SVP aide pour infection windows XP FIX

Fermé
freakyflo - Modifié par freakyflo le 13/07/2011 à 17:47
 freakydot - 23 mars 2014 à 17:15
Bonjour,

Je veux dépanner un pc qui est infecté par windows XP FIX.
Comme indiqué dans un autre sujet, j'ai téléchargé puis éxécuté Rogue killer.
Voici le rapport. J'aimerais si c'est possible apprendre à lire et à interpréter les rapports (hijack ZHP diag etc...) j'ai déjà dépanné mon pc avec l'aide d'internautes de ce forum et si je pouvais devenir autonome voire aider à l'avenir ça serait cool... donc si c'est possible d'expliquer la méthode merci.


Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: xxxxxxxx [Droits d'admin]

Mode: Recherche -- Date : 13/07/2011 17:26:08

Processus malicieux: 3

[SUSP PATH] czpmc.exe -- c:\documents and settings\xxxxxxxx\local settings\application data\czpmc.exe -> KILLED

[SUSP PATH] WypEHgfIKaPhdv.exe -- c:\documents and settings\all users\application data\wypehgfikaphdv.exe -> KILLED

[ROGUE ST] 18800420.exe -- c:\documents and settings\all users\application data\18800420.exe -> KILLED

Entrees de registre: 12

[SUSP PATH] HKCU\[...]\Run : czpmc ("c:\documents and settings\xxxxxxxx\local settings\application data\czpmc.exe" czpmc) -> FOUND

[SUSP PATH] HKCU\[...]\Run : WypEHgfIKaPhdv (C:\Documents and Settings\All Users\Application Data\WypEHgfIKaPhdv.exe) -> FOUND

[SUSP PATH] HKUS\S-1-5-21-3197956685-2806788064-4108669220-1005[...]\Run : czpmc ("c:\documents and settings\xxxxxxxxx\local settings\application data\czpmc.exe" czpmc) -> FOUND

[SUSP PATH] HKUS\S-1-5-21-3197956685-2806788064-4108669220-1005[...]\Run : WypEHgfIKaPhdv (C:\Documents and Settings\All Users\Application Data\WypEHgfIKaPhdv.exe) -> FOUND

[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND



Fichier HOSTS:


127.0.0.1 localhost
127.0.0.1 3dns.adobe.com
127.0.0.1 3dns-1.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-4.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 activate.wip.adobe.com
127.0.0.1 activate.wip1.adobe.com
127.0.0.1 activate.wip2.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 activate.wip4.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-1.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 adobe-dns-4.adobe.com
127.0.0.1 crl.verisign.net

[...]


Termine : << RKreport[1].txt >>

RKreport[1].txt

A voir également:

68 réponses

Utilisateur anonyme
3 août 2011 à 12:24
salut tu parles de ca après le reboot hein ?
0
hello,

oui pour l'affichage des fichiers cachés je pense que ça c'est produit après le reboot et corection OTL
0
Utilisateur anonyme
3 août 2011 à 16:30
ok donne des precisions là-dessus :

la barre de lancement rapide est toujours invisible ou bloquée
0
hé bien depuis que la personne m'a confié son PC, je n'ai jamais vu de barre de lancement rapide l'espace est vide (fond couleur barre de taches)

autre chose aussi, dans le menu démarrer, les applications les plus utilisées étaient vides

NB : je viens juste d'installer avira version 10

est ce que je peux faire une défragmentation ou ça gene les opérations que tu veux faire ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
3 août 2011 à 16:51
elle est selectionnée en marche la barre de lancemment rapide au moins ?
0
oui oui j'avais vérifié avant de poster...

et pour la défrag ça ne gène pas ?
0
tu peux mais je ne pense pas que ca y changera grand chose faut voir plus loin que ca à mon avis
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
ça c'est juste pour la santé du pc je crois que ça n'a pas été fais depuis longtemps...

à ton écoute pour la suite :)
0
Utilisateur anonyme
3 août 2011 à 17:15
ok fais ta defrag alors ca ne pourra etre que mieux dans ce cas
0
ok je vais faire ça, j'ai aussi lancé una analyse intégrale de la "bête" avec avira pour voir... si résultats positifs je posterai.

autre chose !! je cosntate avec effroi que dans le dossier "outil d'administration" est vide dans "panneau de config" !!!
0
Utilisateur anonyme
3 août 2011 à 17:23
ne fais pas tout en meme temps ca va prendre 20 ans
0
c'est clair !!

concernant l'affichage des dossiers et fichiers, en fait les dossiers dans C: sont bien visibles comme je te l'ai dis.
Par contre ceux dans "mes documents" sont cachés hormis le répetoire "download"

désolé pour ces informations au compte goutte mais j'essaie de décrire le plus possible, pour t'aider.
0
Utilisateur anonyme
3 août 2011 à 17:39
ok supprime pre_scan , et ses rapports , retelecharge-le puis relance-le
0
Hey !

Alors la défrag est faite.
Le scan avira est fait, 1 résultat positif s******e de rootkit : RKIT/agent.45056.1 (dis moi si tu veux plus de détails)

J'ai réinstalé pré-scan, et relancé, ça à été très rapide...
Voila le rapport : http://www.cijoint.fr/cjlink.php?file=cj201108/cij6B50uQ9.txt
0
Utilisateur anonyme
4 août 2011 à 12:01
poste le rapport d'antivir
0
Utilisateur anonyme
4 août 2011 à 12:12
c'est quoi cet adobe pas à jour dans G:\ ?

evite d'installer des programmes ailleurs que dans C:\ ca chamboule le systeme et les desinfections

=====================================

desinstalle Java 6 Update 13

=====================================

tu as des restes de :

Avast
McAfee
Symantec Norton

sers-toi de cette page pour les virer :

Désinstallation Antivirus , Parefeu , Antispyware

=========================================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
"Cpqset"=-
""=-
[-HKEY_CURRENT_USER\Software\65]
[-HKEY_CURRENT_USER\Software\Official-eMule]
[-HKEY_LOCAL_MACHINE\Software\Official-eMule]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2869:TCP"=-

attrib::

___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
0
voilà pour avira : http://www.cijoint.fr/cjlink.php?file=cj201108/cij6QSzpjk.txt
0
Les fichiers sur G:/ sont des fichiers qui ont servi à l'installation de la suite adobe cs5, car le C:/ n'avait plus assez de mémoire.
Voilà le rapport pre-script:
http://www.cijoint.fr/cjlink.php?file=cj201108/cijiYt3kOM.txt
Le reste des antivirus est viré et Java est désinstallé.
Le lancement de l'installation d'Abobe en cliquant droit sur n'importe quelle icône n'existe plus.
Sinon, la nouveauté: quand on essaie d'ouvrir un fichier excel sur l'ordi, une fenêtre "Windows installer" avec la mention "veuillez patienter pendant que windows configure mircosoft office professional plus." appâraît. J'ai annulé, mais ça me semble bizarre aussi...
0
Utilisateur anonyme
5 août 2011 à 11:33
il est cracké adobe cs5 ?

et office pro plus 2010 ?
0
oui pour cs5
office pro 2010 par contre on n'a pas du tout ! le 2007 était vendu avec l'ordi mais c'est tout

ma copine à fait tombé le pc et l'écran est brisé... je vais essayer de le faire fonctionner sur celui de mon fixe... Je suis assez dégouté après 2 semaine de désinfection...
0