Bonjour, Configuration: Windows XP / Firefox 15.0.1 Bonjour, voilà je pense que je suis infecté donc je vous envois un rapport ZHPDiag et aussi lorsque que je lance un logiciel qui requiert internet comme ZHPDiag ça me met problème connection internet alors que je suis connecté a internet en ce moment même ... Rapport ZHPDiag : https://www.cjoint.com/?BJCk4XaEBhr

Rapport de ZHPDiag

Réponse 21 / 46

floopi Messages postés 303 Date d'inscription samedi 27 août 2011 Statut Membre Dernière intervention 16 mai 2015 9
28 oct. 2012 à 21:31

Ok jte fais ça

Réponse 22 / 46

2011N2 Messages postés 13352 Date d'inscription samedi 29 janvier 2011 Statut Contributeur sécurité Dernière intervention 24 décembre 2016 917
28 oct. 2012 à 21:34

D'accord. ;)

@+

Gabriel.

Réponse 23 / 46

floopi Messages postés 303 Date d'inscription samedi 27 août 2011 Statut Membre Dernière intervention 16 mai 2015 9
28 oct. 2012 à 22:36

.. Je télécharge, je renomme, je met sur le bureau, je lance, j'accepte et tout
Puis étape recherche des fichier infecté 5m puis message mémoire virtuelle insuffisante, combofix va paginer ( un truc comme ça ), je fais ok puis 10m sur recherche de fichiers infectés ( pas d'étapes etc ) puis mon ordi se met en veille Je fais un clik souris et là ça bug un peu l'affichage de l'écran et puis ça reste bloqué et freez de l'écran, je redémarre mon ordi et là je vous écris T_T

Réponse 24 / 46

2011N2 Messages postés 13352 Date d'inscription samedi 29 janvier 2011 Statut Contributeur sécurité Dernière intervention 24 décembre 2016 917
28 oct. 2012 à 23:33

Re,

Ok.
La veille automatique de ton PC est programmée ?

@+

Gabriel.

Réponse 25 / 46

floopi Messages postés 303 Date d'inscription samedi 27 août 2011 Statut Membre Dernière intervention 16 mai 2015 9
29 oct. 2012 à 08:41

Re,

Bon j'ai désactiver la mise en veille auto, je lance combofix ce matin a 7h31, tout va bien jusqu'à " recherche de fichiers inféctés " et ça bloque dessus et resté comme ça pendant 1h, y avait un message en notification " windows - mémoire virtuelle insuffisante" puis j'ai redémarrer le pc à 8h33 ...

Réponse 26 / 46

2011N2 Messages postés 13352 Date d'inscription samedi 29 janvier 2011 Statut Contributeur sécurité Dernière intervention 24 décembre 2016 917
29 oct. 2012 à 10:46

Hello,

Ok, laisse combofix de côté alors...

- Télécharge sur le bureau RogueKiller (par tigzy).
- Quitte tous les programmes en cours.
- Lance RogueKiller.exe
- Attends la fin du Prescan...
- Clique sur Scan.
- À la fin du scan, clique sur Rapport et copie/colle le contenu dans ta prochaine réponse.

Aide en vidéo : https://www.youtube.com/watch?v=YuwS6dMAYvQ&feature=youtu.be

Si tu as des questions, n'hésite pas à les poser !

@+

Gabriel.

Réponse 27 / 46

floopi Messages postés 303 Date d'inscription samedi 27 août 2011 Statut Membre Dernière intervention 16 mai 2015 9
29 oct. 2012 à 11:10

J'avais déjà utilisé RogueKiller avant >< mais j'ai refais et voici le rapport :

RogueKiller V8.2.0 [22/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Administrateur [Droits d'admin]
Mode : Suppression -- Date : 29/10/2012 11:08:32

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 1 ¤¤¤
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> SUPPRIMÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\C\system32\drivers\etc\hosts

127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST360021A +++++
--- User ---
[MBR] 3f0fc4679bad23325f840417f38eef69
[BSP] ea69df58759ceeb45a4848a62b7b3fd2 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 57231 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[7].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt

Réponse 28 / 46

2011N2 Messages postés 13352 Date d'inscription samedi 29 janvier 2011 Statut Contributeur sécurité Dernière intervention 24 décembre 2016 917
29 oct. 2012 à 11:11

Re,

Ah ok.
Peux-tu me faire un nouveau rapport ZHPdiag ?

Merci,

@+

Gabriel.

Réponse 29 / 46

floopi Messages postés 303 Date d'inscription samedi 27 août 2011 Statut Membre Dernière intervention 16 mai 2015 9
29 oct. 2012 à 13:03

Re,

Donc ZHPDiag a planté une fois dans sauvegarde des processus ... J'ai redém' mon ordi et j'ai le rapport.
Mais sinon j'ai un message en bas dans la barre des notifications qui dit " Il se peut que votre ordinateur coure ( eh oui la faute d'orthographe est dans le message ) un risque, les mises à jours automatiques sont désactivées. Cliquez ici pour les activer.

Rapport ZHP : https://www.cjoint.com/?BJDm7B1dtZD

Réponse 30 / 46

2011N2 Messages postés 13352 Date d'inscription samedi 29 janvier 2011 Statut Contributeur sécurité Dernière intervention 24 décembre 2016 917
29 oct. 2012 à 13:30

Re,

Non, il ne me semble pas que ce soit une faute, je pense que c'est du subjonctif, et donc il y a un "e" en terminaison. ;)

1/ Rends-toi sur cette page
Clique sur "Choose File"
Vas sur ton disque chercher ce fichier à cet emplacement :

C:\WINDOWS\C\system32\cryptnet.dll</gras

Clique ensuite sur le bouton "<gras>Scan It".

Patiente le temps de l'analyse qui dépend de la taille du fichier.

Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio).

Communique-le dans ta prochaine réponse sur le forum et communique en même temps le lien de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse.

Pourras-tu faire la même manipulation pour chacun des fichiers suivants ?
C:\WINDOWS\C\system32\crypt32.dll
C:\WINDOWS\C\system32\sclgntfy.dll

2/ Tu as à nouveau des adwares et toolbars néfastes.^^
Je te redonne la procédure AdwCleaner.

- Télécharge AdwCleaner (d'Xplode) sur ton bureau.
- Lance le, clique sur [Recherche] puis patiente le temps du scan.
- Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

Aide en vidéo ici : https://www.youtube.com/watch?v=vOa47SdO7Zk&feature=youtu.be

Si tu as des questions, n'hésite pas à les poser !

@+

Gabriel.

Réponse 31 / 46

floopi Messages postés 303 Date d'inscription samedi 27 août 2011 Statut Membre Dernière intervention 16 mai 2015 9
29 oct. 2012 à 15:06

cryptnet.dll : https://www.virustotal.com/gui/file/97a7226f4547968559f4b788ec69a9aa2829e9fdf7dc7e879b8fbb12054fb75a

crypt32.dll : https://www.virustotal.com/gui/file/5625b9692019c4e3a1250746a7863de4138ccafee0d765ab3c25015780aae30f

scglcntfy : https://www.virustotal.com/gui/file/5bfef68838a4f0ad92cabc1a8a5d19b9a48ec7509f950a779013e5c14b6a16bc

Adwcleaner :

# AdwCleaner v2.005 - Rapport créé le 29/10/2012 à 15:05:36
# Mis à jour le 14/10/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : Administrateur - ORDI-XPSP2
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Mes documents\Téléchargements\adwcleaner.exe
# Option [Recherche]

***** [Services] *****

***** [Fichiers / Dossiers] *****

***** [Registre] *****

***** [Navigateurs] *****

-\\ Internet Explorer v6.0.2900.2180

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v15.0.1 (fr)

-\\ Google Chrome v [Impossible d'obtenir la version]

*************************

AdwCleaner[R1].txt - [3578 octets] - [27/10/2012 16:59:59]
AdwCleaner[S1].txt - [3674 octets] - [27/10/2012 17:00:38]
AdwCleaner[R2].txt - [993 octets] - [27/10/2012 17:20:01]
AdwCleaner[R3].txt - [1052 octets] - [28/10/2012 11:51:39]
AdwCleaner[R4].txt - [1113 octets] - [28/10/2012 14:46:28]
AdwCleaner[R5].txt - [1045 octets] - [29/10/2012 15:05:36]

########## EOF - C:\AdwCleaner[R5].txt - [1105 octets] ##########

Réponse 32 / 46

2011N2 Messages postés 13352 Date d'inscription samedi 29 janvier 2011 Statut Contributeur sécurité Dernière intervention 24 décembre 2016 917
29 oct. 2012 à 18:01

Re,

Bien.

- Copie les lignes "helpers" dans le presse papier (celles dans le fichier texte) : https://dl.dropbox.com/u/32869654/Pour%20floopi.txt

- Ouvre ZHPfix, icone seringue (Vista et 7 : "Exécuter en tant qu'administrateur").
- Colle les lignes helpers. Pour ce, clique sur la balise document, à droite de l'appareil photo. Ou alors sur le H.
- Copie le rapport, et coller-le dans la prochaine réponse sur le forum.

P.S. Si le bureau disparaît, fais Ctrl + Alt + Suppr afin d'ouvrir le gestionnaire des tâches puis dans Applications, clique sur Nouvelle Tache puis tape explorer.exe. Le bureau devrait normalent réapparaître.

Aide en vidéo ici : https://www.youtube.com/watch?v=8gBWXPow8s0&feature=youtu.be

Si tu as des questions, n'hésite pas à me les poser !

@+

Gabriel.

Réponse 33 / 46

floopi Messages postés 303 Date d'inscription samedi 27 août 2011 Statut Membre Dernière intervention 16 mai 2015 9
29 oct. 2012 à 18:07

Re,

voilà :) : ( j'ai remarqué un peu de rapidité quand je navigue sur le web là :) )

Rapport de ZHPFix 1.3.05 par Nicolas Coolman, Update du 09/10/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-29-10-2012-18-05-09.txt
Run by Administrateur at 29/10/2012 18:05:08
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://nicolascoolman.skyrock.com/

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88}

========== Préférences navigateur ==========
ABSENT C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\w1wj139i.default\prefs.js
SUPPRIME Mozilla Pref: user_pref("CT2801939.HomepageBeforeUnload", "http://search.babylon.com/?AF=108988&babsrc=HP_ss&mntrId=40eecb6600000000000000173373[...]
SUPPRIME Mozilla Pref: user_pref("CT2801939.SearchEngineBeforeUnload", "Search the web (Babylon)");
SUPPRIME Mozilla Pref: user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
SUPPRIME Mozilla Pref: user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
SUPPRIME Mozilla Pref: user_pref("browser.search.order.1", "Search the web (Babylon)");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.babExt", "");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.babTrack", "affID=108988");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.hardId", "40eecb6600000000000000173373352a");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.id", "40eecb6600000000000000173373352a");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.instlDay", "15410");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.newTab", false);
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1715:39:56");
SUPPRIME Mozilla Pref: user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
ABSENT C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\w1wj139i.default\prefs.js
SUPPRIME Mozilla Pref: user_pref("CT2801939..clientLogIsEnabled", false);
SUPPRIME Mozilla Pref: user_pref("CT2801939..clientLogServiceUrl", "http://clientlog.users.conduit.com/ClientDiagnostics.asmx/ReportDiagnosticsEvent");
SUPPRIME Mozilla Pref: user_pref("CT2801939..uninstallLogServiceUrl", "http://uninstall.users.conduit.com/Uninstall.asmx/RegisterToolbarUninstallation");
SUPPRIME Mozilla Pref: user_pref("CT2801939.ALLOW_SHOWING_HIDDEN_TOOLBAR", false);
SUPPRIME Mozilla Pref: user_pref("CT2801939.AboutPrivacyUrl", "http://www.conduit.com");
SUPPRIME Mozilla Pref: user_pref("CT2801939.AppTrackingLastCheckTime", "Fri Jun 29 2012 22:23:59 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.BrowserCompStateIsOpen_129800175654623626", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.BrowserCompStateIsOpen_129812224614426850", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.CTID", "CT2801939");
SUPPRIME Mozilla Pref: user_pref("CT2801939.CurrentServerDate", "1-7-2012");
SUPPRIME Mozilla Pref: user_pref("CT2801939.DSChangedManually", false);
SUPPRIME Mozilla Pref: user_pref("CT2801939.DSInstall", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.DialogsAlignMode", "LTR");
SUPPRIME Mozilla Pref: user_pref("CT2801939.DialogsGetterLastCheckTime", "Fri Jun 29 2012 22:23:58 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.DownloadReferralCookieData", "");
SUPPRIME Mozilla Pref: user_pref("CT2801939.EMailNotifierPollDate", "Sun Jul 01 2012 04:53:47 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.FirstServerDate", "26-11-2011");
SUPPRIME Mozilla Pref: user_pref("CT2801939.FirstTime", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.FirstTimeFF3", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.FixPageNotFoundErrors", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.GroupingServerCheckInterval", 1440);
SUPPRIME Mozilla Pref: user_pref("CT2801939.GroupingServiceUrl", "http://grouping.services.conduit.com/");
SUPPRIME Mozilla Pref: user_pref("CT2801939.HPInstall", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.HasUserGlobalKeys", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.HomePageProtectorEnabled", false);
SUPPRIME Mozilla Pref: user_pref("CT2801939.Initialize", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.InitializeCommonPrefs", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.InstallationAndCookieDataSentCount", 3);
SUPPRIME Mozilla Pref: user_pref("CT2801939.InstallationId", "ConduitNSISIntegration");
SUPPRIME Mozilla Pref: user_pref("CT2801939.InstallationType", "ConduitXPEIntegration");
SUPPRIME Mozilla Pref: user_pref("CT2801939.InstalledDate", "Fri Nov 25 2011 23:24:20 GMT+0100");
SUPPRIME Mozilla Pref: user_pref("CT2801939.InvalidateCache", false);
SUPPRIME Mozilla Pref: user_pref("CT2801939.IsAlertDBUpdated", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.IsGrouping", false);
SUPPRIME Mozilla Pref: user_pref("CT2801939.IsInitSetupIni", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.IsMulticommunity", false);
SUPPRIME Mozilla Pref: user_pref("CT2801939.IsOpenThankYouPage", false);
SUPPRIME Mozilla Pref: user_pref("CT2801939.IsOpenUninstallPage", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.IsProtectorsInit", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.LanguagePackLastCheckTime", "Sat Jun 30 2012 22:23:58 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.LanguagePackReloadIntervalMM", 1440);
SUPPRIME Mozilla Pref: user_pref("CT2801939.LanguagePackServiceUrl", "http://translation.users.conduit.com/Translation.ashx");
SUPPRIME Mozilla Pref: user_pref("CT2801939.LastLogin_3.12.2.3", "Sat Jun 09 2012 21:30:22 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.LastLogin_3.13.0.6", "Sun Jul 01 2012 03:28:26 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.LastLogin_3.8.1.0", "Sun May 13 2012 15:57:33 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.LatestVersion", "3.13.0.6");
SUPPRIME Mozilla Pref: user_pref("CT2801939.Locale", "fr");
SUPPRIME Mozilla Pref: user_pref("CT2801939.MCDetectTooltipHeight", "83");
SUPPRIME Mozilla Pref: user_pref("CT2801939.MCDetectTooltipUrl", "http://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
SUPPRIME Mozilla Pref: user_pref("CT2801939.MCDetectTooltipWidth", "295");
SUPPRIME Mozilla Pref: user_pref("CT2801939.MyStuffEnabledAtInstallation", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.OriginalFirstVersion", "3.8.1.0");
SUPPRIME Mozilla Pref: user_pref("CT2801939.RadioIsPodcast", false);
SUPPRIME Mozilla Pref: user_pref("CT2801939.RadioLastCheckTime", "Sat Jun 30 2012 22:24:21 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.RadioLastUpdateIPServer", "3");
SUPPRIME Mozilla Pref: user_pref("CT2801939.RadioLastUpdateServer", "3");
SUPPRIME Mozilla Pref: user_pref("CT2801939.RadioMediaID", "9962");
SUPPRIME Mozilla Pref: user_pref("CT2801939.RadioMediaType", "Media Player");
SUPPRIME Mozilla Pref: user_pref("CT2801939.RadioMenuSelectedID", "EBRadioMenu_CT28019399962");
SUPPRIME Mozilla Pref: user_pref("CT2801939.RadioShrinkedFromSetup", false);
SUPPRIME Mozilla Pref: user_pref("CT2801939.RadioStationName", "California%20Rock");
SUPPRIME Mozilla Pref: user_pref("CT2801939.RadioStationURL", "http://feedlive.net/california.asx");
SUPPRIME Mozilla Pref: user_pref("CT2801939.SearchCaption", "NCH FR Customized Web Search");
SUPPRIME Mozilla Pref: user_pref("CT2801939.SearchFromAddressBarIsInit", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.SearchInNewTabEnabled", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.SearchInNewTabIntervalMM", 1440);
SUPPRIME Mozilla Pref: user_pref("CT2801939.SearchInNewTabLastCheckTime", "Sat Jun 30 2012 22:23:42 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.SearchInNewTabServiceUrl", "http://newtab.conduit-hosting.com/newtab/?ctid=EB_TOOLBAR_ID");
SUPPRIME Mozilla Pref: user_pref("CT2801939.SearchInNewTabUsageUrl", "http://usage.hosting.toolbar.conduit-services.com/usage.ashx?ctid=EB_TOOLBAR_ID");
SUPPRIME Mozilla Pref: user_pref("CT2801939.SearchProtectorEnabled", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.SearchProtectorToolbarDisabled", false);
SUPPRIME Mozilla Pref: user_pref("CT2801939.SendProtectorDataViaLogin", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.ServiceMapLastCheckTime", "Sat Jun 30 2012 22:23:57 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.SettingsLastCheckTime", "Sat Jun 30 2012 19:28:08 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.SettingsLastUpdate", "1340630905");
SUPPRIME Mozilla Pref: user_pref("CT2801939.ThirdPartyComponentsInterval", 504);
SUPPRIME Mozilla Pref: user_pref("CT2801939.ThirdPartyComponentsLastCheck", "Mon Jun 18 2012 22:39:39 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.ThirdPartyComponentsLastUpdate", "1331805999");
SUPPRIME Mozilla Pref: user_pref("CT2801939.ToolbarShrinkedFromSetup", false);
SUPPRIME Mozilla Pref: user_pref("CT2801939.TrusteLinkUrl", "http://trust.conduit.com/CT2801939");
ABSENT Mozilla Pref: user_pref("CT2801939.TrustedApiDomains", "conduit.com,conduit-hosting.com,conduit-services.com,client.conduit-storage.com,OurToolb[...]
SUPPRIME Mozilla Pref: user_pref("CT2801939.UserID", "UN78793095641367826");
SUPPRIME Mozilla Pref: user_pref("CT2801939.ValidationData_Search", 1);
SUPPRIME Mozilla Pref: user_pref("CT2801939.ValidationData_Toolbar", 1);
SUPPRIME Mozilla Pref: user_pref("CT2801939.WeatherNetwork", "");
SUPPRIME Mozilla Pref: user_pref("CT2801939.WeatherPollDate", "Sun Jul 01 2012 04:33:52 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.WeatherUnit", "C");
SUPPRIME Mozilla Pref: user_pref("CT2801939.alertChannelId", "1194020");
SUPPRIME Mozilla Pref: user_pref("CT2801939.backendstorage.twitter_v1.8.0_twitter_app_open_t_f", "66616C7365");
SUPPRIME Mozilla Pref: user_pref("CT2801939.backendstorage.twitter_v1.9.0_twitter_app_open_t_f", "66616C7365");
SUPPRIME Mozilla Pref: user_pref("CT2801939.backendstorage.xing_app_marketplace_app_lang", "656E");
SUPPRIME Mozilla Pref: user_pref("CT2801939.backendstorage.xing_app_marketplace_gadget_height_normal", "353639");
SUPPRIME Mozilla Pref: user_pref("CT2801939.backendstorage.xing_app_marketplace_gadget_height_short", "343135");
SUPPRIME Mozilla Pref: user_pref("CT2801939.backendstorage.xing_app_marketplace_gadget_width", "333533");
ABSENT Mozilla Pref: user_pref("CT2801939.generalConfigFromLogin", "{\"ApiMaxAlerts\":\"12\",\"SocialDomains\":\"social.conduit.com;apps.conduit.com;se[...]
SUPPRIME Mozilla Pref: user_pref("CT2801939.globalFirstTimeInfoLastCheckTime", "Sat Jun 30 2012 21:45:49 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.homepageProtectorEnableByLogin", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.initDone", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.isAppTrackingManagerOn", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.isFirstRadioInstallation", false);
SUPPRIME Mozilla Pref: user_pref("CT2801939.myStuffEnabled", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.myStuffPublihserMinWidth", 400);
SUPPRIME Mozilla Pref: user_pref("CT2801939.myStuffSearchUrl", "http://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOrigin=29&ctid=EB_TOOLBAR_ID&oct[...]
SUPPRIME Mozilla Pref: user_pref("CT2801939.myStuffServiceIntervalMM", 1440);
SUPPRIME Mozilla Pref: user_pref("CT2801939.myStuffServiceUrl", "http://mystuff.conduit-services.com/MyStuffService.ashx?ComponentId=EB_MY_STUFF_INSTANCE[...]
ABSENT Mozilla Pref: user_pref("CT2801939.oldAppsList", "129306877869663099,129306877870131855,111,129306877872319422,129306877872475673,12980017577603[...]
SUPPRIME Mozilla Pref: user_pref("CT2801939.revertSettingsEnabled", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.searchProtectorDialogDelayInSec", 10);
SUPPRIME Mozilla Pref: user_pref("CT2801939.searchProtectorEnableByLogin", true);
SUPPRIME Mozilla Pref: user_pref("CT2801939.testingCtid", "");
SUPPRIME Mozilla Pref: user_pref("CT2801939.toolbarAppMetaDataLastCheckTime", "Sat Jun 30 2012 22:23:58 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.toolbarContextMenuLastCheckTime", "Fri Jun 29 2012 22:23:58 GMT+0200");
SUPPRIME Mozilla Pref: user_pref("CT2801939.usagesFlag", 2);

========== Dossier(s) ==========
SUPPRIME Folder: C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Application Data\Babylon
SUPPRIME Folder: C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Local Settings\Application Data\Babylon
SUPPRIME Folder: c:\documents and settings\administrateur.ordi-xpsp2.001\application data\mozilla\firefox\profiles\w1wj139i.default\extensions\ffxtlbr@babylon.com
SUPPRIME Folder: C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Local Settings\Application Data\NCH_FR
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
ABSENT Folder/File: c:\documents and settings\administrateur.ordi-xpsp2.001\application data\babylon
ABSENT Folder/File: c:\documents and settings\administrateur.ordi-xpsp2.001\local settings\application data\babylon
ABSENT Folder/File: c:\documents and settings\administrateur.ordi-xpsp2.001\local settings\application data\nch_fr
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Restauration Système ==========
Point de restauration du système créé avec succès

========== Récapitulatif ==========
1 : Valeur(s) du Registre
6 : Dossier(s)
5 : Fichier(s)
136 : Préférences navigateur
1 : Restauration Système

End of clean in 00mn 45s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 29/10/2012 18:05:08 [14225]

Réponse 34 / 46

2011N2 Messages postés 13352 Date d'inscription samedi 29 janvier 2011 Statut Contributeur sécurité Dernière intervention 24 décembre 2016 917
29 oct. 2012 à 18:08

Re,

Ok, bien. ;)
As-tu encore des soucis particuliers ?

On finalise ?

@+

Gabriel.

Réponse 35 / 46

floopi Messages postés 303 Date d'inscription samedi 27 août 2011 Statut Membre Dernière intervention 16 mai 2015 9
29 oct. 2012 à 18:16

Et bien j'ai toujours ce soucis "problème connexion internet " dans certains logiciels comme ZHPDiag ...

Sinon à part ça sa va

Réponse 36 / 46

2011N2 Messages postés 13352 Date d'inscription samedi 29 janvier 2011 Statut Contributeur sécurité Dernière intervention 24 décembre 2016 917
29 oct. 2012 à 18:18

À part ZHPdiag, ça apparaît où ?

@+

Gabriel.

Réponse 37 / 46

floopi Messages postés 303 Date d'inscription samedi 27 août 2011 Statut Membre Dernière intervention 16 mai 2015 9
29 oct. 2012 à 18:25

Sur skype par exemple ça reste bloqué sur connexion et ma connexion se "coupe" en pleine vidéo ... et obligé de redémarrer le pc pour que ça connecte et quelque fois dans roguekiller 1/3

Réponse 38 / 46

2011N2 Messages postés 13352 Date d'inscription samedi 29 janvier 2011 Statut Contributeur sécurité Dernière intervention 24 décembre 2016 917
29 oct. 2012 à 18:45

Re,

Ok, je pense plutôt que c'est un problème de connexion... Ça fait longtemps que ça fait ça ?

On verra si le problème persiste après la finalisation :

Si nous avons utilisé Malwarebytes'Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer chaque scan.
Autrement, installe-le, c'est un antimalware très efficace. Tu trouveras un tutoriel complet Ici.

1- Nous allons mettre à jour ton pc.

Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles-ci corrigent des failles de sécurité qui peuvent parfois être exploitées par un programme malveillant.

1ère étape : Java

Vérifie ici ta version de Java, et télécharge la nouvelle version si la tienne n'est pas à jour.

2ème étape : Adobe Reader

- Si tu utilises Adobe Reader, il est important qu'il soit à jour.
- S'il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC (Voir ici )
- Pour vérifier qu'Adobe Reader est bien à jour, lance le puis clique sur Aide -> Rechercher les mises à jour

3ème étape : Mise à jour des logiciels

- Il est également primordial de garder tous tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
- Télécharge le Ici
- Un tutoriel pour son utilisation est disponible Ici.

2- Vacciner les supports amovibles

- Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent.
- Télécharge USBfix puis lance le. (Clique droit/Exéuter en tent qu'administrateur pour Vista/7).
- Branche tout tes médias amovibles (Clé USB, Disque dur externe, carte SD, etc...) puis sélectionne l'option Vacciner.
- Appuie sur Ok au message de confirmation.
- Une fois la vaccination terminée, relance Usbfix et choisis l'option Désinstaller.

Note : Si ton anvirus émet une alerte, désactive le momentanément (il s'agit d'un faux positif)

3- DelFix

- Télécharge DelFix sur ton bureau.
- Lance le.
-Clique sur Suppression.
- Patiente pendant le scan jusqu'à l'ouverture du rapport.
- Copie/Colle le contenu du rapport dans ta prochaine réponse.
-Relance Delfix et clique sur Désinstallation.

Note : Le rapport se trouve également sous C:DelFixSuppr

4- Optimisation

1ère étape : Suppression des fichiers inutiles

- Télécharge CCleaner
- Installe le, puis lance le.
- Va dans l'onglet Options puis Avancé et décoche Effacer uniquement les fichiers[...].
- Cliques sur l'onglet Nettoyeur puis cliques sur Analyser. À la fin de l'analyse, clique sur Nettoyer.
- Rends toi à l'onglet Registre puis cliques sur Chercher les erreurs. Cliques ensuite sur Corriger les erreurs séléctionnées.
- Accepte la sauvegarde puis enregistre la dans tes documents (tu pourras la supprimer si aucun problème n'apparaît après la suppression).
- Clique ensuite sur Corriger toutes les erreurs sélectionnées puis sur Fermer
- Tu peux renouveller ces opérations tous les jours.

2ème étape : Défragmentation

Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.

- Télécharge Defraggler.
- Un tutoriel pour son utilisation est disponible ici.

3ème étape : Vérification des disques

- Ouvre l'explorateur, puis fais un clique droit sur ta partition principale (généralement C: )
- Clique sur Propriété puis sur l'onglet Outils
- Clique sur Vérifier maintenant puis coche les deux cases présentes.
- Clique sur Démarrer (Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage)

4ème étape : Désactivation des programmes au démarrage

- Clique sur Démarrer puis Exécuter.
- Tape msconfig et valide par ok.
- À l'onglet Démarrage, décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu / Ordinateur (programmes acer...).
- Clique sur Appliquer puis ok et redémarre ton PC.

4- Purge de la restauration système

La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

- Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

- Tutoriels :

Windows XP
Windows Vista
Windows 7

5- UAC ( Uniquement pour Vista/Seven )

Si tu as désactivé l'UAC, il est important de la réactiver.

-> Pourquoi garder l'UAC activée?

6- Security Check

Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme.

- Télécharge Security Check (de Screen317) sur ton bureau.
- Lance le, patiente pendant le scan puis poste le rapport qui s'ouvrira dans ta prochaine réponse.
- Une fois le rapport posté, tu peux supprimer Security Check.

7- Liens utiles

Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire
- Entretenir son ordinateur (performances)
- Entretenir son ordinateur (matériel)

@+

Gabriel.

Réponse 39 / 46

floopi Messages postés 303 Date d'inscription samedi 27 août 2011 Statut Membre Dernière intervention 16 mai 2015 9
29 oct. 2012 à 19:26

DelFix :

# DelFix v9.0 - Rapport créé le 29/10/2012 à 19:21:03
# Mis à jour le 23/09/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : Administrateur - ORDI-XPSP2 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Bureau\delfix.exe
# Option [Suppression]

~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\USBFix
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\All Users.C\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Bureau\RK_Quarantine
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Bureau\ccm.exe <-- Combofix
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\Ad-Report-CLEAN[2].txt
Supprimé : C:\Ad-Report-SCAN[1].txt
Supprimé : C:\Ad-Report-SCAN[2].txt
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[R3].txt
Supprimé : C:\AdwCleaner[R4].txt
Supprimé : C:\AdwCleaner[R5].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\TDSSKiller.2.8.13.0_28.10.2012_11.55.52_log.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_ORDI-XPSP2.zip
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Bureau\AD-R.lnk
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Bureau\RKreport[1].txt
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Bureau\RKreport[2].txt
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Bureau\RKreport[3].txt
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Bureau\RKreport[4].txt
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Bureau\RKreport[5].txt
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Bureau\RKreport[6].txt
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Bureau\RKreport[7].txt
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users.C\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users.C\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users.C\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Mes documents\Téléchargements\adwcleaner.exe
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Mes documents\Téléchargements\antizeroaccess.exe
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Mes documents\Téléchargements\AntiZeroAccess_Log.txt
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Mes documents\Téléchargements\RogueKiller(1).exe
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Mes documents\Téléchargements\RogueKiller.exe
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Mes documents\Téléchargements\tdsskiller.exe
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Mes documents\Téléchargements\usbfix0.exe
Supprimé : C:\Documents and Settings\Administrateur.ORDI-XPSP2.001\Mes documents\Téléchargements\ZHPDiag2.exe
Supprimé : C:\WINDOWS\C\grep.exe
Supprimé : C:\WINDOWS\C\PEV.exe
Supprimé : C:\WINDOWS\C\NIRCMD.exe
Supprimé : C:\WINDOWS\C\MBR.exe
Supprimé : C:\WINDOWS\C\SED.exe
Supprimé : C:\WINDOWS\C\SWREG.exe
Supprimé : C:\WINDOWS\C\SWSC.exe
Supprimé : C:\WINDOWS\C\SWXCACLS.exe
Supprimé : C:\WINDOWS\C\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\console_combofixbackup
Clé Supprimée : HKCU\Software\Ad-Remover
Clé Supprimée : HKCU\Software\USBFix
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[R1].txt - [4781 octets] - [29/10/2012 19:20:53]
DelFix[S1].txt - [4801 octets] - [29/10/2012 19:21:03]

########## EOF - C:\DelFix[S1].txt - [4925 octets] ##########

Réponse 40 / 46

2011N2 Messages postés 13352 Date d'inscription samedi 29 janvier 2011 Statut Contributeur sécurité Dernière intervention 24 décembre 2016 917
29 oct. 2012 à 19:26

Re,

Très bien. ;)

@+

Gabriel.

Rapport de ZHPDiag

46 réponses

Discussions similaires