Log hijackthis pour aide svp

Question

Bonjour, 

Un virus bloque l'installation d'un antivirus et également l'accès à certains sites web, voici le log hijackthis, est-il possible d'avoir un peu d'aide svp ? Merci d'avance...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:57:57, on 29/03/2012
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Digidesign\Drivers\MMERefresh.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Norton AntiVirus\Engine\19.5.0.145\ccSvcHst.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sony\XDCAM Drive\XDCAMDrivesService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDFME\WDFME.exe
C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSC.exe
C:\Program Files\Sony\XDCAM Drive\VFAMVolumeHandler.exe
C:\Program Files\Norton AntiVirus\Engine\19.5.0.145\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SMINST\Scheduler.exe
C:\Program Files\Fichiers communs\Grass Valley\ProCoder 3\Kernel\PNXSERVR.exe
C:\Program Files\Norton Ghost\Agent\VProTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\Norton Ghost\Agent\VProSvc.exe
C:\Program Files\lg_fwupdate\fwupdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=81&bd=smb&pf=workstation
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=81&bd=smb&pf=workstation
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=81&bd=smb&pf=workstation
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=81&bd=smb&pf=workstation
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Norton Vulnerability Protection - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton AntiVirus\Engine\19.5.0.145\IPS\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [PDF Complete] C:\Program Files\PDF Complete\pdfsty.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [NexusServer] "C:\Program Files\Fichiers communs\Grass Valley\ProCoder 3\Kernel\PNXSERVR.exe" -SelfLaunch
O4 - HKLM\..\Run: [Norton Ghost 12.0] "C:\Program Files\Norton Ghost\Agent\VProTray.exe"
O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Program Files\Digidesign\Drivers\MMERefresh.exe
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation
View
wiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Auto EPSON Stylus D88 Series sur HP] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P35 "Auto EPSON Stylus D88 Series sur HP" /O13 "\HP\EPSONd88" /M "Stylus D88"
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files\CyberLink\Blu-ray Disc Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Blu-ray Disc Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [xiege7e3o0] C:\Documents and Settings\Administrateur\xiege7e3o0.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.3.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: WDDMStatus.lnk = C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Avid Technology, Inc. - C:\Program Files\Digidesign\Drivers\MMERefresh.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus (NAV) - Symantec Corporation - C:\Program Files\Norton AntiVirus\Engine\19.5.0.145\ccSvcHst.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Sony XDCAM Drive - Sony Corporation - C:\Program Files\Sony\XDCAM Drive\XDCAMDrivesService.exe
O23 - Service: WDDMService - WDC - C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
O23 - Service: WD File Management Engine (WDFME) - Unknown owner - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDFME\WDFME.exe
O23 - Service: WD File Management Shadow Engine (WDSC) - Unknown owner - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSC.exe

Fish66 · Answer

Salut,

 * Télécharge sur le bureau RogueKiller (par tigzy)     
https://www.luanagames.com/index.fr.html     
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )     
* Quitte tous tes programmes en cours     
* Lance RogueKiller.exe    
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe    
* Laisse le prescan se terminer, clique sur Scan    
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message   

@+

fabde64 · Answer

Merci de ton aide, je précise qu'en plus de bloquer certains site, il tente de s'introduire sur mon deuxième pc en réseau, qui possède Norton et Norton bloque les attaques provenant du pc infécté, heureusement... Bref, voilà le log roguekiller : RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Recherche -- Date: 29/03/2012 12:29:11 ¤¤¤ Processus malicieux: 1 ¤¤¤ [SUSP PATH] xiege7e3o0.exe -- C:\Documents and Settings\Administrateur\xiege7e3o0.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 3 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : xiege7e3o0 (C:\Documents and Settings\Administrateur\xiege7e3o0.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-1447930320-2781970054-4106731219-500[...]\Run : xiege7e3o0 (C:\Documents and Settings\Administrateur\xiege7e3o0.exe) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [FAKED] cdfs.sys : c:\windows\system32\drivers\cdfs.sys --> CANNOT FIX [FAKED] mf.sys : c:\windows\system32\drivers\mf.sys --> CANNOT FIX [FAKED] nic1394.sys : c:\windows\system32\drivers\nic1394.sys --> CANNOT FIX [FAKED] nwlnknb.sys : c:\windows\system32\drivers\nwlnknb.sys --> CANNOT FIX [FAKED] WimFltr.sys : c:\windows\system32\drivers\WimFltr.sys --> CANNOT FIX ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3250410AS +++++ --- User --- [MBR] 34d370dc177f71111d7a5a3932b5fd0a [BSP] a3026e5c32a62523f6957aead2298d2e : HP tatooed MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228220 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 467395110 | Size: 10252 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: WDC WD7500AAKS-00RBA0 +++++ --- User --- [MBR] b8a47d5648ce6cbcdd5987536bc3b605 [BSP] 5ff7c6475652a3543a912ad273cc4919 : Windows XP MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 715402 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive2: WDC WD7500AAKS-00RBA0 +++++ --- User --- [MBR] b4ae3c6f6734a8c80fa4add1704ee9f4 [BSP] e93ddd4746e3493567c9834faecf842c : Windows XP MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 715402 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Fish66 · Answer

Re, 

1/ 
Relances RogueKiller puis choisis "Suppression" et  postes 

le rapport stp

2/ Ensuite 

/!\ ATTENTION : cette analyse peut durer quelques heures /!\ 

* Télécharge MBAM et installe le selon l'emplacement par défaut   
https://www.malwarebytes.com/mwb-download/  
* Lance Malwarebytes' Anti-Malware   
* Fais la mise à jour   
* Clique dans l'onglet  "Recherche"   
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"   
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"   

A la fin de l'analyse, si MBAM n'a rien trouvé :   

* Clique sur OK, le rapport s'ouvre spontanément   

Si des menaces ont été détectées :   

* Clique sur OK puis "Afficher les résultats"   
*Vérifie que toutes les lignes sont cochées  
* Choisis l'option "Supprimer la sélection"   
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"   
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"   

* Copie/colle le rapport dans le prochain message   


Remarque :  
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant  ce fichier puis en l'exécutant. 

@+ 


_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

fabde64 · Answer

Log Roguekiller après suppression : RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Recherche -- Date: 29/03/2012 13:28:48 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [FAKED] cdfs.sys : c:\windows\system32\drivers\cdfs.sys --> CANNOT FIX [FAKED] mf.sys : c:\windows\system32\drivers\mf.sys --> CANNOT FIX [FAKED] nic1394.sys : c:\windows\system32\drivers ic1394.sys --> CANNOT FIX [FAKED] nwlnknb.sys : c:\windows\system32\drivers wlnknb.sys --> CANNOT FIX [FAKED] WimFltr.sys : c:\windows\system32\drivers\WimFltr.sys --> CANNOT FIX ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3250410AS +++++ --- User --- [MBR] 34d370dc177f71111d7a5a3932b5fd0a [BSP] a3026e5c32a62523f6957aead2298d2e : HP tatooed MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228220 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 467395110 | Size: 10252 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: WDC WD7500AAKS-00RBA0 +++++ --- User --- [MBR] b8a47d5648ce6cbcdd5987536bc3b605 [BSP] 5ff7c6475652a3543a912ad273cc4919 : Windows XP MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 715402 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive2: WDC WD7500AAKS-00RBA0 +++++ --- User --- [MBR] b4ae3c6f6734a8c80fa4add1704ee9f4 [BSP] e93ddd4746e3493567c9834faecf842c : Windows XP MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 715402 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[4].txt >> RKreport[3].txt ; RKreport[4].txt

fabde64 · Answer

Pour MBAM, j'ai déjà fait une analyse avant de consulter le forum ce matin, rien trouvé... voilà le log :


Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.29.03

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Administrateur :: AVIDMEDIACOMP [administrateur]

29/03/2012 11:10:10
mbam-log-2012-03-29 (11-10-10).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 269817
Temps écoulé: 36 minute(s), 5 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Fish66 · Answer

Re,
1/
Je veux le rapport de mbam juste après avoir passé RogueKiller

refais l'analyse et poste le nouveau rapport stp

2/
Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://pjjoint.malekal.com/
Si indisponible, tu peux essayer avec l'un de ces liens: 
https://www.terafiles.net/
https://www.casimages.com/

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

Hébergement de rapport sur pjjoint.malekal.com

Rends toi sur pjjoint.malekal.com  
* Clique sur le bouton Parcourir  
* Sélectionne le fichier que tu veux héberger et clique sur Ouvrir  
* Clique sur le bouton Envoyer  
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015  

* Copie le lien dans ta prochaine réponse.   

@+

fabde64 · Answer

Autant pour moi, le nouveau scan MBAM a trouvé quelque chose :
 
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.29.03

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Administrateur :: AVIDMEDIACOMP [administrateur]

29/03/2012 14:07:20
mbam-log-2012-03-29 (14-59-42).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 417665
Temps écoulé: 52 minute(s), 1 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Documents and Settings\Administrateur\xiege7e3o0.exe (Trojan.Scar) -> Aucune action effectuée.
C:\Documents and Settings\Administrateur\Bureau\RK_Quarantine\xiege7e3o0.exe.vir (Trojan.Scar) -> Aucune action effectuée.

(fin)

Fish66 · Answer

Re, 

Aucune action effectuée: les infections ne sont pas supprimées, relance mbam et à la fin de l'analyse clique sur "Afficher le résultat" puis sur "Supprimer la sélection" et poste le rapport stp 

@+ 

_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

fabde64 · Answer

Re,

Je ne peux continuer les manip, étant donné que c'est dans le cadre du boulot et que ma journée se termine. Est-il possible que l'on reprenne notre échange lundi ? D'ici là j'aurai le nouveau log MBAM et celui de ZHPdiag.

Merci beaucoup.

fabde64 · Answer

Bonjour,

Je suis de retour, voici le log résultant du scan MBAM effectué ce matin. Je lance le scan ZHPDiag.


Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.29.03

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Administrateur :: AVIDMEDIACOMP [administrateur]

02/04/2012 10:00:05
mbam-log-2012-04-02 (10-00-05).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 270892
Temps écoulé: 23 minute(s), 16 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

fabde64 · Answer

up please

fabde64 · Answer

Fish66 ne semble pas être en mesure d'assurer le suivi de mon problème, quelqu'un peut-il prendre sa suite et m'aider svp ?

Merci d'avance.

fabde64 · Answer

Toujours pas d'âme charitable en mesure de m'aider ? :(

Fish66 · Answer

Bonsoir, Désolé pour le retard :-) 1/ * Telecharge et install link officiel : >>>USBFix ICI<<< ou : >>> ICI <<< (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir * Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris :exécuter en tant qu'administrateur pour vista/seven), l'installation se fera automatiquement * Clique sur "Suppression" * Laisse travailler l'outil * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt ) 2/ Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) [HKLM\Software\54c] M3 - MFPP: Plugins - [Administrateur] -- C:\Program Files\Mozilla FireFox\searchplugins\babylon.xml => Infection BT (Toolbar.Babylon) O43 - CFD: 14/06/2011 - 10:54:16 - [0] ----D- C:\Documents and Settings\Administrateur\Application Data\BabylonToolbar => Infection BT (Toolbar.Babylon) O53 - SMSR:HKLM\...\startupreg\Babylon Client [Key] . (...) -- C:\Program Files\Babylon\Babylon-Pro\Babylon.exe (.not file.) => Infection BT (Toolbar.Babylon) O53 - SMSR:HKLM\...\startupreg\BabylonToolbar [Key] . (...) -- C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.5\BabylonToolbarsrv.exe (.not file.) => Infection BT (Toolbar.Babylon) O69 - SBI: prefs.js [Administrateur - a4xyf6dp.default] user_pref("browser.babylon.HPOnNewTab", "search.babylon.com"); O69 - SBI: prefs.js [Administrateur - a4xyf6dp.default] user_pref("browser.search.defaultenginename", "Search the web (Babylon)"); O69 - SBI: prefs.js [Administrateur - a4xyf6dp.default] user_pref("browser.search.defaulturl", "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=16273"); O69 - SBI: prefs.js [Administrateur - a4xyf6dp.default] user_pref("browser.search.order.1", "Search the web (Babylon)"); O69 - SBI: prefs.js [Administrateur - a4xyf6dp.default] user_pref("extensions.BabylonToolbar.bbDpng", 13); O69 - SBI: prefs.js [Administrateur - a4xyf6dp.default] user_pref("extensions.BabylonToolbar.cntry", "FR"); O69 - SBI: prefs.js [Administrateur - a4xyf6dp.default] user_pref("extensions.BabylonToolbar.hdrMd5", "FBD915E2D035FEBD0CBEEC8D6E44BEB5"); O69 - SBI: prefs.js [Administrateur - a4xyf6dp.default] user_pref("extensions.BabylonToolbar.lastActv", "13"); O69 - SBI: prefs.js [Administrateur - a4xyf6dp.default] user_pref("extensions.BabylonToolbar.lastDP", 13); O69 - SBI: prefs.js [Administrateur - a4xyf6dp.default] user_pref("keyword.URL", "http://search.babylon.com/?babsrc=adbartrp&AF=16273&q="); [HKLM\Software\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}] => Infection BT (Adware.Agent) [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}] => Infection BT (Toolbar.Babylon) [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}] => Infection BT (Toolbar.Babylon) [HKLM\Software\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}] => Infection BT (Toolbar.Babylon) [HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\BabylonToolbar] C:\Documents and Settings\Administrateur\Application Data\BabylonToolbar FirewallRAZ EmptyTemp EmptyFlash Puis Lance ZHPFix depuis le raccourci du bureau . * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. Clique sur le bouton GO Copie/Colle le rapport à l'écran dans ton prochain message. 3/ telecharge et enregistre Pre_Scan sur ton bureau : http://sd-4.archive-host.com/membres/up/829108531491024/Pre_Scan.exe Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique. une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau. si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill" si l'outil est bloqué par l'infection utilise cette version avec extension .pif : http://www.crdfcloud.fr/gen-hackman_toolspublic/Pre_Scan.pif ou cette version renommée winlogon.exe : http://sd-4.archive-host.com/membres/up/829108531491024/winlogon.exe si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy" Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan NE LE POSTE PAS SUR LE FORUM !!! (il est trop long) Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider A demain Bonne soirée

fabde64 · Answer

Rapport de ZHPFix 1.12.3381 par Nicolas Coolman, Update du 08/02/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-10-04-2012-12-35-51.txt
Run by Administrateur at 10/04/2012 12:35:51
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\54c
SUPPRIME Key:  StartupReg: Babylon Client
SUPPRIME Key:  StartupReg: BabylonToolbar
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}
SUPPRIME Key: HKLM\Software\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
ABSENT Key: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\BabylonToolbar

========== Valeur(s) du Registre ==========
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Préférences navigateur ==========
SUPPRIME Mozilla Pref: user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
SUPPRIME Mozilla Pref: user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
SUPPRIME Mozilla Pref: user_pref("browser.search.defaulturl", "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=16273");
SUPPRIME Mozilla Pref: user_pref("browser.search.order.1", "Search the web (Babylon)");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.bbDpng", 13);
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.cntry", "FR");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.hdrMd5", "FBD915E2D035FEBD0CBEEC8D6E44BEB5");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.lastActv", "13");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar.lastDP", 13);
SUPPRIME Mozilla Pref: user_pref("keyword.URL", "http://search.babylon.com/?babsrc=adbartrp&AF=16273&q=");

========== Dossier(s) ==========
SUPPRIME Folder: C:\Documents and Settings\Administrateur\Application Data\BabylonToolbar
SUPPRIME Temporaires Windows: : 88
SUPPRIME Flash Cookies: 26

========== Fichier(s) ==========
SUPPRIME File: c:\program files\mozilla firefox\searchplugins\babylon.xml
ABSENT File: c:\program files\babylon\babylon-pro\babylon.exe
ABSENT File: c:\program files\babylontoolbar\babylontoolbar\1.4.19.5\babylontoolbarsrv.exe
ABSENT Folder/File: c:\documents and settings\administrateur\application data\babylontoolbar
SUPPRIME Temporaires Windows: : 29
SUPPRIME Flash Cookies: 10


========== Récapitulatif ==========
8 : Clé(s) du Registre
1 : Valeur(s) du Registre
3 : Dossier(s)
6 : Fichier(s)
10 : Préférences navigateur


End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 10/04/2012 12:35:51 [2907]

fabde64 · Answer

Rapport USBFix : http://pjjoint.malekal.com/files.php?id=20120410_j15x7j5p13j14

Fish66 · Answer

Re,

Il y'a des infections non supprimées par USBFix !

Démarre en mode sans échec avec prise en charge du 
réseau comme suit :

Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter 
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau 
puis tape entrée. 
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal ! 
(Si F8 ne marche pas utilise la touche F5) 

Dans ce mode tu relances USBFix en mode suppression puis

poste le rapport stp

@+

fabde64 · Answer

Le rapport de pre-scan

http://pjjoint.malekal.com/files.php?id=20120410_k11d1011s11c15

Fish66 · Answer

Re,  
Avant d'utiliser ComboFix :  

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :  

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix  

* Télécharge Defogger (de jpshortstuff) sur  ton Bureau  
* Lance le  

* Une fenêtre apparait : clique sur "Disable"  

* Fais redémarrer l'ordinateur si l'outil te le demande  

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"  

===================================================  

Attention, avant de commencer, lis attentivement la procédure  

******************************************************** 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »  
Voici Aide combofix 

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  
 

*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)  

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

*Note : Le rapport se trouve également là : C:\ComboFix.txt



@+  


_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _   
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

fabde64 · Answer

Ok, je fais ça. Juste pour info, je n'ai pas d'antivirus, car manifestement le virus présent empeche norton de fonctionner (de s'installer en fait..). Bref, c'était juste une précision.

Fish66 · Answer

Re, 

Mais Norton est déjà installé et lancé au démarrage ! surtout avant de lancer combofix il faut suivre convenablement les instructions déjà citées! 

Bon courage  :-) 

@+ 
  
_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

fabde64 · Answer

Rapport combo fix :

http://pjjoint.malekal.com/files.php?id=20120410_o9g5g14z10l5

Fish66 · Answer

Re,
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
-----------------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
* Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
__________________________________________________

KillAll::

File::
c:\windows\system32\01.tmp
c:\windows\system32\05.tmp
c:\windows\system32\04.tmp
c:\windows\system32\0105.tmp

Driver::
axfkxih
cldsut
cpbtz
dcxdvigbz
enhyg
fvxlkn
gdzbq
gerej
grfef
iyqsn
jibnjeql
jupsf
jzgke
ksrtxbitl
nxwhplk
ojuwuw
oxnofmzs
qejepc
qsosw
qtnfin
qwmfv
rgwvhcs
rmkfm
sbtkrs
tbvajbglj
tifffwern
vipoaegsd
vlayjmbc
vyhjrcl
wmlrnlt
wspyv
wwoocwxzk
xhfuzvum
xjlehjq
xszmus
ynlnjuxxw
yrgokm
zakkm
zbokzqa
zcswfzo
zhoupvmav
zvvbo

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"=-
"4119:TCP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\axfkxih]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cldsut]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cpbtz]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dcxdvigbz]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\enhyg]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fvxlkn]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gdzbq]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gerej]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\grfef]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iyqsn]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jibnjeql]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jupsf]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jzgke]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ksrtxbitl]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nxwhplk]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ojuwuw]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\oxnofmzs]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qejepc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qsosw]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qtnfin]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qwmfv]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rgwvhcs]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rmkfm]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sbtkrs]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tbvajbglj]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tifffwern]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vipoaegsd]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vlayjmbc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vyhjrcl]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wmlrnlt]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wspyv]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wwoocwxzk]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xhfuzvum]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xjlehjq]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xszmus]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ynlnjuxxw]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\yrgokm]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zakkm]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zbokzqa]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zcswfzo]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zhoupvmav]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zvvbo]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nwgahaq]

__________________________________________________

* Enregistre ce fichier sous le nom CFScript
* Fait un glisser/déposer de ce fichier CFScript sur le fichier
ComboFix.exe comme sur : cette capture
* Combofix se lance, laisse toi guider..

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
* Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

fabde64 · Answer

J'ai lancé le scan combofix avec le CFScript.txt, a la fin du scan le pc a redemarré, a affiché "Windows a récupéré d'une erreur grave" et je n'ai pas de rapport a la racine de C:\ et le script CFScript a disparu ...

Fish66 · Answer

Bonjour,

Lance ZHPDiag depuis le bureau et prépare stp un nouveau rapport ZHPDiag

@+

Fish66 · Answer

Re,
1/
    Télécharges l'outil Norton Removal Tool 

    Enregistres le fichier sur le bureau Windows.

    Sur le bureau Windows, cliquez deux fois sur l'icône Norton Removal Tool.

    Suivez les instructions affichées à l'écran.

    Redémarrez l'ordinateur.

2/
* Télécharge Avira antivir V12 à partir ce lien : 
http://www.commentcamarche.net/download/telecharger-55-antivir
* Exécute le fichier téléchargé en 1* pour installation 
(A ne pas cocher la case Askbar )  et en choisissant : la configuration optimale
* Fais une analyse de ton PC par Avira et poste le rapport stp

3/
* Télécharge WinChk (d'Xplode) sur ton bureau
 * Double clique sur winchk.exe
 * Clique sur le bouton Exécuter
 * Patiente durant la création du rapport..
 * Celui-ci s'affiche à l'écran à la fin de l'analyse. Si rien n'apparaît, le rapport est présent à la racine de votre disque dur : C:\WinChk.txt
  * Fournissez ce rapport à la personne qui vous aide sur le forum.

@+

fabde64 · Answer

Comme je te l'ai précisé dans un précédent message, je ne peux pas installer Antivir qui nécessite la présence sur le pc de SP3, je n'ai que SP2 et le virus m'empêche d'accéder au site de microsoft ... 
Idem pour l'outil Norton Removal Tool de symantec, je n'ai pas accès au site de symantec à cause du fameux virus... :(((((((((

Fish66 · Answer

Re,
La présence de Norton peut empêcher l'installation d'un nouveau antivirus!

Fais l'étape 3/ puis poste ensuite le rapport stp

@+

fabde64 · Answer

Rapport WinChk v2.0 - 12/04/2012 à 08:58
Mis à jour le 08/07/11 à 16h par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 2
Nom d'utilisateur : Administrateur - AVIDMEDIACOMP (Administrateur)
Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\winchk0.exe


¤¤¤¤¤ Recherche | Registre ¤¤¤¤¤

... OK !

¤¤¤¤¤ Recherche | AntiWPA ¤¤¤¤¤

... OK !

¤¤¤¤¤ Recherche | KMS ¤¤¤¤¤

... OK !

¤¤¤¤¤ Recherche | Fichiers suspect ¤¤¤¤¤

... OK !

¤¤¤¤¤ Vérification | Fichiers système ¤¤¤¤¤

... OK !

¤¤¤¤¤ Vérification | Fichier Hosts ¤¤¤¤¤

... OK !

¤¤¤¤¤ Vérification | Windows Update ¤¤¤¤¤

¤ Paramètres : Les mises à jour automatiques sont désactivées.

¤ Dernière mise à jour détectée le 
¤ Dernière mise à jour téléchargée le 
¤ Dernière mise à jour installée le 

########## EOF - "C:\WinChk.txt" - [973 octets] ##########

Fish66 · Answer

Bonjour,

* Les mises à jour automatiques sont désactivées et aucune mise à jour a été téléchargé et installé!

* Est ce que tu as le CD d'installation de ton Windows, ta version est elle légale ?

* Active la mise à jour automatique de ton windows puis essais de nouveau de faire la mise à jour.

S'il existe le même problème, tu va effectuer ce qui est indiqué : >>> ICI <<<

@+

_ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

fabde64 · Answer

J'ai activé les MAJ, mais encore une fois, le virus empechant l'accès au site microsoft, je pense que le pc n'est pas en mesure de faire ces MAJ.

Ma version de windows est légale, mais a été installée par notre fournisseur qui ne nous a pas transmis le cd de windows, il nous a simplement fourni des ghost pour restaurer si besoin, ce que je ne souhaite pas faire...

Désolé, cela se complique...

N'y a-t-il pas un moyen de faire en sorte que le virus ne bloque pas l'accès à des sites notamment a celui de microsoft ?

Fish66 · Answer

Re,

Télécharge Dr Web CureIt sur ton Bureau :
? redemarre en mode sans échec
?- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
?- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
?- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
?- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques

?- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
?- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
?- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
?- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
?-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
ensuite héberge le rapport sur : http://pjjoint.malekal.com/
?- Ferme Dr.Web Cureit
?- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
======================================
1/
-Désactive l'UAC pour vista/seven :

http://ww38.wooshi.fr/Astuce/3-Desactiver-lUAC-Sous-Vista7.html?subid1=20200207-1540-19ba-911f-6058fbd3d682
-Désactive le tea-timer si tu as spybot:

https://www.commentcamarche.net/telecharger/securite/20939-spybot-search-and-destroy/

2/ Ensuite :

* Téléchargez FindyKill sur le Bureau.

* Double-cliquez sur FindyKill présent sur le Bureau .

* Choisissez l'option 1 (Recherche).

* Laissez travailler l'outil.

* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).

* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

@+

_ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Fish66 · Answer

Re,

* L'essentiel c'est que ton antivirus est fonctionnel  :-)

* Lance ZHPDiag depuis le bureau, clique sur l'onglet vert (flèche bas) pour faire la mise à jour et prépare stp un nouveau rapport ZHPDiag

@+

Fish66 · Answer

Re, 
1/ 
Désinstalle ces 2 logiciels de Java : 
O42 - Logiciel: Java 6 Update 22 - 
O42 - Logiciel: Java 6 Update 6  
Ensuite : 
A partir ce lien : https://www.java.com/fr/download/  télécharge puis installe la dernière version de Java (Java6 update  31) 

================================ 
Prochainement n'oublies pas d'effectuer toujours les mises à jour de tes logiciels pour éviter les failles de sécurité! :-)

2/ 
As tu de souci avant de finaliser ? 

@+ 


_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Log hijackthis pour aide svp

34 réponses

Votre réponse

Discussions similaires

Newsletters