Sujet Précédent Sujet Suivant

Infection: impossible de lancer les scans!!

Résolu/Fermé
Poupoupidou - 8 févr. 2011 à 16:48
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 - 11 févr. 2011 à 13:44
Bonjour,

J'explique mon gros soucis : Mon PC rame à mort, la barre des taches devient grise au bout de 5 minutes d'utilisation, je n'ai plus de son sur le PC, etc.

Bref, j'en ai conclu qu'il est infecté. J'ai donc installé Spybot, Malwarebytes, Superantimalware, Hijackthis, etc.

Problème : au départ, quand je double-click dessus, rien ne se passe. J'ai donc changé le nom du fichier .exe dans le dossier, et le programme peut se lancer. Mais lorsque je lance un scan, il commence à bosser, et au bout de 30 secondes le programmes disparait d'un coup, quelque soit le programme utilisé, même Hijackthis.

J'ai essayé en mode sans échec, idem.

Mon antivirus est Avira antivir, firewall Kerio, Windows XP SP3, ordi Acer Aspire1691.

Je précise que je n'y connais absolument rien en informatique, mais alors rien, donc si il y a dans ce bas-monde une personne pour m'aider, je la prierais de me parler comme à un débile mental de l'informatique, je ne m'en formaliserai pas.

Merci beaucoup d'avance


A voir également:

79 réponses

Précédent
Réponse 61 / 79
Poupoupidou
9 févr. 2011 à 20:21
Voilà le rapport MBAM après suppression et redémarrage. Je relance de suite ZHPDiag.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5706

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09/02/2011 20:08:39
mbam-log-2011-02-09 (20-08-39).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 203812
Temps écoulé: 50 minute(s), 33 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{127DF9B4-D75D-44A6-AF78-8C3A8CEB03DB} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086} (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ACM.ACMFactory.1 (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ACM.ACMFactory (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{18CB1A7B-94CD-4582-8022-ADA16851E44B} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\LogicFunctions (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mxlivemedia (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveNow (Adware.WhenU) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
c:\documents and settings\all users\application data\softland ltd (Rogue.XPantiVirus) -> Quarantined and deleted successfully.
c:\program files\Save (Adware.WhenU) -> Quarantined and deleted successfully.
c:\documents and settings\Maxime\menu démarrer\programmes\WhenU (Adware.WhenU) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\WINDOWS\system32\drivers\mvb35316.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Maxime\mes documents\téléchargements\VLCSetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\FOUND.000\FILE0001.CHK (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\program files\Save\ffext.mod (Adware.WhenU) -> Quarantined and deleted successfully.
c:\program files\Save\store.db (Adware.WhenU) -> Quarantined and deleted successfully.
c:\program files\Save\save.htm (Adware.WhenU) -> Quarantined and deleted successfully.
c:\program files\Save\save.db (Adware.WhenU) -> Quarantined and deleted successfully.
c:\documents and settings\Maxime\menu démarrer\programmes\WhenU\learn more about whenu save.url (Adware.WhenU) -> Quarantined and deleted successfully.
c:\documents and settings\Maxime\menu démarrer\programmes\WhenU\learn more about whenu savenow.url (Adware.WhenU) -> Quarantined and deleted successfully.
c:\documents and settings\Maxime\menu démarrer\programmes\WhenU\whenu.com website.url (Adware.WhenU) -> Quarantined and deleted successfully.
c:\documents and settings\Maxime\menu démarrer\programmes\WhenU\uninstall instructions.lnk (Adware.WhenU) -> Quarantined and deleted successfully.
c:\documents and settings\Maxime\menu démarrer\programmes\WhenU\customer support.lnk (Adware.WhenU) -> Quarantined and deleted successfully.
0
Réponse 62 / 79
Poupoupidou
9 févr. 2011 à 20:27
Voilà le tout nouveau rapport ZHPDiag

https://www.cjoint.com/?0cjuA6l6UGe
0
Réponse 63 / 79
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
9 févr. 2011 à 20:32
Re,

Voilà qui est mieux.. On arrive bientôt au bout ;-)

-+-+-+-+-> USBFix <-+-+-+-+-


Note : Ton PC est victime d'une infection par médias amovibles. Tu trouveras plus d'informations sur cette infection ici.

[x] Télécharge USBfix ( d'El desaparecido et C_XX ) sur ton bureau.

[x] Si ton anvirus affiche une alerte, ignore le et désactive le momentanément.

[x] Branche tout tes médias amovibles à ton PC ( Clé USB, disque dur externe, carte SD etc.. ) sans les ouvrir.

[x] Exécute USBfix sur ton bureau puis clique sur " Suppression ".

[x] Patiente pendant le scan. Un rapport s'ouvrira, copie/colle son contenu dans ton prohain message.

Notes : Le rapport est également sauvegardé à la racine du disque dur ( généralement C:\ )

Un tutoriel en images est disponible ici.


-+-+-+-+-> AD-Remover <-+-+-+-+-


[x] Télécharge AD-Remover ( de C_XX ).

[x] Lance AD-Remover puis choisis l'option " Nettoyer ".

Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

[x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

[x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt
0
Réponse 64 / 79
Poupoupidou
9 févr. 2011 à 20:50
Pour faire par étape, voici le rapport USAfix

############################## | UsbFix 7.039 | [Suppression]

Utilisateur: Maxime (Administrateur) # MAX [ ]
Mis à jour le 09/02/2011 par El Desaparecido / C_XX
Lancé à 20:37:25 | 09/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Pentium(R) M processor 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 10.0.1.56 [(!) Disabled | Updated]
Firewall: Sunbelt Personal Firewall 4.6.1861 T [Enabled]
RAM -> 510 Mo
C:\ (%systemdrive%) -> Disque fixe # 36 Go (11 Go libre(s) - 29%) [ACER] # FAT32
D:\ -> Disque fixe # 36 Go (20 Go libre(s) - 57%) [ACERDATA] # FAT32
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> CD-ROM
I:\ -> CD-ROM
J:\ -> Disque fixe # 233 Go (152 Go libre(s) - 65%) [Expansion Drive] # NTFS
K:\ -> Disque amovible # 960 Mo (825 Mo libre(s) - 86%) [SB X-FI GO!] # FAT32

################## | Éléments infectieux |


Supprimé! C:\WINDOWS\system32\autorun
Supprimé! C:\WINDOWS\system32\Autorun.ini
Supprimé! C:\WINDOWS\antiv.exe
Supprimé! J:\Recycler\S-1-5-21-109429534-440980606-161837948-1006
Supprimé! J:\Recycler\S-1-5-21-73586283-362288127-682003330-1004
Supprimé! D:\AUTORUN.INF
Supprimé! D:\SMRTNTKY
Supprimé! J:\Autorun.inf
Non supprimé ! K:\Autorun.inf
Non supprimé ! K:\start.exe

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\D
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1ae461a6-1cbd-11dc-a15b-00c09f779dfd}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2ed49bee-fda9-11dd-a264-00c09f779dfd}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{364b48fa-f93a-11dd-a25b-00c09f779dfd}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{603ee276-07b8-11dd-a1ac-00c09f779dfd}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{6659cb92-b14d-11dc-a1a1-00c09f779dfd}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{6814779a-4c4a-11de-a2bb-00c09f779dfd}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{6ddb4f4c-278c-11de-a290-00c09f779dfd}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{81a328a8-589d-11db-a0fa-00c09f779dfd}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b375b82e-82a7-11dd-a1ca-00c09f779dfd}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{db372831-2ffd-11de-a29c-00c09f779dfd}

################## | Listing |

[05/08/2004 - 05:00:00 | D ] C:\i386
[05/08/2004 - 05:00:00 | D ] C:\VALUEADD
[29/06/2007 - 12:04:50 | N | 6] C:\ISACER.ID
[28/12/2004 - 10:13:04 | N | 75] C:\PRELOAD.AAA
[13/09/2010 - 15:01:58 | D ] C:\spoolerlogs
[09/02/2011 - 20:11:56 | ASH | 805306368] C:\pagefile.sys
[09/02/2011 - 20:11:58 | ASH | 534892544] C:\hiberfil.sys
[27/12/2004 - 11:05:50 | N | 512] C:\BOOTSECT.DOS
[27/12/2004 - 11:04:04 | D ] C:\WINDOWS
[05/08/2004 - 05:00:00 | N | 4952] C:\Bootfont.bin
[07/11/2008 - 16:34:32 | N | 252240] C:\ntldr
[05/08/2004 - 05:00:00 | N | 47564] C:\NTDETECT.COM
[02/03/2005 - 01:00:18 | N | 194] C:\BOOT.INI
[27/12/2004 - 11:13:58 | D ] C:\Documents and Settings
[27/12/2004 - 11:20:20 | D ] C:\Program Files
[27/12/2004 - 11:21:18 | N | 0] C:\CONFIG.SYS
[27/12/2004 - 11:21:18 | N | 0] C:\AUTOEXEC.BAT
[27/12/2004 - 11:21:18 | N | 0] C:\IO.SYS
[27/12/2004 - 11:21:18 | N | 0] C:\MSDOS.SYS
[27/12/2004 - 11:25:12 | SHD ] C:\System Volume Information
[20/11/2007 - 16:09:34 | N | 74] C:\CMLoader.log
[28/12/2004 - 10:09:58 | SHD ] C:\Recycled
[27/10/2007 - 10:49:34 | D ] C:\ConvertTemp
[28/07/2010 - 10:34:56 | N | 1478] C:\aaw7boot.log
[13/10/2010 - 21:15:40 | D ] C:\Temp
[09/02/2011 - 02:13:10 | D ] C:\32788R22FWJFW
[09/02/2011 - 17:02:34 | D ] C:\FOUND.000
[02/03/2005 - 01:02:26 | D ] C:\Acer
[08/02/2011 - 22:17:14 | N | 52998] C:\TDSSKiller.2.4.16.0_08.02.2011_22.15.07_log.txt
[09/02/2011 - 20:37:08 | D ] C:\UsbFix
[09/02/2011 - 20:37:08 | N | 1537] C:\UsbFix.txt
[11/06/2005 - 11:33:42 | N | 2295] C:\INSTALL.LOG
[24/05/2001 - 12:59:30 | N | 162304] C:\UNWISE.EXE
[02/03/2005 - 01:02:06 | SHD ] D:\System Volume Information
[02/03/2005 - 23:13:56 | SHD ] D:\Recycled
[30/07/2005 - 18:57:50 | D ] D:\Documents
[30/07/2005 - 20:47:50 | D ] D:\Adobe Premiere Pro v7.0
[29/07/2005 - 06:40:42 | N | 56] D:\[SERIAL WIN] - Adobe Premiere PRO V7 Serial Number.txt
[18/01/2006 - 19:39:46 | D ] D:\SYSINFO
[18/01/2006 - 19:40:48 | D ] D:\AcerBKTemp
[18/01/2006 - 19:41:20 | D ] D:\BOOK
[18/01/2006 - 19:42:16 | D ] D:\Acer
[18/01/2006 - 19:45:04 | D ] D:\dotnetfx
[20/07/2005 - 17:56:30 | N | 9728] D:\cv.wps
[04/06/2006 - 19:59:26 | D ] D:\ppwork
[16/08/2006 - 15:51:02 | D ] D:\Vidéo
[15/08/2008 - 16:18:16 | D ] D:\music 2
[13/04/2008 - 19:34:30 | N | 28672] D:\setupSNK.exe
[07/12/2010 - 20:45:44 | D ] J:\APPro
[22/08/2010 - 15:11:19 | D ] J:\Arlington Road
[01/07/2010 - 20:12:18 | N | 27136] J:\DEGRANGE Maxime CV.doc
[16/08/2010 - 14:04:29 | D ] J:\docs
[16/08/2010 - 14:05:03 | D ] J:\docs MicroWord
[16/08/2010 - 13:58:16 | D ] J:\Fichiers wav
[27/01/2011 - 14:32:13 | D ] J:\films
[18/09/2010 - 08:27:29 | D ] J:\Lettres 2
[22/07/2010 - 16:09:58 | N | 2264167538] J:\Mes images.rar
[05/06/2010 - 16:50:48 | N | 685056] J:\Mémoire Dantec.doc
[18/09/2010 - 08:26:58 | D ] J:\Nouveau dossier
[16/08/2010 - 13:57:54 | D ] J:\Pamphlets L-F Céline
[09/02/2011 - 20:41:40 | SHD ] J:\RECYCLER
[22/08/2010 - 15:03:20 | D ] J:\Road trip
[22/08/2010 - 15:02:15 | D ] J:\Road Tripes
[03/03/2010 - 21:22:05 | D ] J:\Seagate
[16/01/2009 - 08:14:08 | N | 156312] J:\Setup.exe
[16/12/2010 - 13:01:55 | SHD ] J:\System Volume Information
[13/08/2008 - 14:26:02 | A | 82] K:\Autorun.inf
[18/12/2008 - 11:29:42 | A | 57] K:\Disk.id
[11/12/2009 - 10:09:44 | D ] K:\FCC
[11/12/2009 - 10:09:44 | D ] K:\Notices
[31/01/2008 - 13:28:22 | A | 104053] K:\SBXFi.ico
[07/08/2008 - 12:26:26 | A | 2395592] K:\Start.exe
[18/12/2008 - 15:49:58 | A | 138782624] K:\UXASetup.exe

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par Panda USB Vaccine

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_MAX.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 65 / 79
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
9 févr. 2011 à 21:06
Impeccable ! Un dernier rapport ZHPDiag histoire de virer les résidus d'infection et on aura terminé ;-)
0
Réponse 66 / 79
Poupoupidou
9 févr. 2011 à 21:13
Voici ze last rapport

https://www.cjoint.com/?0cjvmqgrZE8

Ca y est ? on y est ?
0
Réponse 67 / 79
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
9 févr. 2011 à 21:17
Oui, ce sont les dernières instructions avant la procédure de finalisation :-)

Pour commencer, désinstalle via ajout/suppression de programmes :

- Shareware pro-fr toolbar
- Spybot S&D

Pour rappel : Les toolbar ne font que ralentir le PC inutilement. Spybot lui, est totalement obsolète.. et en plus il bouffe de la RAM avec son tea-timer

Une fois que tu auras désinstallé ces deux programmes, fais ceci :

-+-+-+-+-> ZHPFix <-+-+-+-+-


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

[x] Copie le texte en gras ci-dessous ( CTRL + C pour copier )


O64 - Services: CurCS - (.not file.) - DMSKSSRh (DMSKSSRh) .(.Pas de propriétaire - Pas de description.) - LEGACY_DMSKSSRH
OPT:O4 - HKLM\..\Run: [MSPY2002] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe
OPT:O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
OPT:O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
OPT:O4 - HKLM\..\Run: [SSBkgdUpdate] . (.Nuance Communications, Inc. - SSBkgdUpdate.) -- C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-109429534-440980606-161837948-1006\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - Global Startup: C:\Documents And Settings\Maxime\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk . (.Adobe Systems, Inc..) -- C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - HKLM\..\Run: [LaunchApp] Clé orpheline
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\zal.exe (.not file.)
O4 - HKUS\S-1-5-21-109429534-440980606-161837948-1006\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\zal.exe (.not file.)
O41 - Driver: (aiptektp) . (.Microsoft Corporation - Ancillary Function Driver for WinSock.) - C:\Windows\System32\DRIVERS\aiptektp.sys (.not file.)
O23 - Service: (SymWSC) . (.Symantec Corporation - Norton Security Center Service.) - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
SR - | Auto 05/08/2004 308352 | "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe (SymWSC) . (.Symantec Corporation.) - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] . (.Symantec Corporation - Symantec ALUNotify Module.) -- C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] . (.Symantec Corporation - Symantec ALUNotify Module.) -- C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe


[x] Lance ZHPFix qui est présent sur ton bureau.

[x] Clique sur le "H" bleu ( Coller les lignes Helper )

[x] Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.

[x] Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]

[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
0
Réponse 68 / 79
Poupoupidou
9 févr. 2011 à 21:46
OK. Je suis partie chez ma cop's ce soir.

Mais je fais tout ça dès demain midi et je t'envoie ça.

Merci encore pour tout. A demain
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
9 févr. 2011 à 21:52
Pas de problèmes. A demain
0
Réponse 69 / 79
Poupoupidou
10 févr. 2011 à 14:29
Salut !

J'ai donc supprimé Shareware Toolbar

J'ai supprimé Spybot. Par contre, on me dit que "certains composants n'ont pu être supprimés automatiquement et doivent être supprimés manuellement"...

Voici le rapport ZHPFix que j'ai lancé après.

Rapport de ZHPFix 1.12.3227 par Nicolas Coolman, Update du 16/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-10-02-2011-14-27-26.txt
Run by Maxime at 10/02/2011 14:27:26
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - DMSKSSRh (DMSKSSRh) .(.Pas de propriétaire - Pas de description.) - LEGACY_DMSKSSRH => Clé supprimée avec succès
O41 - Driver: (aiptektp) . (.Microsoft Corporation - Ancillary Function Driver for WinSock.) - C:\Windows\System32\DRIVERS\aiptektp.sys (.not file.) => Clé supprimée avec succès
O23 - Service: (SymWSC) . (.Symantec Corporation - Norton Security Center Service.) - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [MSPY2002] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [SSBkgdUpdate] . (.Nuance Communications, Inc. - SSBkgdUpdate.) -- C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-109429534-440980606-161837948-1006\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur absente
O4 - HKLM\..\Run: [LaunchApp] Clé orpheline => Valeur supprimée avec succès
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline => Valeur supprimée avec succès
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\zal.exe (.not file.) => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-109429534-440980606-161837948-1006\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\zal.exe (.not file.) => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] . (.Symantec Corporation - Symantec ALUNotify Module.) -- C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\documents and settings\maxime\menu démarrer\programmes\démarrage\adobe gamma.lnk => Supprimé et mis en quarantaine
c:\program files\superantispyware\zal.exe () => Fichier absent
c:\program files\fichiers communs\symantec shared\security center\symwsc.exe => Supprimé et mis en quarantaine
c:\program files\symantec\liveupdate\alunotify.exe => Supprimé et mis en quarantaine


========== Récapitulatif ==========
3 : Clé(s) du Registre
15 : Valeur(s) du Registre
4 : Fichier(s)


End of the scan
0
Réponse 70 / 79
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
10 févr. 2011 à 17:47
La désinfection est maintenant terminée, merci de l'avoir suivie jusqu'au bout :)

Nous allons maintenant terminer la procédure avec la mise à jour de ton PC, la suppression des outils que nous avons utilisés, un peu d'optimisation et plusieurs liens utiles.

Si nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan.

-+-+-+-+-> Mise à jour du PC <-+-+-+-+-


[x] Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant.

Mise à jour des logiciels

[o] Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
[o] Télécharge le
[o] Un tutoriel pour son utilisation est disponible ici.


-+-+-+-+-> DelFix <-+-+-+-+-


[x] Télécharge DelFix sur ton bureau.

[x] Lance le et appuie sur [Suppression]

[x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

[x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation].

-+-+-+-+-> Optimisation <-+-+-+-+-


1ère étape : Suppression des fichiers inutiles

[o] Télécharge CCleaner
[o] Installe le, puis lance le.
[o] Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ".
[o] Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer].
[o] Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées.
[o] Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression )
[o] Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer]
[o] Tu peux renouveller ces opérations tous les jours.

2ème étape : Défragmentation

[x] Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.
[o] Télécharge Defraggler.
[o] Un tutoriel pour son utilisation est disponible ici.

3ème étape : Vérification des disques

[x] Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
[x] Clique sur [Propriété] puis sur l'onglet [Outils]
[x] Clique sur [Vérifier maintenant] puis coche les deux cases présentes.
[x] Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage )

4ème étape : Désactivation des programmes au démarrage

[x] Clique sur [Démarrer] puis [Exécuter].
[x] Tape msconfig et valide par [ok].
[x] A l'onglet [Démarrage] , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu.
[x] Clique sur [Appliquer] puis [ok] et redémarre ton PC.


-+-+-+-+-> Purger la restauration système <-+-+-+-+-


[x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

[x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

[x] Tutoriels :

- Windows XP
- Windows Vista
- Windows 7


-+-+-+-+-> UAC ( Uniquement pour Vista/Seven ) <-+-+-+-+-

[x] Si tu as désactivé l'UAC, il est important de la réactiver.

-> Pourquoi garder l'UAC activée?


-+-+-+-+-> Liens utiles <-+-+-+-+-

Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire
0
Réponse 71 / 79
Poupoupidou
10 févr. 2011 à 20:27
Hello ! Je fais tout par étape, donc voici le rapport Delfix

# DelFix v7.4 - Rapport créé le 10/02/2011 à 20:25
# Mis à jour le 09/02/11 à 23h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Maxime - MAX (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Maxime\Bureau\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\USBFix
Supprimé : C:\32788R22FWJFW
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\trend micro\Hijackthis
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Hijackthis

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_MAX.zip
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\TDSSKiller.2.4.16.0_08.02.2011_22.15.07_log.txt
Supprimé : C:\ZHPExportRegistry-10-02-2011-14-27-26.txt
Supprimé : C:\Documents and Settings\Maxime\Bureau\OTLPENet.exe
Supprimé : C:\Documents and Settings\Maxime\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\Maxime\Bureau\AD-R.lnk
Supprimé : C:\Documents and Settings\Maxime\Bureau\HijackThis.lnk
Supprimé : C:\Documents and Settings\Maxime\Bureau\ZHPDiag.exe
Supprimé : C:\Documents and Settings\Maxime\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\Maxime\Bureau\RogueKiller.exe
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\Maxime\Mes documents\Téléchargements\dds.scr
Supprimé : C:\Documents and Settings\Maxime\Mes documents\Téléchargements\avenger.zip
Supprimé : C:\Documents and Settings\Maxime\Mes documents\Téléchargements\UsbFix.exe
Supprimé : C:\Documents and Settings\Maxime\Mes documents\Téléchargements\tdsskiller.exe
Supprimé : C:\Documents and Settings\Maxime\Mes documents\Téléchargements\HJTInstall.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [3243 octets] #########r
0
Réponse 72 / 79
Poupoupidou
10 févr. 2011 à 21:43
Juste quelques questions : au moment de décocher les trucs au démarrage après msconfig, je n'arrive pas à retrouver les trucs relatifs à mes antivirus et pare-feu, vu que c'est des noms de fichiers bizarres que je connais pas.

Pour le reste, je peux absolument tout décocher ?

Aussi, le lien vers Defraggler est obsolète, il me semble...
0
Réponse 73 / 79
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
10 févr. 2011 à 23:03
Si tu ne sais pas à quoi ça correspond, ne décoche rien c'est plus prudent. De toute façon je t'ai déjà fais indirectement "décocher" des trucs via le script ZHPFix.

Ensuite pour Defraggler tu peux le télécharger ici : https://www.commentcamarche.net/telecharger/utilitaires/7087-defraggler/
0
Réponse 74 / 79
Poupoupidou
11 févr. 2011 à 11:30
Hello !

Avant de te laisser définitivement tranquille et te remercier une dernière fois, j'ai une ou deux questions à poser, afin d'être sur de bien entretenir mon PC et d'être sur de mes manipulations futures.

1 - On dit qu'il ne faut pas faire n'importe quoi avec CCleaner. Si je suis la procédure que tu m'as indiqué au-dessus, je n'ai aucun risque de perdre des données importantes ? J'avais un truc appelé EasyCleaner, est-il utile de le garder quand même ou CCleaner fait le même boulot?

2 - Puis-je vider la Quarantaine de Malwarebytes sans risque après chaque scan?

3 - J'ai souvent échangé des données avec l'ordi de ma copine, à travers nos disques durs externes. Comment faire pour "purger" son disque ? Puis-je réutiliser USBFix sur son disque où est-ce à utiliser seulement par les gens qui savent ce qu'ils font ? (je l'ai désinstallé de mon ordi d'ailleurs).

Je crois que c'est tout...
0
Réponse 75 / 79
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
11 févr. 2011 à 12:13
Bonjour,

1 - Aucun risque de perdre tes données avec CCleaner. Par contre il ne faut pas perdre de vue qu'il sert simplement à supprimer les fichiers temporaires et certaines clés de registre obsolète. Tu peux désinstaller EasyCleaner si tu utilises CCleaner.

2 - Si malwarebytes' te trouve des éléments infectés et que tu ne sais pas si c'est réellement infectieux, il vaut mieux ouvrir un sujet sur un forum de désinfection ( comme ici ) pour que quelqu'un t'aide à analyser le rapport. Malwarebytes' est un outil fiable, mais il n'est pas à l'abri de faux positifs ( = fausses détections )

3 - Idem que pour malwarebytes'. USBFix est lui aussi susceptible de faire des faux positifs. Par contre, tu peux utiliser l'option [Vaccination] d'USBFix sur son disque dur externe pour le vacciner. Je doute qu'il soit infecté, et sinon, tu postes le rapport et on t'aidera à l'analyser ;-)

@+
0
Réponse 76 / 79
Poupoupidou
11 févr. 2011 à 13:35
Bon bah j'ai tout mis à jour, tout bien nettoyé...

Dernière dernière question ? Est-ce qu'il est recommandé de supprimer quelques post avec des infos persos (nom, prénom et autres dont je ne comprendrais pas le sens mais qui pourraient profiter à certains) ou c'est sans importance ?

Voilà, merci encore pour ton aide, je ferai bien gaffe maintenant,

et merci pour tous les liens.

Problème résolu ! A plus
0
Réponse 77 / 79
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
11 févr. 2011 à 13:44
Non, c'est inutile. Il n'y a pas d'infos personnelles dans les rapports, enfin rien qui puisse "t'identifier" , et de toute façon, je pense pas que les personnes qui cherchent à récolter ces infos viennent ici.. ;-)

De rien pour l'aide apporté, je suis content qu'on aie pu résoudre ce problème ( qui , il faut l'avouer, était un sacré casse-tête au début )

@+
0
Réponse 78 / 79
Utilisateur anonyme
8 févr. 2011 à 23:36
test selui la http://antivirusdrweb.com/dr_web_cure_it.php?PHPSESSID=813ac410b68af8f743dd0927e999b2da
-1
Réponse 79 / 79
Utilisateur anonyme
8 févr. 2011 à 23:05
teste hitman pro
-2

Discussions similaires

Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

6 réponses
Infection ?
Tomy -
MisteryBean -

10 réponses
infection ou pas?
jpn1000 -
mcvivien2 -

5 réponses
Infection ou pas ???
karissia -
helpcenter -

1 réponse
Infection pc
Nanie24 -
Nanie24 -

22 réponses