Rapport zhpdiag... besoin helper [Résolu]

Bonjour,

Ta version de ZHPDiag n'est pas à jour.
Relance le clique sur la flèche verte pour faire la mise à jour. refais un scan et poste le rapport via ce ce site:
http://pjjoint.malekal.com/

Smart

Bonjour, Merci pour ta réponse, c'est bon voila le rapport:

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120124_b11j10l1410s10

PS: désolé pour le temps...

Je ne vois rien de très méchant sur ton PC, à part des choses inutiles

Tu vas faire ceci:

- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 1 [SCAN] et valide
- Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe

Smart

C'est bon voila le rapport:

RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: terki1 [Droits d'admin]
Mode: Recherche -- Date : 25/01/2012 12:33:37

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKLM\[...]\RunOnce : InnoSetupRegFile.0000000001 ("C:\Windows\is-EDF3M.exe" /REG /REGSVRMODE) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 94d5cee94f62242e12097fe839e72c54
[BSP] 4b6cd879f1d26c3f243787dffe05fa95 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 487863 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 952860672 | Size: 12240 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

OK.

Relance RogueKiller, choisis l'option 2 et poste le rapport

Ensuite tu vas faire ceci:
- Télécharge sur ton bureau AdwCleaner de Xplode
- Choisis "Suppression" et poste le rapport

Puis Refais un scan complet avec MBAM (Malwarebytes)
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Cela fait deux rapports à poster. Tu peux le faire directement dans ta réponse

Smart

Pas grave. Mais il me faut les rapports pour continuer

Smart

Re, il y a eu une nouvelle mise a jour pour roguekiller...

et je ne peux rien supprimer sans faire un 2eme scan

donc voila un 2eme rapport:

RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: terki1 [Droits d'admin]
Mode: Recherche -- Date : 29/01/2012 09:45:30

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKLM\[...]\RunOnce : InnoSetupRegFile.0000000001 ("C:\Windows\is-EDF3M.exe" /REG /REGSVRMODE) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

::1 localhost




¤¤¤ MBR Verif: ¤¤¤


+++++ PhysicalDrive0: WDC WD5000BEVT-60ZAT1 ATA Device +++++
--- User ---
[MBR] 94d5cee94f62242e12097fe839e72c54
[BSP] 4b6cd879f1d26c3f243787dffe05fa95 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 487863 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 952860672 | Size: 12240 Mo

User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Re, quand j'ai fini l'étape avec adwcliner on m'a demandé de redémarré,

ce que j'ai fait, mais au redémarrage je n'ai pas reçu de rapport: Que faire?

Le rapport AdwCleaner se trouve ici ==> C:\AdwCleaner[S1].txt

En effet RogueKiller a une nouvelle version:

* Quitter tous les programmes en cours
* Lancer RogueKiller.exe.
* Attendre la fin du Prescan ...
* Cliquer sur Scan.

* Dans l'onglet "Registre", vérifie que toutes les lignes sont cochées
* Cliquer sur Suppression.
* Cliquer sur Rapport et copier coller le contenu du notepad

Smart

voila le rapport mbam:

Malwarebytes Anti-Malware (Essai) 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.25.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
pistoman :: PC-DE-TERKI1 [limité]

Protection: Activé

29.01.2012 12:44:59
mbam-log-2012-01-29 (12-44-59).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées:
Elément(s) analysé(s): 562773
Temps écoulé: 5 heure(s), 8 minute(s), 48 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

et je sais pas pourquoi mais il y a 2 rapport adwcleiler:


# AdwCleaner v1.407 - Rapport créé le 29/01/2012 à 09:49:19
# Mis à jour le 18/01/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : terki1 - PC-DE-TERKI1 (Administrateur)
# Exécuté depuis : C:\Users\pistoman\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\Headlight
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v8.0.1 (fr)

Profil : prfuy631.default
Fichier : C:\Users\terki1\AppData\Roaming\Mozilla\Firefox\Profiles\prfuy631.default\prefs.js

Supprimée : user_pref("weboftrust.search.ask.display", "Ask.com Web Search");

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\terki1\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée : "host_referral_list": [ 2, [ "http://0.205.channel.facebook.com/", [ "http://0.205.channel.fac[...]








# AdwCleaner v1.407 - Rapport créé le 29/01/2012 à 09:53:17
# Mis à jour le 18/01/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : terki1 - PC-DE-TERKI1 (Administrateur)
# Exécuté depuis : C:\Users\pistoman\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v8.0.1 (fr)

Profil : prfuy631.default
Fichier : C:\Users\terki1\AppData\Roaming\Mozilla\Firefox\Profiles\prfuy631.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\terki1\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S2].txt - [1006 octets] - [29/01/2012 09:53:17]
AdwCleaner[S1].txt - [1669 octets] - [29/01/2012 09:49:19]

*************************

Dossier Temporaire : 3 dossier(s) et 32 fichier(s) supprimés

########## EOF - \AdwCleaner[S2].txt - [1287 octets] ##########

je prepare la suite...

et voila

RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: terki1 [Droits d'admin]
Mode: Suppression -- Date : 29/01/2012 18:01:53

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKLM\[...]\RunOnce : InnoSetupRegFile.0000000001 ("C:\Windows\is-EDF3M.exe" /REG /REGSVRMODE) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

::1 localhost




¤¤¤ MBR Verif: ¤¤¤


+++++ PhysicalDrive0: WDC WD5000BEVT-60ZAT1 ATA Device +++++
--- User ---
[MBR] 94d5cee94f62242e12097fe839e72c54
[BSP] 4b6cd879f1d26c3f243787dffe05fa95 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 487863 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 952860672 | Size: 12240 Mo

User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

OK.

Comment se comporte le PC ?
Refais un scan ZHPDiag et poste le rapport via pjjoint

Smart

Bonjour, pardon d'avoir fait si long...

Voila le rapport:

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120131_d11z7e12s12i7

Mon ordi se porte bien, même avant, mais c'est cette écran bleu qui m'a fait

peur. Maintenant, tu pourrai m'aider à formater complètement mon ordi,

enfin si tu sais comment, avec les cd boutable et tous.

Un helper m'a aussi conseiller de le faire, car j'avais trop de problème

je voulais le faire, mais j'avais pas tous compris et j'ai oublié.

C'est quoi ce programme scratch.exe ? C'est pour des jeux ?
Et celui-ci Charles.exe

Smart

Ben, tiens c'est marrant un autre helper m'a pausé la même question un

jour... :)

Charles un développer web qui me permet d'examiner, et obtenir

des information sur des pages(web).

Et scratch est un petit logiciel que mon neveu m'a demander d'installer,

il permet (je crois) de faire des dessin-animé

Ok. Pour les programmes

Pourquoi veux-tu absolument formater. Ton PC n'était pas très infecté, il reste à supprimer des restes et ensuite on passe à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Tu vas faire ceci:

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 noublie pas clic droi ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: http://telechargement.zebulon.fr/zhpfix.html
- Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
[MD5.00000000000000000000000000000000] [APT] [{FE009216-1FC7-4F65-B54B-06B708A8EB19}] (...) -- F:\Recycle.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{B49FB978-8D46-498E-ABD9-1DEEE654933A}] (...) -- E:\Install.exe (.not file.)
[HKCU\Software\?? ?? ???? ????? ??? ?? ????]
[MD5.00000000000000000000000000000000] [APT] [{49BC9150-F4BD-4504-BD24-28F580829F95}] (...) -- F:\LaCie.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{7CBC0923-A5AC-472C-ACB7-25E46B809D5F}] (...) -- F:\Dur\LaCie.exe (.not file.)
O43 - CFD: 13.06.2011 - 17:58:58 - [30.889] ----D- C:\ProgramData\Wild Tangent
O43 - CFD: 03.09.2011 - 15:00:46 - [0] ----D- C:\Users\terki1\AppData\Local\{02FD6265-4CBB-4A2A-8784-B302495D065E}
O43 - CFD: 25.10.2011 - 17:44:30 - [0] ----D- C:\Users\terki1\AppData\Local\{525EB695-F098-4792-AD38-A23D27F01F86}
O43 - CFD: 09.09.2011 - 18:59:42 - [0] ----D- C:\Users\terki1\AppData\Local\{5725142F-EE28-46F0-A608-002301DE5113}
O43 - CFD: 03.09.2011 - 15:07:00 - [0] ----D- C:\Users\terki1\AppData\Local\{970405DA-3FFD-4347-B0DD-C4F4D71C6866}
O43 - CFD: 20.10.2011 - 16:26:30 - [0] ----D- C:\Users\terki1\AppData\Local\{A455A46A-4445-42F0-BC73-29D08F8D5223}
O43 - CFD: 20.10.2011 - 16:27:56 - [0] ----D- C:\Users\terki1\AppData\Local\{BDD21306-79D7-4AE7-ACEF-152E43990C36}
O43 - CFD: 25.10.2011 - 17:44:46 - [0] ----D- C:\Users\terki1\AppData\Local\{BF51AA2D-55C4-4858-804A-E0690579CE96}
O43 - CFD: 25.10.2011 - 16:34:54 - [0] ----D- C:\Users\terki1\AppData\Local\{C6BF59C7-82B7-474D-894D-AA7FC3F1B41D}
O52 - TDSD: \drivers.desc\"xvidvfw.dll"="Xvid MPEG-4 Video Codec 1.3.2" . (...) -- (.not file.)
O87 - FAEL: "{ABE70684-E201-4B5D-9AAF-4ECD561CE24F}" | In - Domain - P6 - TRUE | .(.Logitech Inc. - Logitech Desktop Messenger.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O87 - FAEL: "{09BDCF27-AB0F-4182-BC56-72E56D106C96}" | In - Domain - P17 - TRUE | .(.Logitech Inc. - Logitech Desktop Messenger.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O87 - FAEL: "{CFFB7FA4-C54E-4565-8F6E-11D68F2EC31E}" | In - Private - P6 - TRUE | .(.Logitech Inc. - Logitech Desktop Messenger.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O87 - FAEL: "{199417A4-739A-40C5-B66C-F3A66AF06EC4}" | In - Private - P17 - TRUE | .(.Logitech Inc. - Logitech Desktop Messenger.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O87 - FAEL: "{85D3901F-552F-442D-A2D8-1ACF5E2E6502}" | In - Public - P6 - TRUE | .(.Logitech Inc. - Logitech Desktop Messenger.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O87 - FAEL: "{9FFF540D-EBB8-4B3A-ACC4-AF6E07DDD99C}" | In - Public - P17 - TRUE | .(.Logitech Inc. - Logitech Desktop Messenger.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
EmptyTemp
EmptyFlash
FirewallRAZ

----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

voila le rapport:

Rapport de ZHPFix 1.12.3379 par Nicolas Coolman, Update du 22/01/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-04.02.2012-16-02-23.txt
Run by terki1 at 04.02.2012 16:02:23
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
ABSENT Key: HKCU\Software\?? ?? ???? ????? ??? ?? ????

========== Valeur(s) du Registre ==========
SUPPRIME TDSD Value: xvidvfw.dll
SUPPRIME {ABE70684-E201-4B5D-9AAF-4ECD561CE24F}
SUPPRIME {09BDCF27-AB0F-4182-BC56-72E56D106C96}
SUPPRIME {CFFB7FA4-C54E-4565-8F6E-11D68F2EC31E}
SUPPRIME {199417A4-739A-40C5-B66C-F3A66AF06EC4}
SUPPRIME {85D3901F-552F-442D-A2D8-1ACF5E2E6502}
SUPPRIME {9FFF540D-EBB8-4B3A-ACC4-AF6E07DDD99C}
SUPPRIME FirewallRaz (Domain) : {C5AC9DBB-DBE9-4C64-BDCD-4D1DE249B3D3}
SUPPRIME FirewallRaz (Public) : {3FBE5C72-A4FD-472D-BBB9-E2835F1DC2F4}
SUPPRIME FirewallRaz (Public) : {2D787789-6DF5-4EE2-B736-D7E1FB8536D9}
SUPPRIME FirewallRaz (Public) : {07B70C12-784E-48CE-9DD1-FA837786D71F}

========== Dossier(s) ==========
SUPPRIME Folder: C:\ProgramData\Wild Tangent
SUPPRIME Folder: C:\Users\terki1\AppData\Local\{02FD6265-4CBB-4A2A-8784-B302495D065E}
SUPPRIME Folder: C:\Users\terki1\AppData\Local\{525EB695-F098-4792-AD38-A23D27F01F86}
SUPPRIME Folder: C:\Users\terki1\AppData\Local\{5725142F-EE28-46F0-A608-002301DE5113}
SUPPRIME Folder: C:\Users\terki1\AppData\Local\{970405DA-3FFD-4347-B0DD-C4F4D71C6866}
SUPPRIME Folder: C:\Users\terki1\AppData\Local\{A455A46A-4445-42F0-BC73-29D08F8D5223}
SUPPRIME Folder: C:\Users\terki1\AppData\Local\{BDD21306-79D7-4AE7-ACEF-152E43990C36}
SUPPRIME Folder: C:\Users\terki1\AppData\Local\{BF51AA2D-55C4-4858-804A-E0690579CE96}
SUPPRIME Folder: C:\Users\terki1\AppData\Local\{C6BF59C7-82B7-474D-894D-AA7FC3F1B41D}
SUPPRIME Temporaires Windows: : 78
SUPPRIME Flash Cookies: 5

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 74
SUPPRIME Flash Cookies: 3

========== Tache planifiée ==========
SUPPRIME Task: {FE009216-1FC7-4F65-B54B-06B708A8EB19}
SUPPRIME Task: {B49FB978-8D46-498E-ABD9-1DEEE654933A}
SUPPRIME Task: {49BC9150-F4BD-4504-BD24-28F580829F95}
SUPPRIME Task: {7CBC0923-A5AC-472C-ACB7-25E46B809D5F}


========== Récapitulatif ==========
1 : Clé(s) du Registre
11 : Valeur(s) du Registre
11 : Dossier(s)
2 : Fichier(s)
4 : Tache planifiée


End of clean in 00mn 20s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 19.10.2011 14:17:08 [1405]
C:\ZHP\ZHPFix[R2].txt - 04.11.2011 21:17:24 [858]
C:\ZHP\ZHPFix[R3].txt - 04.02.2012 16:02:23 [2623]




et je te donne un 2eme rapport de USBfix

je sais je fais in peu les chose à ma manière, mais je pense que mon disque

dur externe est infecté car il n'est pas vacciner (il est nouveau)


############################## | UsbFix V 7.080 | [Recherche]

Utilisateur: terki1 (Administrateur) # PC-DE-TERKI1
Mis à jour le 25/01/2012 par El Desaparecido
Lancé à 15:46:50 | 04/02/2012

Site Web: http://eldesaparecido.com
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Hewlett-Packard (Compaq Presario CQ71 Notebook PC) (X86-based PC) # Notebook
CPU: Pentium(R) Dual-Core CPU T4200 @ 2.00GHz (2000)
RAM -> [ Total : 2974 | Free : 1746 ]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: avast! Antivirus [ (!) Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ -> Disque fixe # 454 Go (284 Go libre(s) - 63%) [] # NTFS
D:\ -> Disque fixe # 11 Go (2 Go libre(s) - 16%) [RECOVERY] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque fixe # 40 Go (18 Go libre(s) - 46%) [la-private] # NTFS
I:\ -> Disque fixe # 932 Go (858 Go libre(s) - 92%) [LA-PUBLIC] # NTFS

################## | Processus Actif |

C:\Windows\system32\csrss.exe (600)
C:\Windows\system32\wininit.exe (648)
C:\Windows\system32\csrss.exe (660)
C:\Windows\system32\services.exe (720)
C:\Windows\system32\lsass.exe (732)
C:\Windows\system32\lsm.exe (744)
C:\Windows\system32\winlogon.exe (796)
C:\Windows\system32\svchost.exe (904)
C:\Program Files\COMODO\COMODO GeekBuddy\CLPSLS.exe (960)
C:\Windows\system32\svchost.exe (988)
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe (1072)
C:\Windows\system32\svchost.exe (1148)
C:\Windows\System32\svchost.exe (1224)
C:\Windows\System32\svchost.exe (1248)
C:\Windows\system32\svchost.exe (1260)
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\STacSV.exe (1288)
C:\Windows\system32\svchost.exe (1444)
C:\Windows\system32\SLsvc.exe (1460)
C:\Windows\system32\svchost.exe (1500)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1832)
C:\Windows\system32\taskeng.exe (592)
C:\Windows\System32\spoolsv.exe (760)
C:\Windows\system32\svchost.exe (896)
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (972)
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\aestsrv.exe (1548)
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (868)
C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe (2156)
C:\Windows\system32\FsUsbExService.Exe (2220)
C:\Program Files\Orange\GlobeTrotter Connect\GtDetectSc.exe (2244)
C:\Program Files\HP\HPLaserJetService\HPLaserJetService.exe (2268)
C:\Windows\system32\svchost.exe (2292)
C:\Program Files\LaCie\Desktop Manager\lacie_dm_service.exe (2404)
C:\Program Files\Common Files\LightScribe\LSSrvc.exe (2584)
c:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe (2596)
C:\Windows\System32\svchost.exe (2608)
C:\Windows\System32\svchost.exe (2636)
C:\Windows\system32\svchost.exe (2648)
c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe (2808)
C:\Program Files\SMINST\BLService.exe (2848)
C:\Program Files\CyberLink\Shared files\RichVideo.exe (2896)
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe (2912)
C:\Windows\system32\svchost.exe (2940)
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe (3016)
C:\Windows\System32\svchost.exe (3044)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (3068)
C:\Windows\system32\SearchIndexer.exe (3104)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (3148)
C:\Windows\system32\Dwm.exe (3648)
C:\Windows\system32\taskeng.exe (3288)
C:\Windows\Explorer.EXE (3492)
C:\Windows\System32\hkcmd.exe (1568)
C:\Windows\System32\igfxpers.exe (3868)
C:\Windows\system32\igfxsrvc.exe (3484)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (3496)
C:\Program Files\HP\QuickPlay\QPService.exe (1096)
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe (3160)
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe (1220)
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe (3820)
C:\Program Files\HP\Digital Imaging\bin\HpqSRmon.exe (1400)
C:\Program Files\HP\HP LaserJet Professional CM1410 series\Fax Driver\hppfaxprintersrv.exe (1440)
C:\Program Files\AVAST Software\Avast\AvastUI.exe (3684)
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (1368)
C:\Program Files\Common Files\Java\Java Update\jusched.exe (3536)
C:\Windows\system32\wbem\wmiprvse.exe (3804)
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe (1360)
C:\Program Files\iTunes\iTunesHelper.exe (1332)
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe (3660)
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (4136)
C:\Windows\system32\svchost.exe (4148)
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe (4316)
C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe (4420)
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (4556)
C:\Program Files\iPod\bin\iPodService.exe (6136)
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (5084)
C:\Windows\system32\conime.exe (4892)
I:\Open LA-PRIVATE.exe (1064)
C:\UsbFix\Go.exe (4696)
C:\Windows\system32\wbem\wmiprvse.exe (5400)

################## | Éléments infectieux |

Présent! I:\._autorun.inf

################## | Registre |

Présent! HKCU\Software\8322898
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoClose

################## | Mountpoints2 |



################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
G:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
I:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F |


après on peux le vacciner?

On va faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Ensuite refais un scan ZHPDiag poste le rapport et on passe à la pahes finale

Smart

Bonjour, en faites je voulais juste être sûr dire quelque chose avant:

Mon disque dur externe est un Lacie et il possède un programme qui m'a

permis de faire une partition protéger par mot de passe cette partition

s'appelle "la-private" (lacie-private) et cette partition ne peux être ouvert

que par la-private.exe qui me demande un mot de passe.

Donc peut-être que c'est ce programme en lui même qui a créer le dossier

caché: autorun.inf

enfin je n'en sais rien, mais...

En effet tu as peu-être raison. Dans ce cas ne lance pas USBFix en mode suppression

Refais un scan ZHPDiag, poste le rapport et on passe à la phase finale


Smart