SVP aide pour infection windows XP FIX
freakyflo
-
freakydot -
freakydot -
Bonjour,
Je veux dépanner un pc qui est infecté par windows XP FIX.
Comme indiqué dans un autre sujet, j'ai téléchargé puis éxécuté Rogue killer.
Voici le rapport. J'aimerais si c'est possible apprendre à lire et à interpréter les rapports (hijack ZHP diag etc...) j'ai déjà dépanné mon pc avec l'aide d'internautes de ce forum et si je pouvais devenir autonome voire aider à l'avenir ça serait cool... donc si c'est possible d'expliquer la méthode merci.
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: xxxxxxxx [Droits d'admin]
Mode: Recherche -- Date : 13/07/2011 17:26:08
Processus malicieux: 3
[SUSP PATH] czpmc.exe -- c:\documents and settings\xxxxxxxx\local settings\application data\czpmc.exe -> KILLED
[SUSP PATH] WypEHgfIKaPhdv.exe -- c:\documents and settings\all users\application data\wypehgfikaphdv.exe -> KILLED
[ROGUE ST] 18800420.exe -- c:\documents and settings\all users\application data\18800420.exe -> KILLED
Entrees de registre: 12
[SUSP PATH] HKCU\[...]\Run : czpmc ("c:\documents and settings\xxxxxxxx\local settings\application data\czpmc.exe" czpmc) -> FOUND
[SUSP PATH] HKCU\[...]\Run : WypEHgfIKaPhdv (C:\Documents and Settings\All Users\Application Data\WypEHgfIKaPhdv.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3197956685-2806788064-4108669220-1005[...]\Run : czpmc ("c:\documents and settings\xxxxxxxxx\local settings\application data\czpmc.exe" czpmc) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3197956685-2806788064-4108669220-1005[...]\Run : WypEHgfIKaPhdv (C:\Documents and Settings\All Users\Application Data\WypEHgfIKaPhdv.exe) -> FOUND
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 3dns.adobe.com
127.0.0.1 3dns-1.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-4.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 activate.wip.adobe.com
127.0.0.1 activate.wip1.adobe.com
127.0.0.1 activate.wip2.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 activate.wip4.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-1.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 adobe-dns-4.adobe.com
127.0.0.1 crl.verisign.net
[...]
Termine : << RKreport[1].txt >>
RKreport[1].txt
Je veux dépanner un pc qui est infecté par windows XP FIX.
Comme indiqué dans un autre sujet, j'ai téléchargé puis éxécuté Rogue killer.
Voici le rapport. J'aimerais si c'est possible apprendre à lire et à interpréter les rapports (hijack ZHP diag etc...) j'ai déjà dépanné mon pc avec l'aide d'internautes de ce forum et si je pouvais devenir autonome voire aider à l'avenir ça serait cool... donc si c'est possible d'expliquer la méthode merci.
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: xxxxxxxx [Droits d'admin]
Mode: Recherche -- Date : 13/07/2011 17:26:08
Processus malicieux: 3
[SUSP PATH] czpmc.exe -- c:\documents and settings\xxxxxxxx\local settings\application data\czpmc.exe -> KILLED
[SUSP PATH] WypEHgfIKaPhdv.exe -- c:\documents and settings\all users\application data\wypehgfikaphdv.exe -> KILLED
[ROGUE ST] 18800420.exe -- c:\documents and settings\all users\application data\18800420.exe -> KILLED
Entrees de registre: 12
[SUSP PATH] HKCU\[...]\Run : czpmc ("c:\documents and settings\xxxxxxxx\local settings\application data\czpmc.exe" czpmc) -> FOUND
[SUSP PATH] HKCU\[...]\Run : WypEHgfIKaPhdv (C:\Documents and Settings\All Users\Application Data\WypEHgfIKaPhdv.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3197956685-2806788064-4108669220-1005[...]\Run : czpmc ("c:\documents and settings\xxxxxxxxx\local settings\application data\czpmc.exe" czpmc) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3197956685-2806788064-4108669220-1005[...]\Run : WypEHgfIKaPhdv (C:\Documents and Settings\All Users\Application Data\WypEHgfIKaPhdv.exe) -> FOUND
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 3dns.adobe.com
127.0.0.1 3dns-1.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-4.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 activate.wip.adobe.com
127.0.0.1 activate.wip1.adobe.com
127.0.0.1 activate.wip2.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 activate.wip4.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-1.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 adobe-dns-4.adobe.com
127.0.0.1 crl.verisign.net
[...]
Termine : << RKreport[1].txt >>
RKreport[1].txt
A voir également:
- SVP aide pour infection windows XP FIX
- Cle windows xp - Guide
- Telecharger windows xp - Télécharger - Systèmes d'exploitation
- Montage video windows - Guide
- Windows ne démarre pas - Guide
- Windows movie maker - Télécharger - Montage & Édition
68 réponses
hello,
oui pour l'affichage des fichiers cachés je pense que ça c'est produit après le reboot et corection OTL
oui pour l'affichage des fichiers cachés je pense que ça c'est produit après le reboot et corection OTL
hé bien depuis que la personne m'a confié son PC, je n'ai jamais vu de barre de lancement rapide l'espace est vide (fond couleur barre de taches)
autre chose aussi, dans le menu démarrer, les applications les plus utilisées étaient vides
NB : je viens juste d'installer avira version 10
est ce que je peux faire une défragmentation ou ça gene les opérations que tu veux faire ?
autre chose aussi, dans le menu démarrer, les applications les plus utilisées étaient vides
NB : je viens juste d'installer avira version 10
est ce que je peux faire une défragmentation ou ça gene les opérations que tu veux faire ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
tu peux mais je ne pense pas que ca y changera grand chose faut voir plus loin que ca à mon avis
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
ça c'est juste pour la santé du pc je crois que ça n'a pas été fais depuis longtemps...
à ton écoute pour la suite :)
à ton écoute pour la suite :)
ok je vais faire ça, j'ai aussi lancé una analyse intégrale de la "bête" avec avira pour voir... si résultats positifs je posterai.
autre chose !! je cosntate avec effroi que dans le dossier "outil d'administration" est vide dans "panneau de config" !!!
autre chose !! je cosntate avec effroi que dans le dossier "outil d'administration" est vide dans "panneau de config" !!!
c'est clair !!
concernant l'affichage des dossiers et fichiers, en fait les dossiers dans C: sont bien visibles comme je te l'ai dis.
Par contre ceux dans "mes documents" sont cachés hormis le répetoire "download"
désolé pour ces informations au compte goutte mais j'essaie de décrire le plus possible, pour t'aider.
concernant l'affichage des dossiers et fichiers, en fait les dossiers dans C: sont bien visibles comme je te l'ai dis.
Par contre ceux dans "mes documents" sont cachés hormis le répetoire "download"
désolé pour ces informations au compte goutte mais j'essaie de décrire le plus possible, pour t'aider.
Hey !
Alors la défrag est faite.
Le scan avira est fait, 1 résultat positif s******e de rootkit : RKIT/agent.45056.1 (dis moi si tu veux plus de détails)
J'ai réinstalé pré-scan, et relancé, ça à été très rapide...
Voila le rapport : http://www.cijoint.fr/cjlink.php?file=cj201108/cij6B50uQ9.txt
Alors la défrag est faite.
Le scan avira est fait, 1 résultat positif s******e de rootkit : RKIT/agent.45056.1 (dis moi si tu veux plus de détails)
J'ai réinstalé pré-scan, et relancé, ça à été très rapide...
Voila le rapport : http://www.cijoint.fr/cjlink.php?file=cj201108/cij6B50uQ9.txt
c'est quoi cet adobe pas à jour dans G:\ ?
evite d'installer des programmes ailleurs que dans C:\ ca chamboule le systeme et les desinfections
=====================================
desinstalle Java 6 Update 13
=====================================
tu as des restes de :
Avast
McAfee
Symantec Norton
sers-toi de cette page pour les virer :
Désinstallation Antivirus , Parefeu , Antispyware
=========================================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
"Cpqset"=-
""=-
[-HKEY_CURRENT_USER\Software\65]
[-HKEY_CURRENT_USER\Software\Official-eMule]
[-HKEY_LOCAL_MACHINE\Software\Official-eMule]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2869:TCP"=-
attrib::
___________________________________________________
copie-le (ctrl+c ou clique droit sur la selection puis => copier)
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
evite d'installer des programmes ailleurs que dans C:\ ca chamboule le systeme et les desinfections
=====================================
desinstalle Java 6 Update 13
=====================================
tu as des restes de :
Avast
McAfee
Symantec Norton
sers-toi de cette page pour les virer :
Désinstallation Antivirus , Parefeu , Antispyware
=========================================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
"Cpqset"=-
""=-
[-HKEY_CURRENT_USER\Software\65]
[-HKEY_CURRENT_USER\Software\Official-eMule]
[-HKEY_LOCAL_MACHINE\Software\Official-eMule]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2869:TCP"=-
attrib::
___________________________________________________
copie-le (ctrl+c ou clique droit sur la selection puis => copier)
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
Les fichiers sur G:/ sont des fichiers qui ont servi à l'installation de la suite adobe cs5, car le C:/ n'avait plus assez de mémoire.
Voilà le rapport pre-script:
http://www.cijoint.fr/cjlink.php?file=cj201108/cijiYt3kOM.txt
Le reste des antivirus est viré et Java est désinstallé.
Le lancement de l'installation d'Abobe en cliquant droit sur n'importe quelle icône n'existe plus.
Sinon, la nouveauté: quand on essaie d'ouvrir un fichier excel sur l'ordi, une fenêtre "Windows installer" avec la mention "veuillez patienter pendant que windows configure mircosoft office professional plus." appâraît. J'ai annulé, mais ça me semble bizarre aussi...
Voilà le rapport pre-script:
http://www.cijoint.fr/cjlink.php?file=cj201108/cijiYt3kOM.txt
Le reste des antivirus est viré et Java est désinstallé.
Le lancement de l'installation d'Abobe en cliquant droit sur n'importe quelle icône n'existe plus.
Sinon, la nouveauté: quand on essaie d'ouvrir un fichier excel sur l'ordi, une fenêtre "Windows installer" avec la mention "veuillez patienter pendant que windows configure mircosoft office professional plus." appâraît. J'ai annulé, mais ça me semble bizarre aussi...