FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
#24747
Hello!

Je reprends le sujet.

Rien ne va sur ton PC, nous allons passer à la manière forte.
  • Télécharge ComboFix (de sUBs) sur ton bureau et pas à un autre endroit. Avant de le télécharger, renomme le en fei.exe

    /!\ Ferme toutes les fenêtres ouvertes /!\
    /!\ Attention, combofix est un programme puissant à ne pas utiliser sans prescription par une personne qualifier /!\
  • Double clique sur fei.exe afin de le lancer. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
  • Clique sur Oui.
  • Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.

    /!\ Déconnecte-toi du net APRES l'installation de la console de récupération /!\
  • Si tu as installé la console de récupération, répond Oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes, je touche même pas à la souris et au clavier, ça pourrait figer ton PC /!\
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
++
#24748
heu... roro tu as vu quoi pour passer CF la??
DDS montre deux adwares et RSIT deux adware + une éventuelle infection bagle qui à été démenti par FindyKill...

Ha moins que j'ai loupé un épisode, un script, les utilitaires de désinstallation et c'est fini...
#24749
ps: quand j'ai poste je n'avais pas vu que roro et 91300 étaient venu a mon aide merci

bonsoir

ne soit pas désoler je suis grand et surtout j'ai d'autre amis même ici qui seront ravis dus moins je le pense de reprendre le flambeau

par contre si j'ai utilise RSIT c'est parce que @91300 me l'avait demandé
regarde
http://www.forum-entraide-informatique. ... ider#24530

après je pense mais ca c'est chacun sa méthode qu'il fallut d'abord désinfecter avant de désinstaller quoi que ce soit

je te souhaites aussi une bonne semaine et un bon dimanche

merci pour tout
#24751
Salut Martin,
Pas de souci, chacun sa méthode et son coeur.

Je ne pouvais pas lancer ComboFix; mais fais-le, suivant les conseils de roro04. == voir plus bas, le "Mode opératoire" officiel.

Non, le principe de "Désinfecter avant de désinstaller" ne tient pas la route.
J'y préfère le principe "D'abord rendre l'infection inactive".
Nous n'avons pas commis d'erreur flagrante; nous avons seulement manqué d'informations sur l'état et le contenu de ce PC (qui n'est pas le tien -- ce qui entraîne que tu ne puisses en faire ce que tu veux en nous suivant dans les procédures).

Encore une fois, il n'y a pas de souci.
Bon dimanche.
Albert.

Salut TLM
Ici, il pleut !! et fait froid !!

PS
@roro04 Avant de le télécharger, renomme le en fei.exeNon, c'est lors de l'enregistrement qu'il faut le renommer (avant de cliquer sur [Enregistrer]) .
== lire plus bas, le "Mode opératoire".

Et son PC est sous VISTA.Les utilisateurs de Windows Vista et Windows 7 n'ont pas de Console de récupération, mais ils ont à la place un outil de récupération nommé Environnement de récupération système. Ce nouvel outil de récupération est parfois préinstallé sur votre ordinateur par le fabricant, et on peut y accéder via le menu de démarrage Windows. S'il n'est pas pré-installé, vous devrez faire redémarrer votre ordinateur via le DVD Windows pour y avoir accès.
Connecter tous les disques amovibles (disque dur externe, clé USB…).

Avant d'installer ComboFix, lire ce "Mode opératoire" : http://www.bleepingcomputer.com/combofi ... r-combofix
Lancement Sur l’icône [combofix.exe] (éventuellement renommé),
- Sous Vista ou Windows 7 = faire clic-droit, et choisir [Exécuter en tant qu’administrateur]
- Accepter la mise à jour de CF, éventuellement aussi vers la dernière version CF.
Il y aura 50 étapes; après quoi le bureau s'éteint. Attendre.
Il y aura un redémarre du PC.
Laisser faire jusqu'à la production du compte-rendu.
Durée ± 15 minutes si peu ou pas infecté.

Cordialement.
Al.
#24758
Hello Martin,

Qu'attends-tu pour lancer ComboFix ?
De qui dépend la confirmation d'utilisation proposée ?
Je t'ai invité à suivre roro04 en l'occurrence.


Comment veux-tu avancer si ton souci nécessite que chaque décision soit collégiale, ... après des échanges éventuellement "cachés" en MP ?
Manifestement, il y a beaucoup de corrosion dans ce PC, et autour ...
AMHA, tout cela dépasse le raisonnable.
Si tu as des questions à poser, chacun doit faire en sorte qu'elles profitent au plus grand nombre.

Albert
#24766
re

rapport log de combofix

ComboFix 12-06-03.01 - Utilisateur 03/06/2012  13:42:38.1.1 - x86
Microsoft® Windows Vista™ Édition Familiale Premium  6.0.6002.2.1252.33.1036.18.2815.1827 [GMT 2:00]
Lancé depuis: c:\users\Utilisateur\Desktop\fei.exe.exe
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Autres suppressions  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Public\Windows Live Messenger .lnk
c:\windows\system32\avisynth.dll
c:\windows\system32\devil.dll
.
.
(((((((((((((((((((((((((((((  Fichiers créés du 2012-05-03 au 2012-06-03  ))))))))))))))))))))))))))))))))))))
.
.
2012-06-03 11:49 . 2012-06-03 11:49   --------   d-----w-   c:\users\Thomas\AppData\Local\temp
2012-06-02 14:12 . 2012-05-08 16:40   6737808   ----a-w-   c:\programdata\Microsoft\Windows Defender\Definition Updates\{53419786-817E-48E1-9B26-CD33DE842F39}\mpengine.dll
2012-06-02 11:45 . 2012-06-02 11:46   --------   d-----w-   c:\program files\ZHPDiag
2012-06-02 11:14 . 2012-06-02 11:14   1984   ----a-w-   C:\FixitRegBackup.reg
2012-05-31 21:06 . 2012-05-31 21:06   --------   d-----w-   C:\FyK
2012-05-30 22:28 . 2012-05-30 22:28   --------   d-----w-   c:\program files\trend micro
2012-05-30 22:28 . 2012-05-30 22:28   --------   d-----w-   C:\rsit
2012-05-30 04:05 . 2012-05-30 04:05   --------   d--h--w-   c:\windows\msdownld.tmp
2012-05-29 22:25 . 2012-05-29 22:25   15712   ----a-w-   c:\program files\Common Files\Windows Live\.cache\38d8bf41cd3dea03\MeshBetaRemover.exe
2012-05-29 22:25 . 2012-05-29 22:25   89944   ----a-w-   c:\program files\Common Files\Windows Live\.cache\c655a41cd3dea02\DSETUP.dll
2012-05-29 22:25 . 2012-05-29 22:25   537432   ----a-w-   c:\program files\Common Files\Windows Live\.cache\c655a41cd3dea02\DXSETUP.exe
2012-05-29 22:25 . 2012-05-29 22:25   1801048   ----a-w-   c:\program files\Common Files\Windows Live\.cache\c655a41cd3dea02\dsetup32.dll
2012-05-29 21:54 . 2011-11-18 20:23   1205064   ----a-w-   c:\windows\system32\ntdll.dll
2012-05-22 19:24 . 2012-06-01 22:44   --------   d-----w-   c:\users\Utilisateur\AppData\Roaming\QuickScan
2012-05-22 16:23 . 2012-05-22 16:23   --------   d-----w-   c:\program files\VS Revo Group
2012-05-22 16:11 . 2012-05-22 16:11   --------   d-----w-   c:\users\Utilisateur\AppData\Roaming\Malwarebytes
2012-05-22 16:11 . 2012-05-22 16:11   --------   d-----w-   c:\programdata\Malwarebytes
2012-05-22 16:11 . 2012-05-22 16:20   --------   d-----w-   c:\program files\Malwarebytes' Anti-Malware
2012-05-22 16:11 . 2012-04-04 13:56   22344   ----a-w-   c:\windows\system32\drivers\mbam.sys
2012-05-22 15:43 . 2012-05-22 15:43   --------   d-----w-   c:\users\Utilisateur\AppData\Local\Windows Live Writer
2012-05-22 15:43 . 2012-05-22 15:43   --------   d-----w-   c:\users\Utilisateur\AppData\Roaming\Windows Live Writer
2012-05-22 15:38 . 2012-05-22 15:38   --------   d-----w-   c:\users\Utilisateur\AppData\Local\Mozilla
2012-05-22 15:38 . 2012-05-22 15:38   --------   d-----w-   c:\program files\Mozilla Maintenance Service
2012-05-22 15:33 . 2008-01-18 21:34   89600   ----a-w-   c:\windows\system32\Spool\prtprocs\w32x86\HPZPPLHN.DLL
2012-05-12 23:19 . 2012-05-13 07:27   --------   d-----w-   c:\users\Utilisateur\DoctorWeb
2012-05-12 14:44 . 2010-04-05 20:00   221568   ----a-w-   c:\windows\system32\drivers\netio.sys
2012-05-11 20:31 . 1999-11-12 03:11   183808   ----a-w-   c:\windows\system32\BDEADMIN.CPL
2012-05-11 20:31 . 1999-01-20 03:01   210032   ----a-w-   c:\windows\system32\DBCLIENT.DLL
2012-05-11 20:31 . 2012-05-11 20:31   --------   d-----w-   c:\program files\Common Files\Borland Shared
2012-05-11 20:24 . 2012-06-02 11:46   --------   d-----w-   C:\ZHP
2012-05-11 18:47 . 2012-06-01 15:29   --------   d-----w-   c:\program files\CCleaner
2012-05-11 17:41 . 2012-05-11 17:41   --------   d-----w-   c:\program files\Lavalys
2012-05-11 17:16 . 2012-05-11 17:16   --------   d-----w-   c:\program files\Common Files\Java
2012-05-11 17:15 . 2012-05-11 17:15   476960   ----a-w-   c:\windows\system32\npdeployJava1.dll
2012-05-11 17:12 . 2012-04-03 08:16   3602816   ----a-w-   c:\windows\system32\ntkrnlpa.exe
2012-05-11 17:12 . 2012-04-03 08:16   3550080   ----a-w-   c:\windows\system32\ntoskrnl.exe
2012-05-11 17:12 . 2012-04-02 13:36   2044928   ----a-w-   c:\windows\system32\win32k.sys
2012-05-11 17:12 . 2012-03-20 23:28   53120   ----a-w-   c:\windows\system32\drivers\partmgr.sys
2012-05-11 17:05 . 2012-05-11 17:05   --------   d-----w-   c:\program files\Common Files\PX Storage Engine
2012-05-07 18:33 . 2012-05-07 18:33   --------   d-----w-   c:\program files\Dealio Toolbar(47)
2012-05-07 18:33 . 2012-05-07 18:33   --------   d-----w-   c:\program files\Common Files\Spigot(46)
.
.
.
((((((((((((((((((((((((((((((((((  Compte-rendu de Find3M  ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-02 11:13 . 2012-03-30 17:39   419488   ----a-w-   c:\windows\system32\FlashPlayerApp.exe
2012-06-02 11:13 . 2011-05-23 18:34   70304   ----a-w-   c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-11 17:15 . 2010-09-20 18:06   472864   ----a-w-   c:\windows\system32\deployJava1.dll
2012-04-21 01:18 . 2012-05-22 15:38   97208   ----a-w-   c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((  Points de chargement Reg  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2006-12-01 4186112]
"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-11-23 319488]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-19 13535776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-19 92704]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-02-04 281768]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Assistant du gestionnaire de contenu pour PlayStation(R).lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Assistant du gestionnaire de contenu pour PlayStation(R).lnk
backup=c:\windows\pss\Assistant du gestionnaire de contenu pour PlayStation(R).lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Empowering Technology Launcher.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Empowering Technology Launcher.lnk
backup=c:\windows\pss\Empowering Technology Launcher.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WiFi Station.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\WiFi Station.lnk
backup=c:\windows\pss\WiFi Station.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Utilisateur^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]
path=c:\users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\?????????]
??????????????e [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-02 09:07   843712   ----a-r-   c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-03-27 12:41   37296   ----a-w-   c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2012-02-20 20:28   59240   ----a-w-   c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eDataSecurity Loader]
2006-11-17 06:26   453120   ----a-w-   c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX4400 Series]
2007-03-01 04:01   180736   ----a-w-   c:\windows\System32\spool\drivers\w32x86\3\E_FATICAE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-09-16 15:55   136176   ----atw-   c:\users\Utilisateur\AppData\Local\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2012-03-27 03:09   421736   ----a-w-   c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam]
2010-05-20 13:27   119152   ----a-w-   c:\program files\Microsoft LifeCam\LifeExp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
2012-02-28 16:38   1987976   ----a-w-   c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2011-05-13 15:03   4283256   ----a-w-   c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\orangeinside]
2010-08-17 13:32   858624   ----a-w-   c:\users\Utilisateur\AppData\Roaming\Orange\OrangeInside\one\OrangeInside.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2011-10-24 13:28   421888   ----a-w-   c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
2009-04-10 21:28   1233920   ----a-w-   c:\program files\Windows Sidebar\sidebar.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-01-18 12:02   254696   ----a-w-   c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VX1000]
2010-05-20 13:27   762736   ----a-w-   c:\windows\vVX1000.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-18 21:38   1008184   ----a-w-   c:\program files\Windows Defender\MSASCui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-02 257696]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation   REG_MULTI_SZ     FontCache
Akamai   REG_MULTI_SZ     Akamai
.
Contenu du dossier 'Tâches planifiées'
.
2012-06-02 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 11:13]
.
2012-06-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-17 12:49]
.
2012-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-17 12:49]
.
2012-05-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-20981003-728860430-1708586717-1000Core.job
- c:\users\Utilisateur\AppData\Local\Google\Update\GoogleUpdate.exe [2010-09-20 15:55]
.
2012-06-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-20981003-728860430-1708586717-1000UA.job
- c:\users\Utilisateur\AppData\Local\Google\Update\GoogleUpdate.exe [2010-09-20 15:55]
.
2012-05-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-20981003-728860430-1708586717-1001Core.job
- c:\users\Thomas\AppData\Local\Google\Update\GoogleUpdate.exe [2010-09-19 15:55]
.
2012-06-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-20981003-728860430-1708586717-1001UA.job
- c:\users\Thomas\AppData\Local\Google\Update\GoogleUpdate.exe [2010-09-19 15:55]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: _ajouter cette page à vos favoris Orange - c:\users\Utilisateur\AppData\Roaming\Orange\OrangeInside\src\addfavorites_html\addfavorites.html
IE: _envoyer le texte sélectionné par sms - c:\users\Utilisateur\AppData\Roaming\Orange\OrangeInside\src\sendsmsselectedtext_html\sendsmsselectedtext.html
IE: _envoyer par sms - c:\users\Utilisateur\AppData\Roaming\Orange\OrangeInside\src\sendsms_html\sendsms.html
IE: _envoyer un mail - c:\users\Utilisateur\AppData\Roaming\Orange\OrangeInside\src\sendmail_html\sendmail.html
IE: _orange.fr - c:\users\Utilisateur\AppData\Roaming\Orange\OrangeInside\src\orange_html\orange.html
IE: _rechercher le texte sélectionné - c:\users\Utilisateur\AppData\Roaming\Orange\OrangeInside\src\selectedsearch_html\selectedsearch.html
IE: _traduire la page - c:\users\Utilisateur\AppData\Roaming\Orange\OrangeInside\src\translate_html\translate.html
IE: _traduire le texte sélectionné - c:\users\Utilisateur\AppData\Roaming\Orange\OrangeInside\src\translateSelectedText_html\translateSelectedText.html
Trusted Zone: orange.fr\logicielsgratuits
DPF: {5A779DC0-837B-4590-AC42-C7C0847478C5} - hxxp://logicielsgratuits.orange.fr/download_service/Install/OrangeInstaller.cab
FF - ProfilePath - c:\users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\ufj03b5a.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-10 - (no file)
HKLM-Run-Acer Tour - (no file)
HKLM-Run-eRecoveryService - (no file)
MSConfigStartUp-Raptr - c:\progra~1\Raptr\raptrstub.exe
MSConfigStartUp-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-03 13:49
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Akamai]
"ServiceDll"="c:\program files\common files\akamai/netsession_win_80c2ffa.dll"
.
Heure de fin: 2012-06-03  13:52:55
ComboFix-quarantined-files.txt  2012-06-03 11:52
.
Avant-CF: 17 180 704 768 octets libres
Après-CF: 26 025 754 624 octets libres
.
- - End Of File - - AE0345E64E7678CB030DE6868A665EEF

encore merci au intervenant

bon dimanche

merci roro zhpdiag fonctionne normalement

je te poste son rapport

http://cjoint.com/?BFdoFE1DSaV

a tout
#24781
Re,

Firefox n'est pas à jour. Télécharge le Ici et installe-le.

Adobe reader n'est pas non plus à jour. Lance le puis clique sur Aide - Rechercher les mises à jour. Télécharge et installe la mise à jour proposée.

OpenOffice n'est pas à jour. Télécharge le Ici et installe-le.

On va supprimer quelques lignes manuellement
  • Clique sur l'icône ZHPFix présente sur ton bureau. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
  • Clique sur le H bleu.
  • Copie/Colle le texte en gras ci-dessous.

    O43 - CFD: 07/05/2012 - 20:33:14 - [0,008] ----D C:\Program Files\Common Files\Spigot(46)
    O42 - Logiciel: Mars to Earth - (.IncaGold plc.) [HKLM] -- {20FDB9EC-5972-4CD1-A411-8B65CE644176}
    O43 - CFD: 11/05/2012 - 20:50:32 - [0,004] ----D C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mars to Earth
    O43 - CFD: 07/05/2012 - 20:33:15 - [0,037] ----D C:\Program Files\Dealio Toolbar(47) = Infection PUP (PUP.Dealio)
    O43 - CFD: 19/03/2011 - 23:26:29 - [0,355] ----D C:\Users\Utilisateur\AppData\Local\freecompressor Air = Infection BT (Adware.SPointer)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{4BD271AB-66E2-4D58-AF88-80FE3B0770C4}] = Infection PUP (Adware.Bandoo)
    O43 - CFD: 10/03/2012 - 22:05:13 - [0] ----D C:\Users\Utilisateur\AppData\Local\{09D3507A-24F2-445A-8276-D93CF9C86BD6}
    O43 - CFD: 30/05/2012 - 00:32:32 - [0] ----D C:\Users\Utilisateur\AppData\Local\{2B97D85D-11CB-4C9D-AFCD-71A15E39F847}
    O43 - CFD: 10/03/2012 - 22:04:41 - [0] ----D C:\Users\Utilisateur\AppData\Local\{586CA377-AA07-4109-9989-C5ED4E7F2CF8}
    O43 - CFD: 27/07/2011 - 13:54:37 - [0] ----D C:\Users\Utilisateur\AppData\Local\{62A4B19E-91D6-45C2-9A84-7408C848A2E6}
    O43 - CFD: 06/06/2011 - 19:21:34 - [0] ----D C:\Users\Utilisateur\AppData\Local\{7BEECFF6-7C67-4FFD-8133-1E6CA3A90B99}
    O43 - CFD: 22/05/2012 - 17:44:44 - [0] ----D C:\Users\Utilisateur\AppData\Local\{91F3E444-4AD6-4C62-86C2-76BCE5A020F5}
    O43 - CFD: 22/05/2012 - 17:43:24 - [0] ----D C:\Users\Utilisateur\AppData\Local\{D9627F20-A529-4671-9E89-56EBECDA7BBB}
    O43 - CFD: 06/06/2011 - 19:21:50 - [0] ----D C:\Users\Utilisateur\AppData\Local\{ECCBB58B-346E-4475-B23C-79AD6E80D6F1}
    OPT:O4 - Global Startup: C:\Users\Thomas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MinecraftSP - Raccourci.lnk . (...) -- C:\Users\Utilisateur\Desktop\MinecraftSP.exe (.not file.)
    O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} . (.HiTRUST - ActiveToolBand Module.) -- C:\Windows\system32\ActiveToolBand.dll
    [HKCU\Software\Ask.com.tmp] = Toolbar.Ask
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6ad30cb8-7064-4664-8039-d9bb95cba878}] = Toolbar.Agent
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{85fe1096-281b-4cb9-82b6-d8eba5830035}] = Toolbar.Agent
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{85fe1096-281b-4cb9-82b6-d8eba5830035}] = Toolbar.Agent
    [HKCU\Software\Ask.com.tmp] = Toolbar.Ask
  • Clique sur Go.
  • Poste le rapport qui s'affiche.
++
#24862
Re,


ZHPFix a bien bossé.

Pour ta page qui s'ouvre au démarrage de firefox, c'est un module complémentaire qui sert a raffraichir une page automatiquement à intervalles de temps réguliers.

Si tu n'en a pas besoin, nous allons la désactiver
  • Ouvre firefox
  • Appuis sur la touche Alt de ton clavier, la barre de menu apparait.
  • Clique sur Outils puis Modules complémentaires.
  • Dans Extensions, clique sur Reload Every.
  • A droite, clique sur Désinstaller et accepte le redémarrage de Firefox
++
#24869
bonsoir

merci roro mais je vais le garder le module par contre je vais regarder pour que cette page ne s'affiche plus

tu dis que zhpfix a bien bosse ??

c'est qu'on a fini

j'ai remarque une nette amélioration du pc par contre j'ai des applications quine fonctionne plus mais ce n'est pas grave car je l'ai réinstalle

passe une bonne soirée et encore chapeau bas

bon bouleau
#24928
Re,

Désolé de ne pas te répondre rapidement je fais ce que je peux.

Oui, la désinfection est finie mais maintenant il faut finaliser pour éviter que tes infections reviennent.


Si nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan.
Autrement, installes-le, c'est un antimalware très efficace. Tu trouveras un tuto complet Ici

1- Nous allons mettre à jour ton pc.

Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant.

1ère étape : Java

  • Télécharge JavaRa puis décompresse le sur ton bureau.
  • Ouvre le dossier JavaRa puis exécute JavaRa.exe.
  • Clique sur "Search For Updates".
  • Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
  • Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
  • Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
  • Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ".
  • Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message.
/!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à Cette adresse puis passe directement à la partie " Remove Older Versions " /!\

2ème étape : Adobe Reader
  • Si tu utilises adobe reader, il est important qu'il soit à jour.
  • Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC ( Voir ici )
  • Pour vérifier qu'adobe reader est à jour, lance le puis clique sur Aide - Rechercher les mises à jour
3ème étape : Mise à jour des logiciels
  • Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
  • Télécharge le Ici
  • Un tutoriel pour son utilisation est disponible Ici.

2- Vacciner les supports amovibles
  • Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent.
  • Télécharge USBfix puis lance le. (Clique droit/Exéuter en tent qu'administrateur pour Vista/7).
  • Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option Vacciner.
  • Appuie sur Ok au message de confirmation.
  • Une fois la vaccination terminée, relance usbfix et choisis l'option Désinstaller.
Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif )


3- DelFix
  • Télécharge DelFix sur ton bureau.
  • Lance le.
  • Clique sur Suppression.
  • Patiente pendant le scan jusqu'à l'ouverture du rapport.
  • Copie/Colle le contenu du rapport dans ta prochaine réponse.
  • Relance Delfix et clique sur Désinstallation.
Note : Le rapport se trouve également sous C:\DelFixSuppr


4- Optimisation

1ère étape : Suppression des fichiers inutiles

  • Télécharge CCleaner
  • Installe le, puis lance le.
  • Va dans l'onglet Options puis Avancé et décoche Effacer uniquement les fichiers[...].
  • Cliques sur l'onglet Nettoyeur puis cliques sur Analyser. A la fin de l'analyse, clique sur Nettoyer.
  • Rends toi à l'onglet Registre puis cliques sur Chercher les erreurs. Cliques ensuite sur Corriger les erreurs séléctionnées.
  • Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression )
  • Cliques ensuite sur Corriger toutes les erreurs sélectionnées puis sur Fermer
  • Tu peux renouveller ces opérations tous les jours.
2ème étape : Défragmentation

Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.
  • Télécharge Defraggler.
  • Un tutoriel pour son utilisation est disponible Ici.
3ème étape : Vérification des disques
  • Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
  • Clique sur Propriété puis sur l'onglet Outils
  • Clique sur Vérifier maintenant puis coche les deux cases présentes.
  • Clique sur Démarrer ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage )
4ème étape : Désactivation des programmes au démarrage
  • Clique sur Démarrer puis Exécuter.
  • Tape msconfig et valide par ok.
  • A l'onglet Démarrage , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu / Ordinateur (programmes acer...).
  • Clique sur Appliquer puis ok et redémarre ton PC.

4- Purge de la restauration système


La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

5- UAC ( Uniquement pour Vista/Seven )

Si tu as désactivé l'UAC, il est important de la réactiver.

- Pourquoi garder l'UAC activée?


6- Security Check


Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme.
  • Télécharge Security Check ( de Screen317 ) sur ton bureau.
  • Lance le, patiente pendant le scan puis poste le rapport qui s'ouvrira dans ta prochaine réponse.
  • Une fois le rapport posté, tu peux supprimer Security Check.
7- Liens utiles

Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire

++
#24991
Salut roro & Martin

@Martin,
Content d'avoir pu apporter ma modeste contribution à ce topic.
J'ai remarqué qu'il restait des traces de vieilles versions JAVA. ...

Pour info complémentaire === à réaliser si tu utilises FF.
Plusieurs nouveaux défauts de sécurité critiques ont été identifiés dans
le navigateur Firefox et la messagerie Thunderbird de Mozilla, ainsi que
dans l'application Internet intégrée SeaMonkey. Plus d'informations :
http://www.secuser.com/vulnerabilite/20 ... erbird.htm

Bonne continuation.
Albert.
#25032
Bonjour,

ZHPDiag ne fonctionnait pas à cause d'un conflit entre Microsoft Security Essentials d'une part, et Antivir d'autre part.

ComboFix n'a servi à rien dans ce cas. Il est illusoire de croire que ComboFix a des propriétés magiques qui ont permis à ZHPDiag de fonctionner correctement.
On remarque sur le log de ComboFix que "MSE" a été désinstallé - on aurait pu ré-essayer ZHPDiag juste après la désinstallation dont il est question (et ça aurait fonctionné )

Cordialement
#25067
Bonsoir,

Non, je n'en ai pas parlé avec lui, mais j'ai vu tes messages sur son blog, et c'est ce qui m'a amené ici.

Je n'ai que lu les rapports et constaté.

ComboFix n'a rien fait du tout, c'est la désinstallation de Microsoft Security Essential qui a permis le lancement de ZHPDiag.

A+
#25102
Hello TLM

a)- http://www.forum-entraide-informatique. ... ider#23558 - Quels sont les logiciels de protection en cours sur ton PC ?
Par exemple, le mieux est de "Désactiver l'Antispyware, et la protection proactive de Avast (valable si tu as la version 6).Donc, l'internaute connaissant son PC pouvait "désactiver MSE et la protection AntiVir".

B)- http://www.forum-entraide-informatique. ... ider#24697 - Microsoft%Security Essentials
- Microsoft Windows Live OneCare Family Safety
- Microsoft Windows Defender
C)- http://www.forum-entraide-informatique. ... ider#24718


"Paenitenda aeternam"

Merci juju666
Albert

Bonjour, J'ai un souci avec mon très vieux[…]

:bonjour: aide: https://lecrabeinfo.net/medicat[…]

New crash game Plinko

För mig handlar det om att ha tillgång […]

Bug PC

Re je n' ai plus accés à vos donn&e[…]