FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[dom2]

bonjour à tous, lors d'un redémarrage j'ai une nouvelle barre d'outils qui est apparu dans firefox. je regarde sur le net comment la retirer. je trouve une solution qui s'est avérée tres efficace et dans la reponse donné il est proposé de passer zhpdiag. bien que mon probleme soit resolu je passe zhpdiag et là effroi, j'ai plein de trucs bizarres (des clés orphelines, des references à des fichiers dans le repertoire temporaire, etc.) serait-il possible de l'aider.
voici le lien vers le fichier texte edité par zhpdiag. merci pour votre aide

[rubised 3585]

Bonjour,

Pourrais tu me poster ce rapport ,mais vu son importance .

Pour poster le rapport:

-- Rend toi sur Cejoint http://www.cjoint.com/

-- Clique sur Parcourir dans la partie Joindre un fichier

-- Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

-- Clique ensuite sur " Créer le lien cjoint ",, Un lien va se former, copie et colle le ici STP

/!\ Héberge bien le rapport via cijoint comme demander, sinon il ne passera pas entièrement sur le site /!\


Au cas ou ,Aide d'utilisation CJoint iciaide en images

http://www.forum-entraide-informatique. ... -cjointcom


Si ZHPDiag est téléchargé à partir d'Internet Explorer 9 et que le filtre Smart Screen est activé, un message de ce type apparaître en bas de page :


ZHPDiag est totalement fiable , Il s'agit simplement du filtre SmartScreen qui n'inclut pas encore la totalité des logiciels (cela se produira également sans doute avec les autres outils qui seront téléchargés durant la désinfection).

Il faut donc cliquer sur le bouton "actions" et choisir "exécuter quand même"



si cjoint pas disponible:


=Si indisponible :

http://www.toofiles.com/fr/documents-upload.html

ou :

http://pjjoint.malekal.com/

ou :

http://www.casimages.com


•Tutoriel zhpdiag, si tu n'as pas tout compris :

http://www.premiumorange.com/zeb-help-p ... pdiag.html

Merci et à te lire

[dom2]

merci rubised pour ta disponibilité, je croyais avoir collé le lien (fausse manip), le voici
http://cjoint.com/?BJywNsGht65
salutations

[rubised 3585]

Ok j'analyse ce rapport et te prépare un fix pour demain vu l'heure tardive

En attendant :


Supprime moi Spybot qui est obsolète

Tuto ici: http://forum.telecharger.01net.com/tele ... ges-1.html

Ensuite

• Télécharge http://general-changelog-team.fr/fr/dow ... /79-usbfix sur ton Bureau.
. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
• Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit -- Exécuter en temps qu'administrateur).
• Au menu principal, clique sur "Recherche"
• Laisse travailler l'outil
• A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Aide en images :

ici . http://security-domain.be/tutoriel_usbfix.php


A te lire

[dom2]

bonjour et merci pour ton aide. pourquoi utiliser usbfix. voici le rapport :
---------------------------------------------------------------
C:\Windows\system32\csrss.exe (460)
C:\Windows\system32\csrss.exe (520)
C:\Windows\system32\wininit.exe (528)
C:\Windows\system32\winlogon.exe (576)
C:\Windows\system32\services.exe (624)
C:\Windows\system32\lsass.exe (632)
C:\Windows\system32\lsm.exe (640)
C:\Windows\system32\svchost.exe (740)
C:\Windows\system32\svchost.exe (828)
C:\Windows\System32\svchost.exe (920)
C:\Windows\System32\svchost.exe (960)
C:\Windows\system32\svchost.exe (984)
C:\Windows\system32\svchost.exe (612)
C:\Windows\system32\svchost.exe (1072)
C:\Windows\System32\spoolsv.exe (1244)
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (1296)
C:\Windows\system32\taskhost.exe (1392)
C:\Windows\system32\Dwm.exe (1544)
C:\Windows\Explorer.EXE (1560)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (1764)
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (1812)
C:\PROGRA~2\APC\POWERC~2\agent\pbeagent.exe (1872)
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1908)
C:\Program Files\Bonjour\mDNSResponder.exe (1048)
C:\Windows\System32\svchost.exe (1108)
C:\Windows\system32\svchost.exe (1344)
C:\Program Files\Microsoft Device Center\itype.exe (1532)
C:\Program Files\Microsoft Device Center\ipoint.exe (1968)
C:\Program Files (x86)\SuperCopier2\SuperCopier2.exe (1148)
C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe (2100)
C:\Program Files (x86)\Samsung\Kies\Kies.exe (2112)
C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\acrotray.exe (2392)
C:\Program Files (x86)\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe (2424)
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (2436)
C:\Program Files\OO Software\DiskStat\OODSAgent.exe (2648)
C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (2700)
C:\Windows\system32\conhost.exe (2720)
C:\Windows\system32\svchost.exe (2352)
C:\Program Files (x86)\Tor\tor.exe (2448)
C:\Program Files\Windows Media Player\wmpnetwk.exe (3252)
C:\Program Files (x86)\HD Tune\HDTune.exe (3776)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (3804)
C:\Program Files (x86)\Garmin\Lifetime Updater\GarminLifetime.exe (3828)
C:\Program Files (x86)\iTunes\iTunesHelper.exe (3836)
C:\Windows\system32\SearchIndexer.exe (3916)
C:\Program Files\iPod\bin\iPodService.exe (1864)
C:\Windows\system32\svchost.exe (3284)
C:\Program Files (x86)\eMule\emule.exe (1264)
C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (4904)
C:\Windows\explorer.exe (4204)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (4268)
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe (3460)
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_4_402_287.exe (3620)
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_4_402_287.exe (3812)
C:\Windows\system32\SearchProtocolHost.exe (4556)
C:\Windows\system32\taskeng.exe (4968)
C:\Windows\system32\SearchFilterHost.exe (4120)
C:\UsbFix\Go.exe (4776)
C:\Windows\system32\wbem\wmiprvse.exe (4768)

################## | Éléments infectieux |

Présent! C:\Users\Dominique\AppData\Roaming\Temp
Présent! D:\putty.exe

################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
------------------------------------------------------------------------
afin de ne pas trop t'ennuyer d'autres fois, serait possible d'avoir des bases pour faire les scripts zhpdiag ou est-ce compliqué car des clés orpheline je suppose que j'en aurait d'autre. j'utilise ccleaner mais je vois que ce n'est pas suffisant.
bonne journée

[rubised 3585]

Bonjour,

Concernant ceci: afin de ne pas trop t'ennuyer d'autres fois, serait possible d'avoir des bases pour faire les scripts zhpdiag ou est-ce compliqué car des clés orpheline je suppose que j'en aurait d'autre. j'utilise ccleaner mais je vois que ce n'est pas suffisant.

Saches que tu ne nous ennuiras jamais ,c'est un plaisir de t'aider.

Quand à t'expliquer le fonctionnment de ZhpDiag difficile car il faut analyser, et interpretter chaque ligne du rapport,et avoir un minimum de connaissances en désinfection,pour pouvoir déseler les infections et utiliser les outils adéquates,sinon en utilisants ces outils sans connaissance cela peut s'avérer dangeux pour ton pc.

Si la désinfection t'intéresse vraiment tu peux songer à suivre une formation dans ce sens.

Ala fin de cette désinfection je te donnerais quelques conseils qui te seront utile dans l'avenir.


Pourquoi utiliser usbfix
Tout simplement pour une infection par disque externe

Maintenant

Penses également à désactiver tous tes programmes de protection au début de chaque nouvelle demande d’utilisation d’un outil, et de les réactiver à la fin

• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
• Relance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit -- Exécuter en temps qu'administrateur).
• Clique sur "Suppression"
• Laisse travailler l'outil
• Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
• A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Aide en images : http://security-domain.be/tutoriel_usbfix.php

A te lire

[dom2]

bonsoir, je n'a pas de dd externe, seulement un serveur nas. j'utilise des clés usb, mais celles-ci sont tres regulierement reformaté (c'est le meilleur menage que je connaisse).


Si la désinfection t'intéresse vraiment tu peux songer à suivre une formation dans ce sens.
tout est intéressant mais il faut le temps ... donc je t'ennuierai de nouveau.

[rubised 3585]

OK mais ceci est infectueux:

Présent! C:\Users\Dominique\AppData\Roaming\Temp
Présent! D:\putty.exe
Tu t'ai sans doute fait infecté par un support externe ?

Donc tu peux lancer l'option "suppression" de UsbFix

A te lire

[dom2]

Voilà, usbfix est passé et j'ai supprimé putty manuellement.

[dom2]

ah ! mon disque systeme m'indique qu'il est plein, ce qui n'était pas le cas jusque là, je constate qu'il a un dossier zhp et usbfix, dois-je les laisser pour le moment ou les supprimer?

[rubised 3585]

Tu les supprimes,mais j'aurais aimé voir le rapport suppression

[dom2]

ok rubised, voici le rapport: pourquoir putty est-il considéré comme infectieux alors que c'est un client telnet et ssh qu'il a fallu que j'utilise à un moment donné?
voici donc le rapport. pour ma part je retrouverais le pc demain à 6h environ. bonne soirée.


############################## | UsbFix V 7.097 | [Recherche]

Utilisateur: Dominique (Administrateur) # DOMINIQUE-PCD
Mis à jour le 02/09/2012 par El Desaparecido
Lancé à 21:44:08 | 25/10/2012

Site Web: http://eldesaparecido.com
Forum: http://forum.eldesaparecido.com
Fichier suspect ? : http://eldesaparecido.com/upload.php
Contact: contact@eldesaparecido.com

PC: System manufacturer (P5K) (x64-based PC
CPU: Intel(R) Core(TM)2 CPU 6600 @ 2.40GHz (2394)
RAM - [Total : 4095 | Free : 2254]
BIOS: BIOS Date: 06/18/08 21:14:06 Ver: 08.00.12
BOOT: Normal boot

OS: Microsoft Windows 7 Professionnel (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [(!) Disabled]
WU: Windows Update Service [Enabled]
AV: AntiVir Desktop [Enabled | (!) Outdated]
FW: Windows FireWall Service [(!) Disabled]

C:\ (%systemdrive%) - Disque fixe # 78 Go (96 Mo libre(s) - 0%) [] # NTFS
D:\ - Disque fixe # 220 Go (48 Go libre(s) - 22%) [] # NTFS
E:\ - CD-ROM
F:\ - Disque fixe # 373 Go (304 Go libre(s) - 82%) [] # NTFS
G:\ - Disque fixe # 466 Go (191 Go libre(s) - 41%) [Disque local] # NTFS

################## | Processus Actif |

C:\Windows\system32\csrss.exe (460)
C:\Windows\system32\csrss.exe (520)
C:\Windows\system32\wininit.exe (528)
C:\Windows\system32\winlogon.exe (576)
C:\Windows\system32\services.exe (624)
C:\Windows\system32\lsass.exe (632)
C:\Windows\system32\lsm.exe (640)
C:\Windows\system32\svchost.exe (740)
C:\Windows\system32\svchost.exe (828)
C:\Windows\System32\svchost.exe (920)
C:\Windows\System32\svchost.exe (960)
C:\Windows\system32\svchost.exe (984)
C:\Windows\system32\svchost.exe (612)
C:\Windows\system32\svchost.exe (1072)
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (1296)
C:\Windows\system32\Dwm.exe (1544)
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (1812)
C:\Windows\System32\svchost.exe (1108)
C:\Windows\system32\svchost.exe (1344)
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (2436)
C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe (2700)
C:\Windows\system32\svchost.exe (2352)
C:\Windows\system32\svchost.exe (3284)
C:\Program Files\Windows Media Player\wmpnetwk.exe (2004)
C:\Windows\system32\SearchIndexer.exe (3716)
C:\Windows\System32\spoolsv.exe (1456)
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (112)
C:\Windows\system32\SearchProtocolHost.exe (1192)
C:\Windows\system32\SearchFilterHost.exe (772)
C:\Windows\Explorer.exe (2936)
C:\Windows\system32\taskeng.exe (2920)
C:\Program Files (x86)\Mozilla Firefox\firefox.exe (4216)
C:\Windows\SysWOW64\NOTEPAD.EXE (4020)
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe (4500)
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_4_402_287.exe (2644)
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_4_402_287.exe (4432)
C:\UsbFix\Go.exe (2408)
C:\Windows\system32\wbem\wmiprvse.exe (4232)

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

C:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)
G:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F |

[rubised 3585]

Ok tu peux supprimer ces rapport

Là je te prépare un sript pour demain

Merci et bonne nuit à tois aussi

[dom2]

merci rubused, je me rends compte que je me suis mal exprimé, il y a des dossier zhp et usbfix en c:/, est-ce que je supprime ces dossiers? à bientôt

[rubised 3585]

Bonjour,

On fera la suppression des outils utilisés en fin de désinfection

Je termine l'analyse de Zhpdiag pour te faire un script de suppression

Et revient te voir ,patientes stp .

Au fait avant une petite question stp:

Que fais -tu exactement avec ces P2P ???

Lis donc ceci : Les toolbars c'est pas obligatoire



Les danger du Peer To Peer

Une autre question ?

Pour Spyware terminator le désinstaller et le réinstaller ici:

http://www.commentcamarche.net/download ... terminator

Attention :
Lors de l'installation, décochez la case correspondant à l'installation du "Web Guard Security", qui est une barre d'outil néfaste.


Je t'envoie mon script dès que j'ai de tes nouvelles

ATTENTION: je serais absent de Dimanche matin jusqu'au Jeudi suivant au matin.

[dom2]

bonsoir, alors pour te repondre sur les toolsbars, pour le moment je ne souhaite pas en utiliser. avant avec firefox j'utilisais la toolsbar google. maintenant google ne la developpe plus pour firefox alors qu'elle etait super (de mon point de vue). j'ai aussi opera et chrome (j'utilise ce dernier quand je dois faire de la traduction de sites car je suis nul en anglais) et opera tres tres episodiquemen pour tester ou ne connecter quand firefox n'y arrive pas. donc je n'en veux plus en fait de toolsbars actuellement mais je sais que certains softs t'en mette une. j'ai voulu tester un site de radio-musique en streaming et je me suis retrouvé avec une barre non désirée que j'ai retiré mais il y a peut-être toujours des traces.

pour le p2p c'est plus que tres occasionnel mais les softs sont présents.

pour spyware il est "normalement" desinstallé.

pour ma part aussi je prends quelques jours au vert.

merci encore pour ta disponibilité

[rubised 3585]

Y a pas de quoi c'est un plaisir

Pour le P2P désires tu le désinstaller ??

pour spyware il est "normalement" desinstallé. à vérifier avec Ccleaner option "Outils" /désinstallation de programmes et vérifie si toujours présent si trace de ce programme sélectionnes le et clique à droite sur désinstaller

Quand tu as lancer au début ZhpDiag l'as-tu fais en mode administrateur ???

Car je vois ceci sur son rapport "Software Protection Service (Protection logicielle) : KO"

Suivant ta réponse je te poserais une question si tu le permet

A te lire

[dom2]

bonsoir

pour spyware il est "normalement" desinstallé. à vérifier avec Ccleaner option "Outils" /désinstallation de programmes et vérifie si toujours présent si trace de ce programme sélectionnes le et clique à droite sur désinstaller
il n'y a rien dans ccleaner, c'est toujours par lui que je désinstalle et apres je "nettoie" le registre avec ccleaner.
pour le p2p je penses le laisser.
pour zhp, je ne crois que j'etais en admin j'ai lancé l'appli qu etait sur le bureau. je relance en zhp en admin et voila le fichier http://cjoint.com/?0JAtr3OhKbC.
a bientôt

[rubised 3585]

Le lien n'est pas bon

A refaire

[dom2]

http://cjoint.com/?BJAu11bxs3f.
je suis desolé

[dom2]

http://cjoint.com/?BJAu6fbxvrF
jespere que ce sera bon

[dom2]

OUF!!!!!!!!!!!!!!!!!

[rubised 3585]

Idem pas ou plus actif

Essaie ici :Pour poster le rapport:

- Héberges de préférence le rapport sur Up2Share et fournis le lien créé plutôt que de copier/coller les rapports directement dans ton message.

/!\ Héberge bien le rapport via "up2sha " comme demander, sinon il ne passera pas entièrement sur le site /!

[dom2]

celui la est bon, je viens d'essayer http://cjoint.com/?BJAu6fbxvrF.

ya ça aussi http://up2sha.re/file?f=zZ20nCvFEEJy
ou

http://demo.ovh.com/fr/53cb290b7625b3ee ... 18a91245b/

[dom2]

http://demo.ovh.com/download/53cb290b76 ... -admin.Txt

[rubised 3585]

Ok le second lien est bon


Attention , se Script a étais spécialement crée en fonction des infections présente sur se pc , il ne doit être en aucun cas utiliser/reproduit sur un autre ordinateur





* Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )



-------------------------------------------

[MD5.00000000000000000000000000000000] [APT] [{5E0C9011-E59A-4BC0-ADBA-3FF754604D90}] (...) -- E:\Welcome.exe (.not file.)
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline
O4 - HKUS\S-1-5-21-3149832618-4018795319-325117552-1000\..\Run: [AdobeBridge] Clé orpheline
O4 - Global Startup: C:\Users\Dominique\Desktop\Continue Media Finder Installation.lnk . (...) -- C:\Temp\ICReinstall_Peugeot-Citroen_NaviDrive_EUROPE_RT3_2012_new.rar_downloader.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [Express Files Updater] (...) -- C:\Program Files (x86)\ExpressFiles\EFupdater.exe (.not file.)
O41 - Driver: (SBRE) . (. - .) - C:\Windows\system32\drivers\SBREdrv.sys (.not file.)
O42 - Logiciel: Spybot - Search Destroy - (.Safer Networking Limited.) [HKLM][64Bits] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 O43 - CFD: 27/09/2012 - 17:34:22 - [60,385] ----D C:\Program Files (x86)\Spybot - Search Destroy
O43 - CFD: 13/10/2012 - 22:29:39 - [0,012] ----D C:\ProgramData\Spybot - Search Destroy
O43 - CFD: 24/12/2011 - 14:35:46 - [0] -SH-D C:\Users\Dominique\AppData\Local\d8b7b1aa
O43 - CFD: 04/12/2011 - 18:33:52 - [0] ----D C:\Users\Dominique\AppData\Local\OO Software GmbH
O43 - CFD: 24/12/2011 - 08:38:14 - [0] --HAD C:\Users\Dominique\AppData\Local\U9Tfb0qPk O43 - CFD: 27/09/2012 - 17:34:22 - [60,385] ----D C:\Program Files (x86)\Spybot - Search Destroy
O44 - LFC:[MD5.8AED45F11CBE336D00F344C1032B8520] - 24/10/2012 - 05:59:45 ---A- . (...) -- C:\AdwCleaner[S1].txt [9658]
O44 - LFC:[MD5.D884C78E6541CF2F6CDBD66233465713] - 24/10/2012 - 05:58:33 ---A- . (...) -- C:\AdwCleaner[R1].txt [9966]
R3 - URLSearchHook: (no name) [64Bits] - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (.Adobe Systems - A plugin to detect whether the Adobe Application Manager is installed.) (No version) -- (.not file.)
OPT :O87 - FAEL: "{53EC997D-08BA-4468-A48E-D8A6F800CC1C}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
OPT :O87 - FAEL: "{17EE1BCA-53BA-493D-BD45-D5C0BD022D68}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
OPT :O87 - FAEL: "{1A3EDAA6-99FB-45B8-B33A-7D7C522EB057}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe
OPT :O87 - FAEL: "{A413EBAE-171C-45E7-BD09-0CAF9EB926CD}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe
SysRestore
EmptyTemp
EmptyFlash
FrewallRaz

-------------------------------------------


Puis Lance ZHPFix depuis le raccourci du bureau .par un Double clique (clique droit pour VISTA/7) sur son icône présente sur ton bureau



* Une fois l'outil ZHPFix ouvert , clique sur ce bouton :



* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .



Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.




[color]les lignes ci-dessus sont celles qui doivent apparaître dans la fenêtre de ZHPFix. Si ce n'est pas le cas, ne surtout pas cliquer sur le bouton GO.
Il faut veiller à bien copier les lignes.
* Clique sur ce bouton pour lancer le nettoyageolor=red]N.B.Il arrive que l'outil que tu vas utiliser ferme le processus "explorer.exe".
Il est possible qu'après son exécution, ton bureau reste sans icône et sans barre des tâches.

Pas de panique !! il suffit de relancer explorer.exe



Pour cela, tu presseras simultanément ctrl+alt+suppr pour ouvrir le gestionnaire de tâches


Une fois dans le gestionnaire, tu cliqueras sur "fichier" et sur "nouvelle tâche"


Dans le champ de saisie, tu taperas explorer.exe et tu cliqueras sur OK
Tout redeviendra normal


Poste moi le rapport

[dom2]

voici le rapport :


Rapport de ZHPFix 1.3.05 par Nicolas Coolman, Update du 09/10/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-26-10-2012-21-53-53.txt
Run by Dominique at 26/10/2012 21:53:53
Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://nicolascoolman.skyrock.com/



========== Logiciel(s) ==========
ABSENT Software Key: {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 O43 - CFD: 27/09/2012 - 17:34:22 - [60,385] ----D C:\Program Files (x86)\Spybot - Search Destroy

========== Clé(s) du Registre ==========
SUPPRIME Driver Key: SBRE

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: AdobeBridge
ABSENT RunValue: AdobeBridge
SUPPRIME URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}

========== Dossier(s) ==========
SUPPRIME Folder: C:\ProgramData\Spybot - Search Destroy
SUPPRIME Folder: C:\Users\Dominique\AppData\Local\d8b7b1aa
SUPPRIME Folder: C:\Users\Dominique\AppData\Local\OO Software GmbH
ABSENT C:\Users\Dominique\AppData\Local\U9Tfb0qPk O43 - CFD: 27/09/2012 - 17:34:22 - [60,385] ----D C:\Program Files (x86)\Spybot - Search Destroy
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME File: c:\users\dominique\desktop\continue media finder installation.lnk
ABSENT File: c:\temp\icreinstall_peugeot-citroen_navidrive_europe_rt3_2012_new.rar_downloader.exe
SUPPRIME File: c:\adwcleaner[s1].txt
SUPPRIME File: c:\adwcleaner[r1].txt
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Tache planifiée ==========
SUPPRIME Task: {5E0C9011-E59A-4BC0-ADBA-3FF754604D90}
SUPPRIME Task: Express Files Updater

========== Restauration Système ==========
Point de restauration non crée

========== Autre ==========
NON TRAITE OPT :O87 - FAEL: "{53EC997D-08BA-4468-A48E-D8A6F800CC1C}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
NON TRAITE OPT :O87 - FAEL: "{17EE1BCA-53BA-493D-BD45-D5C0BD022D68}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
NON TRAITE OPT :O87 - FAEL: "{1A3EDAA6-99FB-45B8-B33A-7D7C522EB057}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe
NON TRAITE OPT :O87 - FAEL: "{A413EBAE-171C-45E7-BD09-0CAF9EB926CD}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe
NON TRAITE FrewallRaz


========== Récapitulatif ==========
1 : Clé(s) du Registre
3 : Valeur(s) du Registre
6 : Dossier(s)
6 : Fichier(s)
1 : Logiciel(s)
2 : Tache planifiée
1 : Restauration Système
5 : Autre


End of clean in 02mn 05s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 24/10/2012 19:31:43 [593]
C:\ZHP\ZHPFix[R2].txt - 26/10/2012 21:53:53 [2805]

[rubised 3585]

OK .

Comment se comporte ton pc ?

Pour controle

Supprime le rapport de zhpDiag qui est sur ton bureau



Puis, Tu relance ZhpDiag par double clic sur son icône qui est sur ton bureau

Fais le en mode Administrateur


Dans sa fenêtre qui va s'afficher

Double clic sur la flèche verte
Afin de le mettre à jour


Et ensuite relance l'analyse comme tu l'as fais une première fois ,et poste moi aussi son rapport .

Bon courage et à te lire

[dom2]

zhpdiag etait a jour. tout a l'heure j'ai rebooté et au boot il m'a demander un fichier dans le repertoire c:/temp

voici le lien vers le nouveau rapport http://cjoint.com/?BJAw5hFXvgW

[rubised 3585]

Je suis en train d'analyser ton rapport.

Déjà il reste une infection par P2P (keigen) pas bon attention au P2P déjà dit

[MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS.exe (.not file.)
Infection Diverse
Trojan.Keygen
C:\Program Files\Vidalia Bundle\Tor\tor.exe


Si ce n'est pas indiscret que fais -tu avec ces sites P2P ??

je continue l'analyse

De plus: System drive C: has 0 GB (0%) free of 78 GB = Seuil critique dépassé

Ton disque dur est saturé il faudrais peut être penser à y faire de la place

Là je vais aller me reposer

Bonne nuit à demain

[dom2]

Bonjour, levé à 4h30 je suis dessus pour enlever ce qui consomme de la place. j'avais oublié que j'avais installé 2 logiciels photo très gourmands en espace disque ce qui expliquerait la situation. apres avoir retirer quelques softs qui ne servent pas. je ne trouve pas pour desinstaller i2p et imule, en fait ça encombre et je ne m'en sers pas. merci pour ton aide

[dom2]

Voilà, redimentionnement c est fait.

j'ai regardé je pas de fichier 'autikms.exe' dans windows. j'ai eu mais cela fait un certain temps qu'il a été supprimé.
concernant tor.exe j'en avait 2, l'un dans un repertoire tor et l'autre dans celui que tu as indiqué. l'ai été obigé d'utiliser tor car mon adresse ipv4 fait partie des adresse qui avait ete attribuée à ... l'urss. certain serveur me localisait en russie et je n'avait pas acces à certains sites. depuis que je suis passé en ipv6 ça passe même si je conserve encore mon adresse ipv4.

pour ma part je m'absente une semaine à partir de cet aprem. je pars bientôt et revient en fin de matinée.

voici le dernier rapport fait à l'instant de zhp en mode admin http://cjoint.com/?BJBiFAUMp4B. j'espere que le lien va passer.
à bientôt

[dom2]

bon ce n'est pas passé, en voici un autre http://demo.ovh.com/download/03545ce558 ... admin3.Txt

[rubised 3585]

Bonjour,

Suis de retour,mes excuses pour cette absence des fêtes de Toussaint.

Vu ton dernier rapport.

Résultat temps que tu n'auras pas supprimé tout ce qui est P2P,(e-mule et le reste,keigen)

on en reviendra au même point .

D'ou perte de temps pour nous deux,

Je demande donc ton accord pour que je puisses supprimer définitivement ces derniers.

A te lire