Virus Rapport ZHPDiag

knukles448 Messages postés 14 Statut Membre -  
knukles448 Messages postés 14 Statut Membre -
Bonjour,

J'ai un virus ou je ne sais quoi qui traine sur mon PC depuis la semaine dernière. A savoir que ce virus a mis KO mon antivirus Avira. Avira a identifié W32/PatchLoad.a

J'ai donc fait un scan avec Kaspersky mais impossible vu que lors du scan le pc s'éteint vers la fin.

Voici le rapport de ZHPDiag: https://pjjoint.malekal.com/files.php?read=ZHPDiag_20111227_v7r7r13o8g13

Si quelqu'un veut bien identifier et prendre en charge ma demande. Je reste a disposition pour toutes les analyses et les manipulations.

Merci! ;)

24 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut

    ▶ Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

    ▶ Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
    Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
    ▶ Double cliquez sur UsbFix.exe.

    ▶ Cliquez sur Suppression.
    ▶ Laissez travailler l'outil.

    ▶ À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

    ▶ Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
    Tutoriel vidéo

    0
  2. knukles448 Messages postés 14 Statut Membre
     
    Merci pour la prise en charge rapide.

    En usb sur mon pc, il n'y a eu que 3 produits:

    - 1 Iphone

    - 1 Blackberry

    - 1 imprimante

    Dois je le faire avec les 3 branchés?
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. g3n-h@ckm@n
     
    tu suis une desinfection ailleurs ?
    0
  5. knukles448 Messages postés 14 Statut Membre
     
    Je suis déjà passer sur le forum pour voir 2-3 trucs avant de m'inscrire.

    j'ai fait un tdss killer et adwcleaner.

    Mais ne connaissant pas grand chose, je ne préfère pas faire cela tout seul.

    Je préfère reprendre la désinfection de A à Z.
    0
  6. g3n-h@ckm@n
     
    ok tdsskiller n avait rien trouvé ?
    0
  7. knukles448 Messages postés 14 Statut Membre
     
    Je vais le faire maintenant pour voir!
    0
  8. g3n-h@ckm@n
     
    non c'est le dernier rapport precedent qui m interesse
    0
  9. knukles448 Messages postés 14 Statut Membre
     
    Mince j'ai lancé et du coup je n'ai pas l'ancien.

    J'ai le nouveau mais il n'y a rien a part un lockedfile en skip (medium).
    0
  10. knukles448 Messages postés 14 Statut Membre
     
    3 trucs en cochant detect TDLFS et Verify driver avant le lancement du scan:

    21:48:13.0856 1380 Detected object count: 3
    21:48:13.0856 1380 Actual detected object count: 3
    21:48:19.0771 1380 androidusb ( UnsignedFile.Multi.Generic ) - skipped by user
    21:48:19.0771 1380 androidusb ( UnsignedFile.Multi.Generic ) - User select action: Skip
    21:48:19.0774 1380 HTCAND32 ( UnsignedFile.Multi.Generic ) - skipped by user
    21:48:19.0774 1380 HTCAND32 ( UnsignedFile.Multi.Generic ) - User select action: Skip
    21:48:19.0777 1380 sptd ( LockedFile.Multi.Generic ) - skipped by user
    21:48:19.0777 1380 sptd ( LockedFile.Multi.Generic ) - User select action: Skip
    0
  11. knukles448 Messages postés 14 Statut Membre
     
    ok voici en normal:

    21:55:11.0461 6040 Detected object count: 1
    21:55:11.0461 6040 Actual detected object count: 1
    21:55:25.0018 6040 sptd ( LockedFile.Multi.Generic ) - skipped by user
    21:55:25.0018 6040 sptd ( LockedFile.Multi.Generic ) - User select action: Skip
    0
  12. g3n-h@ckm@n
     
    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    ou encore cette version renommée : Winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné affiche les extensions des fichiers et renomme-le winlogon.exe , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
    0
  13. g3n-h@ckm@n
     
    desinstalle Spybot il vaut rien
    desinstalle java mettra la derniere version à la fin
    desinstalle adobe reader 9 on mettra la derniere version à la fin
    desinstalle daemon tools toolbar

    =====================

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    Lance Pre_script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LManager"=-
    "iTunesHelper"=-
    [HKEY_USERS\S-1-5-21-3127359487-411164323-3105871069-1000\Software\Microsoft\Windows\CurrentVersion\Run]
    "AdobeBridge"=-
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}]
    [-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task]
    [-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer]
    [-HKCU\Software\Spointer]

    file::
    C:\TMP
    C:\Users\Student Cyber 01\Downloads\setup.exe

    folder::
    C:\Users\ShOcK\AppData\Roaming\moovida-1
    C:\ProgramData\Spybot - Search & Destroy
    C:\Users\ShOcK\AppData\Local\moovida Air
    C:\Program Files\DAEMON Tools Toolbar
    C:\Program Files\Fluendo
    C:\Program Files\Spybot - Search & Destroy

    clean::

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

    ================================

    Télécharge et enregistre ADWcleaner sur ton bureau :

    ADWCleaner (Merci à Xplode)

    Lance le,

    clique sur suppression et poste son rapport.

    ================================

    * Télécharge Defogger (de jpshortstuff) sur ton Bureau
    * Lance le
    * Une fenêtre apparait : clique sur "Disable"
    * Fais redémarrer l'ordinateur si l'outil te le demande
    * Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    ==============================

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    Lance Pre_script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________

    command::
    del /f /q "%Homedrive%\Kill'em\Mbr.log"
    "%Homedrive%\Kill'em\Mbr.exe" -t
    notepad "%Homedrive%\Kill'em\Mbr.log"

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    0
  14. knukles448 Messages postés 14 Statut Membre
     
    Résultat:

    - Premier Pre_script: https://pjjoint.malekal.com/files.php?id=20111228_y9e7k11e15x11

    - ADWCleaner: https://pjjoint.malekal.com/files.php?id=20111228_e12y7m15t6h5

    - Defogger => OK

    - Deuxiéme Pre_script avec:

    command::
    del /f /q "%Homedrive%\Kill'em\Mbr.log"
    "%Homedrive%\Kill'em\Mbr.exe" -t
    notepad "%Homedrive%\Kill'em\Mbr.log"

    Message erreur: impossible de trouver le fichier c:\kill'em\Mbr3.log

    voulez vous créer un nouveau fichier?
    0
  15. g3n-h@ckm@n
     
    au premier pre_script tu m'as fourni le deuxieme

    ======

    as tu bien lancé adwcleaner avec le clic droit "executer en tant qu'administrateur" ?

    ========

    tes protections etaient-elles desactivées pour ces operations ?
    0
  • 1
  • 2