Problème virus

Résolu
Alvarezolar Messages postés 87 Statut Membre -  
Franklin MARIVAUX Messages postés 86 Statut Membre -
Bonjour,

Est-ce que quelqu'un pourrais me donner un coup de main pour nettoyer mon ordi?
I est sûrement infecté :( Il y a plein de trucs bizarres:

1 - D'un seul cout il s'est mis a ramer
2 - L'espace libre du disque dur s'est réduit à moitié sans raison (j'ai Vista)
3 - Le ventilateur n'arrête jamais de fonctionner, même s'il est pas chaud.
4 - Je n'arrive plus a enregistrer des disques. Au départ je croyais que c'était du hardware, mais un ami a eu le même problème, il l'a nettoyé et maintenant son truc marche bien.

Quelqu'un pourrais me donner un coup de main?
Merci d'avance!!!



A voir également:

52 réponses

Précédent
Réponse 21 / 52
Alvarezolar Messages postés 87 Statut Membre
 
Voici le rapport de RogueKiller, il a trouvé plusieurs trucs, je les effaces avant de fermer le programme?


RogueKiller V8.3.1 [Dec 2 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : AUCHAN [Droits d'admin]
Mode : Recherche -- Date : 03/12/2012 18:52:18

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 5 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82E31E35 -> HOOKED (Unknown @ 0x8DF9FE7E)
SSDT[276] : NtRequestWaitReplyPort @ 0x82E43FE0 -> HOOKED (Unknown @ 0x8DF9FE88)
SSDT[289] : NtSetContextThread @ 0x82E9310B -> HOOKED (Unknown @ 0x8DF9FE83)
SSDT[314] : NtSetSecurityObject @ 0x82DC003C -> HOOKED (Unknown @ 0x8DF9FE8D)
SSDT[332] : NtSystemDebugControl @ 0x82DF8EF1 -> HOOKED (Unknown @ 0x8DF9FE92)
SSDT[334] : NtTerminateProcess @ 0x82DF1173 -> HOOKED (Unknown @ 0x8DF9FE1F)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8DF9FEA6)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8DF9FEAB)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS543232L9A300 ATA Device +++++
--- User ---
[MBR] cafb43031aa8a8e410d581b8f31dc48c
[BSP] 709a88ba9f9fba8b85f93dc7d7abf4ca : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 295686 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 605566976 | Size: 9555 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: WD Elements 1023 USB Device +++++
--- User ---
[MBR] 691dc1116449eeb535b637dc581b3fb8
[BSP] 58bfbdede1811b9dfc5b354815058d53 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 476937 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive2: SanDisk Cruzer USB Device +++++
--- User ---
[MBR] 33a0f33fb7e7f518f64aedcb9dad35b0
[BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 7633 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1]_S_03122012_185218.txt >>
RKreport[1]_S_03122012_185218.txt
0
Réponse 22 / 52
Alvarezolar Messages postés 87 Statut Membre
 
J'ai tout supprimé :-/
J'espère avoir bien fait.
Voici le rapport :

RogueKiller V8.3.1 [Dec 2 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : AUCHAN [Droits d'admin]
Mode : Suppression -- Date : 04/12/2012 08:36:03

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 5 ¤¤¤
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82E31E35 -> HOOKED (Unknown @ 0x8DF9FE7E)
SSDT[276] : NtRequestWaitReplyPort @ 0x82E43FE0 -> HOOKED (Unknown @ 0x8DF9FE88)
SSDT[289] : NtSetContextThread @ 0x82E9310B -> HOOKED (Unknown @ 0x8DF9FE83)
SSDT[314] : NtSetSecurityObject @ 0x82DC003C -> HOOKED (Unknown @ 0x8DF9FE8D)
SSDT[332] : NtSystemDebugControl @ 0x82DF8EF1 -> HOOKED (Unknown @ 0x8DF9FE92)
SSDT[334] : NtTerminateProcess @ 0x82DF1173 -> HOOKED (Unknown @ 0x8DF9FE1F)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8DF9FEA6)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8DF9FEAB)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS543232L9A300 ATA Device +++++
--- User ---
[MBR] cafb43031aa8a8e410d581b8f31dc48c
[BSP] 709a88ba9f9fba8b85f93dc7d7abf4ca : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 295686 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 605566976 | Size: 9555 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: WD Elements 1023 USB Device +++++
--- User ---
[MBR] 691dc1116449eeb535b637dc581b3fb8
[BSP] 58bfbdede1811b9dfc5b354815058d53 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 476937 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive2: SanDisk Cruzer USB Device +++++
--- User ---
[MBR] 33a0f33fb7e7f518f64aedcb9dad35b0
[BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 7633 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2]_D_04122012_083603.txt >>
RKreport[1]_S_03122012_185218.txt ; RKreport[2]_D_04122012_083603.txt
0
Réponse 23 / 52
Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
 
Bonjour,
Oui tu as bien fait! :-)
1/
Relance mbam, supprime s'il y'a des infections détectés puis poste le rapport

2/
Je veux bien un nouveau rapport ZHPDiag mais en cochant tout au tournevis
---------------------------------
Lance ZHPDiag depuis le bureau, ensuite coche tout au tournevis (aide ici) puis lance l'analyse, ferme le et héberge le rapport. colle le lien dans ta prochaine réponse

0
Réponse 24 / 52
Alvarezolar Messages postés 87 Statut Membre
 
Salut Fish,

Voici le rapport mbam, il a rien trouvé.

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.02.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
AUCHAN :: PC-DE-VISTA [administrateur]

04/12/2012 10:11:05
mbam-log-2012-12-04 (10-11-05).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 481722
Temps écoulé: 7 heure(s), 19 minute(s), 34 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 52
Alvarezolar Messages postés 87 Statut Membre
 
Et voici le rapport ZHPDiag. Jai dû le faire démarrer plusieurs fois pour qu'il fonctionne :-/

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121204_j5k8c8l7o15
0
Réponse 26 / 52
Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
 
Bonjour,
Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le

* Une fenêtre apparait : clique sur "Disable"

* Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

===================================================

Attention, avant de commencer, lis attentivement la procédure

********************************************************

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »
Voici Aide combofix

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\


*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

*Note : Le rapport se trouve également là : C:\ComboFix.txt

0
Réponse 27 / 52
Alvarezolar Messages postés 87 Statut Membre
 
Bonjour Fish,
voici le rapport Combofix.
(Au cas où c'est important, Avira en temps réel est activé, mais on ne voit plus son petit symbole en bas a droite de l'écran comme d'habitude, est-ce normal?)


ComboFix 12-12-04.01 - AUCHAN 05/12/2012 8:03.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3068.2022 [GMT -3:00]
Lancé depuis: c:\users\AUCHAN\Downloads\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Games.exe
c:\windows\system32\drivers\etc\hosts.ics
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-11-05 au 2012-12-05 ))))))))))))))))))))))))))))))))))))
.
.
2012-12-05 11:12 . 2012-12-05 11:12 -------- d-----w- c:\users\AUCHAN\AppData\Local\temp
2012-12-04 15:21 . 2012-11-08 18:00 6812136 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{1F68ACF1-37EA-4F6F-BA58-2A566C98DA9F}\mpengine.dll
2012-12-03 21:28 . 2012-12-03 21:28 -------- d-----w- C:\_OTM
2012-12-03 19:16 . 2012-12-03 19:16 93672 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2012-12-03 15:38 . 2012-12-03 15:38 -------- d-----w- c:\program files\iPod
2012-12-03 15:37 . 2012-12-03 15:39 -------- d-----w- c:\program files\iTunes
2012-12-02 12:34 . 2012-12-04 22:02 -------- d-----w- C:\ZHP
2012-12-02 12:34 . 2012-12-04 22:02 -------- d-----w- c:\program files\ZHPDiag
2012-11-26 18:03 . 2012-11-26 18:03 -------- d-----w- c:\program files\Common Files\Skype
2012-11-26 15:15 . 2012-11-26 15:15 159744 ----a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin7.dll
2012-11-26 15:15 . 2012-11-26 15:15 159744 ----a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin6.dll
2012-11-26 15:15 . 2012-11-26 15:15 159744 ----a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin5.dll
2012-11-26 15:15 . 2012-11-26 15:15 159744 ----a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin4.dll
2012-11-26 15:15 . 2012-11-26 15:15 159744 ----a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin3.dll
2012-11-26 15:15 . 2012-11-26 15:15 159744 ----a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin2.dll
2012-11-26 15:15 . 2012-11-26 15:15 159744 ----a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin.dll
2012-11-26 15:14 . 2012-11-26 15:15 -------- d-----w- c:\program files\QuickTime
2012-11-21 23:06 . 2012-11-21 23:06 -------- d-----w- c:\program files\bitRipper
2012-11-21 21:22 . 2012-11-21 21:22 -------- d-----w- C:\ApolloOutput
2012-11-15 12:58 . 2012-09-25 16:19 75776 ----a-w- c:\windows\system32\synceng.dll
2012-11-15 12:58 . 2012-10-12 14:29 2047488 ----a-w- c:\windows\system32\win32k.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-03 19:16 . 2012-04-19 02:42 821736 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-12-03 19:16 . 2010-05-07 06:44 746984 ----a-w- c:\windows\system32\deployJava1.dll
2012-11-10 19:42 . 2011-12-10 20:14 697272 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-11-10 19:42 . 2011-05-21 01:54 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-10-25 06:12 . 2012-10-25 06:12 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2012-10-25 06:12 . 2012-10-25 06:12 69632 ----a-w- c:\windows\system32\QuickTime.qts
2012-10-10 07:28 . 2012-10-10 07:11 6656 ----a-w- c:\windows\system32\Ry4CoInst.dll
2012-10-10 07:28 . 2012-10-10 07:11 26976 ----a-w- c:\windows\system32\drivers\Rockey4.sys
2012-10-10 07:28 . 2012-10-10 07:11 20648 ----a-w- c:\windows\system32\drivers\Rockey4USB.sys
2012-09-29 22:54 . 2011-05-29 18:44 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-09-13 13:28 . 2012-10-10 19:40 2048 ----a-w- c:\windows\system32\tzres.dll
2012-12-05 01:56 . 2012-12-05 01:55 262112 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2008-02-07 02:05 . 2012-12-05 01:55 324976 ----a-w- c:\program files\mozilla firefox\components\coFFPlgn.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2012-12-03 968592]
"Facebook Update"="c:\users\AUCHAN\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-08-02 138096]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1033512]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-03-14 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-06-27 442467]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-10-06 59240]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-11-28 59280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-14 348664]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2008-09-03 536576]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-10-25 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-11-29 151952]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Device Detector 3.lnk - c:\program files\Olympus\DeviceDetector\DevDtct2.exe [2010-1-8 118784]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-1-3 210520]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"HideFastUserSwitching"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\aestsrv.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 13:06 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2012-12-05 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2011-12-10 19:42]
.
2012-12-04 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-184529266-2338863748-1959133146-1000Core.job
- c:\users\AUCHAN\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-08-02 16:07]
.
2012-12-05 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-184529266-2338863748-1959133146-1000UA.job
- c:\users\AUCHAN\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-08-02 16:07]
.
2012-12-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-01 17:14]
.
2012-12-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-01 17:14]
.
2012-12-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-184529266-2338863748-1959133146-1000Core.job
- c:\users\AUCHAN\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-13 05:54]
.
2012-12-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-184529266-2338863748-1959133146-1000UA.job
- c:\users\AUCHAN\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-13 05:54]
.
2012-12-03 c:\windows\Tasks\HPCeeScheduleForAUCHAN.job
- c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-07-29 13:14]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\AUCHAN\AppData\Roaming\Mozilla\Firefox\Profiles\dz6p0916.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxps://www.google.cl/
FF - ExtSQL: 2012-10-19 14:20; 50818dedcd93e@50818dedcd977.com; c:\users\AUCHAN\AppData\Roaming\Mozilla\Firefox\Profiles\dz6p0916.default\extensions\50818dedcd93e@50818dedcd977.com.xpi
FF - ExtSQL: !HIDDEN! 2009-06-13 19:43; {3112ca9c-de6d-4884-a869-9855de68056c}; c:\programdata\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - ExtSQL: !HIDDEN! 2009-09-01 21:00; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-12-05 08:12
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Heure de fin: 2012-12-05 08:15:05
ComboFix-quarantined-files.txt 2012-12-05 11:15
.
Avant-CF: 25 527 255 040 octets libres
Après-CF: 26 331 983 872 octets libres
.
- - End Of File - - 7054621F3B2B7B454FA6EEDAC2148A98
0
Réponse 28 / 52
Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
 
Salut,
1/
Redémarre ton PC puis dis moi si le symbole d'Avira est encore absent!

2/
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
-----------------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
* Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
__________________________________________________

KillAll::

NetSvc::
ezSharedSvc


__________________________________________________

* Enregistre ce fichier sous le nom CFScript
* Fait un glisser/déposer de ce fichier CFScript sur le fichier
ComboFix.exe comme sur : cette capture
* Combofix se lance, laisse toi guider..

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
* Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
0
Réponse 29 / 52
Alvarezolar Messages postés 87 Statut Membre
 
Salut!

Le symbole d'Avira est revenue :)

Voici le rapport de Combofix. J'ai fait exactement comme tu m'a dit, j'ai déposé le .txt sur Combofix et il a démarrer tout seul.

ComboFix 12-12-04.01 - AUCHAN 05/12/2012 18:44:14.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3068.2106 [GMT -3:00]
Lancé depuis: c:\users\AUCHAN\Downloads\ComboFix.exe
Commutateurs utilisés :: c:\users\AUCHAN\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\drivers\etc\hosts.ics
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-11-05 au 2012-12-05 ))))))))))))))))))))))))))))))))))))
.
.
2012-12-05 21:52 . 2012-12-05 22:06 -------- d-----w- c:\users\AUCHAN\AppData\Local\temp
2012-12-05 21:52 . 2012-12-05 21:52 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp
2012-12-05 21:52 . 2012-12-05 21:52 -------- d-----w- c:\users\Public\AppData\Local\temp
2012-12-05 21:52 . 2012-12-05 21:52 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-12-04 15:21 . 2012-11-08 18:00 6812136 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{1F68ACF1-37EA-4F6F-BA58-2A566C98DA9F}\mpengine.dll
2012-12-03 21:28 . 2012-12-03 21:28 -------- d-----w- C:\_OTM
2012-12-03 19:16 . 2012-12-03 19:16 93672 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2012-12-03 15:38 . 2012-12-03 15:38 -------- d-----w- c:\program files\iPod
2012-12-03 15:37 . 2012-12-03 15:39 -------- d-----w- c:\program files\iTunes
2012-12-02 12:34 . 2012-12-04 22:02 -------- d-----w- C:\ZHP
2012-12-02 12:34 . 2012-12-04 22:02 -------- d-----w- c:\program files\ZHPDiag
2012-11-26 18:03 . 2012-11-26 18:03 -------- d-----w- c:\program files\Common Files\Skype
2012-11-26 15:15 . 2012-11-26 15:15 159744 ----a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin7.dll
2012-11-26 15:15 . 2012-11-26 15:15 159744 ----a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin6.dll
2012-11-26 15:15 . 2012-11-26 15:15 159744 ----a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin5.dll
2012-11-26 15:15 . 2012-11-26 15:15 159744 ----a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin4.dll
2012-11-26 15:15 . 2012-11-26 15:15 159744 ----a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin3.dll
2012-11-26 15:15 . 2012-11-26 15:15 159744 ----a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin2.dll
2012-11-26 15:15 . 2012-11-26 15:15 159744 ----a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin.dll
2012-11-26 15:14 . 2012-11-26 15:15 -------- d-----w- c:\program files\QuickTime
2012-11-21 23:06 . 2012-11-21 23:06 -------- d-----w- c:\program files\bitRipper
2012-11-21 21:22 . 2012-11-21 21:22 -------- d-----w- C:\ApolloOutput
2012-11-15 12:58 . 2012-09-25 16:19 75776 ----a-w- c:\windows\system32\synceng.dll
2012-11-15 12:58 . 2012-10-12 14:29 2047488 ----a-w- c:\windows\system32\win32k.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-03 19:16 . 2012-04-19 02:42 821736 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-12-03 19:16 . 2010-05-07 06:44 746984 ----a-w- c:\windows\system32\deployJava1.dll
2012-11-10 19:42 . 2011-12-10 20:14 697272 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-11-10 19:42 . 2011-05-21 01:54 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-10-25 06:12 . 2012-10-25 06:12 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2012-10-25 06:12 . 2012-10-25 06:12 69632 ----a-w- c:\windows\system32\QuickTime.qts
2012-10-10 07:28 . 2012-10-10 07:11 6656 ----a-w- c:\windows\system32\Ry4CoInst.dll
2012-10-10 07:28 . 2012-10-10 07:11 26976 ----a-w- c:\windows\system32\drivers\Rockey4.sys
2012-10-10 07:28 . 2012-10-10 07:11 20648 ----a-w- c:\windows\system32\drivers\Rockey4USB.sys
2012-09-29 22:54 . 2011-05-29 18:44 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-09-13 13:28 . 2012-10-10 19:40 2048 ----a-w- c:\windows\system32\tzres.dll
2012-12-05 01:56 . 2012-12-05 01:55 262112 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
2008-02-07 02:05 . 2012-12-05 01:55 324976 ----a-w- c:\program files\mozilla firefox\components\coFFPlgn.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2012-12-03 968592]
"Facebook Update"="c:\users\AUCHAN\AppData\Local\Facebook\Update\FacebookUpdate.exe" [2012-08-02 138096]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1033512]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-03-14 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-06-27 442467]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-10-06 59240]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-11-28 59280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-14 348664]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2008-09-03 536576]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-10-25 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-11-29 151952]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Device Detector 3.lnk - c:\program files\Olympus\DeviceDetector\DevDtct2.exe [2010-1-8 118784]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-1-3 210520]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"HideFastUserSwitching"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\aestsrv.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 13:06 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2012-12-05 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2011-12-10 19:42]
.
2012-12-04 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-184529266-2338863748-1959133146-1000Core.job
- c:\users\AUCHAN\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-08-02 16:07]
.
2012-12-05 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-184529266-2338863748-1959133146-1000UA.job
- c:\users\AUCHAN\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-08-02 16:07]
.
2012-12-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-01 17:14]
.
2012-12-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-01 17:14]
.
2012-12-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-184529266-2338863748-1959133146-1000Core.job
- c:\users\AUCHAN\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-13 05:54]
.
2012-12-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-184529266-2338863748-1959133146-1000UA.job
- c:\users\AUCHAN\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-13 05:54]
.
2012-12-03 c:\windows\Tasks\HPCeeScheduleForAUCHAN.job
- c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-07-29 13:14]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\AUCHAN\AppData\Roaming\Mozilla\Firefox\Profiles\dz6p0916.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxps://www.google.cl/
FF - ExtSQL: 2012-10-19 14:20; 50818dedcd93e@50818dedcd977.com; c:\users\AUCHAN\AppData\Roaming\Mozilla\Firefox\Profiles\dz6p0916.default\extensions\50818dedcd93e@50818dedcd977.com.xpi
FF - ExtSQL: !HIDDEN! 2009-06-13 19:43; {3112ca9c-de6d-4884-a869-9855de68056c}; c:\programdata\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - ExtSQL: !HIDDEN! 2009-09-01 21:00; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - ORPHELINS SUPPRIMES - - - -
.
SafeBoot-Wdf01000.sys
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-12-05 19:06
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\STacSV.exe
c:\windows\system32\Hpservice.exe
c:\windows\system32\WLANExt.exe
c:\windows\system32\rundll32.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
c:\program files\HP\QuickPlay\Kernel\TV\QPSched.exe
c:\windows\SMINST\BLService.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft\BingBar\SeaPort.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\WUDFHost.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\windows\system32\conime.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2012-12-05 19:11:21 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-12-05 22:10
ComboFix2.txt 2012-12-05 11:15
.
Avant-CF: 26 269 278 208 octets libres
Après-CF: 26 224 513 024 octets libres
.
- - End Of File - - 415F92CB37940AAFDC5D9A76F4711390
0
Réponse 30 / 52
Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
 
Bonjour,
1/
Il me faut un nouveau rapport ZHPDiag

2/
Comment se comporte ton PC maintenant ?

@+

0
Réponse 31 / 52
Alvarezolar Messages postés 87 Statut Membre
 
Salut Fish,
voici le rapport:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121207_i13r6c8g7c8

Mon ordi n'est pas beaucoup mieux malheureusement
* Il rame moins Mozilla plante beaucoup en ce moment.
* Mon graveur de Cd ne marche toujours pas.
* Mon disque dur marque toujours le même espace libre.
* Mon ventilateur est toujours en train de fonctionner (mais peut-être ça ce n'est pas à cause d'une infection?)

Pas de supers mais il doit être déjà beaucoup plus propre!
0
Réponse 32 / 52
Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
 
Bonjour,
1/
Regarde les extensions de ton navigateur pour voir s'il reste des trucs à supprimer!
Aide : <<< ICI >>> ou encore : <<< ICI >>>

2/
Tu peux utiliser un autre navigateur (google chrome par exemple ) pour vérification

Tiens moi au courant si ton navigateur plante encore! :-)

@+

¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
Réponse 33 / 52
Alvarezolar Messages postés 87 Statut Membre
 
Bonjour Fish.

Merci pour le lien, j'ai effacé pas mal des trucs. Par contre j'ai pas réussit à changer le moteur de recherche par défaut qui apparait quand on met un mot sur la barre d'adresse. Tu sait comment je pourrais faire? Je voulais mettre Google, mais il y a Yahoo. D'ailleurs je voulais désinstaller Yahoo Toolbar mais il n'apparait pas dans la liste des programmes (dans panneau de configuration, ajout/suppression de programmes). Y a-t-il un autre moyen de m'en débarrasser?

Sinon Mozilla ne plante plus, il marche très bien maintenant. De manière générale mon ordinateur ne rame plus. Le démarrage prend beaucoup moins de temps. Juste mon disque dur a chaque jour moins de place! Et mon graveur de CD plante dans la phase de finalisation de la gravure.

Désolé si j'ai trop écrit :)
0
Réponse 34 / 52
Franklin MARIVAUX Messages postés 86 Statut Membre
 
Bonsoir
impeccable
J'ai encore des mails infectés mais je vais les supprimer et je verrais après.
En tout cas Merci a tous
0
Réponse 35 / 52
Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
 
Bonsoir,
1/
=> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").



M3 - MFPP: Plugins - [AUCHAN] -- C:\Program Files\Mozilla FireFox\searchplugins\yahoo.xml
M2 - MFEP: prefs.js [AUCHAN - dz6p0916.default\{635abd67-4fe9-1b23-4f01-e679fa7484c1}] [yahoo.ytff] Yahoo! Toolbar v2.5.1.20121011034613 (.Yahoo!.)
[HKCU\Software\YahooPartnerToolbar]
[HKCU\Software\Yahoo]
O43 - CFD: 03/12/2012 - 13:12:59 - [0] ----D C:\Users\AUCHAN\AppData\Local\{6C9F91A4-792A-48C4-84D0-49A08137447D}
O43 - CFD: 04/12/2012 - 03:02:28 - [0] ----D C:\Users\AUCHAN\AppData\Local\{79F8273C-CBC4-42D9-A361-2C5A82CCFE0E}
O43 - CFD: 04/12/2012 - 15:02:56 - [0] ----D C:\Users\AUCHAN\AppData\Local\{88511D42-E866-4A88-8A00-5D418E7CFB90}
O43 - CFD: 05/12/2012 - 07:43:15 - [0] ----D C:\Users\AUCHAN\AppData\Local\{CFFC323E-5A3F-46EF-9AC2-5CD3949FD9C6}
O43 - CFD: 03/12/2012 - 01:12:33 - [0] ----D C:\Users\AUCHAN\AppData\Local\{D650A0D0-BFF6-465C-97F1-C9AF842C6A57}
O43 - CFD: 06/12/2012 - 23:16:41 - [0] ----D C:\Users\AUCHAN\AppData\Local\{FB356A62-AF79-4C89-96D3-350FAD979667}

EmptyCLSID
EmptyFlash
EmptyTemp


=> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

=> Une fois ZHPFix ouvert, clique sur le bouton "Coller le presse-papier".

=> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

=> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

=> Une fois terminé, copie-colle le rapport dans ton prochain message.

---------------------------------
Essais ensuite de changer ta page d'accueil

2/
-Désactive l'UAC pour vista/seven :

http://ww38.wooshi.fr/Astuce/3-Desactiver-lUAC-Sous-Vista7.html?subid1=20200207-1540-19ba-911f-6058fbd3d682


-Ensuite :


* Téléchargez FindyKill sur le Bureau.



* Double-cliquez sur FindyKill présent sur le Bureau .

* Choisissez l'option 1 (Recherche).

* Laissez travailler l'outil.

* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).

* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

3/
* Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Personnalisation, copie-colle le texte en gras ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c


* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le lien pjjoint ici ensuite pour pouvoir être consultés.


¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
Réponse 36 / 52
Franklin MARIVAUX Messages postés 86 Statut Membre
 
Bonsoir
Le PC SECURITY norton-symantec refuse le programme ZHPFix et le supprime automatiquement
Merci
0
Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
 
Désactive momentanément Norton puis poste le rapport ZHPFic! :-)
0
Réponse 37 / 52
Alvarezolar Messages postés 87 Statut Membre
 
Bonjour,

Voici le rapport ZHPFix, je continue avec le reste:

Rapport de ZHPFix 1.3.07 par Nicolas Coolman, Update du 13/11/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-07-12-2012-18-23-22.txt
Run by AUCHAN at 07/12/2012 18:23:21
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)



========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\YahooPartnerToolbar
SUPPRIME Key: HKCU\Software\Yahoo

========== Préférences navigateur ==========
SUPPRIME /*user_pref("yahoo.ytffp.installer._u", "564bb378133e470690bb12ced7db0441");*/
SUPPRIME /*user_pref("yahoo.ytffp.installer.nd", 10);*/

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\AUCHAN\AppData\Local\{3AFD36BA-4F9A-4F7D-A50F-F707C70EC2D5}
SUPPRIME Folder: C:\Users\AUCHAN\AppData\Local\{BF943448-559D-47ED-8414-BEC77759ABB2}
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
SUPPRIME File: c:\program files\mozilla firefox\searchplugins\yahoo.xml
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:


========== Récapitulatif ==========
2 : Clé(s) du Registre
4 : Dossier(s)
3 : Fichier(s)
2 : Préférences navigateur


End of clean in 00mn 07s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 02/12/2012 10:10:13 [38921]
C:\ZHP\ZHPFix[R2].txt - 03/12/2012 13:40:38 [1713]
C:\ZHP\ZHPFix[R3].txt - 07/12/2012 18:23:22 [1276]
0
Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
 
Bonjour,

D'accord..

@+
0
Réponse 38 / 52
Alvarezolar Messages postés 87 Statut Membre
 
Bonjour,

Le lien pour désactive l'UAC pour vista/seven n'est plus bon, est-ce que tu en aurait un autre?


J'ai essayé quand même de faire démarrer FindyKill, mais au milieu de l'analyse il s'est fermé. Peut-être à cause de l'UAC?
0
Réponse 39 / 52
Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
 
Salut,

* Pour désactiver l'UAC : https://www.zebulon.fr/astuces/pratique/220-desactiver-l-uac-dans-vista.html
* Désactive aussi tous les logiciels de sécurité

@+
0
Réponse 40 / 52
Alvarezolar Messages postés 87 Statut Membre
 
Ok,

Voilà le rapport FyK:


############################## | FindyKill V6.001 |

User : AUCHAN (Administrateurs) # PC-DE-VISTA
Update on 10/08/2012 by El Desaparecido
Start at: 00:25:56 | 10/12/2012
Web site : https://www.sosvirus.net/
Forum : http://forum.eldesaparecido.com/
Contact : contact@eldesaparecido.com

OS : Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
PC : Hewlett-Packard ( X86-based PC ) HP Pavilion dv7 Notebook PC ( Notebook )
Proc : Intel(R) Core(TM)2 Duo CPU T5800 @ 2.00GHz ( 2000 )
RAM -> [ Total : 3068 | Free : 1933 ]
Bios : Default System BIOS
Boot : Normal boot

AntiVirus : Avira Desktop [ Disabled | Updated ]
Firewall : Windows Firewall [ Enabled ]
Anti-Spyware : Avira Desktop [ Disabled | Updated ]
Anti-Spyware : Windows Defender [ Disabled | Updated ]
Web browser : Internet Explorer 9.0.8112.16421

C:\ Disque fixe local (NTFS) [ Total : 288,76 Go - Free : 25,77 Go ]
D:\ Disque fixe local (NTFS) [ Total : 9,33 Go - Free : 1,19 Go ]
E:\ Disque CD-ROM

################## | Processus infectieux |


################## | Rootkits |


################## | Eléments infectieux |


################## | Références Bagle MD5 ... |


################## | MD5 ... |
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses