Security tool [Résolu]

essaie ainsi

redémarrer le pc en mode sans échec avec prise en charge réseau

http://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php


Télécharge rkill

Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
http://download.bleepingcomputer.com/grinler/rkill.exe
http://download.bleepingcomputer.com/grinler/rkill.exe

Rkill COM: Rkill COM:
http://download.bleepingcomputer.com/grinler/rkill.com
http://download.bleepingcomputer.com/grinler/rkill.com

Rkill SCR: Rkill RCS:
http://download.bleepingcomputer.com/grinler/rkill.scr
http://download.bleepingcomputer.com/grinler/rkill.scr



une fois qu'il aura terminé

Télécharge ZHPDiag ( de Nicolas coolman ).
http://telechargement.zebulon.fr/zhpdiag.html

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

ensuite

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


pour t'aider sur ci joijnt : http://www.commentcamarche.net/faq/29493-utiliser-cijoint

je vais essayer. Merci

quand je télécharge RKILL voici ce qu'il me marque :

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Administrateur on 26/09/2010 at 14:27:23.


Services Stopped:


Processes terminated by Rkill or while it was running:


C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\rkill(7).com


Rkill completed on 26/09/2010 at 14:27:26.


C'est normal ?

avec du mal pourtant simple, mais quand pas habitué !

http://www.cijoint.fr/cjlink.php?file=cj201009/cijTrBGYIh.txt

une version maison de windows !!!

beaucoup d'infections différentes

1)

poste moi le dernier rapport de MBAM sans le refaire

.............

2)

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
O2 - BHO: EOBHO - {C10DC1F4-CCDF-4224-A24D-B23AFC3573C8} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\EoRezo\EoRezoBHO.dll
O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (.not file.)
O23 - Service: SpyHunter 4 Service (SpyHunter 4 Service) . (.Enigma Software Group USA, LLC. - Service scanner interface.) - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.exe
O42 - Logiciel: EoRezo 10.3 - (.EoRezo.) [HKLM] -- EoRezo_is1
O42 - Logiciel: SpyHunter - (.Enigma Software Group USA, LLC.) [HKLM] -- {95431C66-CF9A-4913-BFFF-6050785AFB65}
O64 - Services: CurCS - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.exe - SpyHunter 4 Service (SpyHunter 4 Service) .(.Enigma Software Group USA, LLC. - Service scanner interface.) - LEGACY_SPYHUNTER_4_SERVICE
SS - | Auto 14/07/2010 326488 | SpyHunter 4 Service (SpyHunter 4 Service) . (.Enigma Software Group USA, LLC..) - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.exe
MBRfix
HOSTFix


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

.....................


3)

Téléchargez USBFIX de El Desaparecido, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
http://chiquitine.changelog.fr/UsbFix.exe

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
http://www.commentcamarche.net/faq/sujet-8343-vista-desactiver-l-uac

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

Double clic sur le raccourci UsbFix présent sur le bureau .

Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.

Si un message te demande de redémarrer l'ordinateur fais le ...

Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse


* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://chiquitine.changelog.fr/Sample/Upload.php

Il est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

......................

4)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir:

http://forum-aide-contre-virus.be/download/C_XX/AD-R.exe

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

je vais voir ce que je peux faire. ca me paraît vraiment compliqué !

c'est où que je peux trouver le dernier rapport de MBAM ?

j'ai trouvé le rapport MBAM :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijY8rUWmG.txt

rien n'est compliqué, tu suis pas à pas ce qui est écrit

pour mbam lance le, onglet rapport

quand je fais ok + tous + nettoyer, il me demande "voulez-vous désinstaller ce produit". J'ai mis oui et il me répond :

impossible d'accéder au service windows installer. ceci peut se produire si windows est en mode sans échec ou si le programme d'installation windows n'est pas bien installé.contacter votre support technique pour assistante.

Je dois faire quoi ?

pour quel programme as tu eu ce message ?

quand j'ai collé dans ZHPFIX le texte

ok

refais la manip

avec ce texte

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (.not file.)
MBRfix
HOSTFix

je suis désolé je suis peut-être bête avec mes questions, mais je ne trouve rien lorsque j'ouvre :

zhpdiag

Mais je l'ouvre depuis le bureau, car ne sais pas comment faire pour l'ouvrir autrement

ZHPfix et non ZHPdiag

ce serait ça le rapport ? :

Rapport de ZHPFix 1.12.32 par Nicolas Coolman, Update du 25/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-26-09-2010-17-38-30.txt
Run by Administrateur at 26/09/2010 17:38:30
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\Administrateur\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (.not file.) => Valeur absente

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

========== Fichier(s) ==========
c:\documents and settings\administrateur\application data\eorezo\softwareupdate\softwareupdatehp.exe () => Fichier absent

========== Fichier HOSTS ==========
Le fichier Hosts est sain

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x823DC1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x823dc1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

ok

maintenant

Téléchargez USBFIX de El Desaparecido, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
http://chiquitine.changelog.fr/UsbFix.exe

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
http://www.commentcamarche.net/faq/sujet-8343-vista-desactiver-l-uac

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

Double clic sur le raccourci UsbFix présent sur le bureau .

Choisir l'option2 suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.

Si un message te demande de redémarrer l'ordinateur fais le ...

Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse


* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://chiquitine.changelog.fr/Sample/Upload.php

Il est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

voici le copier coller rapport du USBfix. je dois faire quoi après ?

############################## | UsbFix 7.026 | [Suppression]

Utilisateur: Administrateur (Administrateur) # OXIDIUMSQUARE [ ]
Mis à jour le 24/09/10 par El Desaparecido / C_XX
Lancé à 17:50:37 | 26/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: AMD Sempron(tm) Processor 3000+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: avast! Antivirus 5.0.83886757 [Enabled | Updated]
RAM -> 510 Mo
C:\ (%systemdrive%) -> Disque fixe # 149 Go (80 Go libre(s) - 54%) [WINDOWS] # NTFS
D:\ -> CD-ROM
L:\ -> CD-ROM
M:\ -> CD-ROM

################## | Éléments infectieux |



################## | Registre |

Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsHistory
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsMenu
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSConfig

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e1daac09-b008-11de-a00e-00030d000001}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{eb0fd0fc-4936-11de-9f4e-001109164a75}

################## | Listing |

[14/04/2009 - 19:07:31 | A | 0] C:\AUTOEXEC.BAT
[26/09/2010 - 13:41:05 | RSH | 421] C:\boot.ini
[24/08/2001 - 16:00:00 | RASH | 4952] C:\Bootfont.bin
[09/11/2009 - 16:34:11 | D ] C:\cléusbaperture
[14/04/2009 - 19:12:58 | D ] C:\Documents and Settings
[27/07/2009 - 12:42:11 | A | 133171200] C:\EXTRCUST
[05/09/2010 - 11:14:06 | A | 519] C:\hpfr3420.xml
[05/09/2010 - 11:14:04 | A | 5448] C:\hpfr3425.log
[14/04/2009 - 19:07:31 | RASH | 0] C:\IO.SYS
[14/04/2009 - 19:07:31 | RASH | 0] C:\MSDOS.SYS
[22/12/2009 - 15:23:47 | RHD ] C:\MSOCache
[04/08/2004 - 01:38:34 | RASH | 47564] C:\NTDETECT.COM
[04/08/2004 - 01:59:44 | RASH | 251712] C:\ntldr
[26/09/2010 - 13:43:18 | ASH | 805306368] C:\pagefile.sys
[26/09/2010 - 14:30:38 | RD ] C:\Program Files
[26/09/2010 - 11:40:29 | A | 3559] C:\rapport.txt
[14/04/2009 - 19:20:07 | SHD ] C:\RECYCLER
[26/09/2010 - 14:32:38 | A | 432] C:\rkill.log
[25/09/2010 - 23:45:04 | D ] C:\sh4ldr
[27/07/2009 - 11:57:11 | A | 81920] C:\STATIC_EEP
[28/09/2009 - 17:00:55 | SHD ] C:\System Volume Information
[26/09/2010 - 17:52:48 | D ] C:\UsbFix
[26/09/2010 - 17:52:54 | A | 953] C:\UsbFix.txt
[26/09/2010 - 13:25:00 | D ] C:\WINDOWS
[26/09/2010 - 16:41:31 | A | 14076] C:\ZHPExportRegistry-26-09-2010-16-41-31.txt
[26/09/2010 - 16:42:22 | A | 1278] C:\ZHPExportRegistry-26-09-2010-16-42-22.txt
[26/09/2010 - 16:46:12 | A | 1278] C:\ZHPExportRegistry-26-09-2010-16-46-12.txt
[26/09/2010 - 17:34:52 | A | 1278] C:\ZHPExportRegistry-26-09-2010-17-34-52.txt
[26/09/2010 - 17:38:07 | A | 1278] C:\ZHPExportRegistry-26-09-2010-17-38-07.txt
[26/09/2010 - 17:38:30 | A | 1278] C:\ZHPExportRegistry-26-09-2010-17-38-30.txt

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

l'ordinateur ne m'a pas demandé de redémarrer

A priori je dois suivre le point 4. Mais je n'ai pas besoin de désactiver l'antivirus puisque je suis en mode sans échec ? Si oui comment faire SVP ? C'est Avast