PC qui rame, comment savoir si j'ai un virus Fermé

Question

Bonjour, 

J'ai mon pc qui rame ponctuellement de manière spectaculaire, au point que je ne peux plus rien faire pendant un moment.

je voudrais savoir comment savoir si j'ai un virus, ou similaire, et comment m'en débarrasser

Que faire?

Merci d'avance pour votre aide

voltox · Answer

tu devrai commencer par faire un petit antivirus

Fish66 · Answer

Salut,

Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://www.cijoint.fr/
Si indisponible, tu peux essayer avec l'un de ces liens: 
http://ww38.toofiles.com/fr/documents-upload.html
https://www.terafiles.net/
https://www.casimages.com/
http://pjjoint.malekal.com/

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

Hébergement de rapport sur pjjoint.malekal.com

Rends toi sur pjjoint.malekal.com  
* Clique sur le bouton Parcourir  
* Sélectionne le fichier que tu veux héberger et clique sur Ouvrir  
* Clique sur le bouton Envoyer  
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015  

* Copie le lien dans ta prochaine réponse.   

@+

blax · Answer

Bonjour,

Merci pour votre aide.

J'ai effectué tout ça en "mode sans echec avec prise en charge reseau", car autrement, mon pc rame trop.

à noter que j'ai essayé un scan avec antivir, mais au bout d'un moment, ça bloquait, il n'arrivait jamais à aller jusqu'au bout.

Voici le lien:

http://www.toofiles.com/fr/oip/documents/txt/6690_zhpdiag.html

Fish66 · Answer

Salut,

Fais ceci suivant l'ordre stp :

1/
Commence à désinstaller proprement McAfee :

Tu vas suivre les procédures indiquées >>> ICI <<<

2/
Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)

3/
/!\ ATTENTION : cette analyse peut durer quelques heures /!\

* Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
* Lance Malwarebytes' Anti-Malware
* Fais la mise à jour
* Clique dans l'onglet "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"
*Vérifie que toutes les lignes sont cochées
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"

* Copie/colle le rapport dans le prochain message

Remarque :
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.

@+

blax · Answer

j'ai un problème avec l'étape 1 (supprimer proprement mcafee).  
je ne connais pas mes identifiants. Et je n'ai pas souvenir d'en avoir créer en téléchargeant le logiciel.  
Quand je demande d'envoyer mon mot de passe à mon adresse, je ne reçois rien.

Il faut que je créer un compte ?

Fish66 · Answer

Re,

Tu désinstalle McAfee via panneau de configuration puis télécharges et enregistre l'utilitaire de désinstallation, exécute le fichier enregistré en suivant les instructions.
Redémarre ton PC s'il est demandé

================

Ensuite tu fais le reste des procédures

@+

blax · Answer

J'ai bien désinstallé le programme en passant par le panneau de configuration.

Mais l'utilitaire de désinstalation m'indique ceci à la fin:

"Le processus ne peut pas accéder au fichier, car ce fichier est utilisé par un autre processus"

Fish66 · Answer

Exécute l'utilitaire en mode sans échec :

Démarrage en Mode sans échec avec prise en charge réseau 

Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter 
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer enMode sans échec avec prise en charge réseau 
puis tape entrée. 
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal ! 
(Si F8 ne marche pas utilise la touche F5) 

A demain

Bonne nuit

blax · Answer

Comme je l'ai dit dans un message précédant, je suis en "mode sans echec avec prise en charge réseau" depuis le début.

Je viens de réessayer, toujours dans ce mode, et j'ai toujours ce message d'erreur.

Que faire?

Fish66 · Answer

Bonjour,

Tu fais maintenant l'étape 2 ensuite 3 puis poste les rapports stp

@+

blax · Answer

1/


# AdwCleaner v1.406 - Rapport créé le 18/01/2012 à 16:15:55
# Mis à jour le 09/01/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : hp - HP-PC (Administrateur)
# Exécuté depuis : C:\Users\hp\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\hp\AppData\Local\Conduit
Dossier Supprimé : C:\Users\hp\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Program Files (x86)\Conduit

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2613520
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine

***** [Registre (x64)] *****


***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v9.0.1 (fr)

Profil : yl6mjwaw.default
Fichier : C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\yl6mjwaw.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1352 octets] - [18/01/2012 16:15:55]

*************************

Dossier Temporaire : 37 dossier(s) et 110 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [1575 octets] ##########

blax · Answer

( le rapport d'en haut c'était l'étape 2 évidement, je me suis trompé )

je viens de finir l'étape 3/

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.18.03

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
hp :: HP-PC [administrateur]

18/01/2012 16:36:17
mbam-log-2012-01-18 (16-36-17).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 297175
Temps écoulé: 38 minute(s), 40 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\hp\Desktop\Users\Georges\Downloads\MyWebFace.exe (Adware.FunWeb) -> Mis en quarantaine et supprimé avec succès.

(fin)

blax · Answer

Je n'arrive pas à me connecter à internet normalement.

Je dois toujours lancer window en "mode sans echec avec prise en charge réseau" pour que ça fonctionne.

Fish66 · Answer

Re,

Avant d'utiliser ComboFix :  

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :  

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix  

* Télécharge Defogger (de jpshortstuff) sur ton Bureau  
* Lance le  

* Une fenêtre apparait : clique sur "Disable"  

* Fais redémarrer l'ordinateur si l'outil te le demande  

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"  

===================================================  

Attention, avant de commencer, lit attentivement la procédure  

******************************************************** 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  

* Fais un clic droit sur ce lien, enregistre le dans ton bureau 
Voici Aide combofix 

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  
 

*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)  

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

*Note : Le rapport se trouve également là : C:\ComboFix.txt

@+

blax · Answer

J'ai bien suivi la procédure en utilisant Defogger.  

Mais j'ai un problème. Je n'arrive pas à désactiver ANTIVIR   

Je l'ai pourtant supprimé via le panneau de configuration (et bien redémarer mon pc pour que ce soit effectif )! 


Mais combofix le détecte toujours et me conseille vivement de le désactiver.  


Comment faire?

Fish66 · Answer

Re,

Ne désinstalle pas Avira, il suffit de le désactiver :

Pour désactiver AntiVir Personal, il vous suffit de faire un clic droit sur l'icône (parapluie) dans la barre de tâches et cliquez sur Désactiver AntiVir Guard.

La parapluie se ferme après désactivation

@+

blax · Answer

Trop tard, je l'ai déjà désinstallé, comme je l'ai dit.

Mais j'ai passé outre l'indication de combofix, car je suis en "mode sans echec avec prise en charge réseau", et sur le forum d'avrira, il est dit que malgré le message, il n'est pas effectif sous ce mode de toute façon.

Voici le rapport : 






ComboFix 12-01-18.04 - hp 18/01/2012  20:30:27.1.2 - x64 NETWORK
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.33.1036.18.4063.3234 [GMT 1:00]
Lancé depuis: c:\users\hp\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-12-18 au 2012-01-18  ))))))))))))))))))))))))))))))))))))
.
.
2012-01-18 19:33 . 2012-01-18 19:33	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-01-18 15:34 . 2012-01-18 15:34	--------	d-----w-	c:\programdata\Malwarebytes
2012-01-18 15:34 . 2012-01-18 15:34	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-01-18 15:34 . 2011-12-10 14:24	23152	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-01-17 20:06 . 2012-01-17 20:06	--------	d-s---w-	c:\windows\SysWow64\Microsoft
2012-01-17 18:21 . 2011-11-30 01:21	8822856	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{5C99709A-2257-471A-99C0-2C6B732A541D}\mpengine.dll
2012-01-17 13:02 . 2012-01-17 13:04	--------	d-----w-	C:\ZHP
2012-01-17 13:01 . 2012-01-17 13:03	--------	d-----w-	c:\program files (x86)\ZHPDiag
2012-01-17 03:53 . 2012-01-17 03:53	--------	d-----w-	C:\7a3e4797fbd2f748392550
2012-01-17 03:36 . 2012-01-17 03:36	--------	d-----w-	C:\486fc617a9c36bb0e6
2012-01-17 03:26 . 2012-01-17 03:26	--------	d-----w-	c:\program files (x86)\Protection_ZoneAlarm
2012-01-17 03:26 . 2012-01-17 03:26	--------	d-----w-	c:\program files\CheckPoint
2012-01-17 03:12 . 2012-01-17 03:12	--------	d-----w-	c:\program files (x86)\CheckPoint
2012-01-17 02:49 . 2012-01-17 02:49	--------	d-----w-	C:\26c0b0d78c9ec6ffa22ba25f17b3c7
2012-01-17 02:31 . 2012-01-17 02:31	--------	d-----w-	C:\4b9d69b287770156e6c2cf7a
2012-01-16 02:01 . 2012-01-16 02:01	--------	d-----w-	c:\program files (x86)\Microsoft.NET
2012-01-16 01:28 . 2012-01-16 01:28	--------	d-----w-	C:\Downloads
2012-01-16 01:21 . 2012-01-16 01:21	--------	d-----w-	c:\program files (x86)\BitComet
2012-01-13 10:49 . 2011-04-22 22:15	27520	----a-w-	c:\windows\system32\drivers\Diskdump.sys
2012-01-12 23:40 . 2012-01-12 23:40	--------	d-----w-	c:\windows\fr
2012-01-12 23:28 . 2012-01-12 23:28	--------	d-----w-	c:\program files (x86)\Microsoft SQL Server Compact Edition
2012-01-12 23:19 . 2012-01-12 23:41	--------	d-----w-	c:\program files (x86)\Windows Live
2012-01-12 23:19 . 2012-01-12 23:19	--------	dc----w-	c:\windows\system32\DRVSTORE
2012-01-12 23:19 . 2011-05-13 14:37	48488	----a-w-	c:\windows\system32\drivers\fssfltr.sys
2012-01-12 23:16 . 2012-01-12 23:16	--------	d-----w-	c:\windows\PCHEALTH
2012-01-12 23:16 . 2012-01-12 23:19	--------	d-----w-	c:\program files\Windows Live
2012-01-12 23:15 . 2009-09-04 16:44	69464	----a-w-	c:\windows\SysWow64\XAPOFX1_3.dll
2012-01-12 23:15 . 2009-09-04 16:44	515416	----a-w-	c:\windows\SysWow64\XAudio2_5.dll
2012-01-12 23:15 . 2009-09-04 16:29	453456	----a-w-	c:\windows\SysWow64\d3dx10_42.dll
2012-01-12 23:15 . 2009-09-04 16:29	523088	----a-w-	c:\windows\system32\d3dx10_42.dll
2012-01-12 23:15 . 2006-11-29 12:06	4398360	----a-w-	c:\windows\system32\d3dx9_32.dll
2012-01-12 23:15 . 2006-11-29 12:06	3426072	----a-w-	c:\windows\SysWow64\d3dx9_32.dll
2012-01-12 23:14 . 2012-01-14 12:04	--------	d-----w-	c:\program files (x86)\Microsoft Silverlight
2012-01-12 23:09 . 2012-01-12 23:09	--------	d-----w-	c:\program files (x86)\Common Files\Windows Live
2012-01-12 17:54 . 2012-01-12 17:59	414368	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-01-12 17:29 . 2012-01-12 17:29	--------	d-----w-	c:\windows\SysWow64\Macromed
2012-01-12 17:29 . 2012-01-12 17:29	--------	d-----w-	c:\windows\system32\Macromed
2012-01-12 17:24 . 2011-10-26 05:25	1572864	----a-w-	c:\windows\system32\quartz.dll
2012-01-12 17:24 . 2011-10-26 05:25	366592	----a-w-	c:\windows\system32\qdvd.dll
2012-01-12 17:24 . 2011-10-26 04:32	514560	----a-w-	c:\windows\SysWow64\qdvd.dll
2012-01-12 17:24 . 2011-10-26 04:32	1328128	----a-w-	c:\windows\SysWow64\quartz.dll
2012-01-12 17:24 . 2011-11-17 05:38	1292080	----a-w-	c:\windows\SysWow64
tdll.dll
2012-01-12 17:24 . 2011-11-17 06:41	1731920	----a-w-	c:\windows\system32
tdll.dll
2012-01-12 17:24 . 2011-11-19 14:58	77312	----a-w-	c:\windows\system32\packager.dll
2012-01-12 17:24 . 2011-11-19 14:01	67072	----a-w-	c:\windows\SysWow64\packager.dll
2012-01-03 10:32 . 2012-01-03 10:32	--------	d-----w-	c:\windows\SysWow64\Wat
2012-01-03 10:32 . 2012-01-03 10:32	--------	d-----w-	c:\windows\system32\Wat
2012-01-03 10:14 . 2012-01-03 10:14	--------	d-----w-	c:\windows\SysWow64\wbem\en-US
2012-01-03 10:14 . 2012-01-03 10:14	--------	d-----w-	c:\windows\system32\wbem\en-US
2012-01-03 09:13 . 2011-03-03 06:24	183296	----a-w-	c:\windows\system32\dnsrslvr.dll
2012-01-03 09:12 . 2011-02-23 04:55	90624	----a-w-	c:\windows\system32\drivers\bowser.sys
2012-01-03 09:12 . 2011-02-12 11:34	267776	----a-w-	c:\windows\system32\FXSCOVER.exe
2012-01-03 09:11 . 2011-10-15 06:31	723456	----a-w-	c:\windows\system32\EncDec.dll
2012-01-03 09:11 . 2011-10-15 05:38	534528	----a-w-	c:\windows\SysWow64\EncDec.dll
2012-01-03 09:11 . 2011-11-24 04:52	3145216	----a-w-	c:\windows\system32\win32k.sys
2012-01-03 09:11 . 2011-08-27 05:37	861696	----a-w-	c:\windows\system32\oleaut32.dll
2012-01-03 09:11 . 2011-08-27 05:37	331776	----a-w-	c:\windows\system32\oleacc.dll
2012-01-03 09:11 . 2011-08-27 04:26	571904	----a-w-	c:\windows\SysWow64\oleaut32.dll
2012-01-03 09:11 . 2011-08-27 04:26	233472	----a-w-	c:\windows\SysWow64\oleacc.dll
2012-01-03 09:11 . 2011-06-23 05:43	5561216	----a-w-	c:\windows\system32
toskrnl.exe
2012-01-03 09:11 . 2011-06-23 04:33	3912576	----a-w-	c:\windows\SysWow64
toskrnl.exe
2012-01-03 09:11 . 2011-06-23 04:33	3967872	----a-w-	c:\windows\SysWow64
tkrnlpa.exe
2011-12-31 10:43 . 2011-12-31 10:43	--------	d-----w-	c:\program files (x86)\SuperCopier2
2011-12-31 10:38 . 2011-12-31 10:38	--------	d-----w-	c:\programdata\Canneverbe Limited
2011-12-31 10:35 . 2011-12-31 10:35	--------	d-----w-	c:\program files\CDBurnerXP
2011-12-31 10:30 . 2011-12-31 10:30	--------	d-----w-	c:\program files (x86)\OpenOffice.org 3
2011-12-31 10:26 . 2011-12-31 10:26	--------	d-----w-	c:\program files (x86)\VideoLAN
2011-12-31 10:21 . 2011-12-31 10:21	--------	d-----w-	c:\program files (x86)\Common Files\Adobe
2011-12-31 10:20 . 2012-01-18 02:50	--------	d-sh--w-	c:\windows\Installer
2011-12-31 10:00 . 2011-12-31 10:00	0	----a-w-	c:\windows\ativpsrm.bin
2011-12-31 09:57 . 2011-12-31 09:39	--------	d-----w-	c:\windows\Panther
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-12 23:17 . 2011-03-28 17:36	18328	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2011-11-15 13:29 . 2010-11-21 03:27	270720	------w-	c:\windows\system32\MpSigStub.exe
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}"= "c:\program files (x86)\Protection_ZoneAlarm\prxtbProt.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
2011-05-09 09:49	176936	----a-w-	c:\program files (x86)\Protection_ZoneAlarm\prxtbProt.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}"= "c:\program files (x86)\Protection_ZoneAlarm\prxtbProt.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files (x86)\SuperCopier2\SuperCopier2.exe" [2009-08-16 955392]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
.
c:\users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 BITCOMET_HELPER_SERVICE;BitComet Disk Boost Service;c:\program files (x86)\BitComet	ools\BitCometService.exe [2010-12-28 1296728]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [x]
S2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\program files\CheckPoint\ZAForceField\ISWKL.sys [2011-11-03 33672]
S2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\program files\CheckPoint\ZAForceField\IswSvc.exe [2011-11-03 827520]
S3 RTL8167;Pilote Realtek 8167 NT;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISW"="c:\program files\CheckPoint\ZAForceField\ForceField.exe" [2011-11-03 1125504]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Tout télécharger avec BitComet - c:\program files (x86)\BitComet\BitComet.exe/AddAllLink.htm
IE: Télécharger avec BitComet - c:\program files (x86)\BitComet\BitComet.exe/AddLink.htm
TCP: DhcpNameServer = 192.168.1.254
FF - ProfilePath - c:\users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\yl6mjwaw.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Wow6432Node-HKLM-Run-ZoneAlarm - c:\program files (x86)\CheckPoint\ZoneAlarm\zatray.exe
WebBrowser-{D7F26D0E-9801-45C3-A091-8A65E4ED73B5} - (no file)
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3182654444-2504940034-736520746-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-3182654444-2504940034-736520746-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil11e_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil11e_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash11e.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash11e.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2012-01-18  20:40:07 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-01-18 19:40
.
Avant-CF: 356 772 732 928 octets libres
Après-CF: 356 896 731 136 octets libres
.
- - End Of File - - 34D3B19BB445835270B566AE173CA515

Fish66 · Answer

Re,

* Télécharge sur le bureau RogueKiller (par tigzy)  
https://www.luanagames.com/index.fr.html  


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )  

* Quitte tous tes programmes en cours  
* Lance RogueKiller.exe.  
* Lorsque demandé, tape 1 et valide  
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le  en winlogon.exe ou firefox.exe (rajouter l'extension .exe) 
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse  
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.  

@+

blax · Answer

Re,

Merci, voici le rapport:

RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: hp [Droits d'admin]
Mode: Recherche -- Date : 18/01/2012 22:38:13

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 2123fa5d2962be8883c259d7c9373cbd
[BSP] fd3ced0531892816bdfb8da1c60cd412 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 104 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 206848 | Size: 500000 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

blax · Answer

J'ai deux questions:   

1)   
 Pourquoi lorsque je lance Windows normalement, j'ai systématiquement ce message d'open office ?   

----> http://img810.imageshack.us/img810/6562/opfice.jpg 


2)    
Pourquoi je n'arrive plus à me connecter à internet ( toujours en lançant Windows normalement) avec "accès limité" qui est affiché ?   

Je suis obligé de passer en "mode sans échec avec accès au réseau" pour venir poster ici.

blax · Answer

J'ai aussi toujours le problème du pc qui se met brusquement à ramer quand je lance windows normalement.

Que faire ?

Fish66 · Answer

Re, Télécharge Dr Web CureIt sur ton Bureau : ? redemarre en mode sans échec ?- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ?- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ?- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ?- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ?- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ?- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ?- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ?- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ?-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : http://www.cijoint.fr/ ? Clique sur Parcourir et cherche le fichier ci-dessus. ? Clique sur Ouvrir. ? Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ? Copie ce lien dans ta réponse. ?- Ferme Dr.Web Cureit ?- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

blax · Answer

J'ai fais un scan complet, et supprimé ce que dr web a detecté. J'ai redémarré. 

Mais ça n'a pas résolu le problème. 

Le site http://www.cijoint.fr/ ne marche pas

Il existe d'autre site similaire pour héberger le rapport ?

blax · Answer

Ca fait plusieurs jours que le problème ne se règle pas. 

Ca devient urgent. 

Est-ce que je dois emmener mon pc dans un centre de dépannage informatique genre "platinium informatique" ?

Fish66 · Answer

Bonjour,

Tu peux héberger le rapport ici : http://pjjoint.malekal.com/


@+

blax · Answer

Bonjour, 

j'ai ce message quand j'essaye de le faire:

""Les fichiers avec l' extension .csv ne peuvent pas être uploadés""

blax · Answer

comment faire ?

je précise que je suis toujours en mode sans echec

Fish66 · Answer

Re,

Essais de l'héberger ici :

http://ww38.toofiles.com/fr/documents-upload.html
https://www.terafiles.net/
https://www.casimages.com/

blax · Answer

Merci, 

Voilà le rapport

 http://www.toofiles.com/fr/oip/documents/csv/drweb.html

Fish66 · Answer

Re,

* Ouvre ton menu démarrer  

-> Si tu es sur XP, ouvre exécuter, tape cmd et valide par pression sur la touche Enter  

-> Sur Vista/Seven, dans le champ "Recherche" tape cmd , sur le résultat qui apparait, clic droit > exécuter en tant qu'administrateur  

* Dans la fenêtre noire, tape sfc /scannow et laisse Windows réparer les fichiers.

A demain

Bonne nuit

blax · Answer

J'ai essayé deux fois, et l'analyse bloque toujours à partir d'un certain pourcentage.

Et ça se termine à chaque fois par ce message:

La protection des ressources windows n'a pas réussi à effectuer l'opération demandée.

blax · Answer

J'ai encore essayé, et même résultat

Que faire ?

blax · Answer

Quelqu'un de dispo pour m'aider aujourdhui?

blax · Answer

Au secours !

blax · Answer

A l'aide!

( je suis connecté juqu'à 23h au cas où une âme charitable serait dispo.)

blax · Answer

On abandone ?

Fish66 · Answer

Re,  
Désolé pour le retard!  


* inscris  toi sur le forum afin de rendre tes liens lisibles   

* ICI >> Forum comment ca marche  

* As tu le  CD d'installation pour réparer ton windows ?




@+  
_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _   
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

blax · Answer

Re,

Non, je n'ai pas ça.

Fish66 · Answer

Tu trouves : >>> ICI <<< les informations nécessaires pour la réparation de ton Windows sans cd d'installation Bonne chance... :-) @+

blaxx · Answer

Ca n'a rien donné.

A partir d'un certain fichier, il y a échec de la restauration. 

Bon, j'abandonne et j'emmène mon pc chez "platinuim informatique" ?