Un virus ou pas???

ok,

passe ceci :

* Télécharge et enregistre ZHPDiag sur ton bureau :

https://nicolascoolman.eu

ou :

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista, Seven et W8 :

* Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

=> L'icône est sous forme de parchemin.

* Clique sur « Full options »

* Laisse travailler l'outil, même s'il semble bloqué !

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur :
https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

tuto zhpdiag :

https://nicolascoolman.eu

pas bien de cr@cker office !

uTorrent se lance au démarrage du pc !

désinstalle Spybot, il est inutile !


* /!\ Avertissement /!\,
* ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !

* Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue.

/!\Utilisateur de Vista, Seven et W8 :

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »

Clique sur « importer »

Tu vas voir apparaitre un message d'avertissement, clique sur Ok.

* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix :
---------------------------------------------------------

Script Zhpfix
O3 - Toolbar: (no name) - [HKLM]{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} Clé orpheline
O42 - Logiciel: Clip Extractor 4.11 - (.Clip Extractor.) [HKLM][64Bits] -- Clip Extractor_is1
O69 - SBI: SearchScopes [HKCU] {C31E172C-EC55-4382-AA96-E2FF4A8B6ED8} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]
[HKLM\Software\Wow6432Node\VBMZ]
[HKLM\Software\Wow6432Node\Google\Chrome\Extensions\bhnjjbcnbmjmhgpliahlamecmbejpaol]
C:\Program Files (x86)\Clip Extractor
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Clip Extractor
C:\Users\Tristan.DeGeyer-PC\AppData\Roaming\Clip Extractor
[MD5.00000000000000000000000000000000] [APT] [{444395BF-5DB4-4377-BEAD-6131886A29C7}] (...) -- I:\setup.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{9B6E421D-9D1D-4CE5-967E-AC0DD21898ED}] (...) -- V:\INSTALL.exe (.not file.) [0]
O51 - MPSK:{0dcfe689-bdac-11e3-ac24-c89cdcbf84f2}\AutoRun\command. (...) -- V:\autorun.exe (.not file.)
O51 - MPSK:{0dcfe6a4-bdac-11e3-ac24-c89cdcbf84f2}\AutoRun\command. (...) -- V:\autorun.exe (.not file.)
O51 - MPSK:{0dcfe6a6-bdac-11e3-ac24-c89cdcbf84f2}\AutoRun\command. (...) -- V:\autorun.exe (.not file.)
O51 - MPSK:{0dcfe6ac-bdac-11e3-ac24-c89cdcbf84f2}\AutoRun\command. (...) -- V:\autorun.exe (.not file.)
O51 - MPSK:{0dcfe6b2-bdac-11e3-ac24-c89cdcbf84f2}\AutoRun\command. (...) -- V:\autorun.exe (.not file.)
O51 - MPSK:{3dd67884-12f5-11e3-ad7b-c89cdcbf84f2}\AutoRun\command. (...) -- V:\INSTALL.exe (.not file.)
O51 - MPSK:{3dd678a9-12f5-11e3-ad7b-c89cdcbf84f2}\AutoRun\command. (...) -- V:\INSTALL.exe (.not file.)
O51 - MPSK:{3dd678ad-12f5-11e3-ad7b-c89cdcbf84f2}\AutoRun\command. (...) -- V:\INSTALL.exe (.not file.)
O51 - MPSK:{3dd678af-12f5-11e3-ad7b-c89cdcbf84f2}\AutoRun\command. (...) -- V:\INSTALL.exe (.not file.)
O51 - MPSK:{a6cff655-13b2-11e3-b019-c89cdcbf84f2}\AutoRun\command. (...) -- V:\setup.exe (.not file.)
[MD5.82865FF17BC664C711EFA674759F9991] - (...) -- C:\Windows\KMService.exe [77824] [PID.1944]
O23 - Service: KMService (KMService) . (...) - C:\Windows\SysWOW64\srvany.exe
[MD5.00000000000000000000000000000000] [APT] [AutoUpdaterTask] (...) -- C:\Program Files (x86)\Auto Updater\AutoUpdater.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [Express Files Updater] (...) -- C:\Program Files (x86)\ExpressFiles\EFupdater.exe (.not file.) [0]
O42 - Logiciel: Boxore Client - (.Boxore OU.) [HKLM][64Bits] -- {A5D4928E-6B88-40B2-A9BF-E0DD652B43B4}
[HKLM\Software\Wow6432Node\Auto Updater]
[HKLM\Software\Wow6432Node\VBMZ]
O44 - LFC:[MD5.82865FF17BC664C711EFA674759F9991] - 21/06/2014 - 10:01:11 ---A- . (...) -- C:\Windows\KMService.exe [77824]
O69 - SBI: SearchScopes [HKCU] {274daec0-c4e8-4f30-9e5c-9424990769b9} - (My Web Search) - https://hp.mywebsearch.com/mywebsearch/index.html
O90 - PUC: "E8294D5A88B62B049AFB0EDD56B2344B" . (.Boxore Client.) -- C:\Windows\Installer\{A5D4928E-6B88-40B2-A9BF-E0DD652B43B4}\boxore.ico HKLM\SOFTWARE\Microsoft\Tracing\Smartbar_RASAPI32 HKLM\SOFTWARE\Microsoft\Tracing\Smartbar_RASMANCS HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BetterInstaller_RASAPI32 HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BetterInstaller_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\ExpressFiles_RASAPI32 HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\ExpressFiles_RASMANCS HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Install_BubbleDock_RASAPI32HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Install_BubbleDock_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\PricePeepInstaller_IronSource_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\PricePeepInstaller_IronSource_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\rkfree_setup_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\rkfree_setup_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\savings sidekick-bg_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\savings sidekick-bg_RASMANCS HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SearchSettings_RASAPI32 HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SearchSettings_RASMANCS HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\tuto4pc_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\tuto4pc_RASMANCS HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateBizzybolt_RASAPI32 HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateBizzybolt_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\UpdateTuto4PC_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\UpdateTuto4PC_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\vbmz_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\vbmz_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\VisualBeeInstall{alpin}_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\VisualBeeInstall{alpin}_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\YontooSetup-S-0D9C_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\YontooSetup-S-0D9C_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\YontooSetup-S-16F8_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\YontooSetup-S-16F8_RASMANCS
SR - | Auto 10/07/1658 0 | (KMService) . (...) - C:\Windows\system32\srvany.exe
[HKLM\SYSTEM\CurrentControlSet\Services\KMService]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{A5D4928E-6B88-40B2-A9BF-E0DD652B43B4}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\EB6AF8AEEB922FA4392548F13812E50B] [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A5D4928E-6B88-40B2-A9BF-E0DD652B43B4}]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Clip Extractor_is1] [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\547B38670606DF14AA57B0BB83F3AE4D] [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EE58E3C298524145B73CBBED3CAC4D3] [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\B2FD9C0A5B9838449838816A28001F4B] [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\789034A89BAC50E4782F0A7BDBF75632]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\75D5168E5E176C24981B4E5DBD991078] [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\A97CEC23332751B47BA4B95BAA50C9D0] [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F754C503375A13344B22388E18DFE87E]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011501160}] [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110211391186}] [HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110211391186}] [HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110211391186}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\38D5CDD0A851B3940A43CC50ABBA251C]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BA71D41F6CC0B6247B05D473850A8AEA]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536]
C:\Windows\KMService.exe
EmptyPrefetch
ShortcutFix
Emptytemp
EmptyClsid


----------------------------------------------------------
- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Héberge le rapport ZHPFIX.txt sur
https://www.cjoint.com/

puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Tuto en bas de cette page :
https://nicolascoolman.eu

on va terminer le nettoyage !

à lire avant de lancer l'installation de MBAM :

Attention, à l'installation décoche la case « activer l'essai gratuit de Malawarybyte anti malware »

ceci correspond à une version d'essai qui ne dure que 15 jours en fonctionnant comme un antivirus, donc risque de conflit avec ton antivirus existant sur le pc !

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

ou :

https://fr.malwarebytes.com/mwb-download/
ou :

https://fr.malwarebytes.com/mwb-download/?gclid=CPqbs6_Trb0CFcfKtAodJFoANw

ou ici :
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Si tu l'as déjà sur ton pc, il est inutile de le retélécharger, mais il est conseillé de désinstaller ton ancienne version (1,75) pour installer la dernière !

/!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.

. Dans l'onglet « tableau de bord, vérifie bien que ta version soit à jour

. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminée

Dans l'onglet "examen", coche la case "Examen personnalisé", puis examiner maintenant,

Sélectionne "recherche de rootkit", puis la partition ou le disque sur le quel est installé Windows (C: par exemple)

puis sur "lancer l'examen"

. Le scan démarre.

il va durer un certain temps, donc laisse le faire.
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen terminé avec succès.

Normalement, les infections trouvées sont déplacées automatiquement dans la quarantaine.

Clique sur voir le journal détaillé,
Puis exporter, enregistre son rapport en format .txt sur ton bureau,

Héberge-le sur Cjoint et copie et colle son lien sur ton prochain message.

;-)

Bonjour,

est ce que tu as un disque dur Western digital branché sur ton pc ?

oui mon interne et un externe que je débranche a chaque fois

Merci pour votre reponse

bonjour, mon interne est un WDC WD10EADX-22TDHB0 (931 Go, IDE) et mon externe c'est WD My Passport Ultra

merci pour votre reponse

Maxoud4 est de retour bientot sur le forum

essaie de débrancher ton disque dur externe, puis voir si le pc plante après un redémarrage !

en fait le dilemme c' est qu'il est rarement connecté, le redemarage ce fait tout seul avec apres le message de windows

Merci pour ta reponse

merci je fais sa

Merci bcp

voici le lien :http://cjoint.com/14jn/DFxtH2BWHBD.htm ou

https://www.cjoint.com/?DFxtH2BWHBD

merci bcp

Maxoud4 est de retour bientot sur le forum

voila https://www.cjoint.com/?DFxvJlBVJD2

Le petit sousis c'est que lorsque je refait le scan il me dis qu'il y sont encore

Bon je te dis apres le redemarage
Maxoud4 est de retour bientot sur le forum

ok,
on verra ce que c'est !

mais est ce que ton pc plante encore ?

non pas pour l'instant !! Merci infiniment pour tes conseils

Je te redit si il plante

juste rootkits et rien d'autre?

Merci pour ton aide

bah, à ce que je sache, il faut juste cocher en plus des autres détections le Rootkit !

ok mais il a rien trouvée Malwarebytes et mon pc lagg pas mal par intermitence

ok mais il a rien trouvée Malwarebytes et mon pc lagg pas mal par intermitence
voici le rescan ZHPDiag:https://www.cjoint.com/?DFyu0AsyU7t

Merci pour ton aide si presieuses

ton pc lague car il est de nouveau infecté !


* /!\ Avertissement /!\,
* ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !

* Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue.

/!\Utilisateur de Vista, Seven et W8 :

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »

Clique sur « importer »

Tu vas voir apparaitre un message d'avertissement, clique sur Ok.

* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix :
---------------------------------------------------------

Script Zhpfix
O90 - PUC: "E8294D5A88B62B049AFB0EDD56B2344B" . (.Boxore Client.) -- C:\Windows\Installer\{A5D4928E-6B88-40B2-A9BF-E0DD652B43B4}\boxore.ico
HKLM\SOFTWARE\Microsoft\Tracing\Smartbar_RASAPI32
HKLM\SOFTWARE\Microsoft\Tracing\Smartbar_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\tuto4pc_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\tuto4pc_RASMANCS
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\EB6AF8AEEB922FA4392548F13812E50B]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\547B38670606DF14AA57B0BB83F3AE4D]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EE58E3C298524145B73CBBED3CAC4D3]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\B2FD9C0A5B9838449838816A28001F4B]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375] [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\75D5168E5E176C24981B4E5DBD991078]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\A97CEC23332751B47BA4B95BAA50C9D0]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F754C503375A13344B22388E18DFE87E]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011501160}] [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110211391186}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\38D5CDD0A851B3940A43CC50ABBA251C]
opt:O4 - GS\QuickLaunch [De Geyer]: µTorrent.lnk . (.BitTorrent Inc. - µTorrent.) -- C:\Users\Tristan.DeGeyer-PC\AppData\Roaming\uTorrent\uTorrent.exe
opt:O4 - GS\Desktop [De Geyer]: µTorrent.lnk . (.BitTorrent Inc. - µTorrent.) -- C:\Users\Tristan.DeGeyer-PC\AppData\Roaming\uTorrent\uTorrent.exe
SS - | Demand 10/07/1658 0 | (sukumn) . (...) - C:\Program Files (x86)\ophcrack\pwdump\servpw.exe
O51 - MPSK:{4505fd2d-caf7-11e3-8672-c89cdcbf84f2}\AutoRun\command. (...) -- V:\Launcher_Setup.exe (.not file.)
Firewallraz
EmptyPrefetch
ShortcutFix
Emptytemp
EmptyClsid


----------------------------------------------------------
- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Héberge le rapport ZHPFIX.txt sur
https://www.cjoint.com/

puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Tuto en bas de cette page :
https://nicolascoolman.eu

ok voici le lien:https://www.cjoint.com/?DFyvD68lUYE