> Tous les forums > Forum Sécurité
 PC infecté, besoin d'un bon nettoyage!Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]
fayce54
  Posté le 09/11/2011 @ 16:45 
Aller en bas de la page 
Petit astucien

Bonjour,

J'ai récupéré le PC portable (Asus Eee PC 1000HD) d'une amie qui lui affichait un message d'erreur à l'ouverture du bureau :

"Failed to save all the components for the file \System32\0000390c"

et qui ensuite redémarrait après un certain laps de temps sans que nous puissions avoir la main.

Ce PC est sous Windows XP Edition Familiale et est utilisé par toute sa famille.

Après une recherche sur le net, j'ai su que ce problème était dû à une infection par un rogue.

J'ai donc suivi les conseils trouvé sur un forum :

1)j'ai fait un scan avec RogueKiller en utilisant l'option 2 dont voici le rapport :

RogueKiller V6.1.7 [05/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: marie jamin [Droits d'admin]
Mode: Suppression -- Date : 08/11/2011 17:29:04

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NOT REMOVED, USE PROXYFIX
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\marie jamin\Local Settings\Application Data\Microsoft\Wallpaper1.bmp)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt

2)j'ai fait un examen rapide avec Malwarebytes' Anti-Malware dont voici le rapport :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8115

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/11/2011 06:16:09 ã
mbam-log-2011-11-08 (18-16-09).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 171770
Temps écoulé: 11 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 6
Dossier(s) infecté(s): 6
Fichier(s) infecté(s): 18

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\EoEngineBHO.EOBHO.1 (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\EoEngineBHO.EOBHO (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1 (Rogue.Eorezo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\AgenceChromeBHO@eorezo.com (Adware.EoRezo) -> Value: AgenceChromeBHO@eorezo.com -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
c:\program files\eoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\application data\EoRezo (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\application data\EoRezo\EoRezo (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\local settings\application data\EoRezo (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\local settings\application data\EoRezo\EoRezo (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\local settings\application data\EoRezo\EoRezo\EoStats (Adware.EoRezo) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\program files\eoRezo\eorezobho.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\6dss92c31apgjk.exe (Rogue.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\wlfpfmouqayx.exe (Rogue.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\local settings\Temp\{611c1eaa-32e1-4faa-8d65-2f4aae448f3a}\{0571ccce-83ed-45fd-97a6-979fd0d21b96}\sweetimpack_3405.exe (Trojan.Dropper.Pak) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\local settings\Temp\is-AN76O.tmp\dealiotoolbar-stub-1.exe (PUP.Dealio.TB) -> Quarantined and deleted successfully.
c:\program files\eoRezo\EoRezo.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\eoRezo\unins000.dat (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\eoRezo\unins000.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\application data\EoRezo\engineuninstallhelper.exe (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\application data\EoRezo\EoRezo\shared.cyp (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\application data\EoRezo\EoRezo\softwareupdate.exe (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\application data\EoRezo\EoRezo\softwareupdatehp.exe (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\application data\EoRezo\EoRezo\user_config.cyp (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\application data\EoRezo\EoRezo\user_profil.cyp (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\local settings\application data\EoRezo\EoRezo\eorezo_confmedia.cyp (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\local settings\application data\EoRezo\EoRezo\user.cyp (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\local settings\application data\EoRezo\EoRezo\user_profil.cyp (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\documents and settings\marie jamin\local settings\application data\EoRezo\EoRezo\EoStats\eoStats.txt (Adware.EoRezo) -> Quarantined and deleted successfully.

3)j'ai fait un examen complet avec Malwarebytes' Anti-Malware dont voici le rapport :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8115

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/11/2011 09:58:09 ã
mbam-log-2011-11-08 (21-58-09).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 225499
Temps écoulé: 2 heure(s), 31 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\administrateur\Bureau\rk_quarantine\eorezo.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\Bureau\rk_quarantine\softwareupdatehp.exe.vir (Trojan.Eorezo) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\Bureau\rk_quarantine\wlfpfmouqayx.exe.vir (Rogue.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{8cc83852-efcb-49a9-ab72-af79e80d5fb1}\RP106\A0051962.exe (Rogue.FakeAlert) -> Quarantined and deleted successfully.

Et maintenant, j'ai repris la main, le bureau est de retour, le message d'erreur a disparu mais il n'y a plus d'icones sur le bureau ni dans le menu "Démarrer/Programmes"!

Comment faire pour les récupérer?

Et le PC a t'il besoin d'autres manipulations pour être sain?

Merci pour votre aide.

Publicité
fayce54
 Posté le 09/11/2011 à 17:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Evasion60
 Posté le 09/11/2011 à 17:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,
Essaie une réparation avec le cd d'XP(en séléctionnant ton installation,appuie sur la touche R)


Bonsoir, et bienvenue sur PCA Sécurité

Ne tiens pas compte de ci dessus Xou-Xou {#}

Relance RogueKiller avec l'option n°4
Poste son rapport / STP

Ensuite,

Télécharge AdwCleaner de Xplode
http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner
Lance l'outil en cliquant sur adwcleaner.exe.
Choisis Suppression



Poste le rapport qui s'ouvre en fin de nettoyage.
Il sera enregistré sous C:\AdwCleaner[S1].txt
Si tu as choisis Recherche le rapport sera C:\AdwCleaner[R1].txt
Chaque nouvelle utilisation de l'outil implémentera la numérotation des rapports [S2] [S3] [R2] [R3], etc.
R= Recherche, S=Suppression.

A te lire avec les rapports



Modifié par Evasion60 le 09/11/2011 17:57
Evasion60
 Posté le 09/11/2011 à 18:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Tu continues avec ma proposition

Xou-Xou a effacé sa réponse =>

Xou-Xou
Bonjour,
Essaie une réparation avec le cd d'XP(en séléctionnant ton installation,appuie sur la touche R)

T'inquiètes pas ns allons y arriver

@+

fayce54
 Posté le 09/11/2011 à 18:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir Evasion06,

Pour Xou-Xou, il n'y a pas de risque.

Même si l'intention était bonne.

Voilà le rapport RogueKiller avec l'option n°4 :

RogueKiller V6.1.7 [05/11/2011] par Tigzy
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: marie jamin [Droits d'admin]
Mode: Proxy RAZ -- Date : 09/11/2011 17:56:46

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Entrees de registre: 1 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0)

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Et le rapport AwdCleaner avec l'option Suppression ci-dessous en fichier joint.

Merci pour ton aide.



Modifié par fayce54 le 09/11/2011 19:52
fayce54
 Posté le 09/11/2011 à 19:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : AdwCleaner[S1].txt

Evasion60
 Posté le 10/11/2011 à 10:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Relance ZHPDiag et héberge son rapport / STP

A te lire

fayce54
 Posté le 10/11/2011 à 12:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour,

C'est fait, le rapport suit.

Merci.



Modifié par fayce54 le 10/11/2011 12:42
fayce54
 Posté le 10/11/2011 à 12:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag1.txt

Publicité
Evasion60
 Posté le 10/11/2011 à 12:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

C'est encore bien ripoux

Si tu veux que mon aide continue => Désisntalle toutes ces medes

*Si la machine contient des cracks/keygens, des logiciels de P2P, supprime-les sinon j'arrête la désinfection*

PROCESSUS P2P (Vecteurs d'infections)

Bearshare P2P
eMule PeerToPeer
Azureus PeerToPeer
Ares Galaxy PeerToPeer

La balles est dans ton camp

A te lire

fayce54
 Posté le 10/11/2011 à 13:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re {#},

Je vais voir ce que je peux faire sachant qu'aucun logiciels de P2P ou jeux n'apparaissent dans la liste de programmes de la fenêtre de suppression de programmes et je te tiens au courant.

Edit : je précise qu'il ne s'agit pas de mon PC mais celui d'une amie à qui je rends service.

Merci.



Modifié par fayce54 le 10/11/2011 13:17
Evasion60
 Posté le 10/11/2011 à 13:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Je sais que ce n'est pas ta machine, mais d'une amie

Voici les chemins des fichiers à supprimer, puis vider la corbeille =>

C:\Program Files\BearShare Applications
C:\Program Files\eMule
C:\Documents and Settings\marie jamin\Application Data\Azureus
C:\Documents and Settings\marie jamin\Local Settings\Application Data\Ares

@+

fayce54
 Posté le 10/11/2011 à 13:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Evasion60 a écrit :

Re

Je sais que ce n'est pas ta machine, mais d'une amie

Voici les chemins des fichiers à supprimer, puis vider la corbeille =>

C:\Program Files\BearShare Applications
C:\Program Files\eMule
C:\Documents and Settings\marie jamin\Application Data\Azureus
C:\Documents and Settings\marie jamin\Local Settings\Application Data\Ares

@+

Re ,

C'était juste pour dire que je n'ai aucunes idées de ce qui y est ou y a été installé.

Je fais un nettoyage en profondeur en 3 passes avec ccleaner (+ d'1.5 Go de fichiers inutiles à supprimer, ça prend son temps!) et ensuite je m'attaque à tout ce qui est P2P.

Merci.

fayce54
 Posté le 10/11/2011 à 14:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re {#},

J'ai suivi tes indications et supprimé tout ce qui était P2P du PC.

A + pour la suite.

fayce54
 Posté le 10/11/2011 à 15:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag2.txt

Evasion60
 Posté le 10/11/2011 à 15:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

  • Ouvre le bloc-note (Démarrer>programmes>Accessoires>Bloc-notes),
  • Sélectionne et copie ces lignes. Pour les copier, tu cliques sur CTRL+C après les avoir sélectionnées. Elles sont présentées entre quotes comme ceci :

EmptyTemp
EmptyFlash

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified => Infection BT (Hijacker.Application)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Intl: Modified => Infection BT (Hijacker.Intl)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] XMLLookup: Modified => Infection BT (Hijacker.XMLLookup)
G1 - GCS: Preference [User Data\Default] http://search.bearshare.com => BearShare MediaBar
G0 - GCSP: Preference [User Data\Default][HomePage] http://search.bearshare.com => BearShare MediaBar
G2 - GCE: Preference [User Data\Default] [bjeikeheijdjdfjbmknpefojickbkmom] Offerbox v.2.1.3714.137 (Activé) => Infection PUP
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1 => Internet Explorer Allows Proxy Settings Remotely
O2 - BHO: Interest recogniser for Widestream6 (powered by Spointer) - {1a6dc111-b030-4c3e-be65-299284128b91} . (.Widestream6 - Interest Recognizer for Widestream6.) -- C:\Program Files\Widestream6\spointer\extensions\widestream6_air_ie.dll => Infection BT
O2 - BHO: SBCONVERT - {92A9ACF4-9333-43AE-9698-DB283326F87F} . (.Unknown owner - IE Toolbar Engine.) -- C:\Program Files\SpeedBit Video Downloader\TBU15\tbcore3.dll => SpeedBit - IE Toolbar Engine
O2 - BHO: GrabberObj Class - {FF7C3CF0-4B15-11D1-ABED-709549C10000} . (.SpeedBit - SpeedBit Grab & Convert.) -- C:\Program Files\SpeedBit Video Downloader\TBU15\grabber.dll => SpeedBit Toobar
O3 - Toolbar: Barre d'outils ALOT - {5AA2BA46-9913-4dc7-9620-69AB0FA17AE7} . (...) -- C:\Program Files\alot\bin\alot.dll => Infection BT
O3 - Toolbar: SpeedBit Video Downloader - {0329E7D6-6F54-462D-93F6-F5C3118BADF2} . (.Unknown owner - IE Toolbar Engine.) -- C:\Program Files\SpeedBit Video Downloader\TBU15\tbcore3.dll => SpeedBit Video Downloader
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (...) -- (.not file.) => Possible Infection BT (Emusic.Adw)
O4 - HKLM\..\Run: [Iminent.Notifier] C:\Program Files\Iminent\SearchTheWeb\Iminent.Notifier.exe (.not file.) => Infection PUP
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\SBWUpdateTask_Logon_d8542303-E0CB4E37DC81.job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\SBWUpdateTask_Time_d8542303-E0CB4E37DC81.job
O42 - Logiciel: Architecture et Décoration - (.Unknown owner.) [HKLM] -- Architecture et Décoration
O42 - Logiciel: Barre d'outils ALOT - (.ALOT.) [HKLM] -- alotToolbar => Infection BT
O42 - Logiciel: Dealio Toolbar v4.4 - (.Spigot, Inc..) [HKLM] -- {7A387452-4D16-4EB9-9E74-76CA65534E45} => Infection BT (PUP.Dealio)
O42 - Logiciel: SweetIM Toolbar for Internet Explorer 4.1 - (.SweetIM Technologies Ltd..) [HKLM] -- {A1194237-547A-461d-BD44-B97B1574A7DA} => Toolbar.SweetIM
O42 - Logiciel: Widestream6 - (.Aedge Performance BCN SL.) [HKLM] -- {835525BE-63BD-4EC4-9425-00CEAD4849C2} => Infection BT
[HKCU\Software\Iminent] => Infection PUP
[HKCU\Software\WideStream] => Infection BT
[HKCU\Software\alot] => Infection BT
[HKLM\Software\Iminent] => Infection PUP
[HKLM\Software\widestream] => Infection BT
O43 - CFD: 18/06/2011 - 01:17:44 Õ - [835294] --H-D- C:\Program Files\Dealio Toolbar => Infection PUP
O43 - CFD: 09/11/2011 - 06:03:42 ã - [876866] --H-D- C:\Program Files\SweetIM => Toolbar.SweetIM
O43 - CFD: 13/09/2011 - 01:29:18 Õ - [3503206] --H-D- C:\Program Files\Widestream6 => Infection BT
O43 - CFD: 11/06/2011 - 11:15:52 ã - [230711] --H-D- C:\Documents and Settings\marie jamin\Application Data\alot => Infection BT
O43 - CFD: 07/05/2011 - 04:32:32 ã - [0] --H-D- C:\Documents and Settings\marie jamin\Application Data\BabylonToolbar => Infection BT
O43 - CFD: 03/06/2011 - 11:55:52 ã - [594] --H-D- C:\Documents and Settings\marie jamin\Application Data\widestream => Infection BT
O43 - CFD: 29/08/2011 - 08:19:56 ã - [431978] --H-D- C:\Documents and Settings\marie jamin\Local Settings\Application Data\widestream6 Air => Infection BT
O44 - LFC:[MD5.459DB8708F93BEAC0F75E149E1D990F6] - 03/11/2011 - 12:15:37 Õ --HA- . (...) -- C:\touchpad.log [86] => Fichier de rapport
O44 - LFC:[MD5.7841F3F1CFF14DC30EA1805FCD665216] - 03/11/2011 - 12:12:52 Õ --HA- . (...) -- C:\RHDSetup.log [1656] => Fichier de rapport
O51 - MPSK:{d7dc9538-0ca3-11e0-a4be-0025d3978d01}\AutoRun\command. (...) -- E:\SFR_Setup.exe (.not file.) => Fichier absent
O51 - MPSK:{feef767e-0d05-11e0-a4c1-0025d3978d01}\AutoRun\command. (...) -- E:\SFR_Setup.exe (.not file.) => Fichier absent
O67 - Shell Spawning: <.js> <JSFile>[HKLM\..\open\Command] (.Microsoft Corporation - Microsoft Console Based Script Host.) -- C:\WINDOWS\System32\CScript.exe => Infection FakeAlert
O67 - Shell Spawning: <.html> <htmlfile>[HKCU\..\open\Command] (.Not Key.)
O67 - Shell Spawning: <.js> <JSFile>[HKCR\..\open\Command] (.Microsoft Corporation - Microsoft Console Based Script Host.) -- C:\WINDOWS\System32\CScript.exe => Infection FakeAlert
O69 - SBI: SearchScopes [HKCU] {5AA2BA46-9913-4DC7-9620-69AB0FA17AE7} - (ALOT Recherche) - http://search.alot.com => Infection BT (AdWare.Comet)
O69 - SBI: SearchScopes [HKCU] {7F4EFF06-7032-458e-AE16-1C1D8255C28A} - (Speedbit Search) - http://search.speedbit.com
[MD5.732CB0069D7E3A52E9B658B7FA83D469] [SPRF][09/11/2011] (...) -- C:\Documents and Settings\marie jamin\Bureau\adwcleaner0.exe [600743]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{5aa2ba46-9913-4dc7-9620-69ab0fa17ae7} => Infection BT (Adware.BHO)
[HKLM\Software\Mozilla\Firefox\Extensions]:widestream6@spointer.com => Infection BT (Adware.SPointer)
C:\Program Files\Dealio Toolbar => Infection PUP
C:\Program Files\SweetIM => Toolbar.SweetIM
C:\Program Files\Widestream6 => Infection BT
C:\Documents and Settings\marie jamin\Application Data\alot => Infection BT
C:\Documents and Settings\marie jamin\Application Data\BabylonToolbar => Infection BT
C:\Documents and Settings\marie jamin\Application Data\Widestream => Infection BT
C:\Documents and Settings\marie jamin\Local Settings\Application Data\widestream6 Air => Infection BT


  • Enregistre le fichier dans le dossier C:\Program Files\ZHPDiag en choisisissant Fichiers>Enregistrer sous.... En nom de fichier, tu indiques ZHPDiag.txt. Une demande de confirmation est demandée car tu vas écraser l'ancien rapport. Tu acceptes.
  • Lance ZHPFix de Nicolas Coolman qui se trouve lui aussi dans le dossier ZHPDiag. Pour XP, double-clique sur ZHPFix ; pour Vista, et Win7, fais un clic droit sur l'icône et exécute en tant qu'administrateur.
  • Le logiciel s'ouvre. Il doit contenir dans la fenêtre de rapport uniquement les lignes que tu as sélectionnées au-dessus. Si ça ne correspond pas, tu interromps la procédure et tu me préviens.
  • Clique sur OK comme indiqué ci-dessous :

  • Les lignes du rapport apparaissent alors avec des cases à cocher.
  • Clique sur le bouton "Tous" après avoir vérifié une dernière fois que ces lignes sont conformes à celles sélectionnées au-dessus puis clique sur "Go" comme ceci :

  • Ceci va avoir pour effet de réaliser un correctif.
  • Dans la fenêtre du programme, celui-ci t'indique que le script a été effectué.
  • Si un redémarrage est demandé, effectue-le.

Copie-colle le contenu du rapport situé dans le dossier ZHPDiag et qui se nomme ZHPFixreport.txt

A te lire avec son rapport

fayce54
 Posté le 10/11/2011 à 17:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re {#},

J'ai suivi tes instructions à la lettre mais je ne trouve pas le fichier ZHPFixreport.txt.

Je me suis absenté dix minutes le temps d'aller récupérer des affaires dans ma voiture et quand je suis revenu le PC était arrêté?

Dois-je reposter un rapport ZHPDiag?

STP.

Publicité
Evasion60
 Posté le 10/11/2011 à 17:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Il est ici à la racine du disque systeme C:\ZHP\ZHPFixreport.txt

@+



Modifié par Evasion60 le 10/11/2011 17:09
fayce54
 Posté le 10/11/2011 à 17:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re {#},

Désolé mais il n'y est pas, il y a des fichiers ZHPRegY0/1/2/3.zhp c'est tout.

@ +.

Evasion60
 Posté le 10/11/2011 à 17:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Désolé mais il n'y est pas, il y a des fichiers ZHPRegY0/1/2/3.zhp c'est tout.

Re

C'est n'importe quoi ci dessus
Il suffit d'appliquer le tuto d'aide, si tu as des problèmes de compréhention, tu peux l'imprimer pour l'avoir sous les yeux !

@+

fayce54
 Posté le 10/11/2011 à 21:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re {#},

Comme je te l'ai dit, j'ai suivi tes instructions à la lettre, ZHPFix avait commencé à désinstaller les logiciels inutiles... et après?

Le tuto d'aide, je l'ai sous les yeux sur mon PC personnel, c'est le seul qui est connecté à internet, celui infecté n'est pas connecté tant qu'il n'est pas nettoyé afin d'éviter les surprises.

Que dois-je faire maintenant? Refaire un diagnostic ZHPDiag ou relancer ZHPFix?

STP.

@ +.

Evasion60
 Posté le 11/11/2011 à 00:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Héberge tes liens sur PCA / STP, car je ne vais pas sur n'importe quel hébergeur =>

Ci-joint une image de l'erreur : http://www.fufox.net/?d=AFC71D40BD31

A demain

fayce54
 Posté le 11/11/2011 à 00:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re {#},

J'ai relancé ZHPFix, il m'a affiché un message d'erreur et a ramé comme tout à l'heure avant que je le laisse tourner tout seul.

Ci-joint une image de l'erreur :

Bonne .

@ +.

Evasion60
 Posté le 11/11/2011 à 10:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Relance ZHPDiag et héberge son rapport / STP

A te lire

Edité =>
Tu as bien installé ZHPDiag sur ton bureau, et as bien les trois icones => ZHPDiag // ZHPFix // MBR
Que vient faire ton " navigateur Google " ?



Modifié par Evasion60 le 11/11/2011 14:03
fayce54
 Posté le 12/11/2011 à 18:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re {#},

Je suis parti en W-E et je n'ai pas le PC sous les yeux.

Pour ZHPDiag, oui il est bien installé sur le bureau et pour les icônes, je suis sûr pour ZHPDiag et ZHPFix mais pas pour MBR.

Et pour Google Chrome, je n'en ai aucune idée???

Je te tiens au courant dès que possible.

Merci.

Bon W-E et @ +.

fayce54
 Posté le 13/11/2011 à 18:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag5.txt

Publicité
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
16,48 €Pack de 2 clés USB 3.0 Kingston DataTraveler 100 G3 - 64 Go à 16,48 €
Valable jusqu'au 25 Avril

Amazon fait une promotion sur le pack de 2 clés USB 3.0 Kingston DataTraveler 100 G3 - 64 Go qui passe à 16,48 € au lieu de 25 euros habituellement.


> Voir l'offre
979 €Microsoft Surface Laptop 3 13,5 pouces tactile (Core i5, 8 Go, SSD 256 Go) à 979 €
Valable jusqu'au 25 Avril

Amazon fait une promotion sur le tout récent ordinateur portable Microsoft Surface Laptop 3 13 pouces tactile qui passe à 979 € livré gratuitement alors qu'on le trouve ailleurs autour de 1300 €. Cet ordinateur de très grande qualité dispose d'un écran tactile de 13 pouces 2736x1824 pixels, de 8 Go de RAM, d'un processeur Intel Core i5 3470, d'un SSD de 256 Go (qui est facilement remplaçable si besoin). Il ne pèse que 1,2 kg et offre une autonomie jusqu'à 11h30.


> Voir l'offre
21,74 €Lot de 3 prises connectées Meross (16A, Alexa, Google, IFT) à 21,74 € avec le code URDROOR3
Valable jusqu'au 24 Avril

Amazon fait une promotion sur le lot de 3 prises électriques connectées Meross qui passe à 21,74 € grâce au code promo URDROOR3. On le trouve habituellement à 29,99 €. Ces prises 16A peuvent être contrôlées à distance avec l'application Meross dédiée mais également avec Alexa, Google Home et IFTTT. Vous pouvez programmer l'arrêt ou l'allumage des appareils branchés dessus suivant un planning et mesurer leur consommation électrique. 


> Voir l'offre

Sujets relatifs
PC infecté ayant besoin d'un bon nettoyage!
Pc infécté, mot depasse volé. svp besoin d'aide.
pc infecté !! aide pour nettoyage svp
PC Infecte - besoin d'un helper
besoin coup de main nettoyage infection
PC Infecté besoin d'aide pour un rétabliseement
Nettoyage PC portable W7 très infecté
Besoin d'aide pour nettoyage PC
Besoin d'aide infecté avec omiga plus
besoin d'aide pc infecté par trovi.com
Plus de sujets relatifs à PC infecté, besoin d''un bon nettoyage!
 > Tous les forums > Forum Sécurité