Disque dur vide suite à un cheval de troie Fermé

Question

Bonjour, 

Il y a quelques jours, Avast à détecté un cheval de Troie, et depuis, c'est la guerre ^^

Voila, je n'avais plus accès à aucun programmes dans le menu démarrer, le bureau était vide est ne répondait plus par les clics droits et des messages m'avertissant du virus s'affichait sans cesse.

Suite à plusieurs analyse et scan divers, je crois avoir réussi à l'avoir, seulement je n'ai toujours rien d'afficher dans mon disques C: (pourtant rempli au trois quart). J'arrive à naviguer plus ou moins en faisait "exécuter" puis "parcourir" mais j'ai seulement réussi à retirer le mode "caché" de mes documents.

Je n'ai pas eu besoin de faire le CHKDSK/r/f dans le DOS (via un redémarrage en commande MS DOS) car lorsque je vérifie l'intégrité de mon disque C: via "fsutil dirty query C:" il m'annonce que le disque est intègre.

J'ai ensuite tenté de restauré via "Démarrer, Exécuter" puis "%SystemRoot%\system32\restore\rstrui.exe" mais il m'annonce :
"Restauration du système ne peut pas protéger votre ordinateur. Faites Redémarrer votre ordinateur, puis relancer Restauration du Système" Bien évidemment, cela ne fait rien du tout.

Depuis toute mes manips, je n'ai plus un écran noir mais bleu (c'est déjà ca ^^) mais qui ne reconnait rien quand même. Les messages du virus ne s'apparaisse plus et Avast m'annonce "Aucune menace détectée".

Je suppose avoir viré le cheval de Troie mais les conséquences sont encore là.

Et bien évidemment, un petit Ctrl Alt Sup ne m'ammene qu'à un : "Le gestionnaire des taches a été désactivé par votre administrateur"
Pour info, je n'ai qu'un seul profil sur mon PC je suis censé avoir les droits admin.

Voilà, 
Merci de vos futurs conseils

Valuu · Accepted Answer

Hello,

--------------------------------------------------------------------------------------
   * Télécharge RogueKiller sur le bureau
   * Quitter tous les programmes en cours
   * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
   * Sinon lancer simplement RogueKiller.exe
   * Lorsque demandé, taper 6 et valider
   * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
   * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

--------------------------------------------------------------------------------------
    * Télécharge RogueKiller sur le bureau
    * Quitte tous les programmes en cours
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Sinon lance simplement RogueKiller.exe
    * Lorsque demandé, tape 1 et valide
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

simonus53 · Answer

Voici le rapport avec l'option "tapez 6", te faut il l'option tapez 1? ^^ RogueKiller V5.1.6 [21/05/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Raccourcis RAZ -- Date : 25/05/2011 22:38:45 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 140 / Fail 0 Lancement rapide: Success 9 / Fail 0 Programmes: Success 6001 / Fail 0 Menu demarrer: Success 180 / Fail 0 Dossier utilisateur: Success 7307 / Fail 0 Mes documents: Success 95 / Fail 0 Mes favoris: Success 5 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 36210 / Fail 0 Sauvegarde: [FOUND] Success 133 / Fail 0 Termine : << RKreport[1].txt >> RKreport[1].txt

Valuu · Answer

Hello,

Tes fichiers ont du réapparaître normalement ?

Oui passe le en option 1 aussi stp.

simonus53 · Answer

Whaou, je suis sur le fessier ^^, Par contre mon bureau est toujours inactif sans icones. Voici le rapport de l'option 1 : RogueKiller V5.1.6 [21/05/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Recherche -- Date : 25/05/2011 22:48:18 Processus malicieux: 0 Entrees de registre: 7 [SUSP PATH] HKCU\[...]\Run : kJoCBjsHlcALP (C:\Documents and Settings\All Users\Application Data\kJoCBjsHlcALP.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-2576710360-2324398276-3468247076-500[...]\Run : kJoCBjsHlcALP (C:\Documents and Settings\All Users\Application Data\kJoCBjsHlcALP.exe) -> FOUND [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND [HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND [WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Valuu · Answer

Ok,

Repasse RogueKiller en mode 2 (suppression)

Puis :

--------------------------------------------------------------------------------------
MBAM
    * Télécharge Malwarebytes' Anti-Malware
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    * Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
   * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

simonus53 · Answer

Voici le rapport de la suppression, l'analyse de Malwarebyte en est à dix minutes. J'attends la fin mais pour l'instant un grand merci car tout ce que tu me donnes fait un sacré boulot ! ^^ en espérant que ca aboutisse au grand final haha RogueKiller V5.1.6 [21/05/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Suppression -- Date : 25/05/2011 23:06:58 Processus malicieux: 0 Entrees de registre: 6 [SUSP PATH] HKCU\[...]\Run : kJoCBjsHlcALP (C:\Documents and Settings\All Users\Application Data\kJoCBjsHlcALP.exe) -> DELETED [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED [HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0) [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Wallpaper1.bmp) Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Valuu · Answer

Le scan MBAM peut durer longtemps (plusieurs heures parfois).
Mais il devrait être utile :)

simonus53 · Answer

Bon, je vais arrêter l'analyse alors (j'espère que ca pose pas de prbm?) car mon tosh a tendance a facilement chauffer, je préfère le faire tourner entre demain matin et demain midi plutôt que toute la nuit ^^
Merci bcp de tes conseils, je verrais le résultat demain midi
encore merci

simonus53 · Answer

Voici le rapport suite à l'analyse de MBAM.
Je redémarre le PC juste après cette réponse ^^

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6678

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

26/05/2011 07:52:40
mbam-log-2011-05-26 (07-52-40).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 184930
Temps écoulé: 37 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 11
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://ww12.cherche.us Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\(default) (Hijack.SearchPage) -> Bad: (http://www.cherche.us/keyword/%s) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{be5f38aa-1f9a-46f9-a5b7-335900894203}\RP398\A0065018.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{be5f38aa-1f9a-46f9-a5b7-335900894203}\RP398\A0065019.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{be5f38aa-1f9a-46f9-a5b7-335900894203}\RP398\A0065020.exe (Adware.Hotbar) -> Quarantined and deleted successfully.

CorrectorHDD-1 · Answer

Bonjour, si tu veux préserver certaines données, la première chose à faire :

Lancer un live-cd linux (Mandriva one ou backtrack 4 car ils ont la réputation d'être compatibles avec un large parc de matériels)

Tu y trouveras un gestionnaire de fichiers, tu sauvegardes tes fichiers indispensables sur un disque dur externe.

Ensuite, tu tentes l'éradication comme cité dans les autres messages !!

simonus53 · Answer

Oui, tout à l'air d'être redevenu normal. Un grand merci à toi, Valuu qui m'a rendu un grand service ^^

Valuu · Answer

Attends, il reste peut-être d'autres choses.
MBAM a supprimé des bouts d'adwares.

--------------------------------------------------------------------------------------
* Télécharge AD-Remover(de la TeamXscript) sur ton Bureau. 
Déconnecte toi et ferme toutes les applications en cours 
* Double-clique sur l'icône AD-Remover 
* Au menu principal, clique sur Scanner
* Confirme le lancement de l'analyse et laisse l'outil travailler 
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

simonus53 · Answer

voici le rapport:
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 20:26:17 le 26/05/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 2 (X86) 
Administrateur@P530000 ( ) 
 
============== RECHERCHE ==============


Fichier trouvé: C:\Documents and Settings\Administrateur\scriptjava.html
Fichier trouvé: C:\Documents and Settings\Administrateur	emp1.6

Clé trouvée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\winternet
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.17 (fr)] ****


-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\jfdxk9lz.default --
Prefs.js - browser.download.lastDir, C:\Documents and Settings\Administrateur\Bureau
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17

========================================

**** Google Chrome Version [11.0.696.68] ****


-- C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.google.fr/
Preferences - homepage_is_newtabpage: true

========================================

**** Internet Explorer Version [7.0.5730.11] ****

HKCU_Main|Default_Page_URL - hxxp://www.google.com
HKCU_Main|Default_Search_URL - hxxp://www.google.com
HKCU_Main|SearchMigratedDefaultURL - hxxp://www.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7...
HKCU_Main|Search bar - hxxp://www.google.com
HKCU_Main|Search Page - hxxp://www.google.com
HKCU_Main|Start Page - hxxp://www.google.fr/
HKLM_Main|Default_Page_URL - hxxp://www.google.com
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://www.google.com
HKLM_Main|Start Page - hxxp://www.google.com
HKCU_SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193} - "cherche.us" (hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A00990...)
HKLM_Extensions\{E023F504-0C5A-4750-A1E7-A9046DEA8A21} - "MoneySide" (C:\Program Files\Microsoft Money\System\mnyviewer.dll,209)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - "?" (C:\Program Files\Microsoft Money\System\mnyviewer.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 26/05/2011 20:26:21 (1291 Octet(s)) 

Fin à: 20:27:05, 26/05/2011 
 
============== E.O.F ==============

Valuu · Answer

okay,

--------------------------------------------------------------------------------------
* Double-clique sur l'icône AD-Remover 
Déconnecte toi et ferme toutes les applications en cours 
* Au menu principal, clique sur Nettoyer 
* Confirme le lancement de l'analyse et laisse l'outil travailler 
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt ) 

--------------------------------------------------------------------------------------
Utilise ce logiciel de diagnostic : 

    * Télécharge ZHPDiag (de Nicolas Coolman) 
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
    * Sous Vista/Seven, si ça ne se lance pas --> Clic droit/Exécuter en tant qu'administrateur
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
    * Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

simonus53 · Answer

voila le rapport d'ad remover, je telecharge ZHPDiag et je continu :


======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:41:27 le 26/05/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 2 (X86) 
Administrateur@P530000 ( ) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Documents and Settings\Administrateur\scriptjava.html
Fichier supprimé: C:\Documents and Settings\Administrateur	emp1.6

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\winternet
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.17 (fr)] ****


-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\jfdxk9lz.default --
Prefs.js - browser.download.lastDir, C:\Documents and Settings\Administrateur\Bureau
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17

========================================

**** Google Chrome Version [11.0.696.68] ****


-- C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.google.fr/
Preferences - homepage_is_newtabpage: true

========================================

**** Internet Explorer Version [7.0.5730.11] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Extensions\{E023F504-0C5A-4750-A1E7-A9046DEA8A21} - "MoneySide" (C:\Program Files\Microsoft Money\System\mnyviewer.dll,209)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - "?" (C:\Program Files\Microsoft Money\System\mnyviewer.dll)

========================================

simonus53 · Answer

Petit probleme, je n'arrive pas a telecharger ZHPDiag :-(

Valuu · Answer

Comment ça ? Explique ^^

simonus53 · Answer

quand je clique sur telecharger il me dit qu'il faut attendre mais rien ne se passe, je clique alors sur l'autre lien proposé : firefox m'annonce que "la connexion a été reinitialisé" dois je essayé avec IE ou G. Chrome?

simonus53 · Answer

Ne fonctionne pas plus avec IE et G. Chrome. Ca ne vient pas de l'explorateur. Peut être du site?

Valuu · Answer

Essaie à partir d'ici : http://www.moncompteur.com/compteurclick.php?idLink=18026

simonus53 · Answer

C'est bon avec le nouveau lien ^^
voila le rapport
merci

https://pjjoint.malekal.com/files.php?id=d2dddaaa8712712

Valuu · Answer

Yop ! :)

--------------------------------------------------------------------------------------
Fais un tour sur Windows Update pour mettre ton système à jour :
http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=fr
Suis les indications et télécharge les mises à jour "Importantes" ou "Prioritaires"
Tu peux aussi installer les facultatives, mais comme leur nom l'indique elle sont "facultatives".

--------------------------------------------------------------------------------------
Mets ton Avast à jour vers la version 6, ça sera plus sur :)

--------------------------------------------------------------------------------------
* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline 
O15 - Trusted Zone: [HKCU\...\Domains] *.chat-land.org 
O15 - Trusted Zone: [HKCU\...\Domains\www] *.chat-land.org 
O52 - TDSD: \drivers.desc\"ir50_32.dll"="Indeo® video 5.10" . (.Pas de propriétaire - Pas de description.) -- (.not file.)     
OPT:O53 - SMSR:HKLM\...\startupreg\swg  [Key] . (...) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (.not file.)     
O64 - Services: CurCS - (.not file.) - (.not file.) - Application système COM+ (COMSysApp)  .(...) - LEGACY_COMSYSAPP     
O64 - Services: CurCS - (.not file.) - (.not file.) - Lanceur de processus serveur DCOM (DcomLaunch)  .(...) - LEGACY_DCOMLAUNCH     
O64 - Services: CurCS - (.not file.) - RDPNP (RDPNP)  .(...) - LEGACY_RDPNP     
O64 - Services: CurCS - (.not file.) - (.not file.) - Appel de procédure distante (RPC) (RpcSs)  .(...) - LEGACY_RPCSS     
O64 - Services: CurCS - (.not file.) - (.not file.) - Services Terminal Server (TermService)  .(...) - LEGACY_TERMSERVICE     
O64 - Services: CurCS - (.not file.) - Gestionnaire de téléchargement (uploadmgr)  .(...) - LEGACY_UPLOADMGR     
O64 - Services: CurCS - (.not file.) - Numéro de série du média portable (WmdmPmSp)  .(...) - LEGACY_WMDMPMSP     

---------------------------------------------------

* Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Colle le contenu du rapport dans ta prochaine réponse.

--------------------------------------------------------------------------------------
   * Télécharge la dernière version de Java : https://www.java.com/fr/download/
   * Installe là
    *Puis télécharge JavaRa.zip
    * Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
    * Double-clique sur le répertoire JavaRa obtenu.
    * Si tu es sous Vista/Seven, Exécute le avec un clic droit / Exécuter en tant qu'administrateur
    * Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)
    * Clique sur Remove Older Versions.
    * Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
    * Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. (Note : le rapport se trouve aussi là : ( C:\JavaRa.log ))

--------------------------------------------------------------------------------------
  * Télécharge RegistryTool de Xplode sur ton bureau
  * Double-clique sur l'icône pour exécuter l'outil (Vista/7 --> clic droit et "exécuter en tant qu'administrateur")
  * Copie la clé ci-dessous en gras

[HKLM\Software\a16] 

  * Colle-la dans la zone de saisie située au regard de RegExport
  * Puis clique sur Exporter
  * Dans la fenêtre qui s'ouvre, choisis le bureau comme emplacement d'enregistrement
  * A "nom de fichier", indique : ExportReg
  * Clique sur Enregistrer
  * Un message de bonne fin va apparaître "Clé exportée avec succès"
  * La clé ainsi exportée se trouvera sur le bureau

--------------------------------------------------------------------------------------
* Rends-toi sur VirusTotal
* Clique sur Parcourir, et va chercher le(s) fichier(s) en gras ci dessous :

 C:\PhysicalDisk0_MBR.bin   

*Si tu ne le trouves pas, affiche les fichiers cachés
* Clique sur Send File, si cela t'es demandé, clique sur Reanalyse.
* Colle-moi l'adresse internet dans ta prochaine réponse

-------------------------------------------------------------------------------------- 
    * Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    * Clique sur "Recherche"
    * Laisse travailler l'outil
    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images : Tutoriel "Recherche"

Disque dur vide suite à un cheval de troie

22 réponses

Discussions similaires