|
 Posté le 27/03/2013 @ 15:05 |
| Bonjour,
J'ai éradiqué un virus "gendarmerie" sur mon PC fixe en XP SP3.
Je voudrais être certain qu'il n'y a plus de problème. Après analyse avec Malwarebytes et Eset on line, qui sont négatifs, j'ai voulu faire un scan avec ZHP pour le soumettre à un GS pour analyse.
Malheureusement, ce scan s'interrompt à 6%.
Un GS pourrait-il m'aider pour vérifier si mon PC est net.
Je vous remercie pour vos réponses. 
Modifié par mipierre le 27/03/2013 15:06
|
|
|
|
|
|
Posté le 27/03/2013 à 16:17 |
| Je t'ai proposé une solution qui résoud souvent ce problème, mais si ne fais pas l'essai ........ |
|
Posté le 27/03/2013 à 16:42 |
Maître astucien | Bonjour,
Essaye de relancer ZhpDiag après avoir décoché les 061. et ou 80 88 90
Je ne vois rien à décocher !
Tu peux me dire où ? |
|
Posté le 27/03/2013 à 16:45 |
Maître astucien | J'ai trouvé, j'ai fait ce que tu as dit, mais le résultat est le même : il s'arrête à 6%. |
|
Posté le 27/03/2013 à 16:48 |
Maître astucien | |
|
Posté le 27/03/2013 à 16:59 |
Nouvel astucien
| |
|
Posté le 27/03/2013 à 17:05 |
Nouvel astucien
| |
|
Posté le 27/03/2013 à 17:33 |
Maître astucien | Australien a écrit :
édit message.
Australien
Merci pour ton intervention l'Australien  |
|
Posté le 27/03/2013 à 19:25 |
| Bonsoir Mipierre
En attendant Nicolas Coolman, as-tu essayé en mode sans échec, juste pour voir si cela passe ?
A te lire  |
|
Posté le 27/03/2013 à 19:47 |
Maître astucien | Bonsoir Evasion60 
Je viens d'essayer en mode sans échec : même chose et même écran d'erreur.
Merci pour ton intervention. |
|
Posté le 27/03/2013 à 19:57 |
|
mipierre a écrit :
Je viens d'essayer en mode sans échec : même chose et même écran d'erreur. Merci pour ton intervention.
Re
OK, attendons Nicolas 
|
|
Posté le 27/03/2013 à 20:00 |
Nouvel astucien
| |
|
Posté le 27/03/2013 à 20:01 |
| Tu dis que tout est revenu normal, peut-être, mais comment peux-tu être sûre que tu n'est plus infectée ? |
|
Posté le 27/03/2013 à 20:14 |
Petit astucien
| boules a écrit :
Tu dis que tout est revenu normal, peut-être, mais comment peux-tu être sûre que tu n'est plus infectée ?
Bonsoir 
Peut-être en essayant avec l'ancienne méthode.... RSIT ( juste pour répondre à ta question )
il bloque sur le fichier HOST....
bye  |
|
Posté le 27/03/2013 à 20:19 |
Nouvel astucien
| Bonsoir
Mipierre fait ceci s'il te plait.
Vérification du fichier hosts
- Aller dans : Menu Démarrer > Tout les programmes > Accessoires > Invites de commande
- Sous Vista, 7 > Cliquez droit sur Invite de commande et sélectionnez "Exécuter en administrateur"
- Dans la fenêtre Noire qui va s'ouvrir et derriere le curseur clignotant que vous verrez et qui suit la ligne c:\windows\system32>

- Tapez en respectant les espaces.(ou copier/coller les commandes) notepad C:\Windows\System32\drivers\etc\hosts et appuyez sur la touche [Entrée] de votre clavier
- Vous demandez à Windows d'ouvrir votre fichier hosts avec le bloc note, communiquez moi le contenu de ce dernier qui s'est ouvert.
- Le fichier hosts original est le suivant...
# Copyright (c) 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host # localhost name resolution is handled within DNS itself. # 127.0.0.1 localhost # ::1 localhost
- Ensuite et pour fermer l'Invites de commande, tapez en respectant les espaces.(ou copier/coller les commandes) exit et appuyez sur la touche [Entrée] de votre clavier
Modifié par Anonyme le 27/03/2013 20:20 |
|
Posté le 27/03/2013 à 20:50 |
Maître astucien | OK, mais le PC est en XP SP3.
Si je tape sur exécuter : j'ai la fenêtre qui s'ouvre et là je peux juste mettre une ligne !? |
 | Soutenez PC Astuces |
. Nos conseils et astuces vous ont aidé ? Vous avez résolu un problème sur votre ordinateur ? Vous avez profité de nos bons plans ? Aidez-nous en retour avec un abonnement de soutien mensuel.
5 € par mois
10 € par mois
20 € par mois
|
|
Posté le 27/03/2013 à 20:51 |
Nouvel astucien
| mipierre a écrit :
OK, mais le PC est en XP SP3.
Si je tape sur exécuter : j'ai la fenêtre qui s'ouvre et là je peux juste mettre une ligne !?
On va travailler à l'ancienne.
Random's System Information Tool(par random/random)
- Téléchargez Random's System Information Tool et sauvegardez-le sur le Bureau.
- Double-clique sur RSIT.exe afin de le lancer.
- Sous Vista/Seven, faites un clic droit et choisissez Exécuter en tant qu'administrateur.
- Cliquez sur "Continue" à l'écran Disclaimer.
- Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorisez l'accès dans votre pare-feu, si demandé) et vous devrez accepter la licence.
- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
- Postez le contenu de log.txt (qui sera affiché) ainsi que de info.txt (qui sera réduit dans la Barre des Tâches).
- Tutoriel RSIT
Note : Les rapports sont sauvegardés dans le dossier C:\rsit
|
|
Posté le 27/03/2013 à 20:51 |
Maître astucien | |
|
Posté le 27/03/2013 à 20:55 |
| mipierre a écrit :
OK, mais le PC est en XP SP3.
Si je tape sur exécuter : j'ai la fenêtre qui s'ouvre et là je peux juste mettre une ligne !?
Il ne te demande pas de passer par la comande "Exécuter" mais par
" Menu Démarrer > Tout les programmes > Accessoires > Invites de commande"
en XP SP3 ça fonctionne très bien. |
|
Posté le 27/03/2013 à 20:56 |
Nouvel astucien
| boules a écrit :
mipierre a écrit :
OK, mais le PC est en XP SP3.
Si je tape sur exécuter : j'ai la fenêtre qui s'ouvre et là je peux juste mettre une ligne !?
Il ne te demande pas de passer par la comande "Exécuter" mais par
" Menu Démarrer > Tout les programmes > Accessoires > Invites de commande"
en XP SP3 ça fonctionne très bien.

En plus de RSIT Modifié par Anonyme le 27/03/2013 20:57 |
|
Posté le 27/03/2013 à 22:22 |
Maître astucien | |
|
Posté le 27/03/2013 à 22:25 |
Maître astucien | |
|
Posté le 27/03/2013 à 22:26 |
Maître astucien | |
|
Posté le 27/03/2013 à 22:27 |
Maître astucien | Désolé mais je n'ai pas réussi à copier/coller, chaque fois j'avais erreur ! trop lourd sans doute ! |
|
Posté le 27/03/2013 à 22:30 |
Nouvel astucien
| mipierre a écrit :
Désolé mais je n'ai pas réussi à copier/coller, chaque fois j'avais erreur ! trop lourd sans doute !
pas de problêmes.
le premier c'est OK, pas de vermines..;si j'ai bien lu 
par contre tu as passés TDSSKiller....un petit rapport pour moi ? cherche bien il est a la racine de C 
et la ligne en rouge m'emmerde. cette clé est protégée (sauf erreur), et ne devrais plus être là.
C:\Program Files\AVG\AVG2013\avgfws.exe => AVG Technologies%Parefeu C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe => Rubber DuckY%Malwarebytes' Anti-Malware C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe => Rubber DuckY%Malwarebytes' Anti-Malware O23 - Service: Pare-feu AVG (avgfws) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2013\avgfws.exe O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon] => ZoneLabs ZoneAlarm R2 avgfws;Pare-feu AVG; C:\Program Files\AVG\AVG2013\avgfws.exe [2012-12-10 1342024] => AVG Technologies%Parefeu R2 MBAMService;MBAMService; C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [2012-12-14 682344] => Rubber DuckY%Malwarebytes' Anti-Malware
je regarde ton deuxieme rapport rsit.
@+ Modifié par Anonyme le 27/03/2013 22:35 |
|
Posté le 27/03/2013 à 22:31 |
Maître astucien | Voici pour l'invite de commande :
127.0.0.1localhost |
|
Posté le 27/03/2013 à 22:33 |
Nouvel astucien
| mipierre a écrit :
Voici pour l'invite de commande :
127.0.0.1localhost
tu as plus de host 
lis au dessus.
je reviens. |
|
Posté le 27/03/2013 à 22:37 |
Maître astucien | TDSKiller
12:10:05.0484 5296 TDSS rootkit removing tool 2.7.48.0 Jul 24 2012 13:16:32 12:10:08.0890 5296 Perform update action was selected 12:10:08.0890 4136 Deinitialize success
|
|
Posté le 27/03/2013 à 22:38 |
Maître astucien | |
|
Posté le 27/03/2013 à 22:39 |
Maître astucien | |
|
Posté le 27/03/2013 à 22:39 |
Maître astucien | Voilà ! J'espère avoir tout fait, mais peut être pas dans l'ordre  |
|
Posté le 27/03/2013 à 22:44 |
Nouvel astucien
| OK.
tout tes rapports me semble clean, je m'explique pas cette erreur avec ZHPDiag.
je te propose deux options + 1
A) on sort ma sulfateuse K pour un dernier contrôle et on attend Nicolas
B) on fait le ménage avec Delfix sur les outils, ensuite tu installeras une nouvelle version de ZHPDiag et tu lances une analyse en décochant la ligne O1 seulement.
C) on fait A et B 
Quel est ton choix citoyen ?  Modifié par Anonyme le 27/03/2013 22:46 |
|
Posté le 27/03/2013 à 22:47 |
Maître astucien | Australien a écrit :
OK.
tout tes rapports me semble clean, je m'explique pas cette erreur avec ZHPDiag.
je te propose deux options + 1
A) on sort ma sulfateuse K pour un dernier contrôle et on attend Nicolas
B) on fait le ménage avec Delfix sur les outils, ensuite tu installeras une nouvelle version de ZHPDiag et tu lances une analyse en décochant la ligne O1 seulement.
C) on fait A et B 
Quel est ton choix citoyen ? 
On fait le B si cela te va ! |
|
Posté le 27/03/2013 à 22:48 |
| hello Patrick, Pierre,
J'ai apporté un correctif, installer la 2013.3.27.98 pour voir si cela passe ?
A+ |
|
Posté le 27/03/2013 à 22:49 |
Maître astucien | C'est quoi ? cette ligne en rouge
"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon] => ZoneLabs ZoneAlarm"
Je n'ai pas de ZoneAlarm !! |
|
Posté le 27/03/2013 à 22:53 |
Nouvel astucien
| Merci de ton passage Nicolas 
Mipierre.
on passe Delfix et tu passes le plan B, et je te colle aussi un contrôle manuel KVRT.
je reviens.  |
|
Posté le 27/03/2013 à 22:59 |
Nouvel astucien
| A)
DelFix (d'Xplode)
Citation
DelFix va supprimer les outils utilisés pour cette désinfection. DelFix va purger la restauration systéme potentiellement infectée et créer un nouveau point de restauration propre. Ce point de restauration sera nommé "Fin de désinfection" A l'issue Delfix s'auto-supprime.
- Téléchargez et enregistrez DelFix sur votre bureau.
- Cliquez sur Delfix pour le lancer.
- Sous Vista/Seven, faites un clic droit et choisissez Exécuter en tant qu'administrateur
- Cochez les cases : "Supprimer les outils de désinfections" et "Purger la restauration système"

- Cliquez sur "Exécuter", Delfix va faire son travail et se supprimer lui même à l'issue.
B)
Kaspersky Virus Removal Tool(de Kaspersly Lab)
Pour le fonctionnement correct du Kaspersky Virus Removal les droits d’administrateur sont nécessaires. Cet outil a été créé pour supprimer tous les types d'infection de votre ordinateur. Il intègre des algorithmes de détection efficaces, utilisés par Kaspersky Anti-Virus et AVZ. Il ne peut remplacer un programme antivirus résident. Kaspersky Virus Removal Tool ne nécessite pas d’installation. Il est possible d’exécuter l’outil depuis un disque amovible, par exemple.
- Téléchargez et enregistrez Kaspersky Virus Removal Tool sur votre ordinateur.

- Double cliquez sur le setup.exe téléchargé pour lancer l'installation.
- Le programme va décompresser ses fichiers dans les dossiers temporaires de Windows, patientez pendant l'opération....
- Dans la fenêtre d'installation qui va s'ouvrir, cochez " J'accepte le contrat de licence" et cliquez sur "Démarrer l'application" pour confirmer ce choix.

- L'application démarre...

- Aprés avoir effectué la routine d'installation, dans l'interface de l'utilitaire cliquez sur l'onglet "Réparation manuelle".
- Cliquez ensuite sur "Générer le rapport".

- Patentiez jusqu'à ce que la barre de progression soit à 100%

- A l'issue cliquez sur le sous onglet "Envoi du rapport ".

- Dans la nouvelle fenêtre cliquez sur le lien "avptooll sysinfo.zip"
- L'emplacement du rapport va vous être indiqué via une fenêtre de l'explorateur windows.

- Faites un clic droit sur le fichier "avptooll sysinfo.zip" > et sélectionnez "copier"
- Positionnez vous ensuite avec votre souris sur un espave vide du bureau et faites un clic droit > sélectionnez "Coller".
- Hébergez ce fichier compressé sur Cjoint et vous copiez/collez le lien fourni dans votre réponse.
- Tutoriel Cjoint
C) Nouveau ZHPDiag avec nouvelle version > pas besoin de tutoriel, tu connais l'outils
///////
Australien
|
|
Posté le 27/03/2013 à 23:01 |
Maître astucien | Nouveau ZHP : même résultat 
# DelFix v10.1 - Rapport créé le 27/03/2013 à 23:00:55 # Mis à jour le 23/02/2013 par Xplode # Nom d'utilisateur : Michel - MICHEL
~ Suppression des outils de désinfection ...
Supprimé : C:\RSIT Supprimé : C:\ZHP Supprimé : C:\Program Files\ZHPDiag Supprimé : C:\AdwCleaner[R423].txt Supprimé : C:\AdwCleaner[R424].txt Supprimé : C:\AdwCleaner[S86].txt Supprimé : C:\PhysicalDisk0_MBR.bin Supprimé : C:\TDSSKiller.2.7.48.0_26.03.2013_12.10.05_log.txt Supprimé : C:\TDSSKiller.2.8.16.0_26.03.2013_12.10.53_log.txt Supprimé : C:\Documents and Settings\Michel\Bureau\RSIT.exe Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk Supprimée : HKCU\Software\IDAVLab Supprimée : HKLM\SOFTWARE\AdwCleaner Supprimée : HKLM\SOFTWARE\IDAVLab Supprimée : HKLM\SOFTWARE\Soeperman Enterprises Ltd. Supprimée : HKLM\SOFTWARE\Swearware Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
########## - EOF - ##########
|
|
Posté le 27/03/2013 à 23:06 |
Nouvel astucien
| je pense que nos message se croisent.
regarde au dessus et suit l'ordre établis dans la procédure .
je vais a demain Modifié par Anonyme le 27/03/2013 23:06 |
|
Posté le 27/03/2013 à 23:21 |
Maître astucien | |
|
Posté le 27/03/2013 à 23:23 |
Maître astucien | Je vais faire pareil !
Merci et à demain 
Merci à toi aussi Nicolas et bonne nuit aussi  |
|