Aide, SVP, pour une palevo a priori
Fermé
Obalmasqué_ohé
-
crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
crapoulou Messages postés 42848 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
J'ai téléchargé un .exe en p2p. mal m'en a pris !
A l'ouverture de celui ci, il s'est installé sans demander son reste (aucune notification de windows sur les dangers d'accepter un exe, etc...). ,Il a ouvert une 15aine d'onglets dans firefox, pour accepter des clauses de je nesais quoi, mais je crois que c'était pour des pubs. Puis il a installé un widget météo sur mon bureau (j'ai supprimé). A présent, dès que je clique sur une recherche google (dans firefox ou IE), je suis redirigé sur une page de pub. Pour arriver à ma recherche, je dois faire "page precedente", et recliqué.
De plus, et surtout, le DD tourne un peu trop à mongout, et l'ordi est de plus en plus lent. (j'ai du forcer l'extinction de l'ordi hier soir)
Avira n'a rien vu, et ne detecte que spybot lorsqu'il supprime un "palevo". Mais la bebete semble déjà avoir fait des bébés...
Y'aurait il une bonne ame pour m'aider à analyser correctement le problème, et le supprimer svp? Ou sinon m'indiquer un lien pertinent correspondant à mes symptomes, car il y a souvent bcp d'outils et de méthodes, et je ne sais lesquels choisir.
D'avance merci
J'ai téléchargé un .exe en p2p. mal m'en a pris !
A l'ouverture de celui ci, il s'est installé sans demander son reste (aucune notification de windows sur les dangers d'accepter un exe, etc...). ,Il a ouvert une 15aine d'onglets dans firefox, pour accepter des clauses de je nesais quoi, mais je crois que c'était pour des pubs. Puis il a installé un widget météo sur mon bureau (j'ai supprimé). A présent, dès que je clique sur une recherche google (dans firefox ou IE), je suis redirigé sur une page de pub. Pour arriver à ma recherche, je dois faire "page precedente", et recliqué.
De plus, et surtout, le DD tourne un peu trop à mongout, et l'ordi est de plus en plus lent. (j'ai du forcer l'extinction de l'ordi hier soir)
Avira n'a rien vu, et ne detecte que spybot lorsqu'il supprime un "palevo". Mais la bebete semble déjà avoir fait des bébés...
Y'aurait il une bonne ame pour m'aider à analyser correctement le problème, et le supprimer svp? Ou sinon m'indiquer un lien pertinent correspondant à mes symptomes, car il y a souvent bcp d'outils et de méthodes, et je ne sais lesquels choisir.
D'avance merci
13 réponses
Salut,
On va commencer par analyser ton PC :
● Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.
● Double clique sur ZHPDiag_silent.exe
● Patiente pendant le scan. Un rapport s'ouvrira à la fin.
● Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.
Note :
Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.
On va commencer par analyser ton PC :
● Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.
● Double clique sur ZHPDiag_silent.exe
● Patiente pendant le scan. Un rapport s'ouvrira à la fin.
● Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.
Note :
Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.
Salut,
Et tout d'abord merci bcp Dieu (je peux t'appeler Dieu ?)
Voici le lien pour le rapport en question. http://www.cijoint.fr/cjlink.php?file=cj201105/cijg9Bkx01.txt
Ca c'est pour une première analyse, c'est bien ça ?
Et tout d'abord merci bcp Dieu (je peux t'appeler Dieu ?)
Voici le lien pour le rapport en question. http://www.cijoint.fr/cjlink.php?file=cj201105/cijg9Bkx01.txt
Ca c'est pour une première analyse, c'est bien ça ?
OK, tu es bien infecté, fais déjà ceci :
● Sous XP : Double clique sur ZHPFix présent sur ton bureau
● Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"
● Copie (Ctrl + C) le texte suivant :
● Clique sur l'icône représentant un H vert, le texte précédemment copier va apparaître
● Clique sur le bouton GO
● Copie/colle le rapport qui apparaîtra à la fin
► Aide en images
Data\Application Policy Service\svchost.exe
Pour info, à lire : le danger du P2P (merci Malekal)
PS :
Même si tu ne vois pas, je suis bien réel moi :).
● Sous XP : Double clique sur ZHPFix présent sur ton bureau
● Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"
● Copie (Ctrl + C) le texte suivant :
[MD5.B4F235687BC7C0F6441CCC43FE10F1D9] - (...) -- C:\Documents and Settings\oanig\Application Data\Microsoft\conhost.exe [177152] [MD5.163ACBF786498B2B7DCCFB377C295722] - (.Pas de propriétaire - Application Policy Service.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe [1459712] [MD5.884FB77477C17C33F00D230D1DC54825] - (...) -- C:\DOCUME~1\oanig\LOCALS~1\Temp\csrss.exe [182272] O4 - HKLM\..\Run: [conhost] . (...) -- C:\Documents and Settings\oanig\Application Data\Microsoft\conhost.exe O23 - Service: (Application Policy Service) . (.Pas de propriétaire - Application Policy Service.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe" [Enabled] .(.Pas de propriétaire.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Ap SR - | Auto 23/05/2011 1459712 | (Application Policy Service) . (...) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application
● Clique sur l'icône représentant un H vert, le texte précédemment copier va apparaître
● Clique sur le bouton GO
● Copie/colle le rapport qui apparaîtra à la fin
► Aide en images
Data\Application Policy Service\svchost.exe
Pour info, à lire : le danger du P2P (merci Malekal)
PS :
Et tout d'abord merci bcp Dieu (je peux t'appeler Dieu ?)
Même si tu ne vois pas, je suis bien réel moi :).
voici le rapport :
Rapport de ZHPFix 1.12.3286 par Nicolas Coolman, Update du 23/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-26-05-2011-17-00-03.txt
Run by oanig at 26/05/2011 17:00:03
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Processus mémoire ==========
C:\DOCUME~1\oanig\LOCALS~1\Temp\csrss.exe [182272] => Supprimé et mis en quarantaine
========== Clé(s) du Registre ==========
O23 - Service: (Application Policy Service) . (.Pas de propriétaire - Application Policy Service.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe => Clé absente
========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [conhost] . (...) -- C:\Documents and Settings\oanig\Application Data\Microsoft\conhost.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe" [Enabled] .(.Pas de propriétaire.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Ap => Valeur supprimée avec succès
========== Fichier(s) ==========
c:\documents and settings\oanig\application data\microsoft\conhost.exe () => Fichier non supprimé
c:\windows\system32\config\systemprofile\local settings\application data\application policy service\svchost.exe () => Fichier non supprimé
c:\windows\system32\config\systemprofile\local settings\application data\ap => Fichier absent
========== Récapitulatif ==========
1 : Processus mémoire
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
3 : Fichier(s)
End of the scan
Dieu aussi est réel... et meme qu'il boit du Nespresso , et qu'il ressemble bcp à John Malkovitch !
Rapport de ZHPFix 1.12.3286 par Nicolas Coolman, Update du 23/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-26-05-2011-17-00-03.txt
Run by oanig at 26/05/2011 17:00:03
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Processus mémoire ==========
C:\DOCUME~1\oanig\LOCALS~1\Temp\csrss.exe [182272] => Supprimé et mis en quarantaine
========== Clé(s) du Registre ==========
O23 - Service: (Application Policy Service) . (.Pas de propriétaire - Application Policy Service.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe => Clé absente
========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [conhost] . (...) -- C:\Documents and Settings\oanig\Application Data\Microsoft\conhost.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe" [Enabled] .(.Pas de propriétaire.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Ap => Valeur supprimée avec succès
========== Fichier(s) ==========
c:\documents and settings\oanig\application data\microsoft\conhost.exe () => Fichier non supprimé
c:\windows\system32\config\systemprofile\local settings\application data\application policy service\svchost.exe () => Fichier non supprimé
c:\windows\system32\config\systemprofile\local settings\application data\ap => Fichier absent
========== Récapitulatif ==========
1 : Processus mémoire
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
3 : Fichier(s)
End of the scan
Dieu aussi est réel... et meme qu'il boit du Nespresso , et qu'il ressemble bcp à John Malkovitch !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Certaines choses n'ont apparemment pas pu être supprimées, peux-tu refaire un rapport ZHPDiag comme ceci :
● Double clique ZHPDiag présent sur ton bureau
● Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan
● Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau
● Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse
● Double clique ZHPDiag présent sur ton bureau
● Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan
● Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau
● Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse
Voici le nouveau rapport, à l'adresse :
http://www.cijoint.fr/cjlink.php?file=cj201105/cijg9Bkx01.txt
http://www.cijoint.fr/cjlink.php?file=cj201105/cijg9Bkx01.txt
Dsl !
J'ai refait un scan du coup, et j'ai renommé le fichier ZHPdiag2 :
http://www.cijoint.fr/cjlink.php?file=cj201105/cijCeMf1LI.txt
Ca devrait etre bon...
J'ai refait un scan du coup, et j'ai renommé le fichier ZHPdiag2 :
http://www.cijoint.fr/cjlink.php?file=cj201105/cijCeMf1LI.txt
Ca devrait etre bon...
Les fichiers sont effectivement encore présents.
Peux-tu refaire la manip de ZHPFix en mode sans échec stp.
Peux-tu refaire la manip de ZHPFix en mode sans échec stp.
internet non dispo en mode sans echec, donc redemarrage mode normal, le temps de copier les lignes helper.
ca arrive...
ca arrive...
Bonjour,
Merci de ne pas créer de doublons et de rester sur le discussion créée initialement :
https://forums.commentcamarche.net/forum/affich-22300954-je-voudrais-savoir-si-je-suis-infecte-svp
Merci de ne pas créer de doublons et de rester sur le discussion créée initialement :
https://forums.commentcamarche.net/forum/affich-22300954-je-voudrais-savoir-si-je-suis-infecte-svp
