infection virus??!! help svp!Résolu/Fermé

Question

Bonjour, 

mon pc semble présenter tous les signes d'uen infection: il rame, connexion internet très longue, pages longues à s'ouvrir, bref un scénario qui me fait craindre un virus, malgré le fait que malawarebytes n'a rien détecté, et le scan antivir non plus.
je fais des nettoyages ccleaner régulièrement
j'ai online armor comme parefeu.

je cherche de l'aide pour m'aider à vérifier si mon pc est infecté ou non...je commence à en avoir marre de ce pc qui rame autant ce soir.....


Configuration: Windows XP / Internet Explorer 7.0

maxdu54 · Answer

esque sa te fesait sa avant ????

archet9 · Answer

Salut,

Pour un diagnostic du pc:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions. 

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » 

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix) 
- Clique sur la loupe pour lancer l'analyse. 
- Laisse l'outil travailler, il peut être assez long. 
- Ferme ZHPDiag en fin d'analyse. 
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
- Sélectionne le fichier ZHPDiag.txt. 
- Clique sur "Cliquez ici pour déposer le fichier". 
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
- Copie ce lien dans ta réponse.

samie · Answer

ok merci , je fais la manip' de suite.

je mettrais le rapport, je pense que ça peut prendre un moment.

samie · Answer

bon, donc j'ai lancé un scan , (cliqué sur loupe) puis à la fin, j'ai attendu et voulu enregistré mais là l'écran se gèle et impossible de poursuivre et enregistrer quoique ce soit....je ne sais pas quoi faire....j'ai un écran avec la page de ZHPDiag qui reste ouverte et inactive....et le pc qui rame qui rame qui rame..pour écrire ce message , ça prend des plombes car le pc rame rame rame!!!!!!

samie · Answer

bon, j'ai fini par éteindre l'ordi et j'ai recommancé, j'ai eu ça comme rapport, je ne sais pas si c'est le bon

http://www.cijoint.fr/cjlink.php?file=cj201011/cij9YnJFD0.txt

archet9 · Answer

Télécharges ComboFix à partir de ce lien : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


Enregistre le sur le bureau (Important) 

Avant d'utiliser ComboFix : 

 Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 

 Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, 
la protection en temps réel de ton Antivirus et de tes Antispywares, 
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,. 
est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

 Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, 
avant de te reconnecter à internet. 

Copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

samie · Answer

ok 

don cj'ai fait le scan , un message me demandait d'installer la console de récupération microsoft, c'est normal? puis de démarrer en mode console de récupération,... 

certaisn icones ont disparu de la barre des taches après le scan (parefeu et windows messenger entre autres);

voilà le log:


ComboFix 10-11-12.04 - Sabine 13/11/2010  13:06:42.1.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.767.394 [GMT 1:00]
Lancé depuis: c:\documents and settings\Sabine\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Pare-feu Online Armor *disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-10-13 au 2010-11-13  ))))))))))))))))))))))))))))))))))))
.

2010-11-12 20:20 . 2010-11-12 21:08	--------	d-----w-	c:\program files\ZHPDiag

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 10:23 . 2002-08-30 12:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2002-08-30 12:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2002-08-30 12:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2002-08-30 12:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-10 05:50 . 2002-08-30 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:50 . 2002-08-30 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:50 . 2002-08-30 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-09-01 11:51 . 2002-08-30 12:00	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 07:55 . 2002-08-30 12:00	1852928	----a-w-	c:\windows\system32\win32k.sys
2010-08-27 08:02 . 2002-08-30 12:00	119808	----a-w-	c:\windows\system32	2embed.dll
2010-08-27 05:58 . 2002-08-30 12:00	99840	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2002-08-30 12:00	357248	----a-w-	c:\windows\system32\drivers\srv.sys
2010-08-23 16:12 . 2002-08-30 12:00	617472	----a-w-	c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2002-08-30 12:00	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2002-08-30 12:00	590848	----a-w-	c:\windows\system32pcrt4.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Packard Bell Software Suite"="c:\program files\Packard Bell\Packard Bell Software Suite\Launcher.exe" [2007-11-05 1791488]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"Google Update"="c:\documents and settings\Sabine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-04-17 133104]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-08 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Lexmark X1100 Series"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-12-30 126976]
"@OnlineArmor GUI"="c:\program files\Tall Emu\Online Armor\oaui.exe" [2009-12-05 6622920]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-09-27 13918208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-09-27 86016]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2010-03-13 202256]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Device Detector 3.lnk - c:\program files\Olympus\DeviceDetector\DevDtct2.exe [2008-9-27 118784]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\progra~1\TALLEM~1\ONLINE~1\oaevent.dll" [2009-12-05 923336]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Packard Bell Data Secure]
2006-08-01 08:48	2363904	----a-w-	c:\program files\Packard Bell Data Secure\PBDataSecure.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"UxTuneUp"=2 (0x2)
"TuneUp.ProgramStatisticsSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"gusvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=

R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [26/02/2010 10:48 223312]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [26/02/2010 10:48 24656]
R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [26/02/2010 10:48 29776]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [21/08/2009 22:46 108289]
R2 OAcat;Online Armor Helper Service;c:\program files\Tall Emu\Online Armor\oacat.exe [26/02/2010 10:48 1282248]
S0 DwProt;DrWeb Protection;c:\windows\system32\drivers\dwprot.sys --> c:\windows\system32\drivers\dwprot.sys [?]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30/12/2009 19:03 135664]
S2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [26/02/2010 10:48 3291336]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [20/12/2009 20:19 38224]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'

2010-10-01 c:\windows\Tasks\Auto Backup for Sabine.job
- c:\program files\Packard Bell\Packard Bell Software Suite\DSMsg.exe [2007-06-04 14:21]

2010-11-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-30 18:03]

2010-11-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-30 18:03]

2010-11-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-920026266-839522115-1004Core.job
- c:\documents and settings\Sabine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-04-17 21:25]

2010-11-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-920026266-839522115-1004UA.job
- c:\documents and settings\Sabine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-04-17 21:25]

2010-10-01 c:\windows\Tasks\Packard Bell Data Secure for Sabine.job
- c:\program files\Packard Bell Data Secure\DSMsg.exe [2006-04-13 12:50]

2010-11-13 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1409082233-920026266-839522115-1004.job
- c:\program files\Real\RealUpgradeealupgrade.exe [2010-02-24 21:09]

2010-11-13 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1409082233-920026266-839522115-1004.job
- c:\program files\Real\RealUpgradeealupgrade.exe [2010-02-24 21:09]

2010-11-12 c:\windows\Tasks\User_Feed_Synchronization-{013DA1D2-B7B9-4AEE-AD7B-DABA7BFC58E7}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
DPF: DirectAnimation Java Classes
DPF: Microsoft XML Parser for Java
DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - hxxps://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} - hxxp://f012.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-13 13:11
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\c:\docume~1\Sabine\LOCALS~1\Temp\ASFWHide"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2828)
c:\program files\Fichiers communs\Ahead\Lib\NeroSearchBar.dll
c:\program files\Fichiers communs\Ahead\Lib\MFC71U.DLL
c:\program files\Fichiers communs\Ahead\Lib\BCGCBPRO860un71.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2010-11-13  13:14:08
ComboFix-quarantined-files.txt  2010-11-13 12:14

Avant-CF: 209 585 782 784 octets libres
Après-CF: 209 581 273 088 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /fastdetect /NoExecute=OptIn

- - End Of File - - F02251BEC1A0CBE678A40A9766D1F59D

archet9 · Answer

Rien de bien parlant sur ce rapport !!!!

Télécharge et enregistre List_Kill'em (de gen-hackman) sur le Bureau. 
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

!! Important => Désactive ton antivirus !! 

* Lance l'installation 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
* Laisse toi guider par le programme, en cliquant à chaque fois sur suivant 
* Clique enfin sur "Terminer" et le programme va se lancer 
* Choisis l'option "Search" 
* Patiente pendant le travail de l'outil qui peut prendre plusieurs minutes 
* A l'apparition d'une fenêtre blanche, même si c'est long, c'est normal, le programme n'est pas bloqué. 
* Un rapport "catchme" apparait sur le bureau, ignore-le, il disparaitra en fin de scan 
* Le rapport s'ouvre spontanément après 100 % du scan à l'ecran "COMPLETED" 
* Héberge le rapport sur http://www.cijoint.fr

samie · Answer

ok bon il n'y a peut être pas de virus alors.
mon pc rame moins aujourd'hui en tout cas
voici le rapport
http://www.cijoint.fr/cjlink.php?file=cj201011/cijAa2R0X0.txt

archet9 · Answer

Fais tout de même ceci:

Relance List_Kill'em avec le raccourci blanc créé sur ton bureau. 

- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 

* Choisis l'Option Clean 
* Une boite de dialogue t'indique que le PC va redémarrer 
* Patiente pendant le travail de l'outil qui peut prendre plusieurs minutes 
* Lorsque le scan est fini, la fenêtre se ferme et un rapport va se créer 
* Héberge le rapport sur http://www.cijoint.fr

samie · Answer

ok voilà c'est fait

http://www.cijoint.fr/cjlink.php?file=cj201011/cijcwQpCxO.txt

archet9 · Answer

Commentse comporte le pc?

samie · Answer

ça va il ne rame plus , et les fenetres s'ouvrent plus rapidement, pour l'instant il semble fonctionner normalement.

archet9 · Answer

Pour désinstaller les outils utilisés

Télécharge DelFix de Xplode 
http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

* Lance le. 
* A l'invite, ==> Suppression  
* Un rapport va s'ouvrir à la fin, colle le dans la réponse 

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]

samie · Answer

ok merci

########## DelFix - Nettoyeur d'outils de désinfection ##########
#
# DelFix v6.2 - Rapport créé le 13/11/2010 à 20:21
# Mis à jour le 11/11/10 à 16h00 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Navigateur : Internet Explorer  [Navigateur par défaut]
# Nom d'utilisateur : Sabine - FOMBELLE-E3XUAQ (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Sabine\Local Settings\Temporary Internet Files\Content.IE5\0VKRGAMY\DelFix[1].exe


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\Program Files	rend micro

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\WINDOWS\System32	mp.txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile

########## EOF - "C:\DelFixSuppr.txt" - [1333 octets] ##########

samie · Answer

bon, l'ordi semble bien fonctionner, je n'ai plus ce problème d'écran qui gèle, peut être que je me susi inquiétée trop vite. 

en tout cas merci beaucoup de ton aide!

Infection virus??!! help svp!

16 réponses

Discussions similaires

Newsletters