Pc infecté malware?

LaAamar Messages postés 9 Date d'inscription   Statut Membre Dernière intervention   -  
sherred Messages postés 8605 Statut Membre -
Bonjour,

Je pense que mon pc est infecté par un malware ou trojan, j'ai essayé différent programme via hiren's tel que combofix,tdsskiller,...mais hormis les rapports je n'arrive pas a désinfecté mon pc.
En vous remerciant d'avance pour votre aide :D

15 réponses

  1. Estelle
     
    Coucou,

    Puisque tu es un adepte des rapports,

    peux-tu nous envoyer un rapport ZHPdaig, ou celui de Combo ou de bref, qu'un porte...

    montre nous tes sous-bas
    0
  2. docsteph Messages postés 8467 Date d'inscription   Statut Membre Dernière intervention   1 192
     
    Quels sont les symptômes?

    cdlt
    0
  3. LaAamar Messages postés 9 Date d'inscription   Statut Membre Dernière intervention  
     
    up
    0
    1. Estelle
       
      chut...


      tout vient à point à qui sait attendre
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Estelle
     
    k,

    quels sont exactement tes problèmes ?

    pour nettoyer deux trois crasses web :

    http://www.commentcamarche.net/download/telecharger-34066591-ad-remover     
    

    choisis l'option de nettoyage et poste son rapport stp.

    @ ?
    0
  6. LaAamar Messages postés 9 Date d'inscription   Statut Membre Dernière intervention  
     
    en gros mon pc rame et mon ventilo fait un bruit monstre, les fenètres ne répondent plus les 3/4 du temps et j'ai remarqué la présence d'un ficher : DAOX.exe dans mon dossier windows qui est intouchable

    pour le rapport :

    http://ww38.toofiles.com/fr/oip/documents/txt/ad-report-clean1.html

    et j'en profite pour te remercier Estelle :)
    0
  7. Estelle
     
    Bonjour LaAamar,

    voici la suite http://pastebin.com/rUx3Dm54

    (je n'arrive pas à poster sur ccmà cause du robot. Un mot qui ne passe pas)
    0
  8. sherred Messages postés 8605 Statut Membre 351
     
    bonjour a tous

    je vois que tu a Spybot - Search & Destroy , c'est désuet inutile et consommateur , tu peu le désinstaller

    tu a également " Bonjour Service" au démarrage du pc (service itune)
    et Skype

    mais cela n'explique pas ton ventillo

    a tu essayé de nettoyer la poussière simplement
    https://www.youtube.com/watch?v=kqNEcA2O3OU
    0
  9. LaAamar Messages postés 9 Date d'inscription   Statut Membre Dernière intervention  
     
    salut pour le ventilo j'ai changé de pâte thermique il y a 6 jours, donc je pense pas que le problème est au niveau hardware,je n'ai plus accès aux fichiers telle que document end setttings ou windows de plus quand que je démarre windows il m'affiche direct un txt :

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

    Mis à part un repport ZHPDiag quesque je peux faire de plus? pour vraiment éliminer le(s) virus?
    0
  10. docsteph Messages postés 8467 Date d'inscription   Statut Membre Dernière intervention   1 192
     
    sans connaissance le mieux pour toi et de sauvegarder tes donnée sur un support externe et ensuite de tenter de faire une restauration système 'qui en principe est désactivé par le virus ou malware en question' ou de formater ton système.

    cdlt
    0
  11. sherred Messages postés 8605 Statut Membre 351
     
    LA CAUSE DE CETTE ERREUR PEU ETRE :

    un fichier Desktop.ini existe dans un ou plusieurs de ces répertoires :

    C:\Documents and Settings\All Users\Start Menu\Programs\Startup
    C:\Documents and Settings\All Users\Start Menu\Programs
    C:\Documents and Settings\All Users\Start Menu

    du moins l'équivalent dans seven que je ne connais pas

    dans ce desktop.ini on doit retrouver ces lignes
    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

    pour resoudre ce probleme

    Supprimer le fichier Desktop.ini dont le contenu est :
    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
    ou
    taper msconfig dans recherche
    Cliquer sur l'onglet Démarrage,
    décocher la case correspondant à la ligne Desktop.ini.
    Valider

    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      mais tu n'a pas mis le rapport COMBOFIX j'aimerai le voir
      >>>>>>tu a placé un rapport TDSS a la place
      0
  12. Estelle
     
    http://pastebin.com/rUx3Dm54

    Fait ou pas ?
    0
    1. Estelle
       
      Oui parce que ton PC est infecté...

      O43 - CFD: 13/01/2012 - 17:00:58 - [12,101] ----D- C:\Users\LaAamar\AppData\Roaming\OpenCandy

      la date de création est rescente. Je pense que c'est de là que vient le souci.

      regarde ici :
      http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=ADWARE:WIN32/OPENCANDY


      et


      [MD5.38DEB4B082EB0B302CE35EDE67711AF4] - (.Pas de propri?taire - Smartbar.) -- C:\Users\LaAamar\AppData\Local\Linkury\Application\Linkury.exe

      regarde ici :
      http://www.spyprocessdb.com/linkury-exe



      pour DAODx.exe il est sain comme je te le disais plus haut, pour preuve son MD5 :

      https://www.virustotal.com/file/f44d0a752e26310d0b80fc8b261253722057f04ec12b674f37454b8157e6f8ad/analysis/1321184910/




      Si tu fais ce que je te dis sur le pastebin alors tu supprimeras ces menaces.
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      RogueKiller pour Linkury.
      AdwCleaner pour OpenCandy
      0
    3. LaAamar Messages postés 9 Date d'inscription   Statut Membre Dernière intervention  
       
      fait
      0
  13. LaAamar Messages postés 9 Date d'inscription   Statut Membre Dernière intervention  
     
    désolé pour le temps réponse et merci à vous pour votre aide, j'ai exécuté roguekiller et adwcleaner voici le rapport :

    RogueKiller V6.2.4 [12/01/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: LaAamar [Droits d'admin]
    Mode: Suppression -- Date : 17/01/2012 11:46:54

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 3 ¤¤¤
    [SUSP PATH] RunDAOD.job : C:\Windows\DAODx.exe -> DELETED
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 8795a34f87b00ef94efe0bcb616c6876
    [BSP] 2439268753040f6a1371c8f5adc12ce4 : Windows 7 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 160038 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport

    Cependant j'ai encore des problèmes ma page internet se ferme toute seule et j'ai toujours le [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

    Voici un dernier rapport mbrcheck : https://www.cjoint.com/?BArmqkIL4En

    rapport ZHp : https://www.cjoint.com/?BArmq6QwoNN

    rapport Combofix : https://www.cjoint.com/?BArmshvxYcU
    0
  14. Estelle
     
    Hello,

    pour ton problème de ShellClassInfo : http://support.microsoft.com/kb/330132/fr

    Ils ont créé un fix : http://go.microsoft.com/?linkid=9767717

    Je regarde les rapports...
    0
    1. LaAamar Messages postés 9 Date d'inscription   Statut Membre Dernière intervention  
       
      Salut Estelle pour le fix j'ai essayé il ne marche pas avec ma version et manuellement, l'accès m'est refusés je ne peux donc pas accéder aux dossier documents & settings :s
      0
    2. LaAamar Messages postés 9 Date d'inscription   Statut Membre Dernière intervention  
       
      pour le [.ShellClassInfo]
      LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
      0
    3. sherred Messages postés 8605 Statut Membre 351
       
      Dans Windows 7, les dossiers système familiarisés par XP (Documents and settings, Local Settings, etc) sont présents mais sont inaccessibles.
      Ces dossiers système n'apparaissent que si l'on affiche les fichiers et dossiers cachés et si la case "Masquer les fichiers protégés du Système d'exploitation" est décochée (ce qui n'est pas recommandé pour cette case).

      Windows 7 a donc bien conservé les répertoires « classiques » de XP (qui se trouvaient dans Documents and Settings/Ton_Nom_Utilisateur), mais ce n'est que pour des raisons de compatibilité ascendante. Ce ne sont plus que des « jonctions » qui mènent aux vrais répertoires, agencés différemment. Pour cette raison, on obtient un message d'erreur lorsqu'on essaye d'ouvrir un de ces dossiers.

      Les dossiers réels sont ailleurs, c'est à dire dans C:\Users\Ton_Nom_Utilisateur\AppData et seuls ces derniers sont réellement accessibles.
      0
    4. sherred Messages postés 8605 Statut Membre 351
       
      j'aimerai voir quelque chose
      Télécharge DrWeb CureIt :ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

      Double-clique sur "Launch.exe" pour le lancer.
      (Utilisateur de Vista/Windows 7, fais un clic-droit sur le fichier : "Exécuter en tant qu'administrateur")
      Accepte l'avertissement pour le mode "Protection renforcée" et le fenêtre suivante avec "Ok"
      (Choisi "Annuler" si une fenêtre demandant d'obtenir plus de renseignements apparait)
      Choisi "Commencer le scan" et valide l'avertissement avec "Ok"
      (Tu ne pourras plus rien faire sur le PC jusqu'à la fin du scan)

      Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)

      A la fin du scan rapide, si des fichiers ont été détecté, choisi alors "analyse complète" et lance-là avec le bouton à droite |>
      Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)

      Lorsque ce second scan est fini, choisi : Fichier -> enregistrer le rapport
      Sauvegarde-le sur ton bureau, et copie-colle son contenu dans ta prochaine réponse.
      Ferme le programme.
      0
  15. Estelle
     
    Ok je ne comprends pourquoi RogueKiller a supprimé :

    ¤¤¤ Entrees de registre: 3 ¤¤¤
    [SUSP PATH] RunDAOD.job : C:\Windows\DAODx.exe -> DELETED


    Vraisemblablement ce processus est lié au contrôleur Realtek RTL8168C/8111C intégré à ta carte mère Asus.
    C'est un composant du driver de ta carte Ethernet, donc il permet d'accéder à internet via un câble ethernet.

    pour vérifier : menu démarrer -> exécuter -> tape 'cmd.exe' et valide
    au prompt de ta session tape ipconfig /all , tu auras :

    Carte Ethernet Connexion au réseau local:
    Description . . . . . . . . . . . : Realtek RTL8168C/8111C

    C'est bien ça ?

    =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

    Avec le problème que j'ai eu pour poster j'ai du me mélanger les pinceaux et je t'ai fait involontairement changer des valeurs de l'UAC. Fais ceci pour les remettre à leurs valeurs par défaut :

    Sur ton bureau clique droit puis nouveau puis document texte
    ouvre le puis copie-colle dedans :
    Windows Registry Editor Version 5.00   
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]   
    "ConsentPromptBehaviorAdmin"=dword:00000005   
    "EnableLUA"=dword:00000001   
    "PromptOnSecureDesktop"=dword:00000001   
    "EnableUIADesktopToggle"=dword:00000000   
    "FilterAdministratorToken"=dword:00000000


    Enregistre et ferme le .txt
    Renomme le en .reg et confirme si demandé.
    Exécute ce fichier .reg et confirme la fusion avec le registre.
    Relance le pc pour que les changements prennent effet.

    =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

    A part le fait de voir que pleins de tools ont été lancés dans tout les sens, les n rapports ne disent pas grands choses. En tout cas je ne vois rien parmi ceux que tu as fourni. Des combofix.txt il y a en a 3, des ZHPFix, 5...

    ComboFix-quarantined-files.txt 2012-01-17 11:13
    ComboFix2.txt 2012-01-15 17:29
    ComboFix3.txt 2012-01-15 17:08
    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 15/01/2012 23:35:46 [1066]
    C:\ZHP\ZHPFix[R2].txt - 15/01/2012 23:39:12 [1241]
    C:\ZHP\ZHPFix[R3].txt - 16/01/2012 14:39:35 [598]
    C:\ZHP\ZHPFix[R4].txt - 17/01/2012 11:40:36 [761]
    C:\ZHP\ZHPFix[R5].txt - 17/01/2012 11:41:23 [2282]

    Si tu pouvais mettre tout ça dans une archive et nous l'envoyer (son lien d'hébergement).

    Quand tu dis que ta page internet se ferme toute seule, que tu veux dire ? Le navigateur internet se ferme ?

    Tu dis avoir changer la pâte thermique du proc. Tu n'as pas fait un gros pâté et t'en a mis suffisant ?
    Pour vérifier la température du processeur : http://www.pcastuces.com/pratique/windows/surveiller_temperature/page3.htm
    Si il surchauffe c'est normal de le ventilo tourne à fond.

    Ca peut aussi être dû à un processus qui bouffe tout le cpu. Tu as regarder dans le gestionnaire des tâches ?

    ciao

    Edit : tu n'as pas mis le rapport Adwcleaner
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      il faudrait avoir l'activité du processeur
      0