Ordinateur très lent, Root-Kit detecté
Résolu
Th0m45
Messages postés
81
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
j'ai eu ce matin un petit coup de fils de ma Möman ( alias Madame Michu) pour me dire que son anti-virus ( avast ) lancé l'alerte rouge en disant qu'il avait trouvé un RootKit.
Je suis donc en possession de la dite machine.
Quelqu'un pourrait il m'aider pour voir le niveau de l'infection et éradiqué toute présente menace.
(Le pc en question est un peu vieux , je n'ai pas de disque de re-installe du système.)
Thomas
j'ai eu ce matin un petit coup de fils de ma Möman ( alias Madame Michu) pour me dire que son anti-virus ( avast ) lancé l'alerte rouge en disant qu'il avait trouvé un RootKit.
Je suis donc en possession de la dite machine.
Quelqu'un pourrait il m'aider pour voir le niveau de l'infection et éradiqué toute présente menace.
(Le pc en question est un peu vieux , je n'ai pas de disque de re-installe du système.)
Thomas
A voir également:
- Ordinateur très lent, Root-Kit detecté
- Pc tres lent - Guide
- Ordinateur - Guide
- Réinitialiser ordinateur - Guide
- Clé usb non detecté - Guide
- Mon mac est lent comment le nettoyer - Guide
36 réponses
voila le rapport ComboFix:
ComboFix 11-04-30.02 - Thomas 30/04/2011 22:58:15.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.648 [GMT 2:00]
Lancé depuis: c:\documents and settings\Thomas\Bureau\combo-fix\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\tom\Application Data\inst.exe
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_QUESTBROWSE_SERVICE
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-03-28 au 2011-04-30 ))))))))))))))))))))))))))))))))))))
.
.
2011-04-30 15:48 . 2011-04-30 15:48 -------- d-----w- c:\documents and settings\Thomas\Application Data\Malwarebytes
2011-04-30 15:48 . 2011-04-30 15:48 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
2011-04-30 15:48 . 2010-11-29 15:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-30 15:48 . 2011-04-30 15:48 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-04-30 15:48 . 2010-11-29 15:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-04-30 15:12 . 2011-04-30 15:15 -------- d-----w- C:\UsbFix
2011-04-30 13:07 . 2011-04-30 13:07 -------- d-----w- c:\program files\Ad-Remover
2011-04-30 12:50 . 2011-04-30 12:50 512 ------w- C:\PhysicalDisk0_MBR.bin
2011-04-30 12:46 . 2011-04-30 19:42 -------- d-----w- c:\program files\ZHPDiag
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-23 15:04 . 2011-01-16 11:39 40648 ----a-w- c:\windows\avastSS.scr
2011-02-23 15:04 . 2009-02-18 19:47 190016 ----a-w- c:\windows\system32\aswBoot.exe
2011-02-23 14:56 . 2011-03-10 20:03 371544 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-02-23 14:56 . 2009-02-18 19:47 301528 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-02-23 14:55 . 2009-02-18 19:47 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-02-23 14:55 . 2009-02-18 19:47 102232 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-02-23 14:55 . 2009-02-18 19:47 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-02-23 14:55 . 2009-02-18 19:47 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-02-23 14:54 . 2009-02-18 19:47 30680 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-02-23 14:54 . 2009-02-18 19:47 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-02-20 21:38 . 2009-02-20 21:38 26596640 ----a-w- c:\program files\AdbeRdr90_fr_FR.exe
2006-05-03 10:06 163328 --sh--r- c:\windows\system32\flvDX.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-02-23 15:04 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-17 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-11-24 94208]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"VIARaidUtl"="c:\program files\VIA\RAID\raid_tool.exe" [2009-02-19 4918936]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-27 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-03-06 488984]
"LogitechQuickCamRibbon"="c:\program files\Labtec\WebCam10\WebCam10.exe" [2007-03-06 1060376]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"avast"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-02-23 3451496]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users.WINDOWS\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-16 19:35 87352 ----a-w- c:\windows\system32\LMIinit.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Warcraft III\\Warcraft III.exe"=
"c:\\MPS\\TTWin95\\TTDLOADW.OVL"=
"c:\\Program Files\\Microsoft Games\\Age of Empires II\\EMPIRES2.ICD"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"56844:TCP"= 56844:TCP:Pando Media Booster
"56844:UDP"= 56844:UDP:Pando Media Booster
"8396:TCP"= 8396:TCP:League of Legends Launcher
"8396:UDP"= 8396:UDP:League of Legends Launcher
"6971:TCP"= 6971:TCP:League of Legends Launcher
"6971:UDP"= 6971:UDP:League of Legends Launcher
"6881:TCP"= 6881:TCP:League of Legends Launcher
"6881:UDP"= 6881:UDP:League of Legends Launcher
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06/06/2010 03:10 691696]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [10/03/2011 22:03 371544]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [18/02/2009 21:47 301528]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [19/08/2004 16:10 14336]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [18/02/2009 21:47 19544]
R2 VRAID Log Service;VRAID Log Service;c:\program files\VIA\RAID\vialogsv.exe [19/02/2009 20:21 52888]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [02/02/2010 17:24 135664]
S2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\program files\LogMeIn\x86\RaInfo.sys --> c:\program files\LogMeIn\x86\RaInfo.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 15:24]
.
2011-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 15:24]
.
2011-04-30 c:\windows\Tasks\User_Feed_Synchronization-{E51FA0E6-9304-4B38-96CE-33947154EEF0}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-30 23:08
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
VIARaidUtl = c:\program files\VIA\RAID\raid_tool.exe?windows_v-
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(692)
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll
.
- - - - - - - > 'explorer.exe'(2704)
c:\program files\Windows Media Player\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\msls31.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WgaTray.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-04-30 23:12:56 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-04-30 21:12
.
Avant-CF: 9 037 824 000 octets libres
Après-CF: 11 670 081 536 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 717F348849D733626B305DD592318D8F
j'ai lancé une analyse MBAM , celle ci a l'air de bien tourner. Je posterais le rapport.
Ensuite je referais un petit coup de ZHPDiag et posterais également le rapport.
( si tu reviens avant que je fasses les manips, et qu'elles sont inutiles, n'hésite pas à me prévenir )
Une erreur ne devient pas vérité parce que tout le monde y croit.
Ensuite je referais un petit coup de ZHPDiag et posterais également le rapport.
( si tu reviens avant que je fasses les manips, et qu'elles sont inutiles, n'hésite pas à me prévenir )
Une erreur ne devient pas vérité parce que tout le monde y croit.
Merci pour ton coup de main Patrick7338, mais Jawaryinti m'a déjà pris en charge pour la désinfection. Pour évité des conflits logiciel ou autre, je vais attendre son retour.
Une erreur ne devient pas vérité parce que tout le monde y croit.
Une erreur ne devient pas vérité parce que tout le monde y croit.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
no problémo
en ce moment, les rootkits sont une véritable épidémie, mais ce n' est pas si méchant que cela.
une quarantaine d' infections, c' est tout. apres; le P.C aura des ailes...
(ne sort jamais la carte bleu; c' est le plus important. :-) )
en ce moment, les rootkits sont une véritable épidémie, mais ce n' est pas si méchant que cela.
une quarantaine d' infections, c' est tout. apres; le P.C aura des ailes...
(ne sort jamais la carte bleu; c' est le plus important. :-) )
Bonjour,
Patrick
en ce moment, les rootkits sont une véritable épidémie, mais ce n' est pas si méchant que cela.
C'est ce que tu crois, c'est une véritable plaie, c'est dangereux car ils installent
d'autres cochonneries, et ils deviennent maitre du PC lorsqu'ils sont installés
Thomas
Tu as deux failles de sécurité, Adobe et Java ne sont pas à jour désinstalle les
Installe la nouvelle version d'Adobe en cliquant sur ce lien
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html
Prend le temps de lire les instructions, et tu dois refuser
le complément qu'on te propose
Ensuite, fait ceci:
* Lance Adobe Reader
* Clique sur Edition --> Préférences --> JavaScript
* Décoche Activer Acrobat JavaScript
* Valide
C'est pour désactiver l'interprétation de Javascript dans Adobe,
car c'est source d'infections, et cela ne sert à rien
Télécharge et installe la nouvelle version de Java
https://java.com/fr/
Patrick
en ce moment, les rootkits sont une véritable épidémie, mais ce n' est pas si méchant que cela.
C'est ce que tu crois, c'est une véritable plaie, c'est dangereux car ils installent
d'autres cochonneries, et ils deviennent maitre du PC lorsqu'ils sont installés
Thomas
Tu as deux failles de sécurité, Adobe et Java ne sont pas à jour désinstalle les
Installe la nouvelle version d'Adobe en cliquant sur ce lien
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html
Prend le temps de lire les instructions, et tu dois refuser
le complément qu'on te propose
Ensuite, fait ceci:
* Lance Adobe Reader
* Clique sur Edition --> Préférences --> JavaScript
* Décoche Activer Acrobat JavaScript
* Valide
C'est pour désactiver l'interprétation de Javascript dans Adobe,
car c'est source d'infections, et cela ne sert à rien
Télécharge et installe la nouvelle version de Java
https://java.com/fr/
dac, en revanche je viens de voir que le système n'était pas à jour.
Il est actuellement en train de ce mettre à jour aussi ( à l'heure ou je te parles," installation de la mise à jour 8 / 60 ").
Des qu'il est redémarrer, je te poste un Scan.
Une erreur ne devient pas vérité parce que tout le monde y croit.
Il est actuellement en train de ce mettre à jour aussi ( à l'heure ou je te parles," installation de la mise à jour 8 / 60 ").
Des qu'il est redémarrer, je te poste un Scan.
Une erreur ne devient pas vérité parce que tout le monde y croit.
C'est très bien, mon fix a fonctionné
Tu as mis à jour Java, c'est très bien, par contre tu dois mettre à jour Adobe
Désinstalle le
Installe la nouvelle version en cliquant sur ce lien
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html
Prend le temps de lire les instructions, et tu dois refuser
le complément qu'on te propose
Ensuite, fait ceci:
* Lance Adobe Reader
* Clique sur Edition --> Préférences --> JavaScript
* Décoche Activer Acrobat JavaScript
* Valide
C'est pour désactiver l'interprétation de Javascript dans Adobe,
car c'est source d'infections, et cela ne sert à rien
Java et Adobe sont deux logiciels très sensibles aux failles de sécurité
Tu as mis à jour Java, c'est très bien, par contre tu dois mettre à jour Adobe
Désinstalle le
Installe la nouvelle version en cliquant sur ce lien
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html
Prend le temps de lire les instructions, et tu dois refuser
le complément qu'on te propose
Ensuite, fait ceci:
* Lance Adobe Reader
* Clique sur Edition --> Préférences --> JavaScript
* Décoche Activer Acrobat JavaScript
* Valide
C'est pour désactiver l'interprétation de Javascript dans Adobe,
car c'est source d'infections, et cela ne sert à rien
Java et Adobe sont deux logiciels très sensibles aux failles de sécurité
Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier
SysRestore
EmptyTemp
EmptyFlash
CTFDisabled
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk . (.Microsoft Corporation.) -- C:\Program Files\Microsoft Office\Office\OSA9.EXE
* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Redémarre ton PC
Ensuite, poste moi un nouveau rapport ZHPDiag
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier
SysRestore
EmptyTemp
EmptyFlash
CTFDisabled
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk . (.Microsoft Corporation.) -- C:\Program Files\Microsoft Office\Office\OSA9.EXE
* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Redémarre ton PC
Ensuite, poste moi un nouveau rapport ZHPDiag
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
voila :
Rapport de ZHPFix 1.12.3279 par Nicolas Coolman, Update du 27/04/2011 Fichier d'export Registre : C:\ZHPExportRegistry-01-05-2011-16-54-54.txt Run by Thomas at 01/05/2011 16:54:54 Windows XP Professional Service Pack 3 (Build 2600) Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html ========== Valeur(s) du Registre ========== O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe => Valeur supprimée avec succès O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur supprimée avec succès O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe => Valeur supprimée avec succès O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe => Valeur supprimée avec succès O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur supprimée avec succès ========== Elément(s) de donnée du Registre ========== CTFDisabled => Donnée supprimée avec succès ========== Dossier(s) ========== Dossiers Flash Cookies supprimés : 2 ========== Fichier(s) ========== Fichiers Flash Cookies supprimés : 1 c:\documents and settings\all users\menu démarrer\programmes\démarrage\microsoft office.lnk => Supprimé et mis en quarantaine ========== Restauration Système ========== Point de restauration du système créé avec succès ========== Récapitulatif ========== 5 : Valeur(s) du Registre 1 : Elément(s) de donnée du Registre 1 : Dossier(s) 2 : Fichier(s) 1 : Restauration Système End of the scan
On va nettoyer tous les outils qui ont servi
Télécharge Del Fix (de Xplode), sur ton bureau
http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/3-delfix
Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
Sélectionne Suppression
Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.
*Désactive ta restauration pour supprimer les points de restauration infectés:
Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système Coche la case désactiver la restauration Clique sur appliquer, puis sur OK
---> Redémarre ton PC ...
*Réactive ta restauration :
Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système Décoche la case désactiver la restauration Clique sur appliquer, puis sur OK
--->Redémarre ton PC ...
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).
Créer un point de restauration propre manuellement:
Démarrer, Programmes
Va dans accessoires, et dans outils système
Sélectionne restauration système
Clique sur suivant
Entre la date du point de restauration que tu veux créer
Clique sur créer, et le point de restauration se crée automatiquement
Ensuite tu me diras si Avast ne détecte plus rien normalement
Télécharge Del Fix (de Xplode), sur ton bureau
http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/3-delfix
Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
Sélectionne Suppression
Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.
*Désactive ta restauration pour supprimer les points de restauration infectés:
Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système Coche la case désactiver la restauration Clique sur appliquer, puis sur OK
---> Redémarre ton PC ...
*Réactive ta restauration :
Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système Décoche la case désactiver la restauration Clique sur appliquer, puis sur OK
--->Redémarre ton PC ...
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).
Créer un point de restauration propre manuellement:
Démarrer, Programmes
Va dans accessoires, et dans outils système
Sélectionne restauration système
Clique sur suivant
Entre la date du point de restauration que tu veux créer
Clique sur créer, et le point de restauration se crée automatiquement
Ensuite tu me diras si Avast ne détecte plus rien normalement
Voila le rapport de Del fix ( j'avais commencer a faire le ménages deja )
# DelFix v7.7B - Rapport créé le 01/05/2011 à 18:56 # Mis à jour le 15/04/11 à 19h30 par Xplode # Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3 # Nom d'utilisateur : Thomas - PC01 (Administrateur) # Exécuté depuis : C:\Documents and Settings\Thomas\Local Settings\Temporary Internet Files\Content.IE5\1O0K26LC\delfix[1].exe # Option [Suppression] ~~~~~~ Dossier(s) ~~~~~~ -> C:\Qoobox\BackEnv ... ACL modifié avec succès. Supprimé : C:\Qoobox Supprimé : C:\Program Files\ZHPDiag Supprimé : C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\ZHP ~~~~~~ Fichier(s) ~~~~~~ Supprimé : C:\ComboFix.txt Supprimé : C:\TDSSKiller.2.4.21.0_30.04.2011_14.38.53_log.txt Supprimé : C:\TDSSKiller.2.4.21.0_30.04.2011_14.43.57_log.txt Supprimé : C:\ZHPExportRegistry-01-05-2011-16-54-54.txt Supprimé : C:\ZHPExportRegistry-30-04-2011-15-52-43.txt Supprimé : C:\PhysicalDisk0_MBR.bin Supprimé : C:\WINDOWS\grep.exe Supprimé : C:\WINDOWS\PEV.exe Supprimé : C:\WINDOWS\NIRCMD.exe Supprimé : C:\WINDOWS\MBR.exe Supprimé : C:\WINDOWS\sed.exe Supprimé : C:\WINDOWS\SWREG.exe Supprimé : C:\WINDOWS\SWSC.exe Supprimé : C:\WINDOWS\SWXCACLS.exe Supprimé : C:\WINDOWS\zip.exe Supprimé : C:\Documents and Settings\Thomas\Bureau\ZHPDiag2.zip Supprimé : C:\Documents and Settings\Thomas\Bureau\ZHPFixReport.txt Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\ZHPDiag.lnk Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\ZHPFix.lnk Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\MBRCheck.lnk ~~~~~~ Registre ~~~~~~ Clé Supprimée : HKLM\Software\Classes\.cfxxe Clé Supprimée : HKLM\Software\Classes\cfxxefile Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1 ACL [0] -> [7] & Clé Supprimée : HKLM\SOFTWARE\Swearware ~~~~~~ Autre ~~~~~~ -> Prefetch vidé ########## EOF - "C:\DelFixSuppr.txt" - [2032 octets] ##########
bonjour
le mieux serait d' aller sur: https://support.kaspersky.com/fr/viruses/utility
et de télécharger le programme: pmaxkiller
ensuite un scan profond avec: emsisoft puis malwarebyte.
et tu ne devrais plus avoir de problémes.
(sur une clée usb propre, bien sur.)
le mieux serait d' aller sur: https://support.kaspersky.com/fr/viruses/utility
et de télécharger le programme: pmaxkiller
ensuite un scan profond avec: emsisoft puis malwarebyte.
et tu ne devrais plus avoir de problémes.
(sur une clée usb propre, bien sur.)