Virus Rapport ZHPDiag

Fermé
knukles448 Messages postés 14 Date d'inscription mardi 27 décembre 2011 Statut Membre Dernière intervention 28 décembre 2011 - 27 déc. 2011 à 17:48
knukles448 Messages postés 14 Date d'inscription mardi 27 décembre 2011 Statut Membre Dernière intervention 28 décembre 2011 - 28 déc. 2011 à 21:03
Bonjour,

J'ai un virus ou je ne sais quoi qui traine sur mon PC depuis la semaine dernière. A savoir que ce virus a mis KO mon antivirus Avira. Avira a identifié W32/PatchLoad.a

J'ai donc fait un scan avec Kaspersky mais impossible vu que lors du scan le pc s'éteint vers la fin.

Voici le rapport de ZHPDiag: https://pjjoint.malekal.com/files.php?read=ZHPDiag_20111227_v7r7r13o8g13

Si quelqu'un veut bien identifier et prendre en charge ma demande. Je reste a disposition pour toutes les analyses et les manipulations.

Merci! ;)


A voir également:

24 réponses

Utilisateur anonyme
27 déc. 2011 à 17:57
salut

▶ Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

▶ Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
▶ Double cliquez sur UsbFix.exe.

▶ Cliquez sur Suppression.
▶ Laissez travailler l'outil.

▶ À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

▶ Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
Tutoriel vidéo




0
knukles448 Messages postés 14 Date d'inscription mardi 27 décembre 2011 Statut Membre Dernière intervention 28 décembre 2011
27 déc. 2011 à 18:08
Merci pour la prise en charge rapide.

En usb sur mon pc, il n'y a eu que 3 produits:

- 1 Iphone

- 1 Blackberry

- 1 imprimante

Dois je le faire avec les 3 branchés?
0
Utilisateur anonyme
27 déc. 2011 à 18:24
c'est ecrit en gras !
0
knukles448 Messages postés 14 Date d'inscription mardi 27 décembre 2011 Statut Membre Dernière intervention 28 décembre 2011
27 déc. 2011 à 21:24
Voici le rapport usbfix:

https://pjjoint.malekal.com/files.php?id=20111227_n6r9q15h15u5

J'attend votre analyse là dessus pour la suite. :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
27 déc. 2011 à 21:26
tu suis une desinfection ailleurs ?
0
knukles448 Messages postés 14 Date d'inscription mardi 27 décembre 2011 Statut Membre Dernière intervention 28 décembre 2011
27 déc. 2011 à 21:34
Je suis déjà passer sur le forum pour voir 2-3 trucs avant de m'inscrire.

j'ai fait un tdss killer et adwcleaner.

Mais ne connaissant pas grand chose, je ne préfère pas faire cela tout seul.

Je préfère reprendre la désinfection de A à Z.
0
Utilisateur anonyme
27 déc. 2011 à 21:36
ok tdsskiller n avait rien trouvé ?
0
knukles448 Messages postés 14 Date d'inscription mardi 27 décembre 2011 Statut Membre Dernière intervention 28 décembre 2011
27 déc. 2011 à 21:37
Je vais le faire maintenant pour voir!
0
Utilisateur anonyme
27 déc. 2011 à 21:39
non c'est le dernier rapport precedent qui m interesse
0
knukles448 Messages postés 14 Date d'inscription mardi 27 décembre 2011 Statut Membre Dernière intervention 28 décembre 2011
27 déc. 2011 à 21:45
Mince j'ai lancé et du coup je n'ai pas l'ancien.

J'ai le nouveau mais il n'y a rien a part un lockedfile en skip (medium).
0
Utilisateur anonyme
27 déc. 2011 à 21:46
sptd.sys ?
0
knukles448 Messages postés 14 Date d'inscription mardi 27 décembre 2011 Statut Membre Dernière intervention 28 décembre 2011
27 déc. 2011 à 21:50
3 trucs en cochant detect TDLFS et Verify driver avant le lancement du scan:

21:48:13.0856 1380 Detected object count: 3
21:48:13.0856 1380 Actual detected object count: 3
21:48:19.0771 1380 androidusb ( UnsignedFile.Multi.Generic ) - skipped by user
21:48:19.0771 1380 androidusb ( UnsignedFile.Multi.Generic ) - User select action: Skip
21:48:19.0774 1380 HTCAND32 ( UnsignedFile.Multi.Generic ) - skipped by user
21:48:19.0774 1380 HTCAND32 ( UnsignedFile.Multi.Generic ) - User select action: Skip
21:48:19.0777 1380 sptd ( LockedFile.Multi.Generic ) - skipped by user
21:48:19.0777 1380 sptd ( LockedFile.Multi.Generic ) - User select action: Skip
0
Utilisateur anonyme
27 déc. 2011 à 21:53
non lancer normal
0
knukles448 Messages postés 14 Date d'inscription mardi 27 décembre 2011 Statut Membre Dernière intervention 28 décembre 2011
27 déc. 2011 à 21:56
ok voici en normal:

21:55:11.0461 6040 Detected object count: 1
21:55:11.0461 6040 Actual detected object count: 1
21:55:25.0018 6040 sptd ( LockedFile.Multi.Generic ) - skipped by user
21:55:25.0018 6040 sptd ( LockedFile.Multi.Generic ) - User select action: Skip
0
Utilisateur anonyme
27 déc. 2011 à 22:35
telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné affiche les extensions des fichiers et renomme-le winlogon.exe , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
0
knukles448 Messages postés 14 Date d'inscription mardi 27 décembre 2011 Statut Membre Dernière intervention 28 décembre 2011
28 déc. 2011 à 13:24
Bonjour,

Voici le rapport de Pre_Scan: https://pjjoint.malekal.com/files.php?id=20111228_z5e12b10i13n8

Ps: J'ai eu aucun souci pour faire le scan.
0
Utilisateur anonyme
28 déc. 2011 à 13:44
desinstalle Spybot il vaut rien
desinstalle java mettra la derniere version à la fin
desinstalle adobe reader 9 on mettra la derniere version à la fin
desinstalle daemon tools toolbar

=====================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LManager"=-
"iTunesHelper"=-
[HKEY_USERS\S-1-5-21-3127359487-411164323-3105871069-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeBridge"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer]
[-HKCU\Software\Spointer]

file::
C:\TMP
C:\Users\Student Cyber 01\Downloads\setup.exe

folder::
C:\Users\ShOcK\AppData\Roaming\moovida-1
C:\ProgramData\Spybot - Search & Destroy
C:\Users\ShOcK\AppData\Local\moovida Air
C:\Program Files\DAEMON Tools Toolbar
C:\Program Files\Fluendo
C:\Program Files\Spybot - Search & Destroy

clean::

Reboot::

___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

================================

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.

================================

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

==============================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________

command::
del /f /q "%Homedrive%\Kill'em\Mbr.log"
"%Homedrive%\Kill'em\Mbr.exe" -t
notepad "%Homedrive%\Kill'em\Mbr.log"

___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

0
knukles448 Messages postés 14 Date d'inscription mardi 27 décembre 2011 Statut Membre Dernière intervention 28 décembre 2011
Modifié par knukles448 le 28/12/2011 à 14:37
Résultat:

- Premier Pre_script: https://pjjoint.malekal.com/files.php?id=20111228_y9e7k11e15x11

- ADWCleaner: https://pjjoint.malekal.com/files.php?id=20111228_e12y7m15t6h5

- Defogger => OK

- Deuxiéme Pre_script avec:

command::
del /f /q "%Homedrive%\Kill'em\Mbr.log"
"%Homedrive%\Kill'em\Mbr.exe" -t
notepad "%Homedrive%\Kill'em\Mbr.log"

Message erreur: impossible de trouver le fichier c:\kill'em\Mbr3.log

voulez vous créer un nouveau fichier?
0
Utilisateur anonyme
28 déc. 2011 à 17:24
au premier pre_script tu m'as fourni le deuxieme

======

as tu bien lancé adwcleaner avec le clic droit "executer en tant qu'administrateur" ?

========

tes protections etaient-elles desactivées pour ces operations ?
0
knukles448 Messages postés 14 Date d'inscription mardi 27 décembre 2011 Statut Membre Dernière intervention 28 décembre 2011
28 déc. 2011 à 17:49
Je refais sans la protection (oublie) avec clic droit etc...

Voici le rapport (1er) Pre_script:
https://pjjoint.malekal.com/files.php?id=20111228_f5t6v5e6r5

Je continue...
0