Sasser ? Blaster ? autre ? au sercours! [Résolu]

Bonjour

On va faire une analyse de ton systéme.


* Télécharge ftp://zebulon.fr/ZHPDiag.exe ZHPDiag ( de Nicolas coolman ).
ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html (En bas de page).

***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

merci nanard !

voici le lien:

http://www.cijoint.fr/cjlink.php?file=cj201012/cij8kHsAJQ.txt

Ok,

Désolé Nanard et Jacque.Gaches

Je n'ai pas l'habitude de poster sur des forum, mes questions ayant généralement déjà trouvé une réponse.

Bon, il ne s'agit pas de mon ordinateur mais de celui d'un membre de ma famille qui m'a dit qu'il avait mis à jour son système.
Je n'ai donc pas vérifié.

Cela dit, ça ne change rien au problème de désinfection, non ?

Bonjour

comme te la indiqué Jacques il y a bien des failles de securité que l'on corrigera apres la desinfection.
Par contre il ya une ligne dans ton rapport qui me pose probléme.Enfin on verra aprés différent scan

* Télécharge et installe : Malwarebyte's Anti-Malware
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx)
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

Bonjour nanard.

J'ai suivi tes instructions. rien n'a été détecté.
voici le rapport :

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5406

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

28/12/2010 08:41:13
mbam-log-2010-12-28 (08-41-13).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 203799
Temps écoulé: 42 minute(s), 53 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

A faire dans l'ordre.

1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
[HKCU\Software\pdfforge.org]
[HKLM\Software\pdfforge.org]
O47 - AAKE:Key Export SP - "G:\Framakey\Skype\skype\skype.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "I:\PRGMS\uTorrentPortable\App\utorrent\uTorrent.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O51 - MPSK:{62b70145-d32f-11dd-a78d-0013cead9c4e}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\Knight.exe (.not file.)
O51 - MPSK:{62b70145-d32f-11dd-a78d-0013cead9c4e}\Shell\explore\command - Clé orpheline
O51 - MPSK:{62b70145-d32f-11dd-a78d-0013cead9c4e}\Shell\auto\command - Clé orpheline
O51 - MPSK:{62b70145-d32f-11dd-a78d-0013cead9c4e}\Shell\open\command - Clé orpheline
O51 - MPSK:{c6d4d428-9c76-11df-a2ef-0013cead9c4e}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\WIN-USB\INSTALLDIR\Programs\nu2menu\nu2menu.exe (.not file.)
[HKCU\Software\fAfvfSfP [fVf#f" fEfBfU [fh'Å ¶ ¬'³'ê'½f [fJf< fAfvfSfP [fVf#f"]




----------------------------------------------------------
* Clique sur"ok" (Tu dois avoir seulement les lignes copiées sur le forum)
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

=======================================================
Au sujet des toolbar voici un lien qui t'expliquera l'inutilité de ces barres d'outils.
http://forum.malekal.com/les-toolbars-c-est-pas-obligatoire-t6173.html

Merci Nanard !

Je ne suis plus avec l'ordi.
Je vais pouvoir faire cette manip demain soir je pense.

Tu penses savoir ce qui se passe ?

Pour ce qui est des barres d'outil je suis déjà convaincu. Mais l'ordi vérolé est celui d'une mère de famille qui laisse volontiers son pc aux gens de passage (enfants, amis...). Ces derniers ne font pas vraiment attention à laisser un pc "propre" derrière eux...

En tous cas merci encore de ton aide.

A demain.

Bonjour,

Je viens d'exécuter tes consignes.

Voici le rapport qui en résulte :

Rapport de ZHPFix 1.12.3227 par Nicolas Coolman, Update du 16/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-31-12-2010-12-48-44.txt
Run by Nadler at 31/12/2010 12:48:44
Windows XP Home Edition Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\pdfforge.org => Clé supprimée avec succès
HKLM\Software\pdfforge.org => Clé supprimée avec succès
O51 - MPSK:{62b70145-d32f-11dd-a78d-0013cead9c4e}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\Knight.exe (.not file.) => Clé supprimée avec succès
O51 - MPSK:{62b70145-d32f-11dd-a78d-0013cead9c4e}\Shell\explore\command - Clé orpheline => Clé absente
O51 - MPSK:{62b70145-d32f-11dd-a78d-0013cead9c4e}\Shell\auto\command - Clé orpheline => Clé absente
O51 - MPSK:{62b70145-d32f-11dd-a78d-0013cead9c4e}\Shell\open\command - Clé orpheline => Clé absente
O51 - MPSK:{c6d4d428-9c76-11df-a2ef-0013cead9c4e}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\WIN-USB\INSTALLDIR\Programs\nu2menu\nu2menu.exe (.not file.) => Clé supprimée avec succès
HKCU\Software\fAfvfSfP [fVf#f" fEfBfU [fh'Å ¶ ¬'³'ê'½f [fJf< fAfvfSfP [fVf#f" => Clé absente

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "G:\Framakey\Skype\skype\skype.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "I:\PRGMS\uTorrentPortable\App\utorrent\uTorrent.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès


========== Récapitulatif ==========
8 : Clé(s) du Registre
2 : Valeur(s) du Registre


End of the scan

Bonjour

Tres bien on avance.

Le service pack 3 de Windows XP (XP SP3) est une mise à jour majeure de Windows XP apportant plus de 1000 correctifs logiciels dont un bon nombre concerne des corrections de failles de sécurité ainsi que quelques fonctionnalités supplémentaires.
Télécharges et installes. http://www.commentcamarche.net/download/telecharger-34055430-sp3-windows-xp
==================================
Java n'est pas à jour, c'est une faille de sécurité.
1. Tu dois en premier désinstaller l'ancienne version .
2. Ouvre le menu démarrer
3. Clic sur panneau de configuration
4. Rends toi a ajout/suppression de programmes
5. Sélectionne toutes les versions de java présentes et désinstalles les.
6. Ensuite, télécharges et installes la nouvelle version de java (n'installes pas la barre d'outil proposée lors de l'installation)
===================================
Adobe n'est pas a jour.Par le panneau de configuration desinstalles le programme et réinstalles la derniere version a l'aide de ce lien.Penses a décocher la case de Mc Affe scan Plus.
http://get.adobe.com/fr/reader/
===================================
Télécharger Eset Nod32 :
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe
* Lancer le fichier
* Accepter les conditions
* Autoriser le programme à accéder à Internet
* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)
* Téléchargement des signatures


Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte !

* Le scan débute dés la fin du téléchargement
* Générer le rapport
* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte...



Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum.
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt

Pour vous aider voici un tuto rédigé par dorgane :
http://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

Bonjour nanard,

Depuis la Maj, le pc démarre normalement. Plus de problème de svshost, plus de décompte...

Cependant, lors du scan un virus à été trouvé.
Dernière précision, je me suis planté lors du premier scan. j'en ai donc refait un.

Voici le rapport :

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6419
# api_version=3.0.2
# EOSSerial=106f728bc3bf5e42a3b24d0400c17d3b
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-12-31 08:13:08
# local_time=2010-12-31 09:13:08 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=770 16774117 100 97 23167300 230108123 0 0
# compatibility_mode=8192 67108863 100 0 4480 4480 0 0
# compatibility_mode=9217 16777214 75 66 444041 8046499 0 0
# scanned=79097
# found=0
# cleaned=0
# scan_time=3020
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6419
# api_version=3.0.2
# EOSSerial=106f728bc3bf5e42a3b24d0400c17d3b
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2011-01-01 09:36:40
# local_time=2011-01-01 10:36:40 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=770 16774117 100 97 23213472 230154295 0 0
# compatibility_mode=8192 67108863 100 0 50652 50652 0 0
# compatibility_mode=9217 16777214 75 66 490213 8092671 0 0
# scanned=79151
# found=1
# cleaned=1
# scan_time=5061
C:\Documents and Settings\Nadler\Mes documents\Programmes\zlsSetup_70_483_000_fr.exe une variante de Win32/AdInstaller application (supprimé - mis en quarantaine) 00000000000000000000000000000000 C

Au fait... Une très bonne année à toi !

Meilleurs voeux pour l'année 2011.

le fichier mis en quarantaine par eset est le fichier setup de Zone Alarm.
- Télécharge : RegSeeker (Thibaud Djian) A dézipper dans un dossier nommé C:\Regseeker


* Ouvre le dossier C:\Regseeker, double clic sur Regseeker.exe
* Pour le mettre en français clique en haut à droite sur Languages choisis Français (French.lng)
* Vérifie en bas à gauche que la case devant Backup avant suppression est bien cochée


* Clique ensuite Rechercher

* Coches seulement hkey_ current_ user et clé +valeur+ données

* Tape ==>fAfvfSfP <==dans la Zone de recherche clique sur Chercher !

* La recherche finie Clique sur Sélection ==> Sélectionner tout

* Clique ensuite sur Action ==> Supprimer les éléments sélectionnés

une fois terminé fais ceci.
Post un nouveau rapport zhpdiag.
Héberge le rapport ZHPDiag.txt sur le site cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Nanard,

regseeker n'a rien trouvé.

Voici le lien du rapport de ZHPdiag :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijgnMVbvf.txt

ok

Aucune infection sur ton dernier rapport.je t'encourage a retirer les toolbar Zone alarm et conduit.

Pour éliminer les programmes de desinfections.

Téléchargez :DelFix sur votre bureau.
Lancez le, tapez 1 et validez en appuyant sur [Entrée]
Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSearch.txt


=========================================================
Désactive et réactive la Restauration du système sous windows xp.
Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire :
[1] Dans la barre des tâches de Windows, clique sur Démarrer.
[2] Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
[3 ] Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
[4 ] Clique sur Appliquer.
[5 ] Ensuite décoche "Désactiver la restauration du systeme"
[6 ] clique sur appliquer puis ok
[7 ] vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom :(exemple :fin de désinfections) puis tu valides.
[8]Pensé a vider la corbeille.
=========================================================

Tu peux mettre ton problème en résolu !!http://www.commentcamarche.net/faq/11365-marquer-un-fil-de-discussion-comme-etant-resolu

Merci Nanard pour ton aide !