Se debarasser d'un rootkit!
Flow
-
Flow -
Flow -
Bonjour,
Je viens d'utiliser l'analyse de zhpdiag, j'ai maintenant besoin d'une aide pour utiliser le zhpfix, quelqu'un peut-il m'aider? Merci d'avance
Je viens d'utiliser l'analyse de zhpdiag, j'ai maintenant besoin d'une aide pour utiliser le zhpfix, quelqu'un peut-il m'aider? Merci d'avance
A voir également:
- Se debarasser d'un rootkit!
- Rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Panda anti-rootkit - Télécharger - Antivirus & Antimalwares
3 réponses
bonjour, pour utiliser zhpfix il faut trouver les lignes infectieuse et ne fixer que celle qu'il faut sinon il risque d'y avoir des problèmes !!
si tu pouvais poster le rapport de zhpdiag mais pas directement en passant par cijoint , merci
envoie-le sur : http://www.cijoint.fr/index.php ,
fais parcourir recherche le rapport
puis sélectionne le rapport en double cliquand dessus
et puis sur " cliquer ici pour déposer le fichier "
un lien bleu de cette forme va apparaitre :
renvoie le lien tout frais dans ta prochaine reponse .
et si problème passe par celui ci : http://cjoint.com/
si tu pouvais poster le rapport de zhpdiag mais pas directement en passant par cijoint , merci
envoie-le sur : http://www.cijoint.fr/index.php ,
fais parcourir recherche le rapport
puis sélectionne le rapport en double cliquand dessus
et puis sur " cliquer ici pour déposer le fichier "
un lien bleu de cette forme va apparaitre :
Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier. C'est ce même lien que vous devrez transmettre à vos correspondants http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
renvoie le lien tout frais dans ta prochaine reponse .
et si problème passe par celui ci : http://cjoint.com/
bonjour, tu pourras faire ce qui suit et on refait un point sur ton pc après , merci
car pc pas à jour et pourquoi a t'il la mise à jour automatique sur arrêt , de même que la restauration système" pourquoi est elle déactiver c'est pas bon car si problème on ne pourra pas revenir en arrière réactive la restauration système avant de faire ce qui suit !!
je pense que ta licence windows n'est pas légal , pourrais tu me confirmer la validité de ta licence , merci
(A) Activer la Restauration du système
cliques sur Démarrer
Cliques droit sur Poste de travail
cliques sur Propriétés
Cliques sur l'onglet Restauration du système
Décoches Désactiver la Restauration du système sur tous les lecteurs
Cliques sur Appliquer, Lorsque le message de confirmation apparaît,
cliques sur Oui.
Cliques sur OK.
1) fais zhpfix comme expliqué
. Copie les lignes suivantes en GRAS entre les deux lignes
__________________________________________________________
OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Real\RealPlayer\update\realsched.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-1659004503-1606980848-725345543-1003\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 24/11/2010 345376 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings] WarnOnHTTPSToHTTPRedirect: Modified
O4 - HKUS\S-1-5-18\..\Run: [hupbXGtblaxktVF] . (.Microsoft Corporation - Windows XP USER API Client DLL.) -- C:\Documents and Settings\All Users\Application Data\hupbXGtblaxktVF.exe
O20 - Winlogon Notify: permham . (...) -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\permham.dll
O42 - Logiciel: WhiteSmoke - (.WhiteSmoke.) [HKLM] -- WhiteSmoke
[HKCU\Software\3XQZ6EO4AP]
[HKCU\Software\4ECYTQ9SIC]
O43 - CFD: 22/05/2011 - 22:08:56 - [0] ----D- C:\Program Files\QuestScan
O43 - CFD: 06/06/2011 - 22:43:44 - [82169932] ----D- C:\Program Files\WhiteSmoke
O64 - Services: CurCS - ??/??/???? - C:\WINDOWS\system32\drivers\RKHit.sys (.not file.) - RkHit (RkHit) .(...) - LEGACY_RKHIT
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WhiteSmoke]
C:\Documents and Settings\Flow\Application Data\Adobe\plugs
C:\Documents and Settings\Flow\Application Data\Adobe\shed
C:\Program Files\QuestScan
C:\Program Files\WhiteSmoke
SysRestore
FirewallRAZ
EmptyFlash
EmptyTemp
HostFix
___________________________________________________________________
. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
PS: si rien ne se colle clique sur l'icône en haut sur gauche celui juste à côté de l'appareil photos " coller le presse papier"
!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
2) passes Reload_TDSSKiller car il semblerait que tu ais des traces de rootkits
? Télécharge Reload_TDSSKiller
? Lance le
choisis : lancer le nettoyage
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
? Copie/Colle son contenu dans ta prochaine réponse.
3) passes pré-scan
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau : Pre_Scan
si problème lien mirroir
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction courte du bureau --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si l'outil est bloqué par l'infection utilise cette version :Version .pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler
Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan
??? NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
? Clique sur Parcourir et cherche le fichier ci-dessus.
? Clique sur Ouvrir.
? Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
? Copie ce lien dans ta réponse.
4) fais un examen complet de ton pc avec malwarebytes
!! ATTENTION !!! près de 2 heures de scan !!!
Télécharge Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe
si problème essais avec celui ci : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installation, alors télécharge le ici :COMCTL32.OCX
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Une fois la mise à jour terminée
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Sélectionnes tous les disques si proposés
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
5) postes un nouveau zhpdiag pour contrôle , merci
Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!
Cliques sur la loupe pour lancer l'analyse.
si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis
Laisses l'outil travailler, il peut être assez long
A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Fermes ZHPDiag en fin d'analyse.
Pour me le transmettre clique sur ce lien :
http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt
ou directement en choisissant bureau et ZHPDiag.txt clique dessus
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
et si problème passe par celui ci : https://www.cjoint.com/
car pc pas à jour et pourquoi a t'il la mise à jour automatique sur arrêt , de même que la restauration système" pourquoi est elle déactiver c'est pas bon car si problème on ne pourra pas revenir en arrière réactive la restauration système avant de faire ce qui suit !!
je pense que ta licence windows n'est pas légal , pourrais tu me confirmer la validité de ta licence , merci
(A) Activer la Restauration du système
cliques sur Démarrer
Cliques droit sur Poste de travail
cliques sur Propriétés
Cliques sur l'onglet Restauration du système
Décoches Désactiver la Restauration du système sur tous les lecteurs
Cliques sur Appliquer, Lorsque le message de confirmation apparaît,
cliques sur Oui.
Cliques sur OK.
1) fais zhpfix comme expliqué
. Copie les lignes suivantes en GRAS entre les deux lignes
__________________________________________________________
OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Real\RealPlayer\update\realsched.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-1659004503-1606980848-725345543-1003\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 24/11/2010 345376 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings] WarnOnHTTPSToHTTPRedirect: Modified
O4 - HKUS\S-1-5-18\..\Run: [hupbXGtblaxktVF] . (.Microsoft Corporation - Windows XP USER API Client DLL.) -- C:\Documents and Settings\All Users\Application Data\hupbXGtblaxktVF.exe
O20 - Winlogon Notify: permham . (...) -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\permham.dll
O42 - Logiciel: WhiteSmoke - (.WhiteSmoke.) [HKLM] -- WhiteSmoke
[HKCU\Software\3XQZ6EO4AP]
[HKCU\Software\4ECYTQ9SIC]
O43 - CFD: 22/05/2011 - 22:08:56 - [0] ----D- C:\Program Files\QuestScan
O43 - CFD: 06/06/2011 - 22:43:44 - [82169932] ----D- C:\Program Files\WhiteSmoke
O64 - Services: CurCS - ??/??/???? - C:\WINDOWS\system32\drivers\RKHit.sys (.not file.) - RkHit (RkHit) .(...) - LEGACY_RKHIT
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WhiteSmoke]
C:\Documents and Settings\Flow\Application Data\Adobe\plugs
C:\Documents and Settings\Flow\Application Data\Adobe\shed
C:\Program Files\QuestScan
C:\Program Files\WhiteSmoke
SysRestore
FirewallRAZ
EmptyFlash
EmptyTemp
HostFix
___________________________________________________________________
. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
PS: si rien ne se colle clique sur l'icône en haut sur gauche celui juste à côté de l'appareil photos " coller le presse papier"
!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
2) passes Reload_TDSSKiller car il semblerait que tu ais des traces de rootkits
? Télécharge Reload_TDSSKiller
? Lance le
choisis : lancer le nettoyage
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
? Copie/Colle son contenu dans ta prochaine réponse.
3) passes pré-scan
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau : Pre_Scan
si problème lien mirroir
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction courte du bureau --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si l'outil est bloqué par l'infection utilise cette version :Version .pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler
Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan
??? NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
? Clique sur Parcourir et cherche le fichier ci-dessus.
? Clique sur Ouvrir.
? Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
? Copie ce lien dans ta réponse.
4) fais un examen complet de ton pc avec malwarebytes
!! ATTENTION !!! près de 2 heures de scan !!!
Télécharge Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe
si problème essais avec celui ci : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installation, alors télécharge le ici :COMCTL32.OCX
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Une fois la mise à jour terminée
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Sélectionnes tous les disques si proposés
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
5) postes un nouveau zhpdiag pour contrôle , merci
Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!
Cliques sur la loupe pour lancer l'analyse.
si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis
Laisses l'outil travailler, il peut être assez long
A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Fermes ZHPDiag en fin d'analyse.
Pour me le transmettre clique sur ce lien :
http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt
ou directement en choisissant bureau et ZHPDiag.txt clique dessus
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
et si problème passe par celui ci : https://www.cjoint.com/
Bonjour, voici les differents rapports d'analyse :
1) ZHPFix
Rapport de ZHPFix 1.12.3356 par Nicolas Coolman, Update du 17/08/2011
Fichier d'export Registre :
Run by Flow at 21/08/2011 00:07:32
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Logiciel(s) ==========
ABSENT Uninstall Process: c:\program files\whitesmoke\uninst.exe
========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhiteSmoke]
SUPPRIME Key: Service: Bonjour Service
ABSENT Key: Service: Bonjour Service
SUPPRIME Key: Winlogon Notify: permham
SUPPRIME Key: HKCU\Software\3XQZ6EO4AP
SUPPRIME Key: HKCU\Software\4ECYTQ9SIC
SUPPRIME Key: Service Legacy: LEGACY_RKHIT
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WhiteSmoke
========== Valeur(s) du Registre ==========
SUPPRIME RunValue: TkBellExe
SUPPRIME RunValue: QuickTime Task
SUPPRIME RunValue: Adobe Reader Speed Launcher
SUPPRIME RunValue: CTFMON.EXE
ABSENT RunValue: CTFMON.EXE
SUPPRIME RunValue: hupbXGtblaxktVF
SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
SUPPRIME FirewallRaz (SP) : C:\WINDOWS\TEMP\lidl\setup.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)
========== Elément(s) de donnée du Registre ==========
REMPLACE Value WarnOnHTTPSToHTTPRedirect : Good (1) - Bad (0)
========== Dossier(s) ==========
SUPPRIME Flash Cookies: 1
SUPPRIME Temporaires Windows: : 13
========== Fichier(s) ==========
SUPPRIME c:\documents and settings\all users\application data\hupbxgtblaxktvf.exe
SUPPRIME c:\documents and settings\networkservice\local settings\application data\permham.dll
SUPPRIME Flash Cookies: 0
SUPPRIME Temporaires Windows: : 17
========== Fichier HOSTS ==========
Le fichier Hosts n'est pas réparé !
========== Restauration Système ==========
Point de restauration du système créé avec succès
========== Récapitulatif ==========
8 : Clé(s) du Registre
10 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)
4 : Fichier(s)
1 : Logiciel(s)
1 : Fichier HOSTS
1 : Restauration Système
End of the scan in 00mn 46s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 21/08/2011 00:07:32 [2289]
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
2) TDSS Killer
A la fin de l'analyse il a trouvé le Rootkit.Win32.BackBoot.gen et m'a demandé de faire un choix, j'ai Skip pour ne pas chambouler les etapes, les autres choix etaient Mettre en Quarantaine ou Restorer. Il y a quelques mois j'ai perdu l'accés a Internet en m'attaquant au Rootkit.Win32 qui avait une autre terminaison à l'époque, j'ai retrouvé l'accés Internet en utilisant Malwarebytes il y a quelques jours. Voici le rapport,
2011/08/21 00:14:24.0078 3708 TDSS rootkit removing tool 2.5.16.0 Aug 19 2011 17:48:17
2011/08/21 00:14:25.0015 3708 ================================================================================
2011/08/21 00:14:25.0015 3708 SystemInfo:
2011/08/21 00:14:25.0015 3708
2011/08/21 00:14:25.0015 3708 OS Version: 5.1.2600 ServicePack: 2.0
2011/08/21 00:14:25.0015 3708 Product type: Workstation
2011/08/21 00:14:25.0015 3708 ComputerName: LSDBOT-III
2011/08/21 00:14:25.0015 3708 UserName: Flow
2011/08/21 00:14:25.0015 3708 Windows directory: C:\WINDOWS
2011/08/21 00:14:25.0015 3708 System windows directory: C:\WINDOWS
2011/08/21 00:14:25.0015 3708 Processor architecture: Intel x86
2011/08/21 00:14:25.0015 3708 Number of processors: 2
2011/08/21 00:14:25.0015 3708 Page size: 0x1000
2011/08/21 00:14:25.0015 3708 Boot type: Normal boot
2011/08/21 00:14:25.0015 3708 ================================================================================
2011/08/21 00:14:26.0187 3708 Initialize success
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3) Pre Scan
http://www.cijoint.fr/cjlink.php?file=cj201108/cijhbufVGl.txt
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
4) Malware byte
Celui ci me donne 2 fichiers que voici :
1) mbam-log
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7525
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
21/08/2011 15:48:23
mbam-log-2011-08-21 (15-48-23).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 208403
Temps écoulé: 1 heure(s), 34 minute(s), 35 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 13
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Z-opti (Adware.EZula) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tgs90gv74r (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Z-opti (Adware.EZula) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICORSOFT_WINDOWS_SERVICE (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Micorsoft Windows Service (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\INPUT MANAGER (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\LOCAL ACCOUNT AUTHORITY SERVICE (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\PLUG MANAGER (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Input Manager\ImagePath (Trojan.Agent) -> Value: ImagePath -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Local Account Authority Service\ImagePath (Trojan.Agent) -> Value: ImagePath -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Plug Manager\ImagePath (Trojan.Agent) -> Value: ImagePath -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\rdgpaxsx.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\documents and settings\Flow\local settings\Temp\jibkfauhlxbrjtdg.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\documents and settings\Flow\local settings\Temp\svchost.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\documents and settings\flow\menu démarrer\programmes\démarrage\rdgpaxsx.exe (Trojan.Agent.H) -> Delete on reboot.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\8VVA67JM\calc[1].exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\OPZK6GQ6\windows-update-sp3-kb83486-setup[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\networkservice\menu démarrer\programmes\démarrage\rdgpaxsx.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\Kill'em\quarantine\jibkfauhlxbrjtdg.exe.kill'em (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\program files\jwodpxmk\rdgpaxsx.exe (Trojan.Agent.H) -> Delete on reboot.
c:\WINDOWS\explorermgr.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\accelerometerstmgr.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\wltraymgr.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\ZHP\quarantine\hupbxgtblaxktvf.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
2) protection-log
14:02:31 Flow MESSAGE Protection started successfully
14:02:34 Flow ERROR IP protection failed: PfMakeLog failed with error code 21
15:51:22 Flow MESSAGE Protection started successfully
15:51:25 Flow ERROR IP protection failed: PfMakeLog failed with error code 21
16:22:00 Flow MESSAGE Protection started successfully
16:22:03 Flow ERROR IP protection failed: PfMakeLog failed with error code 21
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
5) ZhpDiag 2
J'ai essayé et mon pc a planté, je retente aprés avoir envoyé ce message...
1) ZHPFix
Rapport de ZHPFix 1.12.3356 par Nicolas Coolman, Update du 17/08/2011
Fichier d'export Registre :
Run by Flow at 21/08/2011 00:07:32
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Logiciel(s) ==========
ABSENT Uninstall Process: c:\program files\whitesmoke\uninst.exe
========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhiteSmoke]
SUPPRIME Key: Service: Bonjour Service
ABSENT Key: Service: Bonjour Service
SUPPRIME Key: Winlogon Notify: permham
SUPPRIME Key: HKCU\Software\3XQZ6EO4AP
SUPPRIME Key: HKCU\Software\4ECYTQ9SIC
SUPPRIME Key: Service Legacy: LEGACY_RKHIT
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WhiteSmoke
========== Valeur(s) du Registre ==========
SUPPRIME RunValue: TkBellExe
SUPPRIME RunValue: QuickTime Task
SUPPRIME RunValue: Adobe Reader Speed Launcher
SUPPRIME RunValue: CTFMON.EXE
ABSENT RunValue: CTFMON.EXE
SUPPRIME RunValue: hupbXGtblaxktVF
SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
SUPPRIME FirewallRaz (SP) : C:\WINDOWS\TEMP\lidl\setup.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)
========== Elément(s) de donnée du Registre ==========
REMPLACE Value WarnOnHTTPSToHTTPRedirect : Good (1) - Bad (0)
========== Dossier(s) ==========
SUPPRIME Flash Cookies: 1
SUPPRIME Temporaires Windows: : 13
========== Fichier(s) ==========
SUPPRIME c:\documents and settings\all users\application data\hupbxgtblaxktvf.exe
SUPPRIME c:\documents and settings\networkservice\local settings\application data\permham.dll
SUPPRIME Flash Cookies: 0
SUPPRIME Temporaires Windows: : 17
========== Fichier HOSTS ==========
Le fichier Hosts n'est pas réparé !
========== Restauration Système ==========
Point de restauration du système créé avec succès
========== Récapitulatif ==========
8 : Clé(s) du Registre
10 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)
4 : Fichier(s)
1 : Logiciel(s)
1 : Fichier HOSTS
1 : Restauration Système
End of the scan in 00mn 46s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 21/08/2011 00:07:32 [2289]
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
2) TDSS Killer
A la fin de l'analyse il a trouvé le Rootkit.Win32.BackBoot.gen et m'a demandé de faire un choix, j'ai Skip pour ne pas chambouler les etapes, les autres choix etaient Mettre en Quarantaine ou Restorer. Il y a quelques mois j'ai perdu l'accés a Internet en m'attaquant au Rootkit.Win32 qui avait une autre terminaison à l'époque, j'ai retrouvé l'accés Internet en utilisant Malwarebytes il y a quelques jours. Voici le rapport,
2011/08/21 00:14:24.0078 3708 TDSS rootkit removing tool 2.5.16.0 Aug 19 2011 17:48:17
2011/08/21 00:14:25.0015 3708 ================================================================================
2011/08/21 00:14:25.0015 3708 SystemInfo:
2011/08/21 00:14:25.0015 3708
2011/08/21 00:14:25.0015 3708 OS Version: 5.1.2600 ServicePack: 2.0
2011/08/21 00:14:25.0015 3708 Product type: Workstation
2011/08/21 00:14:25.0015 3708 ComputerName: LSDBOT-III
2011/08/21 00:14:25.0015 3708 UserName: Flow
2011/08/21 00:14:25.0015 3708 Windows directory: C:\WINDOWS
2011/08/21 00:14:25.0015 3708 System windows directory: C:\WINDOWS
2011/08/21 00:14:25.0015 3708 Processor architecture: Intel x86
2011/08/21 00:14:25.0015 3708 Number of processors: 2
2011/08/21 00:14:25.0015 3708 Page size: 0x1000
2011/08/21 00:14:25.0015 3708 Boot type: Normal boot
2011/08/21 00:14:25.0015 3708 ================================================================================
2011/08/21 00:14:26.0187 3708 Initialize success
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
3) Pre Scan
http://www.cijoint.fr/cjlink.php?file=cj201108/cijhbufVGl.txt
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
4) Malware byte
Celui ci me donne 2 fichiers que voici :
1) mbam-log
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7525
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
21/08/2011 15:48:23
mbam-log-2011-08-21 (15-48-23).txt
Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 208403
Temps écoulé: 1 heure(s), 34 minute(s), 35 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 13
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Z-opti (Adware.EZula) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tgs90gv74r (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Z-opti (Adware.EZula) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICORSOFT_WINDOWS_SERVICE (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Micorsoft Windows Service (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\INPUT MANAGER (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\LOCAL ACCOUNT AUTHORITY SERVICE (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\PLUG MANAGER (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Input Manager\ImagePath (Trojan.Agent) -> Value: ImagePath -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Local Account Authority Service\ImagePath (Trojan.Agent) -> Value: ImagePath -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Plug Manager\ImagePath (Trojan.Agent) -> Value: ImagePath -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\rdgpaxsx.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\documents and settings\Flow\local settings\Temp\jibkfauhlxbrjtdg.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\documents and settings\Flow\local settings\Temp\svchost.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\documents and settings\flow\menu démarrer\programmes\démarrage\rdgpaxsx.exe (Trojan.Agent.H) -> Delete on reboot.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\8VVA67JM\calc[1].exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\OPZK6GQ6\windows-update-sp3-kb83486-setup[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\networkservice\menu démarrer\programmes\démarrage\rdgpaxsx.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\Kill'em\quarantine\jibkfauhlxbrjtdg.exe.kill'em (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\program files\jwodpxmk\rdgpaxsx.exe (Trojan.Agent.H) -> Delete on reboot.
c:\WINDOWS\explorermgr.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\accelerometerstmgr.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\wltraymgr.exe (Trojan.Agent.H) -> Quarantined and deleted successfully.
c:\ZHP\quarantine\hupbxgtblaxktvf.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
2) protection-log
14:02:31 Flow MESSAGE Protection started successfully
14:02:34 Flow ERROR IP protection failed: PfMakeLog failed with error code 21
15:51:22 Flow MESSAGE Protection started successfully
15:51:25 Flow ERROR IP protection failed: PfMakeLog failed with error code 21
16:22:00 Flow MESSAGE Protection started successfully
16:22:03 Flow ERROR IP protection failed: PfMakeLog failed with error code 21
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
5) ZhpDiag 2
J'ai essayé et mon pc a planté, je retente aprés avoir envoyé ce message...
Voici le rapport d'analyse de zhpdiag
http://www.cijoint.fr/cjlink.php?file=cj201108/cijN2jbO7h.txt
Mon Pc tourne avec un Windows XP allégé appellé LSD, j'ai acheté le pc avec ce programme, je ne sait rien de la licence..
Merci encore pour ton aide précieuse et détaillée, si seulement les gens s'entre aidaient dans la vie comme sur le net ça serait merveilleux. Bonne journée
http://www.cijoint.fr/cjlink.php?file=cj201108/cijN2jbO7h.txt
Mon Pc tourne avec un Windows XP allégé appellé LSD, j'ai acheté le pc avec ce programme, je ne sait rien de la licence..
Merci encore pour ton aide précieuse et détaillée, si seulement les gens s'entre aidaient dans la vie comme sur le net ça serait merveilleux. Bonne journée
Mon Pc tourne avec un Windows XP allégé appellé LSD, j'ai acheté le pc avec ce programme, je ne sait rien de la licence..
as tu sur le pc l'étiquette avec le niuméro de licence xp pro comme celle ci http://sd-1.archive-host.com/membres/images/89820622056365782/etiquette_licence.jpg
et tu fais comment le jour ou tu dois formater ou changer ton disque dure pour réinstaller ton windows ??
tu comprendras que je ne donnes pas suite au nettoyage de ton pc car avec se genre de windows et l'utilisation de certain outils on risque le plantage pur et simple !!
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows
https://www.commentcamarche.net/infos/25921-pourquoi-ccm-n-aide-pas-la-contrefacon-numerique-des-logiciels/
Le laptop tourne avec lsd car il est tres lent.
J'ai l'etiquette et aussi un cd de formatage dans la pochette de protection, je veux bien m'en servir mais comment faire pour sauver ma musique et mes photos sans contaminer mon disque dur externe?
Y a-t-il un moyen de les nettoyer avant le transfert?
Merci pour tes conseils.
J'ai l'etiquette et aussi un cd de formatage dans la pochette de protection, je veux bien m'en servir mais comment faire pour sauver ma musique et mes photos sans contaminer mon disque dur externe?
Y a-t-il un moyen de les nettoyer avant le transfert?
Merci pour tes conseils.
