Keylogger & Registre

Question

Bonjour,        

j'ai un keylogger, ( backdoor & trojan détéctés par les antivirus [malwarebytes, avira, bitdefender]) actuellement je suis en mode sans echec       
j'ai supp. plusieures fois le virus mais il se re manifeste        
ca viendrait du fichier temp et peut etre du registre. (il se remanifeste (?) )       
je précise que j'ai les 3 antivirus en version complète (enregistrée )       
alors, est ce que quelqu'un de gentil me donnera des conseils ? :)       

  
    
le virus est type: backdoor.generic    
et : trojan     
pour d'autres anti virus.    
il viendrait du fichier C:\Windows\Temp	mp00004b36 et C:\Window\Temp	mp0000782c  

J'ai beau les supprimer mais ils se recreent.  
Pareils avec les antivirus.    

Merci beaucoup de votre aide , c'est urgent.    

Je jouais tranquillement à 'Portal 2'  Quand il se manifesta.    

Cordialement, -Helice-    



Configuration: Windows 7 / Firefox 4.0.1

moment de grace · Accepted Answer

ok

1)

faire le ménage côté antivirus, il n'en faut qu'un !

pour desinstaller norton

https://www.commentcamarche.net/faq/2453-supprimer-desinstaller-norton-antivirus-norton-internet-security

pour desinstaller bitdefender

https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#bitdefender

pour desinstaller les restes AVG

https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#avg-antivirus

__________

2)

poster le rapport antivir et le rapport de MalwareByte's sans relancer d'examen

___________

3)

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

M2 - MFEP: prefs.js [Roman et Barth - 05b0vx7y.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.12 (.http://www.cacaoweb.org/     
R3 - URLSearchHook: UrlSearchHook Class [64Bits] - {00000000-6E41-4FD3-8538-502F5495E5FC} . (.Ask.com - Ask.com Toolbar.) (5.6.6.117) -- C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll     
O2 - BHO: SuggestMeYesBHO [64Bits] - {0FB6A909-6086-458F-BD92-1F8EE10042A0} . (.SimplyGen - AutocompletePro - Helps you search the web.) -- C:\Program Files (x86)\AutocompletePro\AutocompletePro.dll     
O2 - BHO: Ask Toolbar BHO [64Bits] - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll     
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM][64Bits] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}     
O42 - Logiciel: AutocompletePro - (.Pas de propriétaire.) [HKLM][64Bits] -- AutocompletePro3_is1     
O42 - Logiciel: Viewpoint Media Player (Remove Only) - (.Pas de propriétaire.) [HKLM][64Bits] -- ViewpointMediaPlayer     
[HKCU\Software\AppDataLow\AskToolbarInfo]     
[HKCU\Software\AppDataLow\Software\AskToolbar]     
[HKCU\Software\Ask.com]     
[HKCU\Software\AutocompleteProBHO]     
[HKCU\Software\AutocompletePro]     
[HKCU\Software\cacaoweb]     
[HKLM\Software\MetaStream]     
[HKLM\Software\OpenCandy NSIS SDK]     
[HKLM\Software\Viewpoint]     
O43 - CFD: 27/04/2011 - 23:01:40 - [73382321] ----D- C:\Users\Roman et Barth\AppData\Roaming\cacaoweb     
O43 - CFD: 02/11/2010 - 23:14:48 - [0] ----D- C:\Users\Roman et Barth\Appdata\Local\OpenCandy     
O43 - CFD: 13/05/2010 - 13:18:44 - [1608243] ----D- C:\Program Files (x86)\Ask.com     
O43 - CFD: 16/10/2010 - 13:32:38 - [868399] ----D- C:\Program Files (x86)\AutocompletePro     
O43 - CFD: 12/09/2010 - 10:05:14 - [3635545] ----D- C:\Program Files (x86)\Viewpoint     
O53 - SMSR:HKLM\...\startupreg\cacaoweb  [Key] . (...) -- C:\Users\Roman et Barth\AppData\Roaming\cacaoweb\cacaoweb.exe     
O87 - FAEL: "TCP Query User{450B7CB4-DB65-4A8C-85A3-83AC65E421E2}C:\usersoman et barth\appdataoaming\cacaoweb\cacaoweb.exe" | In - Private - P6 - TRUE | .(...) -- C:\usersoman et barth\appdataoaming\cacaoweb\cacaoweb.exe     
O87 - FAEL: "UDP Query User{833F15FA-2FD3-459C-9416-1BA292F69E23}C:\usersoman et barth\appdataoaming\cacaoweb\cacaoweb.exe" | In - Private - P17 - TRUE | .(...) -- C:\usersoman et barth\appdataoaming\cacaoweb\cacaoweb.exe     
O87 - FAEL: "{1EADB3D6-FA4F-4F31-92A2-4A52214149D0}" | In - Public - P17 - TRUE | .(...) -- C:\usersoman et barth\appdataoaming\cacaoweb\cacaoweb.exe     
O87 - FAEL: "{3A027565-B857-471C-844E-339E5B5B8359}" | In - Public - P6 - TRUE | .(...) -- C:\usersoman et barth\appdataoaming\cacaoweb\cacaoweb.exe     
[HKCR\genericasktoolbar.toolbarwnd]     
[HKCR\genericasktoolbar.toolbarwnd.1]     
[HKLM\Software\Cheat Engine\OpenCandy]     
[HKLM\Software\Messenger Plus!\OpenCandy]     
[HKLM\Software\Wow6432Node\Cheat Engine\OpenCandy]     
[HKLM\Software\Wow6432Node\Messenger Plus!\OpenCandy]     
[HKLM\Software\Classes\axmetastream.metastreamctl]     
[HKLM\Software\Classes\axmetastream.metastreamctl.1]     
[HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd]     
[HKLM\Software\Wow6432Node\Classes\GenericAskToolbar.ToolbarWnd]     
[HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1]     
[HKLM\Software\Wow6432Node\Classes\GenericAskToolbar.ToolbarWnd.1]     
[HKLM\Software\Classes\suggestmeyes.suggestmeyesbho]     
[HKLM\Software\Wow6432Node\Classes\suggestmeyes.suggestmeyesbho]     
[HKLM\Software\Classes\suggestmeyes.suggestmeyesbho.1]     
[HKLM\Software\Wow6432Node\Classes\suggestmeyes.suggestmeyesbho.1]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}]     
[HKCR\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}]     
[HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}]     
[HKCR\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}]     
[HKLM\Software\Classes\Wow6432Node\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}]     
[HKLM\Software\Classes\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]     
[HKCR\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]     
[HKLM\Software\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]     
[HKCR\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]     
[HKLM\Software\Classes\Wow6432Node\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]     
[HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]     
[HKCR\TypeLib\{43B4B831-F41F-4F73-8F14-4FFF0BA75B1B}]     
[HKLM\Software\Classes\Wow6432Node\TypeLib\{43B4B831-F41F-4F73-8F14-4FFF0BA75B1B}]     
[HKLM\Software\Classes\TypeLib\{43B4B831-F41F-4F73-8F14-4FFF0BA75B1B}]     
[HKCR\AppID\{442f13bc-2031-42d5-9520-437f65271153}]     
[HKLM\Software\Classes\AppID\{442f13bc-2031-42d5-9520-437f65271153}]     
[HKLM\Software\Wow6432Node\Classes\AppID\{442f13bc-2031-42d5-9520-437f65271153}]     
[HKCR\AppID\{5e50ae1d-bc76-418b-94c4-efeac0cef80c}]     
[HKLM\Software\Classes\AppID\{5e50ae1d-bc76-418b-94c4-efeac0cef80c}]     
[HKLM\Software\Wow6432Node\Classes\AppID\{5e50ae1d-bc76-418b-94c4-efeac0cef80c}]     
[HKCR\AppID\{69E54DE2-C4ED-4BEC-8046-E3F9AC74B4B0}]     
[HKLM\Software\Classes\AppID\{69E54DE2-C4ED-4BEC-8046-E3F9AC74B4B0}]     
[HKLM\Software\Wow6432Node\Classes\AppID\{69E54DE2-C4ED-4BEC-8046-E3F9AC74B4B0}]     
[HKCR\TypeLib\{6C9945B7-1D19-46CB-88C0-45A24DF6CD6E}]     
[HKLM\Software\Classes\Wow6432Node\TypeLib\{6C9945B7-1D19-46CB-88C0-45A24DF6CD6E}]     
[HKLM\Software\Classes\TypeLib\{6C9945B7-1D19-46CB-88C0-45A24DF6CD6E}]     
[HKCR\TypeLib\{84B9B044-17C0-48FB-A300-C9747D5DF29C}]     
[HKLM\Software\Classes\Wow6432Node\TypeLib\{84B9B044-17C0-48FB-A300-C9747D5DF29C}]     
[HKLM\Software\Classes\TypeLib\{84B9B044-17C0-48FB-A300-C9747D5DF29C}]     
[HKCR\TypeLib\{85672EDB-2CC8-40B9-A9E8-77D3478F2EFB}]     
[HKLM\Software\Classes\Wow6432Node\TypeLib\{85672EDB-2CC8-40B9-A9E8-77D3478F2EFB}]     
[HKLM\Software\Classes\TypeLib\{85672EDB-2CC8-40B9-A9E8-77D3478F2EFB}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]     
[HKCR\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}]     
[HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}]     
[HKLM\Software\Wow6432Node\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}]     
[HKLM\Software\Classes\TypeLib\{9dbb28c1-1925-11d3-a498-00104b6eb52e}]     
[HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]     
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]     
[HKCR\AppID\{AD71F65D-CD13-4837-A2DC-E4D90020E7D4}]     
[HKLM\Software\Classes\AppID\{AD71F65D-CD13-4837-A2DC-E4D90020E7D4}]     
[HKLM\Software\Wow6432Node\Classes\AppID\{AD71F65D-CD13-4837-A2DC-E4D90020E7D4}]     
[HKCR\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}]     
[HKLM\Software\Classes\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKCR\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKCR\AppID\{F54A0D21-6A53-460C-8301-C694EC9E1033}]     
[HKLM\Software\Classes\AppID\{F54A0D21-6A53-460C-8301-C694EC9E1033}]     
[HKLM\Software\Wow6432Node\Classes\AppID\{F54A0D21-6A53-460C-8301-C694EC9E1033}]     
[HKCR\AppID\{F7BCCFD4-2FA6-477D-A1B0-EF7500B3C49E}]     
[HKLM\Software\Classes\AppID\{F7BCCFD4-2FA6-477D-A1B0-EF7500B3C49E}]     
[HKLM\Software\Wow6432Node\Classes\AppID\{F7BCCFD4-2FA6-477D-A1B0-EF7500B3C49E}]     
[HKLM\Software\Google\Chrome\Extensions\defdhglnppeioeflggkmglipcecffkhk]     
[HKCR\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]     
[HKCR\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF]     
[HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]     
[HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF]     
[HKLM\Software\Wow6432Node\MetaStream]     
[HKLM\Software\Wow6432Node\OpenCandy NSIS SDK]     
[HKLM\Software\Wow6432Node\Viewpoint]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\autocompletepro3_is1]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer]     
[HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks]:{00000000-6E41-4FD3-8538-502F5495E5FC}     
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}     
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{D4027C7F-154A-4066-A1AD-4243D8127440}     
C:\Users\Roman et Barth\AppData\Roaming\cacaoweb     
C:\Users\Roman et Barth\Appdata\Local\OpenCandy     
C:\Documents and Settings\Roman et Barth\Local Settings\Application Data\OpenCandy     
C:\Users\Roman et Barth\Appdata\LocalLow\AskToolbar     
C:\Users\Roman et Barth\Appdata\LocalLow\Hotbar     
C:\Program Files (x86)\Ask.com     
C:\Program Files (x86)\AutocompletePro     
C:\Program Files (x86)\Viewpoint     
M2 - MFEP: prefs.js [Roman et Barth - 05b0vx7y.default\engine@conduit.com] [] Conduit Engine  v3.3.3.2 (.Conduit Ltd..)     
M2 - MFEP: prefs.js [Roman et Barth - 05b0vx7y.default\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}] [] uTorrentBar_FR Community Toolbar v3.3.3.2 (.Conduit Ltd..)     
R3 - URLSearchHook: (no name) [64Bits] - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} Clé orpheline     
R3 - URLSearchHook: (no name) [64Bits] - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} Clé orpheline     
O2 - BHO: Hotspot Shield Class [64Bits] - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll     
O42 - Logiciel: Conduit Engin - (.Conduit Ltd.) [HKLM][64Bits] -- conduitEngine     
O42 - Logiciel: XfireXO Toolbar - (.XfireXO.) [HKLM][64Bits] -- XfireXO Toolbar     
[HKCU\Software\AppDataLow\Software\Conduit]     
[HKCU\Software\AppDataLow\Software\XfireXO]     
[HKCU\Software\AppDataLow\Software\conduitEngine]     
[HKCU\Software\AppDataLow\Software\uTorrentBar_FR]     
[HKCU\Software\AppDataLow\Toolbar]     
[HKLM\Software\Conduit]     
[HKLM\Software\XfireXO]     
O43 - CFD: 31/12/2010 - 21:06:30 - [0] ----D- C:\ProgramData\hssff     
O43 - CFD: 20/03/2011 - 15:50:02 - [3987828] ----D- C:\Program Files (x86)\ConduitEngine     
O43 - CFD: 13/06/2010 - 13:23:02 - [2937535] ----D- C:\Program Files (x86)\XfireXO     
O69 - SBI: prefs.js [Roman et Barth - 05b0vx7y.default] user_pref("CT2851639.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2851639     
O69 - SBI: prefs.js [Roman et Barth - 05b0vx7y.default] user_pref("ConduitEngine.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?     
O69 - SBI: prefs.js [Roman et Barth - 05b0vx7y.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2604146&SearchSource=     
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (HotSpot International Customized Web Search) - http://search.conduit.com     
[MD5.D9A0CE26ADA5BD15B1B03A752DDF14A6] [SPRF] (.Conduit Ltd. - Conduit Toolbar.) -- C:\Users\Roman et Barth\AppData\Local\Temp	buTor.dll   [3911776] 
[HKLM\Software\Classes\Conduit.Engine]     
[HKLM\Software\Wow6432Node\Classes\Conduit.Engine]     
[HKLM\Software\Classes\Toolbar.CT2851639]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]     
[HKCR\Interface\{6C434537-053E-486D-B62A-160059D9D456}]     
[HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}]     
[HKCR\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}]     
[HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}]     
[HKCR\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}]     
[HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}]     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]     
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]     
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv]     
[HKCU\Software\AppDataLow\Software\Conduit]     
[HKLM\Software\Conduit]     
[HKLM\Software\Wow6432Node\Conduit]     
[HKCU\Software\AppDataLow\Software\conduitEngine]     
[HKLM\Software\conduitEngine]     
[HKLM\Software\Wow6432Node\conduitEngine]     
[HKCU\Software\AppDataLow\Toolbar]     
[HKCU\Software\AppDataLow\Software\uTorrentBar_FR]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]     
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{30F9B915-B755-4826-820B-08FBA6BD249D}     
C:\ProgramData\hssff     
C:\Users\Roman et Barth\Appdata\LocalLow\ConduitEngine     
C:\Program Files (x86)\ConduitEngine    
 [MD5.D8F88227B563A387DD65ED0074DAD5F5] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Roman et Barth\AppData\Local\Temp\f0z3or1w.dll   [27136]    
C:\Users\Roman et Barth\Appdata\LocalLow\uTorrentBar_
C:\Users\Roman et Barth\AppData\Roaming\Mozilla\Firefox\Profiles\05b0vx7y.default\Conduit     
 C:\Users\Roman et Barth\AppData\Roaming\Mozilla\Firefox\Profiles\05b0vx7y.default\ConduitEngine     
 C:\Users\Roman et Barth\AppData\Roaming\Mozilla\Firefox\Profiles\05b0vx7y.default\conduit     
 C:\Users\Roman et Barth\AppData\Roaming\Mozilla\Firefox\Profiles\05b0vx7y.default\extensions\engine@conduit.com     
 C:\Users\Roman et Barth\AppData\Roaming\Mozilla\Firefox\Profiles\05b0vx7y.default\extensions\engine@conduit.com    


Puis Lance ZHPFix depuis le raccourci du bureau . (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)

* Une fois l'outil ZHPFix ouvert ,

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse



le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport 

________________

4)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

moment de grace · Answer

bonjour

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

-Helice- · Answer

Je vais essayer , Merci.
je vous tiens au courant.

-Helice- · Answer

https://pjjoint.malekal.com/files.php?read=83cfab7d961065 

Voila 

Merci de m'aider. Car je n'ai vraiment pas envie de resaurer mon systeme.

-Helice- · Answer

Et je n'ai pas compris 'fais le rapport d'avira'  

J'ai une liste de rapports mais dois-je faire un scan et si non, quel rapport.  

Voici la liste des rapports infectes:  

Rapport n°1:  
  

Avira AntiVir Personal  
Date de création du fichier de rapport : vendredi 13 mai 2011  19:47  

La recherche porte sur 2730903 souches de virus.  

Le programme fonctionne en version intégrale illimitée.  
Les services en ligne sont disponibles.  

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus  
Numéro de série         : 0000149996-ADJIE-0000001  
Plateforme              : Windows 7 x64  
Version de Windows      : (plain)  [6.1.7600]  
Mode Boot               : Démarré normalement  
Identifiant             : Système  
Nom de l'ordinateur     : ROMANETBARTH-PC  

Informations de version :  
BUILD.DAT               : 10.0.0.135     31823 Bytes  18/04/2011 14:35:00  
AVSCAN.EXE              : 10.0.4.2      442024 Bytes  27/04/2011 19:02:41  
AVSCAN.DLL              : 10.0.3.0       56168 Bytes  17/08/2010 11:39:10  
LUKE.DLL                : 10.0.3.2      104296 Bytes  04/01/2011 16:41:11  
LUKERES.DLL             : 10.0.0.0       13672 Bytes  17/08/2010 11:39:11  
VBASE000.VDF            : 7.10.0.0    19875328 Bytes  06/11/2009 08:05:36  
VBASE001.VDF            : 7.11.0.0    13342208 Bytes  14/12/2010 16:40:31  
VBASE002.VDF            : 7.11.3.0     1950720 Bytes  09/02/2011 16:39:02  
VBASE003.VDF            : 7.11.5.225   1980416 Bytes  07/04/2011 15:52:12  
VBASE004.VDF            : 7.11.5.226      2048 Bytes  07/04/2011 15:52:14  
VBASE005.VDF            : 7.11.5.227      2048 Bytes  07/04/2011 15:52:14  
VBASE006.VDF            : 7.11.5.228      2048 Bytes  07/04/2011 15:52:14  
VBASE007.VDF            : 7.11.5.229      2048 Bytes  07/04/2011 15:52:15  
VBASE008.VDF            : 7.11.5.230      2048 Bytes  07/04/2011 15:52:16  
VBASE009.VDF            : 7.11.5.231      2048 Bytes  07/04/2011 15:52:16  
VBASE010.VDF            : 7.11.5.232      2048 Bytes  07/04/2011 15:52:17  
VBASE011.VDF            : 7.11.5.233      2048 Bytes  07/04/2011 15:52:17  
VBASE012.VDF            : 7.11.5.234      2048 Bytes  07/04/2011 15:52:19  
VBASE013.VDF            : 7.11.6.28     158208 Bytes  11/04/2011 17:16:45  
VBASE014.VDF            : 7.11.6.74     116224 Bytes  13/04/2011 16:26:24  
VBASE015.VDF            : 7.11.6.113    137728 Bytes  14/04/2011 19:02:40  
VBASE016.VDF            : 7.11.6.150    146944 Bytes  18/04/2011 19:02:40  
VBASE017.VDF            : 7.11.6.192    138240 Bytes  20/04/2011 19:02:40  
VBASE018.VDF            : 7.11.6.237    156160 Bytes  22/04/2011 19:02:40  
VBASE019.VDF            : 7.11.7.45     427520 Bytes  27/04/2011 19:02:40  
VBASE020.VDF            : 7.11.7.64     192000 Bytes  28/04/2011 10:34:55  
VBASE021.VDF            : 7.11.7.97     182272 Bytes  02/05/2011 15:54:15  
VBASE022.VDF            : 7.11.7.127    467968 Bytes  04/05/2011 15:24:39  
VBASE023.VDF            : 7.11.7.183    185856 Bytes  09/05/2011 15:52:50  
VBASE024.VDF            : 7.11.7.218    133120 Bytes  11/05/2011 16:04:13  
VBASE025.VDF            : 7.11.7.234    139776 Bytes  11/05/2011 16:04:14  
VBASE026.VDF            : 7.11.8.16     147456 Bytes  13/05/2011 16:04:14  
VBASE027.VDF            : 7.11.8.17       2048 Bytes  13/05/2011 16:04:14  
VBASE028.VDF            : 7.11.8.18       2048 Bytes  13/05/2011 16:04:14  
VBASE029.VDF            : 7.11.8.19       2048 Bytes  13/05/2011 16:04:14  
VBASE030.VDF            : 7.11.8.20       2048 Bytes  13/05/2011 16:04:15  
VBASE031.VDF            : 7.11.8.21       2048 Bytes  13/05/2011 16:04:15  
Version du moteur       : 8.2.4.228   
AEVDF.DLL               : 8.1.2.1       106868 Bytes  17/08/2010 11:38:53  
AESCRIPT.DLL            : 8.1.3.61     1253754 Bytes  06/05/2011 15:24:46  
AESCN.DLL               : 8.1.7.2       127349 Bytes  29/11/2010 16:42:34  
AESBX.DLL               : 8.1.3.2       254324 Bytes  29/11/2010 16:42:42  
AERDL.DLL               : 8.1.9.9       639347 Bytes  27/03/2011 08:01:57  
AEPACK.DLL              : 8.2.6.0       549237 Bytes  11/04/2011 17:17:12  
AEOFFICE.DLL            : 8.1.1.22      205178 Bytes  06/05/2011 15:24:44  
AEHEUR.DLL              : 8.1.2.113    3494263 Bytes  06/05/2011 15:24:43  
AEHELP.DLL              : 8.1.16.1      246134 Bytes  11/02/2011 16:39:22  
AEGEN.DLL               : 8.1.5.4       397684 Bytes  04/04/2011 15:58:44  
AEEMU.DLL               : 8.1.3.0       393589 Bytes  29/11/2010 16:42:24  
AECORE.DLL              : 8.1.20.2      196982 Bytes  11/04/2011 17:17:04  
AEBB.DLL                : 8.1.1.0        53618 Bytes  17/08/2010 11:38:45  
AVWINLL.DLL             : 10.0.0.0       19304 Bytes  17/08/2010 11:38:56  
AVPREF.DLL              : 10.0.0.0       44904 Bytes  17/08/2010 11:38:55  
AVREP.DLL               : 10.0.0.9      174120 Bytes  27/04/2011 19:02:42  
AVREG.DLL               : 10.0.3.2       53096 Bytes  17/08/2010 11:38:56  
AVSCPLR.DLL             : 10.0.4.2       84840 Bytes  27/04/2011 19:02:41  
AVARKT.DLL              : 10.0.22.6     231784 Bytes  04/01/2011 16:41:09  
AVEVTLOG.DLL            : 10.0.0.8      203112 Bytes  17/08/2010 11:38:55  
SQLITE3.DLL             : 3.6.19.0      355688 Bytes  17/06/2010 13:28:02  
AVSMTP.DLL              : 10.0.0.17      63848 Bytes  17/08/2010 11:38:56  
NETNT.DLL               : 10.0.0.0       11624 Bytes  17/06/2010 13:28:01  
RCIMAGE.DLL             : 10.0.0.26    2550120 Bytes  10/02/2010 23:23:03  
RCTEXT.DLL              : 10.0.58.0      99688 Bytes  17/08/2010 11:39:11  

Configuration pour la recherche actuelle :  
Nom de la tâche...............................: avguard_async_scan  
Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4dfa02af\guard_slideup.avp  
Documentation.................................: bas  
Action principale.............................: réparer  
Action secondaire.............................: quarantaine  
Recherche sur les secteurs d'amorçage maître..: marche  
Recherche sur les secteurs d'amorçage.........: arrêt  
Recherche dans les programmes actifs..........: marche  
Recherche en cours sur l'enregistrement.......: arrêt  
Recherche de Rootkits.........................: arrêt  
Contrôle d'intégrité de fichiers système......: arrêt  
Fichier mode de recherche.....................: Tous les fichiers  
Recherche sur les archives....................: marche  
Limiter la profondeur de récursivité..........: 20  
Archive Smart Extensions......................: marche  
Heuristique de macrovirus.....................: marche  
Heuristique fichier...........................: élevé  

Début de la recherche : vendredi 13 mai 2011  19:47  

La recherche sur les processus démarrés commence :  
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'pchooklaunch32.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'mbamgui.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'hpwuschd2.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'HP_Remote_Solution.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'hpsysdrv.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'WG111v3.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'CLMLSvc.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'InstStub.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'ccSvcHst.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'HPDrvMntSvc.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés  

La recherche sur les fichiers sélectionnés commence :  

Recherche débutant dans 'C:\Users\Roman et Barth\AppData\Local\Mozilla\Firefox\Profiles\05b0vx7y.default\Cache\0\E1\99DC2d01'  
C:\Users\Roman et Barth\AppData\Local\Mozilla\Firefox\Profiles\05b0vx7y.default\Cache\0\E1\99DC2d01  
  [RESULTAT]  Contient le modèle de détection de l'exploit EXP/MS05-013  
  [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4be9ce31.qua' !  


Fin de la recherche : vendredi 13 mai 2011  19:48  
Temps nécessaire: 00:40 Minute(s)  

La recherche a été effectuée intégralement  

      0 Les répertoires ont été contrôlés  
     25 Des fichiers ont été contrôlés  
      1 Des virus ou programmes indésirables ont été trouvés  
      0 Des fichiers ont été classés comme suspects  
      0 Des fichiers ont été supprimés  
      0 Des virus ou programmes indésirables ont été réparés  
      1 Les fichiers ont été déplacés dans la quarantaine  
      0 Les fichiers ont été renommés  
      0 Impossible de scanner des fichiers  
     24 Fichiers non infectés  
      0 Les archives ont été contrôlées  
      0 Avertissements  
      1 Consignes  


Les résultats de la recherche sont transmis au Guard.  


  






************************************************************ 


Un rapport datant d'un mois:  


************************************************************ 




  
Avira AntiVir Personal  
Date de création du fichier de rapport : samedi 16 avril 2011  20:19  

La recherche porte sur 2559474 souches de virus.  

Le programme fonctionne en version intégrale illimitée.  
Les services en ligne sont disponibles.  

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus  
Numéro de série         : 0000149996-ADJIE-0000001  
Plateforme              : Windows 7 x64  
Version de Windows      : (plain)  [6.1.7600]  
Mode Boot               : Démarré normalement  
Identifiant             : Système  
Nom de l'ordinateur     : ROMANETBARTH-PC  

Informations de version :  
BUILD.DAT               : 10.0.0.122     31822 Bytes  07/03/2011 14:32:00  
AVSCAN.EXE              : 10.0.3.5      435368 Bytes  04/01/2011 16:41:10  
AVSCAN.DLL              : 10.0.3.0       56168 Bytes  17/08/2010 11:39:10  
LUKE.DLL                : 10.0.3.2      104296 Bytes  04/01/2011 16:41:11  
LUKERES.DLL             : 10.0.0.0       13672 Bytes  17/08/2010 11:39:11  
VBASE000.VDF            : 7.10.0.0    19875328 Bytes  06/11/2009 08:05:36  
VBASE001.VDF            : 7.11.0.0    13342208 Bytes  14/12/2010 16:40:31  
VBASE002.VDF            : 7.11.3.0     1950720 Bytes  09/02/2011 16:39:02  
VBASE003.VDF            : 7.11.5.225   1980416 Bytes  07/04/2011 15:52:12  
VBASE004.VDF            : 7.11.5.226      2048 Bytes  07/04/2011 15:52:14  
VBASE005.VDF            : 7.11.5.227      2048 Bytes  07/04/2011 15:52:14  
VBASE006.VDF            : 7.11.5.228      2048 Bytes  07/04/2011 15:52:14  
VBASE007.VDF            : 7.11.5.229      2048 Bytes  07/04/2011 15:52:15  
VBASE008.VDF            : 7.11.5.230      2048 Bytes  07/04/2011 15:52:16  
VBASE009.VDF            : 7.11.5.231      2048 Bytes  07/04/2011 15:52:16  
VBASE010.VDF            : 7.11.5.232      2048 Bytes  07/04/2011 15:52:17  
VBASE011.VDF            : 7.11.5.233      2048 Bytes  07/04/2011 15:52:17  
VBASE012.VDF            : 7.11.5.234      2048 Bytes  07/04/2011 15:52:19  
VBASE013.VDF            : 7.11.6.28     158208 Bytes  11/04/2011 17:16:45  
VBASE014.VDF            : 7.11.6.74     116224 Bytes  13/04/2011 16:26:24  
VBASE015.VDF            : 7.11.6.75       2048 Bytes  13/04/2011 16:26:24  
VBASE016.VDF            : 7.11.6.76       2048 Bytes  13/04/2011 16:26:24  
VBASE017.VDF            : 7.11.6.77       2048 Bytes  13/04/2011 16:26:24  
VBASE018.VDF            : 7.11.6.78       2048 Bytes  13/04/2011 16:26:24  
VBASE019.VDF            : 7.11.6.79       2048 Bytes  13/04/2011 16:26:24  
VBASE020.VDF            : 7.11.6.80       2048 Bytes  13/04/2011 16:26:25  
VBASE021.VDF            : 7.11.6.81       2048 Bytes  13/04/2011 16:26:25  
VBASE022.VDF            : 7.11.6.82       2048 Bytes  13/04/2011 16:26:25  
VBASE023.VDF            : 7.11.6.83       2048 Bytes  13/04/2011 16:26:25  
VBASE024.VDF            : 7.11.6.84       2048 Bytes  13/04/2011 16:26:25  
VBASE025.VDF            : 7.11.6.85       2048 Bytes  13/04/2011 16:26:25  
VBASE026.VDF            : 7.11.6.86       2048 Bytes  13/04/2011 16:26:25  
VBASE027.VDF            : 7.11.6.87       2048 Bytes  13/04/2011 16:26:25  
VBASE028.VDF            : 7.11.6.88       2048 Bytes  13/04/2011 16:26:26  
VBASE029.VDF            : 7.11.6.89       2048 Bytes  13/04/2011 16:26:26  
VBASE030.VDF            : 7.11.6.90       2048 Bytes  13/04/2011 16:26:26  
VBASE031.VDF            : 7.11.6.109    116224 Bytes  14/04/2011 16:26:26  
Version du moteur       : 8.2.4.206   
AEVDF.DLL               : 8.1.2.1       106868 Bytes  17/08/2010 11:38:53  
AESCRIPT.DLL            : 8.1.3.58     1266042 Bytes  04/04/2011 15:58:49  
AESCN.DLL               : 8.1.7.2       127349 Bytes  29/11/2010 16:42:34  
AESBX.DLL               : 8.1.3.2       254324 Bytes  29/11/2010 16:42:42  
AERDL.DLL               : 8.1.9.9       639347 Bytes  27/03/2011 08:01:57  
AEPACK.DLL              : 8.2.6.0       549237 Bytes  11/04/2011 17:17:12  
AEOFFICE.DLL            : 8.1.1.20      205177 Bytes  04/04/2011 15:58:47  
AEHEUR.DLL              : 8.1.2.97     3428726 Bytes  11/04/2011 17:17:09  
AEHELP.DLL              : 8.1.16.1      246134 Bytes  11/02/2011 16:39:22  
AEGEN.DLL               : 8.1.5.4       397684 Bytes  04/04/2011 15:58:44  
AEEMU.DLL               : 8.1.3.0       393589 Bytes  29/11/2010 16:42:24  
AECORE.DLL              : 8.1.20.2      196982 Bytes  11/04/2011 17:17:04  
AEBB.DLL                : 8.1.1.0        53618 Bytes  17/08/2010 11:38:45  
AVWINLL.DLL             : 10.0.0.0       19304 Bytes  17/08/2010 11:38:56  
AVPREF.DLL              : 10.0.0.0       44904 Bytes  17/08/2010 11:38:55  
AVREP.DLL               : 10.0.0.8       62209 Bytes  17/06/2010 13:27:52  
AVREG.DLL               : 10.0.3.2       53096 Bytes  17/08/2010 11:38:56  
AVSCPLR.DLL             : 10.0.3.2       84328 Bytes  04/01/2011 16:41:11  
AVARKT.DLL              : 10.0.22.6     231784 Bytes  04/01/2011 16:41:09  
AVEVTLOG.DLL            : 10.0.0.8      203112 Bytes  17/08/2010 11:38:55  
SQLITE3.DLL             : 3.6.19.0      355688 Bytes  17/06/2010 13:28:02  
AVSMTP.DLL              : 10.0.0.17      63848 Bytes  17/08/2010 11:38:56  
NETNT.DLL               : 10.0.0.0       11624 Bytes  17/06/2010 13:28:01  
RCIMAGE.DLL             : 10.0.0.26    2550120 Bytes  10/02/2010 23:23:03  
RCTEXT.DLL              : 10.0.58.0      99688 Bytes  17/08/2010 11:39:11  

Configuration pour la recherche actuelle :  
Nom de la tâche...............................: avguard_async_scan  
Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4dd41bd5\guard_slideup.avp  
Documentation.................................: bas  
Action principale.............................: réparer  
Action secondaire.............................: quarantaine  
Recherche sur les secteurs d'amorçage maître..: marche  
Recherche sur les secteurs d'amorçage.........: arrêt  
Recherche dans les programmes actifs..........: marche  
Recherche en cours sur l'enregistrement.......: arrêt  
Recherche de Rootkits.........................: arrêt  
Contrôle d'intégrité de fichiers système......: arrêt  
Fichier mode de recherche.....................: Tous les fichiers  
Recherche sur les archives....................: marche  
Limiter la profondeur de récursivité..........: 20  
Archive Smart Extensions......................: marche  
Heuristique de macrovirus.....................: marche  
Heuristique fichier...........................: élevé  

Début de la recherche : samedi 16 avril 2011  20:19  

La recherche sur les processus démarrés commence :  
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'java.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'jp2launcher.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'plugin-container.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'ts3client_win32.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'mscorsvw.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'SteamService.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'hamachi-2-ui.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'NokiaMServer.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés  
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'WG111v3.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'hpwuschd2.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'HP_Remote_Solution.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'hpsysdrv.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'steam.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'uTorrent.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'CLMLSvc.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'InstStub.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'ccSvcHst.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'HPDrvMntSvc.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés  
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés  

La recherche sur les fichiers sélectionnés commence :  

Recherche débutant dans 'C:\Users\Roman et Barth\AppData\Local\Temp\Rar$DR00.489\ZombieCraft\ZombieCraft.exe'  
Impossible d'ouvrir le chemin à scanner C:\Users\Roman et Barth\AppData\Local\Temp\Rar$DR00.489\ZombieCraft\ZombieCraft.exe !  
Erreur système [3]: Le chemin d'accès spécifié est introuvable.  
Recherche débutant dans 'C:\Users\Roman et Barth\Desktop\ZombieCraft\ZombieCraft.exe'  
C:\Users\Roman et Barth\Desktop\ZombieCraft\ZombieCraft.exe  
    [RESULTAT]  Contient le cheval de Troie TR/Dropper.Gen  
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '483a7f1d.qua' !  


Fin de la recherche : samedi 16 avril 2011  20:19  
Temps nécessaire: 00:08 Minute(s)  

La recherche a été effectuée intégralement  

      0 Les répertoires ont été contrôlés  
     35 Des fichiers ont été contrôlés  
      1 Des virus ou programmes indésirables ont été trouvés  
      0 Des fichiers ont été classés comme suspects  
      0 Des fichiers ont été supprimés  
      0 Des virus ou programmes indésirables ont été réparés  
      1 Les fichiers ont été déplacés dans la quarantaine  
      0 Les fichiers ont été renommés  
      0 Impossible de scanner des fichiers  
     34 Fichiers non infectés  
      0 Les archives ont été contrôlées  
      0 Avertissements  
      1 Consignes  


Les résultats de la recherche sont transmis au Guard.

-Helice- · Answer

AVira est en alerte!!! 
MBAM ne peut pas faire des mises a jour: il dit: 
PROGRAM_ERROR_UPDATING (12029,0, WinHttpSendRequest) 


Je scane les fichiers infectes Mbam me dit qu'il n'y a rie tandis qu'avira est en alerte.....

Aidez moi svp
Je suis désésperé

moment de grace · Answer

ok

as tu fais le tri dans tes antivirus et as tu fais zhpfix et ad remover comme indiqué ici  https://forums.commentcamarche.net/forum/affich-22109585-keylogger-registre#4

-Helice- · Answer

ok bon on verra ça demain 
reste au courant stp c'est vraiment gentil de m'aider

-Helice- · Answer

Alors je suis en train de faire ZhpFix comme tu me l'as dit.                  
Je poste bientot le rapport                    
ZhpFix me met un message d'erreur lors du chargement:                 
                 
Violation d'acces à l'adresse 00427C96 dans le module 'ZhpFix.exe'                 
Lecture de l'adresse 0000000E         

Encore un ;    

Violation d'acces à l'adresse 00427C96 dans le module 'ZhpFix.exe'.    
Lecture de l'adresse 00000085    

Un autre;(un peu lourd là)  

Violation d'acces à l'adresse 00427C96 dans le module 'ZhpFix.exe'.    
Lecture de l'adresse 00000086  
   
Je fais Ok et il continue le scan. Je l'ai relance en appyuant sur go car il bloquait. La il a l'air d'avancer. Achaque fois qu'il fait ce message je le relance.   
Mais je me pose une question:                 
"Est-ce grave docteur ? :)              
Ou est-ce tout simplement une erreur a nettoyer apres ?"            
        
Ps: j'ai toujours le fichier 'tmp' infecté de la veille mais avira n'est pas en alerte ni 'spyware doctor' qui me demande de bloquer le fichier infecté.Ils sont pourtant en marche.Mon probeme est peut etre resolu ?(je ne pense pas)        
        
J'editerai ce message et j'insererai le rapport 

https://pjjoint.malekal.com/files.php?read=2d888cfeed14912

Ps: va voir sur le lien ci dessus car si je poste le rapport ca va faire un peu..."Désordre"

Merci ^^

-Helice- · Answer

Voila là il est en admin:    
https://pjjoint.malekal.com/files.php?read=n9t138m12n15h8v15h7d15   



Avira et spyware doctor ne sont plus en alerte malge que le fichier tmp est encore la.   
Est-il desinfecté? ou probleme?   

Mais bon, continuons  


Temps ecoulé 00:01:03 pour ad-remover  
déjà...  
Je redemmare 


Tiens, Cadeau :D 
https://pjjoint.malekal.com/files.php?read=39e1d2ef708514

moment de grace · Answer

bien

1)

Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

_________

2)

fais un nouveau scan antivir et poste le rapport stp

-Helice- · Answer

Est-ce ceci ? (ZHP)
https://pjjoint.malekal.com/files.php?read=09bb2f0b3691113

Et bientot le rapport d'avira

-Helice- · Answer

Tiens le rapport du scan J'ai du l'arreter a 80.7%
https://pjjoint.malekal.com/files.php?read=d13f7c7i13m8o11l12y14t10
Merci et a bientot

moment de grace · Answer

elimine les cracks de ton pc....

-Helice- · Answer

J'ai aucun crack...


ATTENTION J'AI UN PROBLEME
Le virus ne se manifeste plus apparemment..

MAIS UN AUTRE PROBLEME ARRIVE;

Les Mises a jour, les jeux en ligne n'arrivent pas a se connecter:

Malwarebyte's n'arrive pas a telecharger les Maj(mises a jour)
Team Forteress2 non plus (le jeu ne se lance pas)
Team speak3 client ne veut pas se connecter
Des autres logicilels&antispywares n'y arrivent pas non plus.

Les problemes arriveraient du réseau.

Nous avons donc un probleme Réseau, alors que j'arrive a me connecter en wifi.

C'est un GROS probleme, pour les maj de malwarebyte's, anti spyware ,jeux et autres logiciels

Svp aidez moi....

moment de grace · Answer

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
 
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur 
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 

*  Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée, 
*  Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),

* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

-Helice- · Answer

IL ME FAIT UNE ERREUR: 
Windows ne trouve pas 'C:	dsskiller	dsskiller.exe'. Vérifiez que vous avez entré le nom correct, puis réessayez. 
ps: j'ai téléchargé le fichier et je l'ai lancé. 
Une fenetre batch(Ms-Dos) appraît avec des commandes et une boite de dialoque (type msgbox) apparait et ce mesage est ecrit ... 
Problem?

-Helice- · Answer

Mon dernier scan complet a 100% par avira
https://pjjoint.malekal.com/files.php?read=o10e10b14m13o11p7f8b13t13

gen-hackman · Answer

essaie celui-ci voir ?

&#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : télécharger la derniere version

&#9654 relance-le 

choisis : lancer le nettoyage

TDSSKiller va s'ouvrir , clique sur "Start Scan"

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

-Helice- · Answer

Tiens:  
(TDSS_KILLER)  
https://pjjoint.malekal.com/files.php?read=e12g11h14h11k13s5f6b9x7  

Et...  
J'ai regardé dans mon disque dur, j'ai déniché ceci:  

https://pjjoint.malekal.com/files.php?read=10f12b9y10c11c14v15i9s5  

Le fichier est intitulé:  
bdlog.txt  
je suis peut etre parano mais es-ce que ca signifie BackDoorLog.txt ou BadLog.txt??  

Et il y a cette ligne:  

2011-05-14 10:35:27.769 PROFILE  [NPCOMM_MSG_VSSERVDOWN NPC_BDAGENT_MAIN] [0ms]  
  

Je peux lire:   
NPCOMM(Npc)   
MSG (message)   
VSSERVDOWN (vs.server.down)   
NPC_BDAGENT(npc.Back.Door.Agent ou npc.Bad.Agent)  


Suis je parano ou es-ce la cause (Server Down) Qui est ce probleme??  
Merci de m'aider :D

gen-hackman · Answer

c'est un fichier de mise à jour de bitdefender ^^

-Helice- · Answer

J'ai ajouté une image commentée par moi meme:
http://www.stooorage.com/show/606/2833536_virus-kernel-bd.png

gen-hackman · Answer

t'enerves pas c'est un driver virtuel Daemon tools

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler 

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus(Pre_Scan.txt).

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

-Helice- · Answer

https://pjjoint.malekal.com/files.php?read=s13u12g7p7b15w12c10v8u9
Tiens cadeau :D

Merci.

gen-hackman · Answer

telecharge ici :  

 MBR_Repair   

enregistre-le sur ton bureau ,  

lance-le , choisis "Repair"  

choisis "Windows 7"  

ton pc va redemarrer  

à ton retour , relance MBR_Repair puis fais l'option "Verify"  

MBR_Verify.txt se mettra sur ton bureau poste ici son contenu

-Helice- · Answer

Tiens 
https://pjjoint.malekal.com/files.php?read=b8f12s6j6g12p14v12j10g9


Tu l'as crée en quoi ? c++ , c ou vb ??
Car moi j'ai microsoft visual basic 2010 express et je fais des petits trucs..

gen-hackman · Answer

non il est fait en AutoIt

tu peux me repasser Pre_Scan ?

-Helice- · Answer

Tiens j'en ai fait un nouveau:
https://pjjoint.malekal.com/files.php?read=s15j512v9o7d14i11v8w13

Merci

gen-hackman · Answer

encore quels soucis persistent ?

-Helice- · Answer

Oui malheureusement: 

-Malwarebyte's anti malware ne fait pas de mises a jour 
-Avira non plus 
-Les jeux en ligne comme team forteress2 et league of legends ne fonctionnent pas 
-Les mises a jour systeme (hier par exemple) ne fonctionnaient pas car erreur de connexion au serveur (je pense) 
-Minecraft en ligne ne fonctionne pas non plus 
-L'ERREUR DE MBAM (malwarebyte's anti malware) 
PROGRAM_ERROR_UPDATING(12029, 0, WinHttpSendRequest) 
Ce winhttpsendrequest c'est bien une erreur de connexion ? 
-TeamSpeak Client non plus 


************************ 




Une question : 
ce programme mbr_repair me fait donner les droits d'admin aux fichiers etc... par exemple dans executer c'est marque comme en mode safe: -Cette tache sera créée avec les autorisations d'administrateur 

Tant mieux mais c'est quoi la commande qui t'as permi de faire ces autorisations ?(C'est bien en batch non ?) 
Car ca m'interesse

-Helice- · Answer

Un rapport d'avira: 'echec des MAJ'   
https://pjjoint.malekal.com/files.php?read=p12w9h9s10t11p13o15m14f11   




c'est ecrit:   

***** 
17:46:53 [UPDLIB] [ERROR]   Gestionnaire de téléchargement : la fonction WinINet::HttpSendRequest() http://perspeak.avira-update.com/update/idx/master.idx a échoué. Erreur : L'adresse ou le nom de serveur n'a pas pu être résolu 
***** 


J'ai trouvé un lien d'un site a propos : https://docs.microsoft.com/en-us/windows/win32/api/winhttp/nf-winhttp-winhttpsendrequest?redirectedfrom=MSDN 

Mais jy comprends rien (pas a cause de l'anglais, l'anglais je comprends)

gen-hackman · Answer

fait un nouveau zhpdiag et coche tout au tounevis , heberge le rapport

-Helice- · Answer

il me fait 
problème connexion internet (Socket Error # 10013 Acces denied)
mais il se lance qd meme la je fais le scan

-Helice- · Answer

Tiens: Choisis l'option
https://pjjoint.malekal.com/files.php?id=i9w8j8p12y7c12n6q5i13

gen-hackman · Answer

Reg ADD "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v "EnablELUA" /t "REG_DWORD" /d 0
shutdown -r

et pour la remettre tu mets "1" à la place du "0"

redemarrage obligatoire(c'est pourquoi j'ai mis la fonction "shutdown -r"

j'etudie ton log

-Helice- · Answer

Merci t'es super   
A l'occasion j'ai supprimé mon post merci encore :)) 

******* 

Tiens le fichier en mode safe 
https://pjjoint.malekal.com/files.php?read=l1412r6k11m10n13d14h8o15

Merci encore

-Helice- · Answer

La preuve que je raconte pas des cr@cks:
http://www.stooorage.com/show/635/2880133_bug-internet.png

....

gen-hackman · Answer

mozilla s'ouvre ?

-Helice- · Answer

Oui c'est le seul qui fonctionne

gen-hackman · Answer

refais zhpdiag

-Helice- · Answer

Le scan d'avira: 
https://pjjoint.malekal.com/files.php?read=l9r9d11f11g8n9z14c6b13  

Tiens le rapport (avec les options): 
https://pjjoint.malekal.com/files.php?id=y11e8r11u9s6q12b14c8x15

gen-hackman · Answer

sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

R3 - URLSearchHook: (no name) [64Bits] - {0002ee26-8c11-49eb-9cdf-56eeffef664f} Clé orpheline   
R3 - URLSearchHook: (no name) [64Bits] - {472734EA-242A-422b-ADF8-83D1E48CC825} Clé orpheline 
O2 - BHO: Hotspot Shield Class [64Bits] - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll
OPT:O4 - HKLM\..\Wow6432Node\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- c:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe 
OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe  
OPT:O4 - HKLM\..\Wow6432Node\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files (x86)\Real\RealPlayer\updateealsched.exe  
O4 - HKLM\..\Wow6432Node\Run: [AutoRunCfg] C:\System\config\cfg.bat (.not file.)  
OPT:O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files (x86)\Bonjour\mDNSResponder.exe 
O23 - Service:  (SQLAgent$SQLEXPRESS) - Clé orpheline    => Orphean Key not necessary  
O23 - Service:  (X6va001) . (...) - C:\Users\ROMANE~1\AppData\Local\Temp\0013E.tmp      
O42 - Logiciel: XfireXO Toolbar - (.XfireXO.) [HKLM][64Bits] -- XfireXO Toolbar  
[HKLM\Software\BrowserChoice]    => Microsoft BrowserChoice  
[HKLM\Software\XfireXO] 
O43 - CFD: 18/05/2011 - 13:10:04 - [58852546] ----D- C:\Program Files\SUPERAntiSpyware  
O43 - CFD: 15/05/2011 - 18:04:58 - [0] ----D- C:\Program Files\Symantec
O43 - CFD: 15/05/2011 - 18:04:56 - [1025416] ----D- C:\Program Files\Common Files\Symantec Shared 
O43 - CFD: 21/02/2011 - 16:05:26 - [86247318] ----D- C:\ProgramData\avg9  
O43 - CFD: 15/05/2011 - 18:05:44 - [118854258] ----D- C:\ProgramData\Norton 
O43 - CFD: 05/12/2009 - 09:14:56 - [15404133] ----D- C:\ProgramData\NortonInstaller  
O43 - CFD: 17/05/2011 - 20:03:58 - [21] ----D- C:\ProgramData\SUPERAntiSpyware.com 
O43 - CFD: 13/07/2010 - 20:46:14 - [1097] ----D- C:\ProgramData\Symantec 
O43 - CFD: 15/05/2011 - 18:05:56 - [1730] ----D- C:\Users\Roman et Barth\Appdata\Local\Symantec  
O43 - CFD: 24/04/2010 - 12:09:02 - [0] ----D- C:\Program Files (x86)\AVG 
O43 - CFD: 05/12/2009 - 09:15:30 - [103954400] ----D- C:\Program Files (x86)\Norton Internet Security 
O43 - CFD: 03/03/2011 - 19:06:58 - [40821687] ----D- C:\Program Files (x86)\NortonInstaller  
O43 - CFD: 05/12/2009 - 08:58:28 - [1846542] ----D- C:\Program Files (x86)\Symantec 
O52 - TDSD: \Drivers32\"VIDC.XFR1"="xfcodec64.dll" . (.Pas de propriétaire - Xfire Video Codec.) -- (.not file.)
O52 - TDSD: \Drivers32\"VIDC.TMB0"="tmbvcm64.dll" . (.Pas de propriétaire - Pas de description.) -- (.not file.) 
O52 - TDSD: \drivers.desc\"xfcodec64.dll"="Xfire video codec [XFR1]" . (.Pas de propriétaire - Xfire Video Codec.) -- (.not file.)    
O53 - SMSR:HKLM\...\startupreg\cacaoweb  [Key] . (...) -- C:\Users\Roman et Barth\AppData\Roaming\cacaoweb\cacaoweb.exe (.not file.)
O64 - Services: CurCS - (.not file.) - AVG Free Network Redirector x64 (AvgTdiA)  .(...) - LEGACY_AVGTDIA 
O64 - Services: CurCS - C:\Windows\system32\drivers\EagleX64.sys (.not file.) - EagleX64 (EagleX64)  .(...) - LEGACY_EAGLEX64 
O64 - Services: CurCS - 30/12/1899 - C:\Windows\System32\drivers
pf.sys - NetGroup Packet Filter Driver(NPF)  .(.CACE Technologies, Inc. - npf.sys (NT5/6 AMD64) Kernel Driver.) - LEGACY_NPF  
O64 - Services: CurCS - C:\Users\ROMANE~1\AppData\Local\Temp\0013E.tmp (.not file.) - X6va001 (X6va001)  .(...) - LEGACY_X6VA001
O87 - FAEL: "TCP Query User{7C7D6064-2BAB-48A0-81F6-7D28297F27AF}C:\usersoman et barth\appdata\local	emp\wzs37a8.tmp\scol_install\scolsetup.exe" |In - Private - P6 - TRUE | .(...) -- C:\usersoman et barth\appdata\local	emp\wzs37a8.tmp\scol_install\      
O87 - FAEL: "UDP Query User{936E70D8-69A2-46A9-86B8-DF80469308BC}C:\usersoman et barth\appdata\local	emp\wzs37a8.tmp\scol_install\scolsetup.exe" |In - Private - P17 - TRUE | .(...) -- C:\usersoman et barth\appdata\local	emp\wzs37a8.tmp\scol_install      
O87 - FAEL: "{EB9F1D16-2ECA-4B3A-8D7E-B3A9A4A9288F}" |In - Public - P6 - TRUE | .(...) -- C:\Users\Roman et Barth\AppData\Local\Temp\Update_6ca9.exe (.not file.)   
O87 - FAEL: "{F63A213C-2E4A-4AA2-959F-A01F8EE3C9EA}" |In - Public - P17 - TRUE | .(...) -- C:\Users\Roman et Barth\AppData\Local\Temp\Update_6ca9.exe (.not file.)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]  
C:\Users\Roman et Barth\Appdata\LocalLow\uTorrentBar_FR  
SR - | Auto 08/04/2010 345376 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files (x86)\Bonjour\mDNSResponder.exe 
SS - | Demand 14/07/2009 0 |  (X6va001) . (...) - C:\Users\ROMANE~1\AppData\Local\Temp\0013E.tmp      

  
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

-Helice- · Answer

https://pjjoint.malekal.com/files.php?id=n8p5v13y15e8d10f6v7i13

Et voici..

gen-hackman · Answer

un récapitulatif de tes soucis restants ?

-Helice- · Answer

Toujours les mêmes: probleme de connexion alors que je peux surfer avec modzilla 
*les mises a jour windows bloquent 
*Les logiciels ne font pas de mises a jour 
*Les jeux en ligne ne se connectent pas meme probleme avec skype, teamSpeak, msn ... 
je vais essayer de rebooter mon pc afin de voir si il y a des changements

-Helice- · Answer

Aucun changement...
Toujours pareil...
Y aurait-il une autre solution ?

gen-hackman · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec

▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

selectionne tous les disques

▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv

▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

-Helice- · Answer

J'ai essayé ces procedures mais je n'ai jamais eu le temps de les terminer.
Je vais donc faire ce scan aujourd'hui donc ce dimanche

gen-hackman · Answer

salut

plus tu tarderas , plus ca ira de mal en pis

-Helice- · Answer

C'est bon, je le poste ...  
J'editerai ce message  
Vraiment désolé de ne pas l'avoir posté avant.  
Ps:Je suis toujours ce topic , je ne l'ai pas abandonné :D 



Lien de telechargement direct:  
http://www.cijoint.fr/cj201106/cijt2LuRdw.zip 

Lien: 
http://www.cijoint.fr/cjlink.php?file=cj201106/cijt2LuRdw.zip

gen-hackman · Answer

c'est ta triche de jeu qui est infectée et virée

-Helice- · Answer

Donc je dois supprimer Ch*at Engine ??

-Helice- · Answer

C'est bon, il est désinstallé

gen-hackman · Answer

toujours des soucis de connection ?

-Helice- · Answer

Oui, toujours pareil.. 
A mon avis le virus est supprimé mais il a du desactiver les connexions sortantes et entrantes ou meme internet (Modzilla firefox fonctionne bizarre non ??) 
Il faudrait , je pense les reactiver.A moins que ce ne soit pas ca

gen-hackman · Answer

y' a un truc...

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

-Helice- · Answer

http://www.stooorage.com/show/744/3049053_microsoft-security-ess-autoris.png

Heuuu....
En voulant désactiver mes protecdtions , je vois ca ....

gen-hackman · Answer

ouaip' fais gmer en mode sans echec

-Helice- · Answer

Alerte!!!   
JE VAIS POUVOIR PEUT-ETRE LE SUPPRIMER :DDD   
Mate ca :   

http://www.stooorage.com/show/759/3070992_registre-virusee-powned.png   


Merci de m'aider ;D   
merci  

EDIT:  

Sur mon screen, on voit une autre infection:  
le nom c'est  
Type: Reg  
Name:   
HKCU\Software\Microsoft\Windows_NT\CurrentVersion\AppCompatFlags\Comptability Assistant\Persisted@C:\Users\Roman et Barth\Desktop\Barth\xa0\Barth\Appli + ecran de veille\Open AlwEAX.exe  

L'application est un logiciel pour creer des ecrans de veille.Le plus bizarre c'est que le dossier '\xa0' ou 'xa0' n'existe pas...  

et c'est quoi ces deux slashes la : 'Barth\xa0' 



Ps: Je vais réactiver mon UAC on ne sait jamais...

-Helice- · Answer

Jte file le rapport (.log), de gmer dans 5mins


***********
Le voila:

(mode normal):https://pjjoint.malekal.com/files.php?read=n8h5k9b13w15v12h11j12o9

(mode safe):https://pjjoint.malekal.com/files.php?read=m11g7v151513y15u6b10v15

J'ai mieux fait de le faire en mode normal, je me doutais d'un truc...

gen-hackman · Answer

Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape xa0

 dans cette fenêtre 

confirme la recherche "aussi" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

-Helice- · Answer

Et le voici : https://pjjoint.malekal.com/files.php?read=m11u15z7n14q9h9b14u13n10   

en parlant de l'acces refusé a une clé registre ?? est-ce le virus ??  

-->https://forums.commentcamarche.net/forum/affich-22109585-keylogger-registre?full#76


EDIT: Ce n'est pas a cause de la reactivation de l'UAC, car ca bloquait meme quand l'UAC etait desactivée

-Helice- · Answer

up :D 

J'ai essayé d'ouvrir Regedit avec Gmer... 
Dans la clé Cfg, elle est infectée
voici le monatge: 

http://www.hostingpics.net/viewer.php?id=893799registredepuisgmer.png 
Merci

Keylogger & Registre

63 réponses

Votre réponse

Discussions similaires

Newsletters