virus recovery ? Fermé

Question

Bonjour, 

je viens de rétablir le fonctionnement de mon ordinateur après une grosse panique avec recovery qui ressemble tout à fait à ce qui s'est passé il y a 2 jours pour mp4m (voir le post suivant).
https://forums.commentcamarche.net/forum/affich-22230451-virus-clusters-endommages-w-vista-sos
écran noir, données disparues, messages disque dur touché, clusters endommagés etc...
et miracle :  ça a marché en retournant à un point de restauration antérieur.
je suis très surpris que ça ait été si simple et j'ai peur qu'il y ait une menace qui reste cachée dans les entrailles de la bête.
j'ai passé roguekiller et MBAM qui ne trouve rien d'alarmant.
mon antivirus non plus (avira).
est-ce que j'ai raison de me méfier ou est-ce que c'est fini ?

jacques.gache · Answer

bonjour pour contrôle postes un zhpdiag , merci 

Ouvre ce lien et télécharge ZHPDiag : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

cliques sur télécharger "celui du bas" 

ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe



Enregistres le sur ton Bureau. 

Une fois le téléchargement achevé

pour XP, double-clique sur ZHPDiag 

pour Vista,et seven tu  fais un clic droit sur l'icône et exécute en tant qu'administrateur. 

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix. 

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !! 

Cliques sur la loupe pour lancer l'analyse. 

 si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire  un rapport plus complet et pouvoir en faire une lecture plus approfondis 

Laisses l'outil travailler, il peut être assez long 

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau. 


Fermes ZHPDiag en fin d'analyse. 


Pour me le transmettre clique sur ce lien : 

http://www.cijoint.fr/index.php  


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et  ZHPDiag.txt clique dessus 

Clique sur Ouvrir. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse. 


et si problème passe par celui ci :    https://www.cjoint.com/

Stratonimbus · Answer

OK merci jacques.
voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201106/cijG9a6hj0.txt

Stratonimbus · Answer

Je dois y aller.
à demain.

Stratonimbus · Answer

bonjour,
est-ce qu'il est possible que la restauration du système à un point antérieur suffise à contrer un virus comme recovery qui m'a semblé assez virulent ...autant que j'ai pu en jugé dans les posts d'autres internautes...?
Qu'en pensez-vous de manière générale ?

Stratonimbus · Answer

Ok merci encore.
voici le rapport d'ad remover:======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:40:49 le 05/06/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X64) 
Fend-la-bise 2010@PACKARDBELL (Packard Bell imedia S3720) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Users\Fend-la-bise 2010\AppData\Roaming\Mozilla\FireFox\Profiles\m1xonabo.default\searchplugins\askcom.xml
Dossier supprimé: C:\Program Files (x86)\Ask.com

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Fend-la-bise 2010\AppData\Roaming\Mozilla\FireFox\Profiles\m1xonabo.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com"); 
Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask.com"); 
Ligne supprimée: user_pref("browser.search.order.1", "Ask.com"); 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.17 (fr)] ****

HKLM_MozillaPlugins\@nvidia.com/3DVision (x)
HKLM_MozillaPlugins\@nvidia.com/3DVisionStreaming (x)
HKLM_Extensions|{7BA52691-1876-45ce-9EE6-54BCB3B04BBC} - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn\ (x)

-- C:\Users\Fend-la-bise 2010\AppData\Roaming\Mozilla\FireFox\Profiles\m1xonabo.default --
Extensions\DTToolbar@toolbarnet.com (DAEMON Tools Toolbar)
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17

========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\WebBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll)
HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll)
HKCU_Toolbar\WebBrowser|{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} (C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexhlp.dll)
HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll)
HKLM_Toolbar|{32099AAC-C132-4136-9E9A-4E364A424E17} (C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll)
HKLM_Toolbar|{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} (C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexhlp.dll)
HKCU_ElevationPolicy\{D3DE705E-0BB6-47E6-AB61-6FF78BE040A0} - C:\Program Files (x86)\Internet Explorer\minftnet.exe (Synersoft)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files (x86)\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 3 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 05/06/2011 11:41:15 (4652 Octet(s)) 

Fin à: 11:42:00, 05/06/2011 
 
============== E.O.F ============== 

Quoi en penser ?

Virus recovery ?

5 réponses

Discussions similaires