Keylogger dans mon pc

Résolu
Cmos35 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention   -  
Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour, pendant l'installation de cdimage, j'ai installé également webcake. Après quelque recherche, j'ai découvert que celui-ci est un logiciel très dangereux de type keylogger. Pendant l'instal, j'ai refusé la connection internet via mon parefeu, ce qui m'a probablement évité des ennuis. J'ai fait une analyse avec avira internet security et malwarebytes qui n'ont rien donné, puis j'ai fait une analyse avec spybot qui m'a trouvé 9 problèmes mais pas de keylogger mais un fichier de log. Je tiens à dire que j'ai réussi à enlever webcake mais je paranoï un peu.
Quelqu'un pourrait-il m'aider afin de vérifier si je n'ai pas quelque chose de méchant sur mon pc. merci

12 réponses

  1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
     
    Bien sûr !

    > Téléchargez ICI ZHPDiag.
    > Double-cliquez sur ZHPDiag.exe puis suivez les étapes de l'installation.
    > Cochez la case "Exécuter ZHPDiag" à la fin de l'installation puis cliquez sur [Terminer].
    > L'installation est terminée, 3 icônes sont créées sur votre bureau.
    > Double-cliquez sur le raccourci portant le nom "ZHPDiag" qui se trouve normalement sur votre bureau.
    > Choisissez l'option "Lancer le diagnostic" (une loupe).
    > ZHPDiag va alors analyser le contenu de votre ordinateur à la recherche d'informations sur votre système d'exploitation, la base de registre...
    > A la fin de l'analyse, un rapport est créé directement sur votre bureau, il se nomme ZHPDiag.txt.
    > Allez a cette adresse, et cliquez sur parcourir, sélectionnez le fichier généré précédemment, et cliquez sur"Envoyer le fichier", puis récupérez l'adresse générée et postez la sur le forum.

    Après on vas passer un coup de RogueKiller pour voir si il y a pas de Rootkit.

    ▶ Télécharge sur le bureau RogueKiller (merci à Tigzy).

    Quitte tous les programmes en cours !

    ▶ Sous Vista/Seven, clic droit -> lancer en tant qu'administrateur, sinon lance simplement RogueKiller.exe.

    ▶ Clique sur Scan.

    ▶ Puis clique sur Rapport et copie/colle le sur le forum

    (le rapport est également sur le bureau).

    Cordialement, Sugel.

    ------------------------------------------------------------------------------------
    "La peur mène à la colère. La colère mène à la haine. Et la haine ... mène à la souffrance." - Yoda
    0
  2. Cmos35
     
    Salut, merci de répondre si rapidement.

    Le lien pour ZhpDiag:http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130601_k13m15g10n12m13

    Le rapport Roguekiller:

    RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Xavier [Droits d'admin]
    Mode : Recherche -- Date : 01/06/2013 22:36:47
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 3 ¤¤¤
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[12] : NtAdjustPrivilegesToken @ 0x82EA43B3 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BFE36)
    SSDT[22] : NtAlpcConnectPort @ 0x82E560F1 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C2074)
    SSDT[23] : NtAlpcCreatePort @ 0x82E9ED40 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C22EE)
    SSDT[39] : NtAlpcSendWaitReceivePort @ 0x82E85DB7 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C2564)
    SSDT[50] : NtClose @ 0x82E7D9DE -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C074A)
    SSDT[59] : ExpInterlockedPopEntrySListResume @ 0x82E72C58 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C157E)
    SSDT[64] : NtCreateEvent @ 0x82E65C39 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1AC8)
    SSDT[66] : NtCreateFile @ 0x82E8475B -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0A26)
    SSDT[74] : NtCreateMutant @ 0x82EA52B7 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C19AE)
    SSDT[75] : NtCreateNamedPipeFile @ 0x82EA88B7 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BFA24)
    SSDT[77] : NtCreatePort @ 0x82EA3E20 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1882)
    SSDT[84] : NtCreateSection @ 0x82E8C9CA -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BFBCC)
    SSDT[85] : NtCreateSemaphore @ 0x82E6455B -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1BE8)
    SSDT[86] : NtCreateSymbolicLinkObject @ 0x82E241D5 -> HOOKED (Unknown @ 0x8C0C3A7E)
    SSDT[87] : NtCreateThread @ 0x82F0B836 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C03D0)
    SSDT[88] : NtCreateThreadEx @ 0x82E948F3 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C04CE)
    SSDT[93] : NtCreateUserProcess @ 0x82E5CAD8 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C27AE)
    SSDT[94] : NtCreateWaitablePort @ 0x82DCD5FF -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1918)
    SSDT[96] : NtDebugActiveProcess @ 0x82EDDFC4 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C32D6)
    SSDT[107] : NtDeviceIoControlFile @ 0x82E46F27 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0EA8)
    SSDT[111] : NtDuplicateObject @ 0x82E909A7 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C44E4)
    SSDT[134] : NtFsControlFile @ 0x82E7D030 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0CB6)
    SSDT[155] : NtLoadDriver @ 0x82DDA474 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C33C8)
    SSDT[168] : NtMapViewOfSection @ 0x82E6FC7E -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3B30)
    SSDT[177] : NtOpenEvent @ 0x82E66022 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1B5E)
    SSDT[179] : NtOpenFile @ 0x82E8F9CA -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C07CC)
    SSDT[187] : NtOpenMutant @ 0x82E86A76 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1A3E)
    SSDT[190] : NtOpenProcess @ 0x82E51FA1 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0074)
    SSDT[194] : NtOpenSection @ 0x82E9EAE0 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C38CA)
    SSDT[195] : NtOpenSemaphore @ 0x82E071E0 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1C7E)
    SSDT[198] : NtOpenThread @ 0x82EA7C29 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BFF64)
    SSDT[224] : NtQueryDirectoryObject @ 0x82E4C0C2 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C2868)
    SSDT[254] : NtQuerySection @ 0x82E6444A -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3E6A)
    SSDT[269] : NtQueueApcThread @ 0x82E209D9 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C375C)
    SSDT[292] : NtReplaceKey @ 0x82ECBB52 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BE6DE)
    SSDT[294] : NtReplyPort @ 0x82E787E8 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1FE2)
    SSDT[295] : NtReplyWaitReceivePort @ 0x82E94D04 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1EA8)
    SSDT[299] : NtRequestWaitReplyPort @ 0x82E5439F -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3070)
    SSDT[302] : NtRestoreKey @ 0x82EC0242 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BEA56)
    SSDT[304] : NtResumeThread @ 0x82E61DC9 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C4386)
    SSDT[309] : NtSaveKey @ 0x82EC0440 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BE676)
    SSDT[312] : NtSecureConnectPort @ 0x82E6465C -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C12C4)
    SSDT[316] : NtSetContextThread @ 0x82F0D0C1 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C05EC)
    SSDT[336] : NtSetInformationToken @ 0x82E7B57D -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C290A)
    SSDT[347] : NtSetSecurityObject @ 0x82E82C6A -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3566)
    SSDT[350] : NtSetSystemInformation @ 0x82E1D664 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3FBA)
    SSDT[366] : NtSuspendProcess @ 0x82F0D54F -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C40AC)
    SSDT[367] : NtSuspendThread @ 0x82EC7463 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C41E6)
    SSDT[368] : NtSystemDebugControl @ 0x82E219EC -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C31FA)
    SSDT[370] : NtTerminateProcess @ 0x82E52480 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C021A)
    SSDT[371] : NtTerminateThread @ 0x82E69A46 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0170)
    SSDT[385] : NtUnmapViewOfSection @ 0x82E925FA -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3D0E)
    SSDT[399] : NtWriteVirtualMemory @ 0x82E82387 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0306)
    S_SSDT[14] : NtGdiBitBlt -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D26D0)
    S_SSDT[237] : NtGdiMaskBlt -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D27A6)
    S_SSDT[247] : NtGdiPlgBlt -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2816)
    S_SSDT[302] : NtGdiStretchBlt -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D273A)
    S_SSDT[318] : NtUserAttachThreadInput -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2D9E)
    S_SSDT[323] : NtUserBuildHwndList -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D287E)
    S_SSDT[396] : NtUserFindWindowEx -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D24F4)
    S_SSDT[402] : NtUserGetAsyncKeyState -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2302)
    S_SSDT[434] : NtUserGetKeyboardState -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2602)
    S_SSDT[436] : NtUserGetKeyState -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D234E)
    S_SSDT[490] : NtUserMessageCall -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2446)
    S_SSDT[508] : NtUserPostMessage -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D239A)
    S_SSDT[509] : NtUserPostThreadMessage -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D23EE)
    S_SSDT[524] : NtUserRegisterRawInputDevices -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D258A)
    S_SSDT[536] : NtUserSendInput -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D24A6)
    S_SSDT[560] : NtUserSetParent -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2C50)
    S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2248)
    S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D22A0)

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9120822AS ATA Device +++++
    --- User ---
    [MBR] 50d4cb84757a21da31f4e3113175528b
    [BSP] c5e7eb8324876edaa6e312373d23074f : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 70371 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 144326656 | Size: 44000 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: CHIPSBNK v3.3.9.1 USB Device +++++
    --- User ---
    [MBR] c0699a96312659f258e51a7b916bb391
    [BSP] ca217fc5a92a3b66e5a15c06fd3cef06 : MBR Code unknown
    Partition table:
    0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 3886 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1]_S_01062013_223647.txt >>
    RKreport[1]_S_01062013_223647.txt
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      Effectivement, c'est mauvais.
      Par contre, je vais devoir m'absenter pendant deux-trois jours suite à un décès, donc je vais devoir confier la suite de la désinfection à un "collègue" ;-)
      Bonne chance !
      0
  3. Cmos35 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour,

    J'ai passé combofix pour voir s'il ne trouvait pas quelque chose, il m'a supprimé
    C:\Program Data\page
    " " \ico
    " " \page.URL
    J'ai également supprimé les clés présentes dans le registre du scan additionnel de ZHPDiag.

    Maintenant, je ne m'y connait pas assez pour dire s'il reste une infection sur mon pc

    A bientôt, et merci encore pour l'aide
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      re
      désolé de mon absence, j'étais à un enterrement.
      0
  4. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
     
    re.
    Je suis de retour.
    Fais cette manip:

    Copie les lignes en gras ci dessous :

    SysRestore
    M2 - MFEP: prefs.js [Xavier - mo6w5l6d.default\plugin@getwebcake.com] [] WebCake v1.00.01 (..)
    [HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\Old_Current] =>PUP.MediaFinder
    [HKLM\Software\Classes\Installer\Features\9EC6D81181F59F2459A84176A626F9ED] =>Adware.IMBooster
    [HKLM\Software\Classes\Installer\Products\9EC6D81181F59F2459A84176A626F9ED] =>Adware.IMBooster
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EC6D81181F59F2459A84176A626F9ED] =>Adware.IMBooster
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F1057DD419AED0B468AD8888429E139A] =>Adware.IMBooster
    [HKLM\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib] =>Toolbar.Conduit
    FirewallRAZ
    EmptyCLSID
    EmptyTemp
    EmptyFlash

    Puis suis ce tutoriel imagé : http://www.security-helpzone.com/Thread-ZHPFix-Script

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Cmos35 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour, toutes mes condoléances

    Voici le rapport ZHPFix :

    Rapport de ZHPFix 2013.5.24.2 par Nicolas Coolman, Update du 24/05/2013
    Fichier d'export Registre :
    Run by Xavier at 05/06/2013 10:36:24
    High Elevated Privileges : OK
    Windows 7 Business Edition, 32-bit Service Pack 1 (Build 7601)

    Corbeille vidée

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\Old_Current
    SUPPRIME Key: HKLM\Software\Classes\Installer\Features\9EC6D81181F59F2459A84176A626F9ED
    ABSENT Key: HKLM\Software\Classes\Installer\Products\9EC6D81181F59F2459A84176A626F9ED
    ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EC6D81181F59F2459A84176A626F9ED
    ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F1057DD419AED0B468AD8888429E139A
    ABSENT Key: HKLM\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib

    ========== Valeur(s) du Registre ==========
    ABSENT Valeur Standard Profile: FirewallRaz :
    ABSENT Valeur Domain Profile: FirewallRaz :

    ========== Dossier(s) ==========
    Aucun dossiers CLSID Local utilisateur vide
    SUPPRIME Temporaires Windows
    SUPPRIME Flash Cookies

    ========== Fichier(s) ==========
    SUPPRIME Temporaires Windows
    SUPPRIME Flash Cookies

    ========== Restauration Système ==========
    Point de restauration du système créé avec succès

    ========== Récapitulatif ==========
    6 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    3 : Dossier(s)
    2 : Fichier(s)
    1 : Restauration Système

    End of clean in 00mn 31s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 02/06/2013 19:25:44 [490]
    C:\ZHP\ZHPFix[R2].txt - 05/06/2013 10:36:26 [1626]

    Par contre j'ai toujours les traces des .exe crées par le ou les virus dans mon parefeu, je ne sait pas si on peut les enlever ?

    A bientôt
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      Re
      Franchement, c'est mauvais.
      Il y a un lien sur ton bureau appelé MBR check. Lance le.
      Un rapport s'ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt (exemple : MBRCheck_07.21.10_18.08.06.txt)
      Ce rapport est à uploader sur cijoint.

      Tu peut refaire un ZHP Diag ??
      0
  7. Cmos35 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      C'est toi qui a mis KeyScrambler ??
      D'après moi, les logiciels suivant sont inutiles, et peuvent nuire à la stabilité de ton PC:
      RAM Saver Professional
      TuneUpUtilities
      0
  8. Cmos35 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Re,

    J'ai dû me déconnecter, voici le lien pour le rapport ZHPDiag :

    https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130605_r8h9u14b9s5
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      Bon.
      ces deux fichiers me paraissent plutôt louches:
      C:\Windows\MBR.exe
      C:\Windows\PEV.exe

      Envoie les sur virus total:

      > Envoie le fichier grâce au bouton "choisir un fichier"

      > Un rapport va s'élaborer ligne à ligne.

      > Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

      > Sauvegarde le rapport avec le bloc-note.

      > Copie le dans ta prochaine réponse ...

      ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
      0
  9. Cmos35 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Re,

    C'est vrai que j'ai des problèmes de stabilité (le menu démarrer s'affiche à répétition lorsque je navigue sur un site avec la flèche de défilement vers le bas) ou (je ne peux pas fermer une fenêtre avec la croix, elle diminue), c'est agaçant.

    Tu pense donc qu'il faut que je désinstalle l'un ou l'autre voir les deux.
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      oui ;-)
      0
    2. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      aussi:
      ▶ Pour installer Adobe Reader, rends toi ici
      !!Attention !! Pensez à décocher l'outil McAfee Security Scan proposé (ou Google Chrome suivant les cas).

      Met a jour adobe reader.
      0
    3. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      Dis moi, et free pdf unlocker, c'est pour un mot de passe perdu ? -_-'
      ne fais JAMAIS confiance à ce genre de logiciels, ils ne le méritent pas.
      0
  10. Cmos35 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Re,

    J'ai désinstallé FreePDFUnlocker
    J'ai mis à jour Adobe
    Oui, c'est moi qui a installé Keyscrambler

    Et voici le rapport pour MBR.exe :

    Communauté
    Statistiques
    Documentation
    FAQ
    A propos

    Rejoindre notre communauté
    Se connecter

    Français

    VirusTotal
    SHA256: ff14a83caafe2c941e29e9d177a876d72aed865571d8518f24d9ea265222741e
    Nom du fichier : MBR.exe
    Ratio de détection : 1 / 47
    Date d'analyse : 2013-06-05 13:20:07 UTC (il y a 0 minute)
    0
    7
    Plus de détails

    Analyse
    File detail
    Informations supplémentaires
    Commentaires
    Votes

    Antivirus Résultat Mise à jour
    Agnitum 20130605
    AhnLab-V3 20130604
    AntiVir 20130605
    Antiy-AVL 20130605
    Avast 20130605
    AVG 20130605
    BitDefender 20130605
    ByteHero 20130605
    CAT-QuickHeal 20130605
    ClamAV 20130605
    Commtouch 20130605
    Comodo 20130605
    DrWeb 20130605
    Emsisoft 20130605
    eSafe 20130604
    ESET-NOD32 20130605
    F-Prot 20130605
    F-Secure 20130605
    Fortinet 20130605
    GData 20130605
    Ikarus 20130605
    Jiangmin Trojan/Generic.mvhv 20130605
    K7AntiVirus 20130604
    K7GW 20130604
    Kaspersky 20130605
    Kingsoft 20130506
    Malwarebytes 20130605
    McAfee 20130605
    McAfee-GW-Edition 20130605
    Microsoft 20130605
    MicroWorld-eScan 20130605
    NANO-Antivirus 20130605
    Norman 20130604
    nProtect 20130605
    Panda 20130605
    PCTools 20130521
    Rising 20130604
    Sophos 20130605
    SUPERAntiSpyware 20130605
    Symantec 20130605
    TheHacker 20130605
    TotalDefense 20130605
    TrendMicro 20130605
    TrendMicro-HouseCall 20130605
    VBA32 20130605
    VIPRE 20130605
    ViRobot 20130605
    Blog | Twitter | contact@virustotal.com | Groupes Google | CGU | Politique de confidentialité

    Et le rapport pou FEV.exe :

    Communauté
    Statistiques
    Documentation
    FAQ
    A propos

    Rejoindre notre communauté
    Se connecter

    Français

    VirusTotal
    SHA256: ae0f5cc54e4b133df66a54572a7ce52faff11f8fd0caeab088aad3699d6ec924
    Nom du fichier : PEV.exe
    Ratio de détection : 1 / 47
    Date d'analyse : 2013-06-05 13:24:13 UTC (il y a 0 minute)
    8
    2
    Plus de détails

    Analyse
    File detail
    Informations supplémentaires
    Commentaires
    Votes

    Antivirus Résultat Mise à jour
    Agnitum 20130605
    AhnLab-V3 20130604
    AntiVir 20130605
    Antiy-AVL 20130605
    Avast 20130605
    AVG 20130605
    BitDefender 20130605
    ByteHero 20130605
    CAT-QuickHeal 20130605
    ClamAV 20130605
    Commtouch 20130605
    Comodo 20130605
    DrWeb 20130605
    Emsisoft 20130605
    eSafe Suspicious File 20130604
    ESET-NOD32 20130605
    F-Prot 20130605
    F-Secure 20130605
    Fortinet 20130605
    GData 20130605
    Ikarus 20130605
    Jiangmin 20130605
    K7AntiVirus 20130604
    K7GW 20130604
    Kaspersky 20130605
    Kingsoft 20130506
    Malwarebytes 20130605
    McAfee 20130605
    McAfee-GW-Edition 20130605
    Microsoft 20130605
    MicroWorld-eScan 20130605
    NANO-Antivirus 20130605
    Norman 20130604
    nProtect 20130605
    Panda 20130605
    PCTools 20130521
    Rising 20130604
    Sophos 20130605
    SUPERAntiSpyware 20130605
    Symantec 20130605
    TheHacker 20130605
    TotalDefense 20130605
    TrendMicro 20130605
    TrendMicro-HouseCall 20130605
    VBA32 20130605
    VIPRE 20130605
    ViRobot 20130605
    Blog | Twitter | contact@virustotal.com | Groupes Google | CGU | Politique de confidentialité

    A bientôt
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      bref, c'est clean.
      Enfin, mieux vaut prévenir que guérir !
      Je viens de réaliser que tu avais pas passé roguekiller en mode suppression, au début !
      Fais le, et poste le rapport, SVP.
      Puis, on vas enlever les outils utilisés.
      0
  11. Cmos35 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Re,

    J'ai supprimer MBR.exe et PEV.exe dans C:\Windows
    et oui j'avais fait suppression, voici le rapport que j'ai eu :

    RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Xavier [Droits d'admin]
    Mode : Suppression -- Date : 05/06/2013 16:10:31
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 4 ¤¤¤
    [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
    [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
    [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
    [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[84] : NtCreateSection @ 0x82E639CA -> HOOKED (Unknown @ 0x8FFE359E)
    SSDT[155] : NtLoadDriver @ 0x82DB1474 -> HOOKED (Unknown @ 0x8FFE357B)
    SSDT[347] : NtSetSecurityObject @ 0x82E59C6A -> HOOKED (Unknown @ 0x8FFE35AD)
    SSDT[368] : NtSystemDebugControl @ 0x82DF89EC -> HOOKED (Unknown @ 0x8FFE35B2)
    S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8FFE35C6)
    S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8FFE35CB)

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST9120822AS ATA Device +++++
    --- User ---
    [MBR] 50d4cb84757a21da31f4e3113175528b
    [BSP] c5e7eb8324876edaa6e312373d23074f : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 70371 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 144326656 | Size: 44000 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2]_D_05062013_161031.txt >>
    RKreport[1]_S_05062013_160914.txt ; RKreport[2]_D_05062013_161031.txt
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      ??
      ils sont clean, pourquoi les supprimer ??
      0
  12. Cmos35 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Re,

    Parce-que l'antivirus Jiangmin considère que MBR est un trojan/Generic.mvhv

    J'ai supprimer ramsaver et mon système est beaucoup plus stable.
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      si tu regarde bien, je ne pouvais pas voir que Jiangmin le détectais dans la partie que tu m'as passé ;-)
      Pas grave, l'important est ce que cela soit fait.
      Bon, pour résumer:
      Le MBR est clean pas de bébête dedans, pas de drivers susceptibles et capter les touches du clavier, et apparemment pas de processus dangereux.
      Donc, on fais un dernier ZHP Diag, et après on enlève les outils.

      MAIS:
      je te déconseille l'usage d'optimisateurs comme tuneup utilities, car en plus de ne pas être efficaces, ils alourdissent ton système avec des processus gourmands, et te bombardent d'alertes et de pub.
      De mon avis, tu gagne à désinstaller le tout, et à te méfier de ces optimisateurs.
      0
  13. Cmos35 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour,

    Ok, voici le lien pour le rapport ZHPDiag :

    https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130606_i7p6s14k6w8

    A bientôt
    0
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      il faut que tu mette à jour:
      Adobe Flash Player
      Adobe Reader
      Java

      Et puis, il reste toujours tune up utilities, et SuperCopier (celui la comme tu veux, mais perso, je n'en vois pas l'utilité)

      Fix toujours ça, c'est des restes d'un logiciel désinstallé:

      [MD5.00000000000000000000000000000000] [APT] [{66979E99-010E-4B07-AA1D-80B982D1D3ED}] (...) -- C:\Users\Xavier\Documents\outils\IceSword122en\IceSword.exe (.not file.) [0]
      [MD5.00000000000000000000000000000000] [APT] [{88E28E68-A8A9-4FEC-8F3B-F076E89513B9}] (...) -- C:\Users\Xavier\Documents\outils\IceSword122en\IceSword.exe (.not file.) [0]
      [MD5.00000000000000000000000000000000] [APT] [{FA9F8E23-C7A8-45B8-AE18-6ED16918078C}] (...) -- C:\Users\Xavier\Documents\outils\IceSword122en\IceSword.exe (.not file.) [0]


      Et sinon, c'est bon !
      Télécharge et exécute delfix pour enlever les outils.

      Cordialement, Sugel.
      0
    2. Cmos35 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
       
      Merci pour tout, mon Pc est maintenant plus stable et plus sûr.

      Cordialement.
      0