Pc infecté malware?
LaAamar
Messages postés
9
Date d'inscription
Statut
Membre
Dernière intervention
-
sherred Messages postés 8605 Statut Membre -
sherred Messages postés 8605 Statut Membre -
Bonjour,
Je pense que mon pc est infecté par un malware ou trojan, j'ai essayé différent programme via hiren's tel que combofix,tdsskiller,...mais hormis les rapports je n'arrive pas a désinfecté mon pc.
En vous remerciant d'avance pour votre aide :D
Je pense que mon pc est infecté par un malware ou trojan, j'ai essayé différent programme via hiren's tel que combofix,tdsskiller,...mais hormis les rapports je n'arrive pas a désinfecté mon pc.
En vous remerciant d'avance pour votre aide :D
A voir également:
- Pc infecté malware?
- Reinitialiser pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Forcer demarrage pc - Guide
15 réponses
Coucou,
Puisque tu es un adepte des rapports,
peux-tu nous envoyer un rapport ZHPdaig, ou celui de Combo ou de bref, qu'un porte...
montre nous tes sous-bas
Puisque tu es un adepte des rapports,
peux-tu nous envoyer un rapport ZHPdaig, ou celui de Combo ou de bref, qu'un porte...
montre nous tes sous-bas
Merci pour vos réponses rapides je n'ai pas de symptomes propres mais mon ventilo chauffe énormément même quand je ne l'utilise pas
pour ce qui est du rapport combofix :
https://www.cjoint.com/?3ApwlCcONBu
je rajoute le rapport ZHPDiag
https://www.cjoint.com/?3ApwxwonKvN
pour ce qui est du rapport combofix :
https://www.cjoint.com/?3ApwlCcONBu
je rajoute le rapport ZHPDiag
https://www.cjoint.com/?3ApwxwonKvN
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
k,
quels sont exactement tes problèmes ?
pour nettoyer deux trois crasses web :
choisis l'option de nettoyage et poste son rapport stp.
@ ?
quels sont exactement tes problèmes ?
pour nettoyer deux trois crasses web :
http://www.commentcamarche.net/download/telecharger-34066591-ad-remover
choisis l'option de nettoyage et poste son rapport stp.
@ ?
en gros mon pc rame et mon ventilo fait un bruit monstre, les fenètres ne répondent plus les 3/4 du temps et j'ai remarqué la présence d'un ficher : DAOX.exe dans mon dossier windows qui est intouchable
pour le rapport :
http://ww38.toofiles.com/fr/oip/documents/txt/ad-report-clean1.html
et j'en profite pour te remercier Estelle :)
pour le rapport :
http://ww38.toofiles.com/fr/oip/documents/txt/ad-report-clean1.html
et j'en profite pour te remercier Estelle :)
Bonjour LaAamar,
voici la suite http://pastebin.com/rUx3Dm54
(je n'arrive pas à poster sur ccmà cause du robot. Un mot qui ne passe pas)
voici la suite http://pastebin.com/rUx3Dm54
(je n'arrive pas à poster sur ccmà cause du robot. Un mot qui ne passe pas)
bonjour a tous
je vois que tu a Spybot - Search & Destroy , c'est désuet inutile et consommateur , tu peu le désinstaller
tu a également " Bonjour Service" au démarrage du pc (service itune)
et Skype
mais cela n'explique pas ton ventillo
a tu essayé de nettoyer la poussière simplement
https://www.youtube.com/watch?v=kqNEcA2O3OU
je vois que tu a Spybot - Search & Destroy , c'est désuet inutile et consommateur , tu peu le désinstaller
tu a également " Bonjour Service" au démarrage du pc (service itune)
et Skype
mais cela n'explique pas ton ventillo
a tu essayé de nettoyer la poussière simplement
https://www.youtube.com/watch?v=kqNEcA2O3OU
salut pour le ventilo j'ai changé de pâte thermique il y a 6 jours, donc je pense pas que le problème est au niveau hardware,je n'ai plus accès aux fichiers telle que document end setttings ou windows de plus quand que je démarre windows il m'affiche direct un txt :
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
Mis à part un repport ZHPDiag quesque je peux faire de plus? pour vraiment éliminer le(s) virus?
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
Mis à part un repport ZHPDiag quesque je peux faire de plus? pour vraiment éliminer le(s) virus?
sans connaissance le mieux pour toi et de sauvegarder tes donnée sur un support externe et ensuite de tenter de faire une restauration système 'qui en principe est désactivé par le virus ou malware en question' ou de formater ton système.
cdlt
cdlt
LA CAUSE DE CETTE ERREUR PEU ETRE :
un fichier Desktop.ini existe dans un ou plusieurs de ces répertoires :
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
C:\Documents and Settings\All Users\Start Menu\Programs
C:\Documents and Settings\All Users\Start Menu
du moins l'équivalent dans seven que je ne connais pas
dans ce desktop.ini on doit retrouver ces lignes
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
pour resoudre ce probleme
Supprimer le fichier Desktop.ini dont le contenu est :
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
ou
taper msconfig dans recherche
Cliquer sur l'onglet Démarrage,
décocher la case correspondant à la ligne Desktop.ini.
Valider
un fichier Desktop.ini existe dans un ou plusieurs de ces répertoires :
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
C:\Documents and Settings\All Users\Start Menu\Programs
C:\Documents and Settings\All Users\Start Menu
du moins l'équivalent dans seven que je ne connais pas
dans ce desktop.ini on doit retrouver ces lignes
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
pour resoudre ce probleme
Supprimer le fichier Desktop.ini dont le contenu est :
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
ou
taper msconfig dans recherche
Cliquer sur l'onglet Démarrage,
décocher la case correspondant à la ligne Desktop.ini.
Valider
Oui parce que ton PC est infecté...
O43 - CFD: 13/01/2012 - 17:00:58 - [12,101] ----D- C:\Users\LaAamar\AppData\Roaming\OpenCandy
la date de création est rescente. Je pense que c'est de là que vient le souci.
regarde ici :
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=ADWARE:WIN32/OPENCANDY
et
[MD5.38DEB4B082EB0B302CE35EDE67711AF4] - (.Pas de propri?taire - Smartbar.) -- C:\Users\LaAamar\AppData\Local\Linkury\Application\Linkury.exe
regarde ici :
http://www.spyprocessdb.com/linkury-exe
pour DAODx.exe il est sain comme je te le disais plus haut, pour preuve son MD5 :
https://www.virustotal.com/file/f44d0a752e26310d0b80fc8b261253722057f04ec12b674f37454b8157e6f8ad/analysis/1321184910/
Si tu fais ce que je te dis sur le pastebin alors tu supprimeras ces menaces.
O43 - CFD: 13/01/2012 - 17:00:58 - [12,101] ----D- C:\Users\LaAamar\AppData\Roaming\OpenCandy
la date de création est rescente. Je pense que c'est de là que vient le souci.
regarde ici :
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=ADWARE:WIN32/OPENCANDY
et
[MD5.38DEB4B082EB0B302CE35EDE67711AF4] - (.Pas de propri?taire - Smartbar.) -- C:\Users\LaAamar\AppData\Local\Linkury\Application\Linkury.exe
regarde ici :
http://www.spyprocessdb.com/linkury-exe
pour DAODx.exe il est sain comme je te le disais plus haut, pour preuve son MD5 :
https://www.virustotal.com/file/f44d0a752e26310d0b80fc8b261253722057f04ec12b674f37454b8157e6f8ad/analysis/1321184910/
Si tu fais ce que je te dis sur le pastebin alors tu supprimeras ces menaces.
désolé pour le temps réponse et merci à vous pour votre aide, j'ai exécuté roguekiller et adwcleaner voici le rapport :
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: LaAamar [Droits d'admin]
Mode: Suppression -- Date : 17/01/2012 11:46:54
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] RunDAOD.job : C:\Windows\DAODx.exe -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 8795a34f87b00ef94efe0bcb616c6876
[BSP] 2439268753040f6a1371c8f5adc12ce4 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 160038 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport
Cependant j'ai encore des problèmes ma page internet se ferme toute seule et j'ai toujours le [.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
Voici un dernier rapport mbrcheck : https://www.cjoint.com/?BArmqkIL4En
rapport ZHp : https://www.cjoint.com/?BArmq6QwoNN
rapport Combofix : https://www.cjoint.com/?BArmshvxYcU
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: LaAamar [Droits d'admin]
Mode: Suppression -- Date : 17/01/2012 11:46:54
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] RunDAOD.job : C:\Windows\DAODx.exe -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 8795a34f87b00ef94efe0bcb616c6876
[BSP] 2439268753040f6a1371c8f5adc12ce4 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 160038 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport
Cependant j'ai encore des problèmes ma page internet se ferme toute seule et j'ai toujours le [.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
Voici un dernier rapport mbrcheck : https://www.cjoint.com/?BArmqkIL4En
rapport ZHp : https://www.cjoint.com/?BArmq6QwoNN
rapport Combofix : https://www.cjoint.com/?BArmshvxYcU
Hello,
pour ton problème de ShellClassInfo : http://support.microsoft.com/kb/330132/fr
Ils ont créé un fix : http://go.microsoft.com/?linkid=9767717
Je regarde les rapports...
pour ton problème de ShellClassInfo : http://support.microsoft.com/kb/330132/fr
Ils ont créé un fix : http://go.microsoft.com/?linkid=9767717
Je regarde les rapports...
Dans Windows 7, les dossiers système familiarisés par XP (Documents and settings, Local Settings, etc) sont présents mais sont inaccessibles.
Ces dossiers système n'apparaissent que si l'on affiche les fichiers et dossiers cachés et si la case "Masquer les fichiers protégés du Système d'exploitation" est décochée (ce qui n'est pas recommandé pour cette case).
Windows 7 a donc bien conservé les répertoires « classiques » de XP (qui se trouvaient dans Documents and Settings/Ton_Nom_Utilisateur), mais ce n'est que pour des raisons de compatibilité ascendante. Ce ne sont plus que des « jonctions » qui mènent aux vrais répertoires, agencés différemment. Pour cette raison, on obtient un message d'erreur lorsqu'on essaye d'ouvrir un de ces dossiers.
Les dossiers réels sont ailleurs, c'est à dire dans C:\Users\Ton_Nom_Utilisateur\AppData et seuls ces derniers sont réellement accessibles.
Ces dossiers système n'apparaissent que si l'on affiche les fichiers et dossiers cachés et si la case "Masquer les fichiers protégés du Système d'exploitation" est décochée (ce qui n'est pas recommandé pour cette case).
Windows 7 a donc bien conservé les répertoires « classiques » de XP (qui se trouvaient dans Documents and Settings/Ton_Nom_Utilisateur), mais ce n'est que pour des raisons de compatibilité ascendante. Ce ne sont plus que des « jonctions » qui mènent aux vrais répertoires, agencés différemment. Pour cette raison, on obtient un message d'erreur lorsqu'on essaye d'ouvrir un de ces dossiers.
Les dossiers réels sont ailleurs, c'est à dire dans C:\Users\Ton_Nom_Utilisateur\AppData et seuls ces derniers sont réellement accessibles.
j'aimerai voir quelque chose
Télécharge DrWeb CureIt :ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
Double-clique sur "Launch.exe" pour le lancer.
(Utilisateur de Vista/Windows 7, fais un clic-droit sur le fichier : "Exécuter en tant qu'administrateur")
Accepte l'avertissement pour le mode "Protection renforcée" et le fenêtre suivante avec "Ok"
(Choisi "Annuler" si une fenêtre demandant d'obtenir plus de renseignements apparait)
Choisi "Commencer le scan" et valide l'avertissement avec "Ok"
(Tu ne pourras plus rien faire sur le PC jusqu'à la fin du scan)
Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)
A la fin du scan rapide, si des fichiers ont été détecté, choisi alors "analyse complète" et lance-là avec le bouton à droite |>
Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)
Lorsque ce second scan est fini, choisi : Fichier -> enregistrer le rapport
Sauvegarde-le sur ton bureau, et copie-colle son contenu dans ta prochaine réponse.
Ferme le programme.
Télécharge DrWeb CureIt :ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
Double-clique sur "Launch.exe" pour le lancer.
(Utilisateur de Vista/Windows 7, fais un clic-droit sur le fichier : "Exécuter en tant qu'administrateur")
Accepte l'avertissement pour le mode "Protection renforcée" et le fenêtre suivante avec "Ok"
(Choisi "Annuler" si une fenêtre demandant d'obtenir plus de renseignements apparait)
Choisi "Commencer le scan" et valide l'avertissement avec "Ok"
(Tu ne pourras plus rien faire sur le PC jusqu'à la fin du scan)
Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)
A la fin du scan rapide, si des fichiers ont été détecté, choisi alors "analyse complète" et lance-là avec le bouton à droite |>
Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)
Lorsque ce second scan est fini, choisi : Fichier -> enregistrer le rapport
Sauvegarde-le sur ton bureau, et copie-colle son contenu dans ta prochaine réponse.
Ferme le programme.
Ok je ne comprends pourquoi RogueKiller a supprimé :
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] RunDAOD.job : C:\Windows\DAODx.exe -> DELETED
Vraisemblablement ce processus est lié au contrôleur Realtek RTL8168C/8111C intégré à ta carte mère Asus.
C'est un composant du driver de ta carte Ethernet, donc il permet d'accéder à internet via un câble ethernet.
pour vérifier : menu démarrer -> exécuter -> tape 'cmd.exe' et valide
au prompt de ta session tape ipconfig /all , tu auras :
Carte Ethernet Connexion au réseau local:
Description . . . . . . . . . . . : Realtek RTL8168C/8111C
C'est bien ça ?
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Avec le problème que j'ai eu pour poster j'ai du me mélanger les pinceaux et je t'ai fait involontairement changer des valeurs de l'UAC. Fais ceci pour les remettre à leurs valeurs par défaut :
Sur ton bureau clique droit puis nouveau puis document texte
ouvre le puis copie-colle dedans :
Enregistre et ferme le .txt
Renomme le en .reg et confirme si demandé.
Exécute ce fichier .reg et confirme la fusion avec le registre.
Relance le pc pour que les changements prennent effet.
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
A part le fait de voir que pleins de tools ont été lancés dans tout les sens, les n rapports ne disent pas grands choses. En tout cas je ne vois rien parmi ceux que tu as fourni. Des combofix.txt il y a en a 3, des ZHPFix, 5...
ComboFix-quarantined-files.txt 2012-01-17 11:13
ComboFix2.txt 2012-01-15 17:29
ComboFix3.txt 2012-01-15 17:08
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 15/01/2012 23:35:46 [1066]
C:\ZHP\ZHPFix[R2].txt - 15/01/2012 23:39:12 [1241]
C:\ZHP\ZHPFix[R3].txt - 16/01/2012 14:39:35 [598]
C:\ZHP\ZHPFix[R4].txt - 17/01/2012 11:40:36 [761]
C:\ZHP\ZHPFix[R5].txt - 17/01/2012 11:41:23 [2282]
Si tu pouvais mettre tout ça dans une archive et nous l'envoyer (son lien d'hébergement).
Quand tu dis que ta page internet se ferme toute seule, que tu veux dire ? Le navigateur internet se ferme ?
Tu dis avoir changer la pâte thermique du proc. Tu n'as pas fait un gros pâté et t'en a mis suffisant ?
Pour vérifier la température du processeur : http://www.pcastuces.com/pratique/windows/surveiller_temperature/page3.htm
Si il surchauffe c'est normal de le ventilo tourne à fond.
Ca peut aussi être dû à un processus qui bouffe tout le cpu. Tu as regarder dans le gestionnaire des tâches ?
ciao
Edit : tu n'as pas mis le rapport Adwcleaner
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] RunDAOD.job : C:\Windows\DAODx.exe -> DELETED
Vraisemblablement ce processus est lié au contrôleur Realtek RTL8168C/8111C intégré à ta carte mère Asus.
C'est un composant du driver de ta carte Ethernet, donc il permet d'accéder à internet via un câble ethernet.
pour vérifier : menu démarrer -> exécuter -> tape 'cmd.exe' et valide
au prompt de ta session tape ipconfig /all , tu auras :
Carte Ethernet Connexion au réseau local:
Description . . . . . . . . . . . : Realtek RTL8168C/8111C
C'est bien ça ?
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Avec le problème que j'ai eu pour poster j'ai du me mélanger les pinceaux et je t'ai fait involontairement changer des valeurs de l'UAC. Fais ceci pour les remettre à leurs valeurs par défaut :
Sur ton bureau clique droit puis nouveau puis document texte
ouvre le puis copie-colle dedans :
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "ConsentPromptBehaviorAdmin"=dword:00000005 "EnableLUA"=dword:00000001 "PromptOnSecureDesktop"=dword:00000001 "EnableUIADesktopToggle"=dword:00000000 "FilterAdministratorToken"=dword:00000000
Enregistre et ferme le .txt
Renomme le en .reg et confirme si demandé.
Exécute ce fichier .reg et confirme la fusion avec le registre.
Relance le pc pour que les changements prennent effet.
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
A part le fait de voir que pleins de tools ont été lancés dans tout les sens, les n rapports ne disent pas grands choses. En tout cas je ne vois rien parmi ceux que tu as fourni. Des combofix.txt il y a en a 3, des ZHPFix, 5...
ComboFix-quarantined-files.txt 2012-01-17 11:13
ComboFix2.txt 2012-01-15 17:29
ComboFix3.txt 2012-01-15 17:08
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 15/01/2012 23:35:46 [1066]
C:\ZHP\ZHPFix[R2].txt - 15/01/2012 23:39:12 [1241]
C:\ZHP\ZHPFix[R3].txt - 16/01/2012 14:39:35 [598]
C:\ZHP\ZHPFix[R4].txt - 17/01/2012 11:40:36 [761]
C:\ZHP\ZHPFix[R5].txt - 17/01/2012 11:41:23 [2282]
Si tu pouvais mettre tout ça dans une archive et nous l'envoyer (son lien d'hébergement).
Quand tu dis que ta page internet se ferme toute seule, que tu veux dire ? Le navigateur internet se ferme ?
Tu dis avoir changer la pâte thermique du proc. Tu n'as pas fait un gros pâté et t'en a mis suffisant ?
Pour vérifier la température du processeur : http://www.pcastuces.com/pratique/windows/surveiller_temperature/page3.htm
Si il surchauffe c'est normal de le ventilo tourne à fond.
Ca peut aussi être dû à un processus qui bouffe tout le cpu. Tu as regarder dans le gestionnaire des tâches ?
ciao
Edit : tu n'as pas mis le rapport Adwcleaner
