Infection par MS Removal tool
Fermé
zabays
-
15 avril 2011 à 20:34
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 - 17 avril 2011 à 12:37
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 - 17 avril 2011 à 12:37
A voir également:
- Infection par MS Removal tool
- Hp format tool - Télécharger - Stockage
- Media creation tool - Télécharger - Systèmes d'exploitation
- Microsoft office removal tool - Télécharger - Nettoyage
- Junkware removal tool - Télécharger - Sécurité
- Photo tool 600x600 gratuit - Télécharger - Photo & Graphisme
25 réponses
flo-91
Messages postés
5646
Date d'inscription
mardi 19 mai 2009
Statut
Contributeur sécurité
Dernière intervention
31 octobre 2019
1 118
15 avril 2011 à 20:36
15 avril 2011 à 20:36
Bonsoir,
IL faut commencer par démarrer en mode sans échec avec prise en charge réseau ( tapoter F8 ou F5 au démarrage du pc selon les machines ).
Puis :
On va commencer par analyser ton pc, :
Télécharges Zhpdiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, dézippes le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme.
Clique sur Tous pour cocher toutes les cases des options.
Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.
Rends toi sur http://www.cijoint.fr clic sur Parcourir, choisis le rapport sur ton bureau et clic sur Créer le lien,
Un lien te sera généré, postes le dans ta prochaine réponse .
IL faut commencer par démarrer en mode sans échec avec prise en charge réseau ( tapoter F8 ou F5 au démarrage du pc selon les machines ).
Puis :
On va commencer par analyser ton pc, :
Télécharges Zhpdiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, dézippes le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme.
Clique sur Tous pour cocher toutes les cases des options.
Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.
Rends toi sur http://www.cijoint.fr clic sur Parcourir, choisis le rapport sur ton bureau et clic sur Créer le lien,
Un lien te sera généré, postes le dans ta prochaine réponse .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai utilisé "Cijoint" pour le rapport ZHPDiag : (en revanche, je n'ai pas eu besoin de cocher les options dans ZHPDiag)
http://www.cijoint.fr/cjlink.php?file=cj201104/cijubLaT1t.txt
http://www.cijoint.fr/cjlink.php?file=cj201104/cijubLaT1t.txt
flo-91
Messages postés
5646
Date d'inscription
mardi 19 mai 2009
Statut
Contributeur sécurité
Dernière intervention
31 octobre 2019
1 118
Modifié par flo-91 le 15/04/2011 à 21:54
Modifié par flo-91 le 15/04/2011 à 21:54
Ok, fait ceci toujours en mode sans echec avec la prise en charge reseau :
Tu semble être infecté par un rogue, des trojan et peut-etre un rootkit /!\
Pour traiter ces infections, :
1)
* Lance ZHPFix (via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :
O4 - HKCU\..\RunOnce: [aAe28258eOlJc28258] . (...) -- C:\Documents and Settings\All Users\Application Data\aAe28258eOlJc28258\aAe28258eOlJc28258.exe
O4 - HKUS\S-1-5-21-4071888707-1567011825-502627533-1007\..\RunOnce: [aAe28258eOlJc28258] . (...) -- C:\Documents and Settings\All Users\Application Data\aAe28258eOlJc28258\aAe28258eOlJc28258.exe
[HKLM\Software\Titan Poker]
O43 - CFD: 14/01/2006 - 13:11:58 - [45] ----D- C:\Documents and Settings\jerome\Application Data\Checkflow
O43 - CFD: 14/01/2006 - 13:11:58 - [45] ----D- C:\Documents and Settings\jerome\Application Data\Checkflow
O53 - SMSR:HKLM\...\startupreg\SurfSideKick 3 [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\SurfSideKick 3\Ssk.exe
O64 - Services: CurCS - (.not file.) - afisicx Manages messages (afisicx) .(...) - LEGACY_AFISICX
O64 - Services: CurCS - (.not file.) - mabidwe Service (mabidwe) .(...) - LEGACY_MABIDWE
O64 - Services: CurCS - (.not file.) - noxtcyr Corporation inc. (noxtcyr) .(...) - LEGACY_NOXTCYR
O64 - Services: CurCS - (.not file.) - noytcyr Service (noytcyr) .(...) - LEGACY_NOYTCYR
O64 - Services: CurCS - (.not file.) - roxtctm Settings storage service (roxtctm) .(...) - LEGACY_ROXTCTM
O64 - Services: CurCS - (.not file.) - roytctm Service (roytctm) .(...) - LEGACY_ROYTCTM
O64 - Services: CurCS - (.not file.) - soxpeca Service (soxpeca) .(...) - LEGACY_SOXPECA
O64 - Services: CurCS - (.not file.) - tdydowkc Service (tdydowkc) .(...) - LEGACY_TDYDOWKC
O64 - Services: CurCS - (.not file.) - wsldoekd Event propagation service (wsldoekd) .(...) - LEGACY_WSLDOEKD
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
2)
> Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
> Désactivez vos protections et coupez la connexion.
> Sous Windows XP : double-cliquez sur mbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur"
>Un rapport sera généré : mbr.log, il faut le poster sur le forum
*>flo-91<*®
N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),
il y a peut être déjà la solution à votre problème =)
Tu semble être infecté par un rogue, des trojan et peut-etre un rootkit /!\
Pour traiter ces infections, :
1)
* Lance ZHPFix (via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :
O4 - HKCU\..\RunOnce: [aAe28258eOlJc28258] . (...) -- C:\Documents and Settings\All Users\Application Data\aAe28258eOlJc28258\aAe28258eOlJc28258.exe
O4 - HKUS\S-1-5-21-4071888707-1567011825-502627533-1007\..\RunOnce: [aAe28258eOlJc28258] . (...) -- C:\Documents and Settings\All Users\Application Data\aAe28258eOlJc28258\aAe28258eOlJc28258.exe
[HKLM\Software\Titan Poker]
O43 - CFD: 14/01/2006 - 13:11:58 - [45] ----D- C:\Documents and Settings\jerome\Application Data\Checkflow
O43 - CFD: 14/01/2006 - 13:11:58 - [45] ----D- C:\Documents and Settings\jerome\Application Data\Checkflow
O53 - SMSR:HKLM\...\startupreg\SurfSideKick 3 [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\SurfSideKick 3\Ssk.exe
O64 - Services: CurCS - (.not file.) - afisicx Manages messages (afisicx) .(...) - LEGACY_AFISICX
O64 - Services: CurCS - (.not file.) - mabidwe Service (mabidwe) .(...) - LEGACY_MABIDWE
O64 - Services: CurCS - (.not file.) - noxtcyr Corporation inc. (noxtcyr) .(...) - LEGACY_NOXTCYR
O64 - Services: CurCS - (.not file.) - noytcyr Service (noytcyr) .(...) - LEGACY_NOYTCYR
O64 - Services: CurCS - (.not file.) - roxtctm Settings storage service (roxtctm) .(...) - LEGACY_ROXTCTM
O64 - Services: CurCS - (.not file.) - roytctm Service (roytctm) .(...) - LEGACY_ROYTCTM
O64 - Services: CurCS - (.not file.) - soxpeca Service (soxpeca) .(...) - LEGACY_SOXPECA
O64 - Services: CurCS - (.not file.) - tdydowkc Service (tdydowkc) .(...) - LEGACY_TDYDOWKC
O64 - Services: CurCS - (.not file.) - wsldoekd Event propagation service (wsldoekd) .(...) - LEGACY_WSLDOEKD
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse
2)
> Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
> Désactivez vos protections et coupez la connexion.
> Sous Windows XP : double-cliquez sur mbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur"
>Un rapport sera généré : mbr.log, il faut le poster sur le forum
*>flo-91<*®
N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),
il y a peut être déjà la solution à votre problème =)
Rapport ZHPFix : pour la suite il faut que je coupe ma connexion internet ? Meme si je suis en mode sans echec avec reseau ? Il faudrait donc que je redemarre ?
Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-15-04-2011-22-02-17.txt
Run by jerome at 15/04/2011 22:02:17
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
HKLM\Software\Titan Poker => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\SurfSideKick 3 [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\SurfSideKick 3\Ssk.exe => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - afisicx Manages messages (afisicx) .(...) - LEGACY_AFISICX => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - mabidwe Service (mabidwe) .(...) - LEGACY_MABIDWE => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - noxtcyr Corporation inc. (noxtcyr) .(...) - LEGACY_NOXTCYR => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - noytcyr Service (noytcyr) .(...) - LEGACY_NOYTCYR => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - roxtctm Settings storage service (roxtctm) .(...) - LEGACY_ROXTCTM => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - roytctm Service (roytctm) .(...) - LEGACY_ROYTCTM => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - soxpeca Service (soxpeca) .(...) - LEGACY_SOXPECA => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - tdydowkc Service (tdydowkc) .(...) - LEGACY_TDYDOWKC => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - wsldoekd Event propagation service (wsldoekd) .(...) - LEGACY_WSLDOEKD => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKCU\..\RunOnce: [aAe28258eOlJc28258] . (...) -- C:\Documents and Settings\All Users\Application Data\aAe28258eOlJc28258\aAe28258eOlJc28258.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-4071888707-1567011825-502627533-1007\..\RunOnce: [aAe28258eOlJc28258] . (...) -- C:\Documents and Settings\All Users\Application Data\aAe28258eOlJc28258\aAe28258eOlJc28258.exe => Valeur absente
========== Dossier(s) ==========
C:\Documents and Settings\jerome\Application Data\Checkflow => Supprimé et mis en quarantaine
========== Fichier(s) ==========
c:\documents and settings\all users\application data\aae28258eoljc28258\aae28258eoljc28258.exe => Supprimé et mis en quarantaine
c:\program files\surfsidekick 3\ssk.exe => Fichier absent
========== Récapitulatif ==========
11 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Dossier(s)
2 : Fichier(s)
End of the scan
Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-15-04-2011-22-02-17.txt
Run by jerome at 15/04/2011 22:02:17
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
HKLM\Software\Titan Poker => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\SurfSideKick 3 [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\SurfSideKick 3\Ssk.exe => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - afisicx Manages messages (afisicx) .(...) - LEGACY_AFISICX => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - mabidwe Service (mabidwe) .(...) - LEGACY_MABIDWE => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - noxtcyr Corporation inc. (noxtcyr) .(...) - LEGACY_NOXTCYR => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - noytcyr Service (noytcyr) .(...) - LEGACY_NOYTCYR => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - roxtctm Settings storage service (roxtctm) .(...) - LEGACY_ROXTCTM => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - roytctm Service (roytctm) .(...) - LEGACY_ROYTCTM => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - soxpeca Service (soxpeca) .(...) - LEGACY_SOXPECA => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - tdydowkc Service (tdydowkc) .(...) - LEGACY_TDYDOWKC => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - wsldoekd Event propagation service (wsldoekd) .(...) - LEGACY_WSLDOEKD => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKCU\..\RunOnce: [aAe28258eOlJc28258] . (...) -- C:\Documents and Settings\All Users\Application Data\aAe28258eOlJc28258\aAe28258eOlJc28258.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-4071888707-1567011825-502627533-1007\..\RunOnce: [aAe28258eOlJc28258] . (...) -- C:\Documents and Settings\All Users\Application Data\aAe28258eOlJc28258\aAe28258eOlJc28258.exe => Valeur absente
========== Dossier(s) ==========
C:\Documents and Settings\jerome\Application Data\Checkflow => Supprimé et mis en quarantaine
========== Fichier(s) ==========
c:\documents and settings\all users\application data\aae28258eoljc28258\aae28258eoljc28258.exe => Supprimé et mis en quarantaine
c:\program files\surfsidekick 3\ssk.exe => Fichier absent
========== Récapitulatif ==========
11 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Dossier(s)
2 : Fichier(s)
End of the scan
Je viens de me rendre compte que j'ai changé de surnom ... dsl. Le rapport ZHPFix au dessus est bien le mien
flo-91
Messages postés
5646
Date d'inscription
mardi 19 mai 2009
Statut
Contributeur sécurité
Dernière intervention
31 octobre 2019
1 118
15 avril 2011 à 22:07
15 avril 2011 à 22:07
Sois tu coupe ta connexion wifi après avoir téléchargé l'outil sois tu débranche ton câble Ethernet si tu es en Ethernet.
rapport Mbr :
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6Y080L0 rev.YAR41VW0 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6Y080L0 rev.YAR41VW0 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Le rapport au dessus a été fait avec le net activé. Celui-ci avec mon cable ethernet débranché
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6Y080L0 rev.YAR41VW0 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6Y080L0 rev.YAR41VW0 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
flo-91
Messages postés
5646
Date d'inscription
mardi 19 mai 2009
Statut
Contributeur sécurité
Dernière intervention
31 octobre 2019
1 118
Modifié par flo-91 le 15/04/2011 à 22:39
Modifié par flo-91 le 15/04/2011 à 22:39
Oui, mais la désinfection n'est pas terminée.
Tu devrais pourvoir démarrer en mode normal, fait ceci :
>Telecharge malwarebytes ici :
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
/!\Utilisateur de Vista : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
2)
Pour les ordinateurs équipés de Windows Vista et Windows 7, la désactivation du Contrôle des comptes utilisateurs est obligatoire
sous peine de ne pas pouvoir faire fonctionner correctement l'outil.
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
>Ad-Remover<
>Telecharge Ad-Remover et enregistre-le sur ton bureau :
https://www.commentcamarche.net/telecharger/securite/2547-ad-remover/
>Désactive ton antivirus le temps de la manip
>Déconnecte-toi d'Internet et ferme toutes applications en cours
>Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
>Au menu principal, choisis l'option Nettoyer
>Poste le rapport généré (C:\Ad-Report-CLEAN.log).
>N'oublie pas de réactiver ton anti-virus
*>flo-91<*®
N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),
il y a peut être déjà la solution à votre problème =)
Tu devrais pourvoir démarrer en mode normal, fait ceci :
>Telecharge malwarebytes ici :
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
/!\Utilisateur de Vista : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
2)
Pour les ordinateurs équipés de Windows Vista et Windows 7, la désactivation du Contrôle des comptes utilisateurs est obligatoire
sous peine de ne pas pouvoir faire fonctionner correctement l'outil.
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
>Ad-Remover<
>Telecharge Ad-Remover et enregistre-le sur ton bureau :
https://www.commentcamarche.net/telecharger/securite/2547-ad-remover/
>Désactive ton antivirus le temps de la manip
>Déconnecte-toi d'Internet et ferme toutes applications en cours
>Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
>Au menu principal, choisis l'option Nettoyer
>Poste le rapport généré (C:\Ad-Report-CLEAN.log).
>N'oublie pas de réactiver ton anti-virus
*>flo-91<*®
N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),
il y a peut être déjà la solution à votre problème =)
Je viens de penser à un truc.
Mon disque dur externe était branché quand les premier symptomes de mon infection sont apparus.
Je me suis empressé de le débrancher aussitôt, mais là je viens de le rebrancher ... ça pose un pb à ton avis ?
Me dit pas qu'il faut tout recommencer .... ça à l'air de bien tourner depuis que j'ai redémarré en mode normal (malware fait une analyse en ce moment).
Mon disque dur externe était branché quand les premier symptomes de mon infection sont apparus.
Je me suis empressé de le débrancher aussitôt, mais là je viens de le rebrancher ... ça pose un pb à ton avis ?
Me dit pas qu'il faut tout recommencer .... ça à l'air de bien tourner depuis que j'ai redémarré en mode normal (malware fait une analyse en ce moment).
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6370
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
16/04/2011 02:14:14
mbam-log-2011-04-16 (02-14-14).txt
Type d'examen: Examen complet (A:\|C:\|D:\|E:\|G:\|H:\|I:\|Q:\|R:\|)
Elément(s) analysé(s): 313380
Temps écoulé: 3 heure(s), 14 minute(s), 14 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
c:\WINDOWS\ksfw32.dll (Trojan.Hiloti) -> Delete on reboot.
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Jfayuveliko (Trojan.Hiloti) -> Value: Jfayuveliko -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mpe (Malware.Trace) -> Value: mpe -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\WINDOWS\ksfw32.dll (Trojan.Hiloti) -> Delete on reboot.
c:\program files\ZHPDiag\quarantine\aae28258eoljc28258.exe.vir (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.
c:\system volume information\_restore{a51c5cde-3710-45ed-aeaf-4dbee7e77752}\RP418\A0113842.exe (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.
c:\documents and settings\jerome\Bureau\test.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\documents and settings\jerome\Bureau\ultrasurf\u992.exe (Trojan.UltraSurf) -> Quarantined and deleted successfully.
c:\documents and settings\jerome\Bureau\ultrasurf\U994.exe (Trojan.UltraSurf) -> Quarantined and deleted successfully.
c:\documents and settings\jerome\local settings\Temp\tmp45.tmp (Trojan.Inject) -> Quarantined and deleted successfully.
c:\documents and settings\jerome\local settings\Temp\7b979aeb.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\documents and settings\jerome\local settings\Temp\_vdmstmsnd_.dat (Malware.Trace) -> Quarantined and deleted successfully.
www.malwarebytes.org
Version de la base de données: 6370
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
16/04/2011 02:14:14
mbam-log-2011-04-16 (02-14-14).txt
Type d'examen: Examen complet (A:\|C:\|D:\|E:\|G:\|H:\|I:\|Q:\|R:\|)
Elément(s) analysé(s): 313380
Temps écoulé: 3 heure(s), 14 minute(s), 14 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
c:\WINDOWS\ksfw32.dll (Trojan.Hiloti) -> Delete on reboot.
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Jfayuveliko (Trojan.Hiloti) -> Value: Jfayuveliko -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mpe (Malware.Trace) -> Value: mpe -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\WINDOWS\ksfw32.dll (Trojan.Hiloti) -> Delete on reboot.
c:\program files\ZHPDiag\quarantine\aae28258eoljc28258.exe.vir (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.
c:\system volume information\_restore{a51c5cde-3710-45ed-aeaf-4dbee7e77752}\RP418\A0113842.exe (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.
c:\documents and settings\jerome\Bureau\test.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\documents and settings\jerome\Bureau\ultrasurf\u992.exe (Trojan.UltraSurf) -> Quarantined and deleted successfully.
c:\documents and settings\jerome\Bureau\ultrasurf\U994.exe (Trojan.UltraSurf) -> Quarantined and deleted successfully.
c:\documents and settings\jerome\local settings\Temp\tmp45.tmp (Trojan.Inject) -> Quarantined and deleted successfully.
c:\documents and settings\jerome\local settings\Temp\7b979aeb.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\documents and settings\jerome\local settings\Temp\_vdmstmsnd_.dat (Malware.Trace) -> Quarantined and deleted successfully.
flo-91
Messages postés
5646
Date d'inscription
mardi 19 mai 2009
Statut
Contributeur sécurité
Dernière intervention
31 octobre 2019
1 118
16 avril 2011 à 10:20
16 avril 2011 à 10:20
Bien, tu peux passer à ad-remover maintenant.
J'utilise Ci-joint car le rapport est trop long ...
http://www.cijoint.fr/cjlink.php?file=cj201104/cijVYuTw7T.txt
http://www.cijoint.fr/cjlink.php?file=cj201104/cijVYuTw7T.txt
flo-91
Messages postés
5646
Date d'inscription
mardi 19 mai 2009
Statut
Contributeur sécurité
Dernière intervention
31 octobre 2019
1 118
16 avril 2011 à 12:47
16 avril 2011 à 12:47
Ok, ton pc devrait aller mieux maintenant :)
Poste un nouveau rapport ZHPDIAG pour controle stp.
Poste un nouveau rapport ZHPDIAG pour controle stp.
15 avril 2011 à 21:15