t'as assimilé bien plus vite que moi x')
      0
    2. samsam
       
      je ne te crois pas gen LOL, si je te disais que mon 1er ordi, je l'ai eu il y a ............... 27 ans tu me croirais ? et je suis toujours aussi nul haha !
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      windows 1.0 :o)))

      start config.sys
      start autoexect.bat

      :o)
      0
    4. samsam
       
      En tout cas, au delà de vos connaissances, de votre passion et de votre altruisme, vous êtes bien sympas et je vous à remercie vraiment sincèrement de m'avoir aidé ....

      une pensée pour Flo qui a bien du se prendre la tête ...

      merci beaucoup les gars :;)
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      de rien :)
      0
  16. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Salut,

    Finalement, il n'y avait pas grand chose d'autre à faire ^^
    Je veux toujours chercher compliqué..

    @samsam, tu peux virer les outils grâce à ceci :

    Ce logiciel est utilisé pour nettoyer les outils qui ont servi à la désinfection :
    N'oublie pas de réactiver l'UAC si tu as eu besoin de la desactiver

    [*] Téléchargez DelFix d'Xplode
    [*] Lancez puis puis cliquez sur le bouton Suppression
    [*] Après quelques secondes, un rapport s'ouvrira.
    [*] Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSearch.txt )

    Tu peux aussi te resservir des autres informations que j'avais mentionné ici ( sans le zhpfix biensur ):

    https://forums.commentcamarche.net/forum/

    Pour ma part je suis aussi étudiant, l'informatique c'est juste une passion, j'ai vraiment commencé il y a 2 ans voilà :-)
    Si tu veux te former pour essayer de devenir Helper comme nous, il existe des formations sur internet gratuites via des forums de passionnés, notamment :

    http://security-domain.be/helper-formation/index.php

    A bientot ;-)

    ++
    *>flo-91<*®

    N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),
    il y a peut être déjà la solution à votre problème =)
    0
    1. samsam
       
      merci Flo ;) 2 ans ? ben dis donc .... j'irais voir ce forum merci ;)

      Pour les étudiants, j'imagine que se sont des études techniques, pas littérature ou philo ;)

      non, il n'y avait pas grand chose à faire Flo, bon, j'ai toujours le soucis au démarrage mais je m'en tire bien ;)

      merci à tous de m'avoir aidé, je me répète mais c'est un plaisir ,)
      0
    2. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
       
      non, il n'y avait pas grand chose à faire Flo, bon, j'ai toujours le soucis au démarrage mais je m'en tire bien ;)

      Je vais voir ce que je peux faire, c'est tout de même bizarre .


      Pour les étudiants, j'imagine que se sont des études techniques, pas littérature ou philo ;)

      Pas du tout, je suis en terminale ES ( économique et sociale ) où ce sont l'économie, et les langues qui priment ^^
      Apres on est pas tous pareil, certains sont avantagés par leurs études oui ^^


      A bientot.
      0
  17. flo-91 Messages postés 5973 Statut Contributeur sécurité 1 120
     
    Re sam !

    Fait ceci pour virer les outils :

    Ce logiciel est utilisé pour nettoyer les outils qui ont servi à la désinfection :
    N'oublie pas de réactiver l'UAC si tu as eu besoin de la desactiver

    [*] TéléchargezDelFix d'Xplode
    [*] Lancez puis puis cliquez sur le bouton [b][Suppression][/b]
    [*] Après quelques secondes, un rapport s'ouvrira.
    [*] Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSearch.txt )
    0
    1. samsam
       
      ok ;)
      0
  18. samsam
     
    rien à faire ça déconne toujours autant, il m'a laissé quelques jours de répits , i me fait une bombe d'erreur d'application de sychost.exe et je galère pour le démarrer ...

    je ne sais vraiment pas quoi faire ...
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello :) pour avancer fait ceci stp :

    Sauvegarde tes données importantes car on est pas à l''abri d''un plantage.
    ▶ Télécharge et dézippe BurnCDCC.zip ---> ftp://terabyteunlimited.com/burncdcc.zip
    ▶ Télécharge Super Grub : http://download.linux-live-cd.org/Super_Grub_Disk/download/binaries/sgd/cdrom/super_grub_disk_0.9799.iso
    ▶ Avec l''onglet "browse", sélectionne super_grub_disk_0.9799.iso que tu viens de télécharger

    ▶ ▶ coche alors "read verify" , "Finalyze" et "autoeject"

    ▶ Déplace sous speed le curseur pour le mettre à 32X , insère un cd vierge et clic start

    ▶ Laisse ton cd dans le graveur; tu redémarre la machine et il va te dire "Appuyez sur n''importe quelle touche pour démarrer sur le CD" => appuie sur une touche.
    si pas voir : https://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot

    ▶ Choisi avec les flèches de ton clavier ?WIN=> MBR & !WIN! et presse Enter

    Aide en image : http://imagesup.org/image
    0
  20. pipo687r Messages postés 13 Statut Membre 1
     
    slt tout le monde pour ton problem mon ami j'ai pas lu tout les comments mais je te done un truc
    - va dans demarrer \ executer \ et tape REGEDIT pour ouvrir les registre
    - va dans HKEY_LOCAL MACHINE \ SOFTWARE \ MICROSOFT \ WINDOWS \ CURRENT VERTION \ RUN
    - te voila dans les aplication que windows ouvre achaque demarage
    - tu va trouver la premier cé ( par defaut )
    - la desieme cé generalement ton antivirus
    - les autre son soit des aplication que ta instaler soit des virus
    - ya les nom des aplication ou virus apré ya le type apré le lieu
    - toi tu lit les nom et l'emplacement si cé un virus tu note son lieu pour le suprimer apré
    - apré lavoir suprimer de la colone tu redemar ton pc pour que le virus ne demarre pas avec windows et tu va le suprime
    bon courage
    -1
    1. gen-hackman
       
      ouais et si le virus demarre dans le shell tu le cherches 20 ans ^^
      0
Précédent
  • 1
  • 2
  • 3