A voir également:
- Trojan indésirable ...
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan al11 - Forum Virus
- Csrss.exe trojan - Forum Virus
- Liste numéro indésirable - Guide
- Comment supprimer csrss.exe? ✓ - Forum Virus
62 réponses
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
24 oct. 2011 à 19:48
24 oct. 2011 à 19:48
Salut,
Bienvenue sur Comment Ça Marche. On va essayer de résoudre ton problème ensemble. Voici quelques régles ==>
-Ici, les helpers sont volontaires, et nous avons également une vie de famille, du travail, comme tout le monde. En conséquences, sois patient en attendant tes réponses de la part du helper.
-Suis la procédure jusqu'au bout, sinon ça ne servira à rien.
-Ne panique pas, n'hésite pas à poser des questions si tu as des doutes, car c'est beaucoup mieux que de planter ton PC si tu ne sais pas quoi faire.
-Avant d'effectuer des manipulations, lis la procédure jusqu'au bout, afin de ne pas faire d'erreur.
-Lors de la désinfection, désactive ton antivirus, afin que la désinfection puisse s'effectuer normalement.
-Si tu es sous Vista/7, éxécute un programme toujours en faisant un clic droit puis ==> Éxécuter en tant qu'administrateur
-Si tu crack (Emule, BiTorrent, etc...) arrête tout de suite, c'est une source d'infection, et la désinfection sera donc inutile.
-N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre).
Si tu es prêt, c'est partit ==>
On va faire un diagnostic de ton PC pour plus de renseignements ==>
=> Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
=> Laisse toi guider lors de l'installation, coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag".
/!\Utilisateur de Vista et Seven/!\ : Clic droit sur le logo de ZHPdiag (parchemin) puis « Exécuter en tant qu'Administrateur »
=> Clique sur l'icône, en haut à gauche, représentant une loupe : « Lancer le diagnostic ».
=> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.
=> Héberge le rapport ZHPDiag.txt sur un des sites ci-dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
https://www.cjoint.com/
ou
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
http://pjjoint.malekal.com/
ou :
https://www.casimages.com/
Si tu as besoin d'aide, ou quelque chose n'est pas clair, n'hésite pas à poser la question.
@+
Gabriel.
Bienvenue sur Comment Ça Marche. On va essayer de résoudre ton problème ensemble. Voici quelques régles ==>
-Ici, les helpers sont volontaires, et nous avons également une vie de famille, du travail, comme tout le monde. En conséquences, sois patient en attendant tes réponses de la part du helper.
-Suis la procédure jusqu'au bout, sinon ça ne servira à rien.
-Ne panique pas, n'hésite pas à poser des questions si tu as des doutes, car c'est beaucoup mieux que de planter ton PC si tu ne sais pas quoi faire.
-Avant d'effectuer des manipulations, lis la procédure jusqu'au bout, afin de ne pas faire d'erreur.
-Lors de la désinfection, désactive ton antivirus, afin que la désinfection puisse s'effectuer normalement.
-Si tu es sous Vista/7, éxécute un programme toujours en faisant un clic droit puis ==> Éxécuter en tant qu'administrateur
-Si tu crack (Emule, BiTorrent, etc...) arrête tout de suite, c'est une source d'infection, et la désinfection sera donc inutile.
-N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre).
Si tu es prêt, c'est partit ==>
On va faire un diagnostic de ton PC pour plus de renseignements ==>
=> Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
=> Laisse toi guider lors de l'installation, coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag".
/!\Utilisateur de Vista et Seven/!\ : Clic droit sur le logo de ZHPdiag (parchemin) puis « Exécuter en tant qu'Administrateur »
=> Clique sur l'icône, en haut à gauche, représentant une loupe : « Lancer le diagnostic ».
=> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.
=> Héberge le rapport ZHPDiag.txt sur un des sites ci-dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
https://www.cjoint.com/
ou
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
http://pjjoint.malekal.com/
ou :
https://www.casimages.com/
Si tu as besoin d'aide, ou quelque chose n'est pas clair, n'hésite pas à poser la question.
@+
Gabriel.
Alors j'ai essayé de lancer un scan avec Zhp mais il se ferme avant la fin. J'ai vu qu'il y avait un problème similaire sur le forum donc j'ai suivi vos instruction sur ce post :
http://www.commentcamarche.net/forum/affich-23465399-pc-infecte-par-trojan-win32
Voici le rapport de TDSSKiller ( j'ai cliquer sur continuer, avec cure et delete en option il y avait des "rootkit" ) :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijBzGxmnI.txt
http://www.commentcamarche.net/forum/affich-23465399-pc-infecte-par-trojan-win32
Voici le rapport de TDSSKiller ( j'ai cliquer sur continuer, avec cure et delete en option il y avait des "rootkit" ) :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijBzGxmnI.txt
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
25 oct. 2011 à 12:35
25 oct. 2011 à 12:35
C'est du ZAcess...
Là, suis toutes les consignes. Je te conseille de les avoir sous la main lors de la manip', donc si tu pouvais les imprimer ;)
Ne fais ça uniquement si tu es sous : XP 32 bits uniquement, ou Vista/7.
/!\ ATTENTION SUIVRE À LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>>>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<<<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : DANGEREUX ! <<<<<<<<
=====================================================
? Surtout, pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur. Tout simplement car il ne sera pas détécté par l'infection.
Télécharge Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\Choisis la version adéquate (32 ou 64 bits)/!\
=>Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
? Télécharge Defogger (de jpshortstuff) sur ton Bureau : http://www.jpshortstuff.247fixes.com/Defogger.exe
? Lance-le : Utilisateurs de Vista et Seven => Clic droit : Éxécuter en tant qu'administrateur.
Une fenêtre apparait : clique sur "Disable"
? Fais redémarrer l'ordinateur si l'outil te le demande.
>> N.B : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" <<
_________________________________________________________
>> Referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
Si tu as XP => double clique .
Si tu as Windows Vista ou Windows 7 => clic droit "Éxecuter en tant que Administrateur"
Sur le combofix renommé.
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
? !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....), sauf si l'outil te le demande !!!!! Cela peut planter complètement ton système !!!
? N'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
?? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Si tu as des questions sur l'utilisation de Combofix, n'hésite pas à me les poser !
@+, bon courage.
Gabriel.
Là, suis toutes les consignes. Je te conseille de les avoir sous la main lors de la manip', donc si tu pouvais les imprimer ;)
Ne fais ça uniquement si tu es sous : XP 32 bits uniquement, ou Vista/7.
/!\ ATTENTION SUIVRE À LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>>>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<<<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : DANGEREUX ! <<<<<<<<
=====================================================
? Surtout, pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur. Tout simplement car il ne sera pas détécté par l'infection.
Télécharge Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\Choisis la version adéquate (32 ou 64 bits)/!\
=>Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
? Télécharge Defogger (de jpshortstuff) sur ton Bureau : http://www.jpshortstuff.247fixes.com/Defogger.exe
? Lance-le : Utilisateurs de Vista et Seven => Clic droit : Éxécuter en tant qu'administrateur.
Une fenêtre apparait : clique sur "Disable"
? Fais redémarrer l'ordinateur si l'outil te le demande.
>> N.B : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" <<
_________________________________________________________
>> Referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
Si tu as XP => double clique .
Si tu as Windows Vista ou Windows 7 => clic droit "Éxecuter en tant que Administrateur"
Sur le combofix renommé.
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
? !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....), sauf si l'outil te le demande !!!!! Cela peut planter complètement ton système !!!
? N'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
?? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Si tu as des questions sur l'utilisation de Combofix, n'hésite pas à me les poser !
@+, bon courage.
Gabriel.
Voilà voilà rapport de combofix :
ComboFix 11-10-25.03 - koko 25/10/2011 17:38:48.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3070.2461 [GMT 2:00]
Lancé depuis: c:\users\koko\Downloads\Illidan.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\ntuser.dat
c:\windows\system32\setup.ini
.
Une copie infectée de c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\illidan14833i\HarddiskVolumeShadowCopy9_!Program Files!Common Files!Adobe!ARM!1.0!armsvc.exe
.
Une copie infectée de c:\program files\Avira\AntiVir Desktop\sched.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\illidan14833i\HarddiskVolumeShadowCopy9_!Program Files!Avira!AntiVir Desktop!sched.exe
.
Une copie infectée de c:\program files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE a été trouvée et désinfectée
Copie restaurée à partir de - c:\illidan14833i\HarddiskVolumeShadowCopy9_!Program Files!Common Files!microsoft shared!Virtualization Handler!CVHSVC.EXE
.
Une copie infectée de c:\program files\Gigabyte\EasySaver\ESSVR.EXE a été trouvée et désinfectée
Copie restaurée à partir de - c:\illidan14833i\HarddiskVolumeShadowCopy9_!Program Files!Gigabyte!EasySaver!ESSVR.EXE
.
Une copie infectée de c:\windows\system32\nvvsvc.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\illidan14833i\HarddiskVolumeShadowCopy9_!Windows!System32!nvvsvc.exe
.
Une copie infectée de c:\windows\system32\PnkBstrA.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\illidan14833i\HarddiskVolumeShadowCopy9_!Windows!System32!PnkBstrA.exe
.
Une copie infectée de c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\illidan14833i\HarddiskVolumeShadowCopy9_!Program Files!NVIDIA Corporation!3D Vision!nvSCPAPISvr.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-09-25 au 2011-10-25 ))))))))))))))))))))))))))))))))))))
.
.
2011-10-25 15:47 . 2011-10-25 15:47 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{1734DBD0-C80F-4170-9D49-833EF7931A8D}\offreg.dll
2011-10-25 15:45 . 2011-10-25 16:28 -------- d-----w- c:\users\koko\AppData\Local\temp
2011-10-25 15:45 . 2011-10-25 15:45 -------- d-----w- c:\users\lemouel\AppData\Local\temp
2011-10-25 15:45 . 2011-10-25 15:45 -------- d-----w- c:\users\Famille\AppData\Local\temp
2011-10-25 15:45 . 2011-10-25 15:45 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-10-25 11:28 . 2011-10-25 09:02 273408 ----a-w- c:\windows\system32\drivers\afd.sys
2011-10-25 10:49 . 2011-10-25 10:57 -------- d-----w- C:\Illidan
2011-10-25 08:21 . 2011-04-30 06:09 758784 ----a-w- c:\program files\Common Files\Microsoft Shared\vgx\VGX.dll
2011-10-24 21:31 . 2011-10-25 09:04 -------- d-----w- C:\ZHP
2011-10-24 21:31 . 2011-10-25 09:04 -------- d-----w- c:\program files\ZHPDiag
2011-10-24 14:58 . 2011-10-24 14:58 -------- d-----w- c:\users\koko\AppData\Roaming\Avira
2011-10-24 14:57 . 2011-10-24 14:57 -------- d-----w- c:\programdata\Avira
2011-10-24 14:57 . 2011-10-24 14:57 -------- d-----w- c:\program files\Avira
2011-10-24 14:57 . 2011-07-21 10:22 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-10-24 14:57 . 2011-07-21 10:22 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-10-24 14:53 . 2011-10-24 14:53 -------- d-sh--w- c:\windows\system32\%APPDATA%
2011-10-24 14:24 . 2010-10-19 04:27 7680 ----a-w- c:\program files\Internet Explorer\iecompat.dll
2011-10-24 14:17 . 2011-10-25 10:40 50112 --sha-w- c:\windows\system32\c_83214.nl_
2011-10-24 12:54 . 2011-10-24 12:54 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-10-24 11:56 . 2011-10-24 11:56 -------- d-----w- C:\found.000
2011-10-23 12:29 . 2011-08-18 13:25 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys
2011-10-23 12:29 . 2011-10-23 12:29 -------- d-----w- c:\programdata\Lavasoft
2011-10-23 12:29 . 2011-10-23 12:29 -------- d-----w- c:\program files\Lavasoft
2011-10-23 11:10 . 2011-10-23 11:10 -------- d-----w- c:\users\koko\AppData\Roaming\Malwarebytes
2011-10-23 11:09 . 2011-10-23 11:09 -------- d-----w- c:\programdata\Malwarebytes
2011-10-23 11:09 . 2011-10-24 12:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-10-23 11:09 . 2011-08-31 15:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-10-23 10:42 . 2011-10-23 10:42 -------- d-----w- c:\program files\CCleaner
2011-10-23 10:34 . 2011-10-23 10:34 -------- d-----w- C:\MyHosts
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-25 15:47 . 2011-03-25 14:24 17488 ----a-w- c:\windows\gdrv.sys
2011-10-25 10:40 . 2011-06-19 17:26 75264 ----a-w- c:\windows\system32\drivers\dfsc.sys
2011-10-25 10:31 . 2011-03-25 16:16 184320 ----a-w- c:\windows\system32\drivers\netbt.sys
2011-10-25 08:47 . 2011-03-25 16:16 67072 ----a-w- c:\windows\system32\drivers\cdrom.sys
2011-08-26 22:00 . 2011-08-05 19:28 138160 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2011-08-26 22:00 . 2011-08-26 22:00 271200 ----a-w- c:\windows\system32\PnkBstrB.xtr
2011-08-26 22:00 . 2011-08-05 19:27 271200 ----a-w- c:\windows\system32\PnkBstrB.exe
2011-08-26 19:41 . 2011-08-05 19:27 103736 ----a-w- c:\windows\system32\PnkBstrB.ex0
2011-08-05 19:28 . 2011-08-05 19:28 22328 ----a-w- c:\users\koko\AppData\Roaming\PnkBstrK.sys
2011-08-05 19:27 . 2011-08-05 19:27 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Krait"="c:\program files\Razer\Krait\razerhid.exe" [2006-01-24 147456]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-08-31 1047208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
LOLRecorder.lnk - c:\program files\LOLReplay\LOLRecorder.exe [2011-10-24 409600]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2011-08-18 2151640]
R3 AppleChargerSrv;AppleChargerSrv;c:\windows\system32\AppleChargerSrv.exe [2010-04-06 31272]
R3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C60x86.sys [x]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2011-08-18 64512]
S1 AppleCharger;AppleCharger;c:\windows\system32\DRIVERS\AppleCharger.sys [2010-04-22 19496]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 cvhsvc;Client Virtualization Handler;c:\program files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-02-28 821664]
S2 ES lite Service;ES lite Service for program management.;c:\program files\Gigabyte\EasySaver\ESSVR.EXE [2009-03-02 68136]
S2 sftlist;Application Virtualization Client;c:\program files\Microsoft Application Virtualization Client\sftlist.exe [2010-09-14 508264]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-01-07 378984]
S3 athrusb6;Atheros Wireless LAN USB device driver 6 Series;c:\windows\system32\DRIVERS\athru6.sys [2007-05-16 871936]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2010-09-14 577384]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2010-09-14 194408]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2010-09-14 21864]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2010-09-14 19304]
S3 sftvsa;Application Virtualization Service Agent;c:\program files\Microsoft Application Virtualization Client\sftvsa.exe [2010-09-14 219496]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-10-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2641448303-2212706158-711004760-1001Core.job
- c:\users\koko\AppData\Local\Google\Update\GoogleUpdate.exe [2011-05-01 16:58]
.
2011-10-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2641448303-2212706158-711004760-1001UA.job
- c:\users\koko\AppData\Local\Google\Update\GoogleUpdate.exe [2011-05-01 16:58]
.
2011-10-25 c:\windows\Tasks\User_Feed_Synchronization-{FFFBA7DE-E831-4FE6-9AAA-2450726C9195}.job
- c:\windows\system32\msfeedssync.exe [2011-10-25 04:32]
.
.
------- Examen supplémentaire -------
.
mStart Page = hxxp://home.sweetim.com/?st=1
TCP: DhcpNameServer = 192.168.1.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
HKCU-Run-msnmsgr - ~c:\program files\Windows Live\Messenger\msnmsgr.exe
SafeBoot-04746656.sys
SafeBoot-12921570.sys
SafeBoot-39200456.sys
SafeBoot-52062530.sys
SafeBoot-58302333.sys
SafeBoot-58469219.sys
SafeBoot-60285306.sys
SafeBoot-65959612.sys
SafeBoot-82241011.sys
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-25 18:29
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
msnmsgr = ~"c:\program files\Windows Live\Messenger\msnmsgr.exe" /background?
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-2641448303-2212706158-711004760-1001\Software\SecuROM\License information*]
"datasecu"=hex:fa,39,d6,b7,05,0f,9b,2d,98,21,9e,8e,ac,16,fb,2d,7d,1e,7d,de,bf,
0f,2c,64,66,95,4e,95,1b,85,d2,6e,5f,13,9e,28,e0,b6,33,2e,f2,ba,cd,18,ee,19,\
"rkeysecu"=hex:76,16,a4,dd,f4,17,69,74,c1,43,6e,07,60,9d,fb,d0
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\NVIDIA Corporation\Display\NvXDSync.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\conime.exe
.
**************************************************************************
.
Heure de fin: 2011-10-25 18:31:53 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-10-25 16:31
.
Avant-CF: 282 516 213 760 octets libres
Après-CF: 282 368 917 504 octets libres
.
- - End Of File - - 4581708D21A9F3A7CEDA6660C7042AE1
ComboFix 11-10-25.03 - koko 25/10/2011 17:38:48.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3070.2461 [GMT 2:00]
Lancé depuis: c:\users\koko\Downloads\Illidan.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\ntuser.dat
c:\windows\system32\setup.ini
.
Une copie infectée de c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\illidan14833i\HarddiskVolumeShadowCopy9_!Program Files!Common Files!Adobe!ARM!1.0!armsvc.exe
.
Une copie infectée de c:\program files\Avira\AntiVir Desktop\sched.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\illidan14833i\HarddiskVolumeShadowCopy9_!Program Files!Avira!AntiVir Desktop!sched.exe
.
Une copie infectée de c:\program files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE a été trouvée et désinfectée
Copie restaurée à partir de - c:\illidan14833i\HarddiskVolumeShadowCopy9_!Program Files!Common Files!microsoft shared!Virtualization Handler!CVHSVC.EXE
.
Une copie infectée de c:\program files\Gigabyte\EasySaver\ESSVR.EXE a été trouvée et désinfectée
Copie restaurée à partir de - c:\illidan14833i\HarddiskVolumeShadowCopy9_!Program Files!Gigabyte!EasySaver!ESSVR.EXE
.
Une copie infectée de c:\windows\system32\nvvsvc.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\illidan14833i\HarddiskVolumeShadowCopy9_!Windows!System32!nvvsvc.exe
.
Une copie infectée de c:\windows\system32\PnkBstrA.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\illidan14833i\HarddiskVolumeShadowCopy9_!Windows!System32!PnkBstrA.exe
.
Une copie infectée de c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\illidan14833i\HarddiskVolumeShadowCopy9_!Program Files!NVIDIA Corporation!3D Vision!nvSCPAPISvr.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-09-25 au 2011-10-25 ))))))))))))))))))))))))))))))))))))
.
.
2011-10-25 15:47 . 2011-10-25 15:47 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{1734DBD0-C80F-4170-9D49-833EF7931A8D}\offreg.dll
2011-10-25 15:45 . 2011-10-25 16:28 -------- d-----w- c:\users\koko\AppData\Local\temp
2011-10-25 15:45 . 2011-10-25 15:45 -------- d-----w- c:\users\lemouel\AppData\Local\temp
2011-10-25 15:45 . 2011-10-25 15:45 -------- d-----w- c:\users\Famille\AppData\Local\temp
2011-10-25 15:45 . 2011-10-25 15:45 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-10-25 11:28 . 2011-10-25 09:02 273408 ----a-w- c:\windows\system32\drivers\afd.sys
2011-10-25 10:49 . 2011-10-25 10:57 -------- d-----w- C:\Illidan
2011-10-25 08:21 . 2011-04-30 06:09 758784 ----a-w- c:\program files\Common Files\Microsoft Shared\vgx\VGX.dll
2011-10-24 21:31 . 2011-10-25 09:04 -------- d-----w- C:\ZHP
2011-10-24 21:31 . 2011-10-25 09:04 -------- d-----w- c:\program files\ZHPDiag
2011-10-24 14:58 . 2011-10-24 14:58 -------- d-----w- c:\users\koko\AppData\Roaming\Avira
2011-10-24 14:57 . 2011-10-24 14:57 -------- d-----w- c:\programdata\Avira
2011-10-24 14:57 . 2011-10-24 14:57 -------- d-----w- c:\program files\Avira
2011-10-24 14:57 . 2011-07-21 10:22 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-10-24 14:57 . 2011-07-21 10:22 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-10-24 14:53 . 2011-10-24 14:53 -------- d-sh--w- c:\windows\system32\%APPDATA%
2011-10-24 14:24 . 2010-10-19 04:27 7680 ----a-w- c:\program files\Internet Explorer\iecompat.dll
2011-10-24 14:17 . 2011-10-25 10:40 50112 --sha-w- c:\windows\system32\c_83214.nl_
2011-10-24 12:54 . 2011-10-24 12:54 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-10-24 11:56 . 2011-10-24 11:56 -------- d-----w- C:\found.000
2011-10-23 12:29 . 2011-08-18 13:25 64512 ----a-w- c:\windows\system32\drivers\Lbd.sys
2011-10-23 12:29 . 2011-10-23 12:29 -------- d-----w- c:\programdata\Lavasoft
2011-10-23 12:29 . 2011-10-23 12:29 -------- d-----w- c:\program files\Lavasoft
2011-10-23 11:10 . 2011-10-23 11:10 -------- d-----w- c:\users\koko\AppData\Roaming\Malwarebytes
2011-10-23 11:09 . 2011-10-23 11:09 -------- d-----w- c:\programdata\Malwarebytes
2011-10-23 11:09 . 2011-10-24 12:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-10-23 11:09 . 2011-08-31 15:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-10-23 10:42 . 2011-10-23 10:42 -------- d-----w- c:\program files\CCleaner
2011-10-23 10:34 . 2011-10-23 10:34 -------- d-----w- C:\MyHosts
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-25 15:47 . 2011-03-25 14:24 17488 ----a-w- c:\windows\gdrv.sys
2011-10-25 10:40 . 2011-06-19 17:26 75264 ----a-w- c:\windows\system32\drivers\dfsc.sys
2011-10-25 10:31 . 2011-03-25 16:16 184320 ----a-w- c:\windows\system32\drivers\netbt.sys
2011-10-25 08:47 . 2011-03-25 16:16 67072 ----a-w- c:\windows\system32\drivers\cdrom.sys
2011-08-26 22:00 . 2011-08-05 19:28 138160 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2011-08-26 22:00 . 2011-08-26 22:00 271200 ----a-w- c:\windows\system32\PnkBstrB.xtr
2011-08-26 22:00 . 2011-08-05 19:27 271200 ----a-w- c:\windows\system32\PnkBstrB.exe
2011-08-26 19:41 . 2011-08-05 19:27 103736 ----a-w- c:\windows\system32\PnkBstrB.ex0
2011-08-05 19:28 . 2011-08-05 19:28 22328 ----a-w- c:\users\koko\AppData\Roaming\PnkBstrK.sys
2011-08-05 19:27 . 2011-08-05 19:27 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Krait"="c:\program files\Razer\Krait\razerhid.exe" [2006-01-24 147456]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-08-31 1047208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
LOLRecorder.lnk - c:\program files\LOLReplay\LOLRecorder.exe [2011-10-24 409600]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2011-08-18 2151640]
R3 AppleChargerSrv;AppleChargerSrv;c:\windows\system32\AppleChargerSrv.exe [2010-04-06 31272]
R3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C60x86.sys [x]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2011-08-18 64512]
S1 AppleCharger;AppleCharger;c:\windows\system32\DRIVERS\AppleCharger.sys [2010-04-22 19496]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 cvhsvc;Client Virtualization Handler;c:\program files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-02-28 821664]
S2 ES lite Service;ES lite Service for program management.;c:\program files\Gigabyte\EasySaver\ESSVR.EXE [2009-03-02 68136]
S2 sftlist;Application Virtualization Client;c:\program files\Microsoft Application Virtualization Client\sftlist.exe [2010-09-14 508264]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-01-07 378984]
S3 athrusb6;Atheros Wireless LAN USB device driver 6 Series;c:\windows\system32\DRIVERS\athru6.sys [2007-05-16 871936]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2010-09-14 577384]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2010-09-14 194408]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2010-09-14 21864]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2010-09-14 19304]
S3 sftvsa;Application Virtualization Service Agent;c:\program files\Microsoft Application Virtualization Client\sftvsa.exe [2010-09-14 219496]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-10-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2641448303-2212706158-711004760-1001Core.job
- c:\users\koko\AppData\Local\Google\Update\GoogleUpdate.exe [2011-05-01 16:58]
.
2011-10-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2641448303-2212706158-711004760-1001UA.job
- c:\users\koko\AppData\Local\Google\Update\GoogleUpdate.exe [2011-05-01 16:58]
.
2011-10-25 c:\windows\Tasks\User_Feed_Synchronization-{FFFBA7DE-E831-4FE6-9AAA-2450726C9195}.job
- c:\windows\system32\msfeedssync.exe [2011-10-25 04:32]
.
.
------- Examen supplémentaire -------
.
mStart Page = hxxp://home.sweetim.com/?st=1
TCP: DhcpNameServer = 192.168.1.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
HKCU-Run-msnmsgr - ~c:\program files\Windows Live\Messenger\msnmsgr.exe
SafeBoot-04746656.sys
SafeBoot-12921570.sys
SafeBoot-39200456.sys
SafeBoot-52062530.sys
SafeBoot-58302333.sys
SafeBoot-58469219.sys
SafeBoot-60285306.sys
SafeBoot-65959612.sys
SafeBoot-82241011.sys
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-25 18:29
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
msnmsgr = ~"c:\program files\Windows Live\Messenger\msnmsgr.exe" /background?
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-2641448303-2212706158-711004760-1001\Software\SecuROM\License information*]
"datasecu"=hex:fa,39,d6,b7,05,0f,9b,2d,98,21,9e,8e,ac,16,fb,2d,7d,1e,7d,de,bf,
0f,2c,64,66,95,4e,95,1b,85,d2,6e,5f,13,9e,28,e0,b6,33,2e,f2,ba,cd,18,ee,19,\
"rkeysecu"=hex:76,16,a4,dd,f4,17,69,74,c1,43,6e,07,60,9d,fb,d0
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\NVIDIA Corporation\Display\NvXDSync.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\conime.exe
.
**************************************************************************
.
Heure de fin: 2011-10-25 18:31:53 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-10-25 16:31
.
Avant-CF: 282 516 213 760 octets libres
Après-CF: 282 368 917 504 octets libres
.
- - End Of File - - 4581708D21A9F3A7CEDA6660C7042AE1
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
25 oct. 2011 à 19:08
25 oct. 2011 à 19:08
Bien :)
Refais moi un scan TDSSkiller ;)
Merci,
Gabriel.
Refais moi un scan TDSSkiller ;)
Merci,
Gabriel.
Voilà le scan de tdss, apparemment il n'a rien trouvé
http://www.cijoint.fr/cjlink.php?file=cj201110/cijpubMNVM.txt
http://www.cijoint.fr/cjlink.php?file=cj201110/cijpubMNVM.txt
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
25 oct. 2011 à 20:52
25 oct. 2011 à 20:52
Bien :)
Télécharge ToolbarShooter (de 2011N2) sur ton bureau (Si il est bloqué, ignore l'alerte et lance le programme).
Double-clique sur l'icône présente sur ton bureau.
Appuye sur 1 (Recherche) puis ==> Entrée.
Patiente lors du scan.
À la fin, un rapport s'ouvre, héberge le ici : https://www.cjoint.com/
Le rapport est également sauvegardé sous C:\ au nom de Rapport ToolbarShooter.
@+
Gabriel.
Télécharge ToolbarShooter (de 2011N2) sur ton bureau (Si il est bloqué, ignore l'alerte et lance le programme).
Double-clique sur l'icône présente sur ton bureau.
Appuye sur 1 (Recherche) puis ==> Entrée.
Patiente lors du scan.
À la fin, un rapport s'ouvre, héberge le ici : https://www.cjoint.com/
Le rapport est également sauvegardé sous C:\ au nom de Rapport ToolbarShooter.
@+
Gabriel.
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
25 oct. 2011 à 21:39
25 oct. 2011 à 21:39
Tu as du te tromper de lien : cela envoie à un rapport ZHPdiag à la place de ToolbarShooter ;)
@+
Gabriel.
@+
Gabriel.
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
25 oct. 2011 à 21:58
25 oct. 2011 à 21:58
T'inquiète ;)
/!\Ferme toutes les applications en cours avant de continuer/!\
Double-clique sur l'icône Toolbar Shooter présente sur ton bureau.
Appuye sur 2 (Suppression) puis ==> Entrée.
Patiente lors du scan.
À la fin du nettoyage, il est demandé de redémarrer l'ordinateur, tape 1 pour redémarrer l'ordinateur.
Une fois l'ordinateur redémarré, le rapport de ToolbarShooter est sauvegardé à la racine du disque <gras<C:\</gras> sous le nom de ToolbarShooterSUP, héberge le ici : https://www.cjoint.com/
@+
Gabriel.
/!\Ferme toutes les applications en cours avant de continuer/!\
Double-clique sur l'icône Toolbar Shooter présente sur ton bureau.
Appuye sur 2 (Suppression) puis ==> Entrée.
Patiente lors du scan.
À la fin du nettoyage, il est demandé de redémarrer l'ordinateur, tape 1 pour redémarrer l'ordinateur.
Une fois l'ordinateur redémarré, le rapport de ToolbarShooter est sauvegardé à la racine du disque <gras<C:\</gras> sous le nom de ToolbarShooterSUP, héberge le ici : https://www.cjoint.com/
@+
Gabriel.
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
26 oct. 2011 à 19:03
26 oct. 2011 à 19:03
Oui :)
Tu peux me refaire un scan ZHPdiag ?
Merci,
Gabriel.
Tu peux me refaire un scan ZHPdiag ?
Merci,
Gabriel.
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
27 oct. 2011 à 19:28
27 oct. 2011 à 19:28
Re,
>Copie les lignes "helpers" (Avec Ctrl + C) présentes dans le fichier texte : http://dl.dropbox.com/u/32869654/Pour%20Illidan59.txt
>Ouvre ZHPfix, icone seringue (Vista et 7 : "Exécuter en tant qu'administrateur").
>Colle les lignes helpers : Pour ce, clique sur la balise document, à droite de l'appareil photo. Ou alors sur le H.
>Faire Ok.
>Clique sur "Tous".
>Clique sur "Nettoyer".
>Copie le rapport, et coller-le dans la prochaine réponse sur le forum.
P.S. Si le bureau disparaît, fais Ctrl + Alt + Suppr afin d'ouvrir le gestionnaire des tâches puis dans Applications, clic sur Nouvelle Tache puis tape explorer.exe. Le bureau devrait normalent réapparaître.
Si tu as des questions, n'hésite pas à me les poser !
@+
Gabriel.
>Copie les lignes "helpers" (Avec Ctrl + C) présentes dans le fichier texte : http://dl.dropbox.com/u/32869654/Pour%20Illidan59.txt
>Ouvre ZHPfix, icone seringue (Vista et 7 : "Exécuter en tant qu'administrateur").
>Colle les lignes helpers : Pour ce, clique sur la balise document, à droite de l'appareil photo. Ou alors sur le H.
>Faire Ok.
>Clique sur "Tous".
>Clique sur "Nettoyer".
>Copie le rapport, et coller-le dans la prochaine réponse sur le forum.
P.S. Si le bureau disparaît, fais Ctrl + Alt + Suppr afin d'ouvrir le gestionnaire des tâches puis dans Applications, clic sur Nouvelle Tache puis tape explorer.exe. Le bureau devrait normalent réapparaître.
Si tu as des questions, n'hésite pas à me les poser !
@+
Gabriel.
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
Modifié par 2011N2 le 27/10/2011 à 21:56
Modifié par 2011N2 le 27/10/2011 à 21:56
Ok :)
ATTENTION ! Plusieurs heures de scan sont probables !
Tu pourras brancher tes périphériques externes pour les scanner en même temps si tu le souhaites.
Télécharge Malwarebytes' Anti-Malware MBAMsur ton bureau : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Si problème essaie avec celui-ci : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistre-le sur ton bureau.
. Double clique sur le fichier téléchargé pour lancer le processus d'installation. (Vista et 7 : Éxécuter en tant qu'administrateur)
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte.
. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour".
Fais le plusieurs fois jusqu'à ce qu'il te dise que tu as la dernière version de base de données.
. Une fois la mise à jour terminée :
. Rends-toi dans l'onglet "Recherche"
. Sélectionne Exécuter un Examen complet.
. Sélectionne Tous les disques si proposé.
. Clique sur Rechercher.
. Le scan démarre. Patiente, cela peut durer plusieurs heures, selon la taille de tes disques.
. À la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement ou autre. Clique sur "Afficher les résultats" pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés<souligne>, clique sur Afficher les résultats.
. <souligne>Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Redemarre le PC si il le fait pas lui même.
. Une fois redémarré double-clique sur Malwarebytes' AntiMalware.
. Rends toi dans l'onglet "rapport/log".
. Tu cliques sur le rapport pour l'afficher.
. Tu cliques sur Edition en haut du boc notes,et puis sur Sélectionner tout.
. Tu recliques sur Edition et puis sur Copier et tu reviens sur le forum et dans ta réponse, colle le rapport (CTRL + V).
=> Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Si tu as des questions, n'hésite pas à me les poser !
Ensuite, peux-tu désinstaller et réinstaller ces programmes ? :
Avira, Adobe et Gigabyte, dans un premier temps ?
@+
Gabriel.
Développement ToolbarShooter
ATTENTION ! Plusieurs heures de scan sont probables !
Tu pourras brancher tes périphériques externes pour les scanner en même temps si tu le souhaites.
Télécharge Malwarebytes' Anti-Malware MBAMsur ton bureau : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Si problème essaie avec celui-ci : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistre-le sur ton bureau.
. Double clique sur le fichier téléchargé pour lancer le processus d'installation. (Vista et 7 : Éxécuter en tant qu'administrateur)
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte.
. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour".
Fais le plusieurs fois jusqu'à ce qu'il te dise que tu as la dernière version de base de données.
. Une fois la mise à jour terminée :
. Rends-toi dans l'onglet "Recherche"
. Sélectionne Exécuter un Examen complet.
. Sélectionne Tous les disques si proposé.
. Clique sur Rechercher.
. Le scan démarre. Patiente, cela peut durer plusieurs heures, selon la taille de tes disques.
. À la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement ou autre. Clique sur "Afficher les résultats" pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés<souligne>, clique sur Afficher les résultats.
. <souligne>Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Redemarre le PC si il le fait pas lui même.
. Une fois redémarré double-clique sur Malwarebytes' AntiMalware.
. Rends toi dans l'onglet "rapport/log".
. Tu cliques sur le rapport pour l'afficher.
. Tu cliques sur Edition en haut du boc notes,et puis sur Sélectionner tout.
. Tu recliques sur Edition et puis sur Copier et tu reviens sur le forum et dans ta réponse, colle le rapport (CTRL + V).
=> Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Si tu as des questions, n'hésite pas à me les poser !
Ensuite, peux-tu désinstaller et réinstaller ces programmes ? :
Avira, Adobe et Gigabyte, dans un premier temps ?
@+
Gabriel.
Développement ToolbarShooter
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
27 oct. 2011 à 21:47
27 oct. 2011 à 21:47
salut gabriel
CF ==>
Une copie infectée de c:\program files\Avira\AntiVir Desktop\sched.exe a été trouvée et désinfectée
AntiVir a été infecté le mieux est de le faire désinstaller et de le retélécharger
Et aussi si possible pour les autres programmes trouvés infectés par CF
CF ==>
Une copie infectée de c:\program files\Avira\AntiVir Desktop\sched.exe a été trouvée et désinfectée
AntiVir a été infecté le mieux est de le faire désinstaller et de le retélécharger
Et aussi si possible pour les autres programmes trouvés infectés par CF
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
27 oct. 2011 à 21:54
27 oct. 2011 à 21:54
Salut smart :)
J'ai vu ça, c'est ce que j'allais demander juste après, mais autant le faire maintenant, je vais éditer mon message, merci à toi ;)
Passe une bonne soirée ;)
Gabriel.
J'ai vu ça, c'est ce que j'allais demander juste après, mais autant le faire maintenant, je vais éditer mon message, merci à toi ;)
Passe une bonne soirée ;)
Gabriel.
rapport de malbytes :
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 8010
Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 7.0.6001.18000
24/10/2011 14:50:24
mbam-log-2011-10-24 (14-50-24).txt
Type d'examen: Examen complet (A:\|C:\|D:\|)
Elément(s) analysé(s): 325598
Temps écoulé: 32 minute(s), 17 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\7cd406e2 (Backdoor.0Access) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Windows\3792098428:2200697117.exe (Backdoor.0Access) -> Quarantined and deleted successfully.
c:\Users\koko\downloads\Setup.exe (Affiliate.Downloader) -> Quarantined and deleted successfully.
Je pars supprimer les programmes je les réinstallerait si besoin.
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 8010
Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 7.0.6001.18000
24/10/2011 14:50:24
mbam-log-2011-10-24 (14-50-24).txt
Type d'examen: Examen complet (A:\|C:\|D:\|)
Elément(s) analysé(s): 325598
Temps écoulé: 32 minute(s), 17 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\7cd406e2 (Backdoor.0Access) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Windows\3792098428:2200697117.exe (Backdoor.0Access) -> Quarantined and deleted successfully.
c:\Users\koko\downloads\Setup.exe (Affiliate.Downloader) -> Quarantined and deleted successfully.
Je pars supprimer les programmes je les réinstallerait si besoin.
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
28 oct. 2011 à 18:14
28 oct. 2011 à 18:14
Re,
Tu as fait pour les programmes ?
@+
Gabriel.
Tu as fait pour les programmes ?
@+
Gabriel.