Rootkit
Fermé
Nihyl
-
11 avril 2011 à 23:36
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 14 avril 2011 à 16:53
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 14 avril 2011 à 16:53
A voir également:
- Rootkit
- Anti rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Rootkit buster - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Panda anti rootkit - Télécharger - Antivirus & Antimalwares
16 réponses
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
12 avril 2011 à 00:39
12 avril 2011 à 00:39
Bonjour,
On va faire un diagnostic plus poussé de ton ordinateur:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
On va faire un diagnostic plus poussé de ton ordinateur:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
12 avril 2011 à 22:14
12 avril 2011 à 22:14
Navilog n'a jamais supprimé de rootKit mais les virus MagicControl ou Navipromo
Si tu considères ton pb résolu c'est comme tu veux. mais je te suggère de faire ce que j'ai demandé
Smart
Si tu considères ton pb résolu c'est comme tu veux. mais je te suggère de faire ce que j'ai demandé
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
13 avril 2011 à 08:58
13 avril 2011 à 08:58
En effet comme dit Gen, il ya du boulot;
Tu as des barre d'outils infectées, et une infection EoRezo. Evite d'aller sur ce site EoRezo pur télécharger des programmes.
Pour ton informatio et éviter de te refaire infecter, lis le dossier ci-dessous:
Les Toolbars ce n'est pas obligatoires
Tu peux désinstaller, Spybot, il n'est plus d'actualité ey ne fais que ralentir ton PC.
Ensuite tu vas faire ceci:
- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Et ensuite ceci:
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)- C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.
Cela fait deux rapports à poster
Smart
Tu as des barre d'outils infectées, et une infection EoRezo. Evite d'aller sur ce site EoRezo pur télécharger des programmes.
Pour ton informatio et éviter de te refaire infecter, lis le dossier ci-dessous:
Les Toolbars ce n'est pas obligatoires
Tu peux désinstaller, Spybot, il n'est plus d'actualité ey ne fais que ralentir ton PC.
Ensuite tu vas faire ceci:
- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Et ensuite ceci:
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)- C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.
Cela fait deux rapports à poster
Smart
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
http://www.cijoint.fr/cjlink.php?file=cj201104/cijdfNoa8L.txt
http://www.cijoint.fr/cjlink.php?file=cj201104/cij2iITetn.txt
http://www.cijoint.fr/cjlink.php?file=cj201104/cij2iITetn.txt
Excessimo
Messages postés
2111
Date d'inscription
jeudi 15 juillet 2010
Statut
Membre
Dernière intervention
30 novembre 2012
157
13 avril 2011 à 09:33
13 avril 2011 à 09:33
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
13 avril 2011 à 09:39
13 avril 2011 à 09:39
Tu n'es pas en France métropolitaine ?
Le rapport AD-R date d'aujourd'hui mais à l'heure: 01:06:08
En revanche le rapport MBAM date d'hier : 12/04/2011 19:17:33
Relance AD-R et choisis "désinstaller"
Il faudrait que relances MBAM (et n'oublie pas de faire la mise à jour) et poste le rapport. Tu peux le faire directement dans ta réponse
Smart
Le rapport AD-R date d'aujourd'hui mais à l'heure: 01:06:08
En revanche le rapport MBAM date d'hier : 12/04/2011 19:17:33
Relance AD-R et choisis "désinstaller"
Il faudrait que relances MBAM (et n'oublie pas de faire la mise à jour) et poste le rapport. Tu peux le faire directement dans ta réponse
Smart
Pardon j'ai posté un vieux rapport.
Celui d'aujourd''hui (mis a jour) est bon aussi. http://www.cijoint.fr/cjlink.php?file=cj201104/cijx5oIubb.txt
AD-R desinstallé.
Celui d'aujourd''hui (mis a jour) est bon aussi. http://www.cijoint.fr/cjlink.php?file=cj201104/cijx5oIubb.txt
AD-R desinstallé.
Voici un nouveau rapport ZHPDiag avec SP2 installé si ça peut aider
http://www.cijoint.fr/cjlink.php?file=cj201104/cijEtV0XTi.txt
http://www.cijoint.fr/cjlink.php?file=cj201104/cijEtV0XTi.txt
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
13 avril 2011 à 13:23
13 avril 2011 à 13:23
Il reste encore des traces et aussi des traces de l'antivirus Panda
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
[HKCU\Software\MessengerSkinner]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5}]
[HKLM\Software\Classes\AppID\{a5461fca-320c-4d6f-a150-a53823ce8142}]
[HKLM\Software\classes\appid\contenthandler.dll]
[HKLM\Software\classes\contenthandler.contentselection]
[HKLM\Software\classes\contenthandler.contentselection.1]
O4 - HKLM\..\Run: [eRecoveryService] Clé orpheline
O23 - Service: (WMIService) - Clé orpheline
O43 - CFD: 13/04/2011 - 11:31:26 - [1168216] ----D- C:\Program Files\Spybot - Search & Destroy
O43 - CFD: 13/04/2011 - 11:31:26 - [0] ----D- C:\ProgramData\Spybot - Search & Destroy
O64 - Services: CurCS - (.not file.) - kwdcyuoc (kwdcyuoc) .(...) - LEGACY_KWDCYUOC
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} Clé orpheline
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{1c99b848-84cb-4ce4-8cd8-ed5719484d9f}]
[HKLM\Software\Panda Software]
O43 - CFD: 12/04/2011 - 17:40:28 - [0] ----D- C:\Program Files\Panda Security
FirewallRAZ
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton <gras>« GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Et redémarre le PC
Smart
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
[HKCU\Software\MessengerSkinner]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5}]
[HKLM\Software\Classes\AppID\{a5461fca-320c-4d6f-a150-a53823ce8142}]
[HKLM\Software\classes\appid\contenthandler.dll]
[HKLM\Software\classes\contenthandler.contentselection]
[HKLM\Software\classes\contenthandler.contentselection.1]
O4 - HKLM\..\Run: [eRecoveryService] Clé orpheline
O23 - Service: (WMIService) - Clé orpheline
O43 - CFD: 13/04/2011 - 11:31:26 - [1168216] ----D- C:\Program Files\Spybot - Search & Destroy
O43 - CFD: 13/04/2011 - 11:31:26 - [0] ----D- C:\ProgramData\Spybot - Search & Destroy
O64 - Services: CurCS - (.not file.) - kwdcyuoc (kwdcyuoc) .(...) - LEGACY_KWDCYUOC
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} Clé orpheline
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{1c99b848-84cb-4ce4-8cd8-ed5719484d9f}]
[HKLM\Software\Panda Software]
O43 - CFD: 12/04/2011 - 17:40:28 - [0] ----D- C:\Program Files\Panda Security
FirewallRAZ
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton <gras>« GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Et redémarre le PC
Smart
Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-13-04-2011-21-38-25.txt
Run by amelie at 13/04/2011 21:38:24
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
HKCU\Software\MessengerSkinner => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{4260e0cc-0f75-462e-88a3-1e05c248bf4c} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5} => Clé supprimée avec succès
HKLM\Software\Classes\AppID\{a5461fca-320c-4d6f-a150-a53823ce8142} => Clé supprimée avec succès
HKLM\Software\classes\appid\contenthandler.dll => Clé supprimée avec succès
HKLM\Software\classes\contenthandler.contentselection => Clé supprimée avec succès
HKLM\Software\classes\contenthandler.contentselection.1 => Clé supprimée avec succès
O23 - Service: (WMIService) - Clé orpheline => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - kwdcyuoc (kwdcyuoc) .(...) - LEGACY_KWDCYUOC => Clé supprimée avec succès
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} Clé orpheline => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{1c99b848-84cb-4ce4-8cd8-ed5719484d9f} => Clé supprimée avec succès
HKLM\Software\Panda Software => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [eRecoveryService] Clé orpheline => Valeur supprimée avec succès
FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"
FirewallRaz (Private) : TCP Query User{D40A5C1C-AC33-4C7F-8A6A-F455386328A2}C:\program files\emule\emule.exe => Valeur supprimée avec succès
FirewallRaz (Private) : UDP Query User{B1DD9B68-34A2-47D7-AA05-1AA792A27B1C}C:\program files\emule\emule.exe => Valeur supprimée avec succès
FirewallRaz (Public) : TCP Query User{B4E072A1-7197-4D31-B398-7BCC810F031B}C:\program files\free download manager\fdm.exe => Valeur supprimée avec succès
FirewallRaz (Public) : UDP Query User{D9080EC3-EFF0-4B26-AF91-79D5C606B207}C:\program files\free download manager\fdm.exe => Valeur supprimée avec succès
FirewallRaz (Private) : {3F0650B7-8B3B-454D-9901-1D7049E1D7B2} => Valeur supprimée avec succès
FirewallRaz (Private) : {D4E5AB30-C856-4A52-B124-E15B30E05C4E} => Valeur supprimée avec succès
FirewallRaz (Public) : TCP Query User{9EFEC3AA-20CA-454E-AB3D-983EB7B33705}C:\program files\easybox\vlc\vlc.exe => Valeur supprimée avec succès
FirewallRaz (Public) : UDP Query User{7EF259CB-38CE-438E-AA6A-2C77F0505034}C:\program files\easybox\vlc\vlc.exe => Valeur supprimée avec succès
FirewallRaz (Private) : TCP Query User{58A23684-4EB0-480F-BD73-2226A58D9597}C:\program files\easybox\vlc\vlc.exe => Valeur supprimée avec succès
FirewallRaz (Private) : UDP Query User{8415924D-271E-464E-8DB9-A6B892DB43BB}C:\program files\easybox\vlc\vlc.exe => Valeur supprimée avec succès
FirewallRaz (Private) : {4114B449-845F-4912-998C-FC3967D184C0} => Valeur supprimée avec succès
FirewallRaz (Private) : {A1047DF7-844C-4F88-9FBF-A17C52774FE6} => Valeur supprimée avec succès
FirewallRaz (Public) : TCP Query User{F5DD2DD9-1E39-4E44-A12E-B5BA47AAA6A6}C:\program files\yahoo!\messenger\yahoomessenger.exe => Valeur supprimée avec succès
FirewallRaz (Public) : UDP Query User{DAAE43B3-F52B-4332-A5D1-3A7C037462C0}C:\program files\yahoo!\messenger\yahoomessenger.exe => Valeur supprimée avec succès
FirewallRaz (Private) : {7EA893A5-1702-4AC3-AB42-54F028168F1D} => Valeur supprimée avec succès
FirewallRaz (Private) : {23984E2A-2A54-4321-A937-58104DF56ADB} => Valeur supprimée avec succès
========== Dossier(s) ==========
C:\Program Files\Spybot - Search & Destroy => Fichier supprimé au reboot
C:\ProgramData\Spybot - Search & Destroy => Supprimé et mis en quarantaine
C:\Program Files\Panda Security => Supprimé et mis en quarantaine
========== Récapitulatif ==========
13 : Clé(s) du Registre
18 : Valeur(s) du Registre
3 : Dossier(s)
End of the scan
Fichier d'export Registre : C:\ZHPExportRegistry-13-04-2011-21-38-25.txt
Run by amelie at 13/04/2011 21:38:24
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
HKCU\Software\MessengerSkinner => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{4260e0cc-0f75-462e-88a3-1e05c248bf4c} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5} => Clé supprimée avec succès
HKLM\Software\Classes\AppID\{a5461fca-320c-4d6f-a150-a53823ce8142} => Clé supprimée avec succès
HKLM\Software\classes\appid\contenthandler.dll => Clé supprimée avec succès
HKLM\Software\classes\contenthandler.contentselection => Clé supprimée avec succès
HKLM\Software\classes\contenthandler.contentselection.1 => Clé supprimée avec succès
O23 - Service: (WMIService) - Clé orpheline => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - kwdcyuoc (kwdcyuoc) .(...) - LEGACY_KWDCYUOC => Clé supprimée avec succès
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} Clé orpheline => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{1c99b848-84cb-4ce4-8cd8-ed5719484d9f} => Clé supprimée avec succès
HKLM\Software\Panda Software => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [eRecoveryService] Clé orpheline => Valeur supprimée avec succès
FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"
FirewallRaz (Private) : TCP Query User{D40A5C1C-AC33-4C7F-8A6A-F455386328A2}C:\program files\emule\emule.exe => Valeur supprimée avec succès
FirewallRaz (Private) : UDP Query User{B1DD9B68-34A2-47D7-AA05-1AA792A27B1C}C:\program files\emule\emule.exe => Valeur supprimée avec succès
FirewallRaz (Public) : TCP Query User{B4E072A1-7197-4D31-B398-7BCC810F031B}C:\program files\free download manager\fdm.exe => Valeur supprimée avec succès
FirewallRaz (Public) : UDP Query User{D9080EC3-EFF0-4B26-AF91-79D5C606B207}C:\program files\free download manager\fdm.exe => Valeur supprimée avec succès
FirewallRaz (Private) : {3F0650B7-8B3B-454D-9901-1D7049E1D7B2} => Valeur supprimée avec succès
FirewallRaz (Private) : {D4E5AB30-C856-4A52-B124-E15B30E05C4E} => Valeur supprimée avec succès
FirewallRaz (Public) : TCP Query User{9EFEC3AA-20CA-454E-AB3D-983EB7B33705}C:\program files\easybox\vlc\vlc.exe => Valeur supprimée avec succès
FirewallRaz (Public) : UDP Query User{7EF259CB-38CE-438E-AA6A-2C77F0505034}C:\program files\easybox\vlc\vlc.exe => Valeur supprimée avec succès
FirewallRaz (Private) : TCP Query User{58A23684-4EB0-480F-BD73-2226A58D9597}C:\program files\easybox\vlc\vlc.exe => Valeur supprimée avec succès
FirewallRaz (Private) : UDP Query User{8415924D-271E-464E-8DB9-A6B892DB43BB}C:\program files\easybox\vlc\vlc.exe => Valeur supprimée avec succès
FirewallRaz (Private) : {4114B449-845F-4912-998C-FC3967D184C0} => Valeur supprimée avec succès
FirewallRaz (Private) : {A1047DF7-844C-4F88-9FBF-A17C52774FE6} => Valeur supprimée avec succès
FirewallRaz (Public) : TCP Query User{F5DD2DD9-1E39-4E44-A12E-B5BA47AAA6A6}C:\program files\yahoo!\messenger\yahoomessenger.exe => Valeur supprimée avec succès
FirewallRaz (Public) : UDP Query User{DAAE43B3-F52B-4332-A5D1-3A7C037462C0}C:\program files\yahoo!\messenger\yahoomessenger.exe => Valeur supprimée avec succès
FirewallRaz (Private) : {7EA893A5-1702-4AC3-AB42-54F028168F1D} => Valeur supprimée avec succès
FirewallRaz (Private) : {23984E2A-2A54-4321-A937-58104DF56ADB} => Valeur supprimée avec succès
========== Dossier(s) ==========
C:\Program Files\Spybot - Search & Destroy => Fichier supprimé au reboot
C:\ProgramData\Spybot - Search & Destroy => Supprimé et mis en quarantaine
C:\Program Files\Panda Security => Supprimé et mis en quarantaine
========== Récapitulatif ==========
13 : Clé(s) du Registre
18 : Valeur(s) du Registre
3 : Dossier(s)
End of the scan
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
14 avril 2011 à 11:18
14 avril 2011 à 11:18
Redémarre le PC. Refais un dernier scan ZHPDiag et poste le rapport via cijoint.
Ensuite on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet
Smart
Ensuite on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
14 avril 2011 à 15:16
14 avril 2011 à 15:16
OK Fais les mises à jour suivantes:
Mise à jour Java 6 update 24 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 24
Mise à jour Adobe Reader 10.0.1
Désinstalle Adobe
Installer Adobe 10.0.1
Décoche la case "Inclure dans botre téléchargement la barre Google"
Optimisation:
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
OPT:O4 - HKLM\..\Run: [PlayMovie] . (.CyberLink Corp. - CyberLink PlayMovie Resident Program.) -- C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll
OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll
OPT:O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 27/07/2010 345376 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
O43 - CFD: 13/04/2011 - 11:31:26 - [1168216] ----D- C:\Program Files\Spybot - Search & Destroy
O64 - Services: CurCS - (.not file.) - kwdcyuoc (kwdcyuoc) .(...) - LEGACY_KWDCYUOC
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton <gras>« GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
1. Désinstallation des outils
- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Sélectionne Suppression
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.
2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).
3. Il est nécessaire de désactiver puis réactiver la restauration système de Vista pour la purger.
Quelques conseils de Prévention
- Réactive l'UAC si ce n'est pas déjà fait.
- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.
Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
==> http://www.mozilla-europe.org/fr/firefox/
Une fois que c'est fait, lance le et installe l'extension de sécurité adblock plus
pour bloquer les publicités
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html
WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise
- Par rapport au P2P : http://www.libellules.ch/...
- Les logiciels gratuits à éviter
- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection
Sois plus vigilant(e) sur Internet à l'avenir
Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas
Smart
Mise à jour Java 6 update 24 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 24
Mise à jour Adobe Reader 10.0.1
Désinstalle Adobe
Installer Adobe 10.0.1
Décoche la case "Inclure dans botre téléchargement la barre Google"
Optimisation:
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
OPT:O4 - HKLM\..\Run: [PlayMovie] . (.CyberLink Corp. - CyberLink PlayMovie Resident Program.) -- C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll
OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll
OPT:O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 27/07/2010 345376 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
O43 - CFD: 13/04/2011 - 11:31:26 - [1168216] ----D- C:\Program Files\Spybot - Search & Destroy
O64 - Services: CurCS - (.not file.) - kwdcyuoc (kwdcyuoc) .(...) - LEGACY_KWDCYUOC
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton <gras>« GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
1. Désinstallation des outils
- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Sélectionne Suppression
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.
2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).
3. Il est nécessaire de désactiver puis réactiver la restauration système de Vista pour la purger.
Quelques conseils de Prévention
- Réactive l'UAC si ce n'est pas déjà fait.
- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.
Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
==> http://www.mozilla-europe.org/fr/firefox/
Une fois que c'est fait, lance le et installe l'extension de sécurité adblock plus
pour bloquer les publicités
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html
WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise
- Par rapport au P2P : http://www.libellules.ch/...
- Les logiciels gratuits à éviter
- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection
Sois plus vigilant(e) sur Internet à l'avenir
Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas
Smart
J'ai oublié de poster le rapport ZHPfix avant d'utiliser delfix. Mais j'ai vu que la seule clé qui n'avait pas pu être supprimée avant le redémarrage était "Bonjour".
Voici Delfix
Merci grandement pour ton aide.
J'applique tout tes conseils à la lettre.
# DelFix v7.7 - Rapport créé le 14/04/2011 à 16:26
# Mis à jour le 13/04/11 à 16h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : amelie - PC-DE-AMELIE (Administrateur)
# Exécuté depuis : C:\Users\amelie\Downloads\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
Supprimé : C:\Navilog1
Supprimé : C:\RSIT
Supprimé : C:\Program Files\Navilog1
Supprimé : C:\Program Files\ZHPDiag
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\cleannavi.txt
Supprimé : C:\ZHPExportRegistry-13-04-2011-21-38-25.txt
Supprimé : C:\ZHPExportRegistry-14-04-2011-15-59-37.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\amelie\Desktop\Ad-Report-CLEAN[1].txt
Supprimé : C:\Users\amelie\Desktop\ZHPDiag 13-4.txt
Supprimé : C:\Users\amelie\Desktop\ZHPDiag 14-4.txt
Supprimé : C:\Users\amelie\Desktop\ZHPDiag.txt
Supprimé : C:\Users\amelie\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\amelie\Downloads\Navilog1.exe
Supprimé : C:\Users\amelie\Downloads\hijackthis.log
Supprimé : C:\Users\amelie\Downloads\ZHPDiag2(2).exe
Supprimé : C:\Users\amelie\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\amelie\Downloads\ZHPDiag2.zip
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
#########
Voici Delfix
Merci grandement pour ton aide.
J'applique tout tes conseils à la lettre.
# DelFix v7.7 - Rapport créé le 14/04/2011 à 16:26
# Mis à jour le 13/04/11 à 16h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : amelie - PC-DE-AMELIE (Administrateur)
# Exécuté depuis : C:\Users\amelie\Downloads\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
Supprimé : C:\Navilog1
Supprimé : C:\RSIT
Supprimé : C:\Program Files\Navilog1
Supprimé : C:\Program Files\ZHPDiag
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\cleannavi.txt
Supprimé : C:\ZHPExportRegistry-13-04-2011-21-38-25.txt
Supprimé : C:\ZHPExportRegistry-14-04-2011-15-59-37.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\amelie\Desktop\Ad-Report-CLEAN[1].txt
Supprimé : C:\Users\amelie\Desktop\ZHPDiag 13-4.txt
Supprimé : C:\Users\amelie\Desktop\ZHPDiag 14-4.txt
Supprimé : C:\Users\amelie\Desktop\ZHPDiag.txt
Supprimé : C:\Users\amelie\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\amelie\Downloads\Navilog1.exe
Supprimé : C:\Users\amelie\Downloads\hijackthis.log
Supprimé : C:\Users\amelie\Downloads\ZHPDiag2(2).exe
Supprimé : C:\Users\amelie\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\amelie\Downloads\ZHPDiag2.zip
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
#########
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
14 avril 2011 à 16:53
14 avril 2011 à 16:53
OK. Fais la suite
Smart
Smart
12 avril 2011 à 22:00
J'ai réglé le problème avec Navilog1 de Il_Mafioso.
Rootkit removed. SP2 is up.
Merci de ton aide.
Cordialement.
Nihyl