Votre question

Grosse attaque ! windows xp recovery

Tags :
  • Windows XP
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Juin 2011 16:12:07

Bonjour,

Ce n'est pas la première fois que je vous sollicite, mais là, je crois que c'est la pire...

Je ne peux quasiment plus rien faire avec le pc...

J'ai un bureau tout noir et inaccessible, des messages dans tous les sens "defaillance du dusque dur" et une fenêtre infermable de windows xp recovery...

Whaooooooooo....

J'espère que vous pourrez m'aider !!

Merci d'avance!

Aleck.

Autres pages sur : grosse attaque windows recovery

4 Juin 2011 16:21:56

C'est vraiment abusé o_O ...

En me baladant sur le forum je vois qu'il est bon de scanner avec roguekiller, je le dl, je le lance et impossible de faire quoi que ce soit, soit disant que je ne suis pas "administrateur"...

Alors que je le suis...
4 Juin 2011 16:29:14

hello,


infecté par un rogue merdique ... pas évident de reprendre la main de l'ordi et nettoyer ...


/!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================



    on va essayer de bosser en mode sans échec avec 'prise en charge du réseau' ,


    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

    Comment aller en Mode sans échec :
    1) Redémarre ton ordi .
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
    3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
    4) Choisis la première option : Sans Échec 'avec prise en charge du réseau', et valide en tapant sur [Entrée] .
    5) Choisis ton compte habituel ( et pas Administrateur ).


    ==================================

    Une fois dans ce mode essaye de faire ceci :


    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 066 ( important ! ) .

  • Clique sur le bouton "calendrier" qui est en haut à droite : choisis 15 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
    Contenus similaires
    4 Juin 2011 17:14:44

    Ok !!

    Merci pour l'aide.

    C'est parti...

    Bon pas possible de me connecter à internet en mode sans echec avec prise en charge du réseau, mais par contre avant de vous solliciter, je m'étais mis en mode de démarrage selectif avec msconfig...

    J'ai fait le scan (non sans mal, on ne peut accéder à quasiment aucun dossier ni application... donc je fainte en passant pas program files et par "rechercher".

    Bref, voici le rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijtk2nE...
    4 Juin 2011 19:23:28

    re,


    et beh ... y a du boulot ! ..... plusieurs infection en plus ...



    Citation :
    donc je fainte en passant pas program files


    fait ainsi tant qu'on a pas récupèré le bureau et le reste ...





    commence par faire ceci dans l'ordre :



    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    O41 - Driver: (srosa) . (. - .) - C:\WINDOWS\system32\drivers\srosa.sys (.not file.)
    O61 - LFC:Last File Created 2011-06-04 - 14:15:50 ---A- C:\Documents And Settings\All Users\Application Data\eqfWNYIekSjB.exe [416768]
    O61 - LFC:Last File Created 2011-06-04 - 14:15:54 --HA- C:\Documents And Settings\ELODIE\Local Settings\Temp\78.exe [274432]
    O61 - LFC:Last File Created 2011-06-04 - 14:15:54 --HA- C:\Documents And Settings\ELODIE\Local Settings\Temp\79.dll [274432]
    O61 - LFC:Last File Created 2011-06-04 - 14:15:55 --HA- C:\Documents And Settings\ELODIE\Local Settings\Temp\78.tmp [0]
    O61 - LFC:Last File Created 2011-06-04 - 14:15:55 --HA- C:\Documents And Settings\ELODIE\Local Settings\Temp\79.tmp [0]
    O61 - LFC:Last File Created 2011-06-04 - 14:24:56 ---A- C:\Documents And Settings\All Users\Application Data\17882916.exe [333312]
    O61 - LFC:Last File Created 2011-06-04 - 14:25:00 --HA- C:\Documents And Settings\ELODIE\Menu Démarrer\Programmes\Windows XP Recovery\Uninstall Windows XP Recovery.lnk [911]
    O61 - LFC:Last File Created 2011-06-04 - 14:25:00 --HA- C:\Documents And Settings\ELODIE\Menu Démarrer\Programmes\Windows XP Recovery\Windows XP Recovery.lnk [839]
    O61 - LFC:Last File Created 2011-06-04 - 14:25:01 --HA- C:\Documents And Settings\ELODIE\Bureau\Windows XP Recovery.lnk [827]
    O61 - LFC:Last File Created 2011-06-04 - 14:39:04 --HA- C:\Documents And Settings\ELODIE\Local Settings\Temp\hpotdd043.log [136]
    O61 - LFC:Last File Created 2011-06-04 - 14:41:17 ---A- C:\Documents And Settings\All Users\Application Data\~17882916 [120]
    O61 - LFC:Last File Created 2011-06-04 - 14:41:17 ---A- C:\Documents And Settings\All Users\Application Data\~17882916r [144]
    O61 - LFC:Last File Created 2011-06-04 - 14:44:02 ---A- C:\Documents And Settings\All Users\Application Data\17882916 [392]
    ProxyFix
    HiddenFix



    > Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.


    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [GO] pour lancer le nettoyage .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé sur ton bureau > ZHPFix.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



    ==================================

    2- Télécharge sur ton bureau l'outil TdssKiller ( de Kaspersky lab ) :

    > http://support.kaspersky.com/downloads/utils/tdsskiller...


    ! Ferme toutes applications en cours, déconnecte toi et désactive ton antivirus le temps de la procédure !


  • Lance TdssKiller.exe .


    > La fenêtre suivante va s'ouvrir::




    > Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.


    ( Note : si aucune infection n'est détectée après le scan, clique sur close pour fermer l'outil ... )


  • Si des fichiers infectés sont trouvés, une nouvelle fenêtre va s'ouvrir:



    o Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

    o Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

    o Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

    o Si Suspicious file est indiqué, laisse l'option cochée sur Skip .


    > Clique sur Continue puis sur Reboot now pour redémarrer le PC.

    laisse travailler ...


    > Une fois finit, fait moi parvenir le rapport généré dans ta prochaine réponse

    Ce rapport sera sauvegardé à la racine de ta partition système sous le nom C:\TDSSKillerJJ.MM.AA_HH.MM.SS.txt (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).


    ( tutoriel--> http://support.kaspersky.com/viruses/solutions?qid=2082... )


    =================================

    3- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    5 Juin 2011 04:02:36

    Ok, voila pour zhpfix :


    Rapport de ZHPFix 1.12.3296 par Nicolas Coolman, Update du 04/06/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-2011-06-05-03-58-35.txt
    Run by ELODIE at 2011-06-05 03:58:35
    Windows XP Home Edition Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...

    ========== Clé(s) du Registre ==========
    SUPPRIME Driver Key: srosa

    ========== Valeur(s) du Registre ==========
    ProxyFix : Configuration proxy supprimée avec succès

    ========== Fichier(s) ==========
    SUPPRIME c:\documents and settings\all users\application data\eqfwnyieksjb.exe
    SUPPRIME c:\documents and settings\elodie\local settings\temp\78.exe
    SUPPRIME c:\documents and settings\elodie\local settings\temp\79.dll
    SUPPRIME c:\documents and settings\elodie\local settings\temp\78.tmp
    SUPPRIME c:\documents and settings\elodie\local settings\temp\79.tmp
    SUPPRIME c:\documents and settings\all users\application data\17882916.exe
    SUPPRIME c:\documents and settings\elodie\menu démarrer\programmes\windows xp recovery\uninstall windows xp recovery.lnk
    SUPPRIME c:\documents and settings\elodie\menu démarrer\programmes\windows xp recovery\windows xp recovery.lnk
    SUPPRIME c:\documents and settings\elodie\bureau\windows xp recovery.lnk
    SUPPRIME c:\documents and settings\elodie\local settings\temp\hpotdd043.log
    SUPPRIME c:\documents and settings\all users\application data\~17882916
    SUPPRIME c:\documents and settings\all users\application data\~17882916r
    SUPPRIME c:\documents and settings\all users\application data\17882916

    ========== Dossiers/Fichiers cachés restaurés ==========
    Mes images (My Pictures) : 18645Restauré(s) avec succès
    Ma musique (My Music) : 5Restauré(s) avec succès
    Ma Video (My Video) : 5Restauré(s) avec succès
    Mes Favoris (My Favorites) : 5Restauré(s) avec succès
    Mes Documents (My Documents) : 5Restauré(s) avec succès
    Mon Bureau (My Desktop) : 5Restauré(s) avec succès
    Menu demarrer (Programs) : 5Restauré(s) avec succès
    Dossier utilisateur (AppData) : 5Restauré(s) avec succès
    Programmes (Program Files) : 5Restauré(s) avec succès


    ========== Récapitulatif ==========
    1 : Clé(s) du Registre
    1 : Valeur(s) du Registre
    13 : Fichier(s)
    18685 : Dossiers/Fichiers cachés restaurés


    End of the scan








    Je lance tdskiller.
    5 Juin 2011 04:22:11

    Alors alors...

    Je suis bien toutes tes indications à la lettre.

    Au redémarrage, une fenêtre d'info me disait ça :

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787


    Et la mauvaise nouvelle, c'est que malgré plusieurs tentatives, impossible de lancer tdsskiller.exe, je double clic, j'ai un petit sablier à côté du pointeur de la souri quelques secondes, puis rien...
    5 Juin 2011 10:20:14

    hello,


    Citation :
    Au redémarrage, une fenêtre d'info me disait ça :

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787


    c'est du à un bug lors de l'utilisation de ZHPFix et la commande HiddenFix ... faux que je fasse remonter l'info au développeur ...
    On s'occupera de cela une fois le PC clean ...



    Pour TdssKiller , possible que cela vienne d'un émulateur CD présent sur l'ordi ...


    donc fait ceci :


    1- Les logiciels d'émulation de CD ( comme Daemon Tools ) peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    * Télécharge Defogger (de jpshortstuff) sur ton Bureau
    http://www.jpshortstuff.247fixes.com/Defogger.exe
    * Lance le
    * Une fenêtre apparait : clique sur "Disable"
    * Fais redémarrer l'ordinateur si l'outil te le demande
    * Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"


    ===============================

    2- reprend la manipe de TdssKiller puis ZHPDiag comme demandé ...




    5 Juin 2011 12:38:54

    Hello,

    J'ai bien suivi tout la manip, mais TdssKiller ne veut toujours pas se lancer. Exactement comme avant...
    5 Juin 2011 13:33:20

    re,


    laisse tomber TdssKiller et supprime le ...


    on va faire autrement ... dans l'ordre :


    1- Télécharge Malwarebytes :
    ici http://www.commentcamarche.net/telecharger/telecharger-...
    ou ici : http://www.malwarebytes.org/mbam.php
    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

    * Potasse ce tuto pour te familiariser avec le prg :
    http://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance 'Malwarebytes' .

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Poste le rapport généré après la suppression des objets infectés pour analyse ...

    Note importante :
    si MBAM te demande de redémarrer ton PC pour finir le nettoyage, fais le imédiatement après m'avoir fait parvenir le rapport !


    ================================

    2- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...




    5 Juin 2011 14:02:12

    Voici le rapport de MBAM :

    Malwarebytes' Anti-Malware 1.51.0.1200
    www.malwarebytes.org

    Version de la base de données: 6774

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    2011-06-05 13:59:26
    mbam-log-2011-06-05 (13-59-26).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 180746
    Temps écoulé: 12 minute(s), 36 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 4
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\ELODIE\local settings\temporary internet files\Content.IE5\8R3HTIYM\about[1].exe (Trojan.FakeMS) -> Quarantined and deleted successfully.



    Je redémarre et je lance zhpdiag.

    A toute.
    5 Juin 2011 16:36:37

    yop,


    on avance ... mais reste encore pas mal de chose à voir !...


    la suite dans l'ordre :


    1- Infecté par Navipromo .

    -------------------------------------

    Pour info,
    Les programmes suivants installent cette infection :
    - Funky Emoticons
    - Games-Attack
    - Original-Solitaire
    - Go-Astro
    - GoRecord
    - HotTVPlayer
    - Live-Player
    - MailSkinner
    - Messenger Skinner
    - Instant Access
    - InternetGameBox
    - Sudoplanet
    - WebMediaPlayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/

    ---------------------------------------

    Télécharge Navilog1 sur ton bureau

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

    Ensuite double-clique sur navilog1.exe pour lancer l'outil .

    Laisse-toi guider. Au menu principal, choisis 1 et valide .
    (ne fais pas d'autre choix sans notre avis/accord) .

    Patiente le temps du scan ...

    > Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
    laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) .

    Note :
    Si l'outil de demande d'effectuer la manipe en mode sans echec, fais le.
    ( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).


    Patiente jusqu'au message :
    *** Scan Terminé le ..... ***

    Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
    Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

    (Le rapport est en outre sauvegardé à la racine du disque "C:\cleanavi.txt" )


    =================================

    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://www.teamxscript.org/adremoverTelechargement.html
    ou ici http://forum-aide-contre-virus.be/download/AD-Remover.h...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe pour lancer l'installation .

    Une fois l'outil installé, ce dernier s'ouvre directement ( et un raccourci se crée sur le bureau ).

    • Au menu principal, clique directement sur le bouton [Nettoyer] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    =================================

    3- Télécharge UsbFix ( de C_XX & El desaparecido ) sur ton bureau :

    ici http://www.teamxscript.org/usbfixTelechargement.html
    ou ici http://chiquitine.changelog.fr/UsbFix.exe

    ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Clique sur le bouton [ Recherche ] .

    -> Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Site de l'auteur > http://www.teamxscript.org/usbfix.html








    5 Juin 2011 22:52:44

    Salut sKe, juste pour te prévenir que l'ordi sur lequel tu m'aides (enfin bref l'ordi que tu dépannes quoi) est celui de ma mère et je ne vais pas y avoir accés pendant pas mal de temps, donc je n'ai pas pu lancer tes dernières consignes...

    J'imagine que l'idéal est de garder l'ordi complètement éteint et de ne pas du tout s'en servir. Est-il possible malgrè tout qu'elle puisse accéder à quelques documents et aller consulter ses mails ?

    Je vais essayer de lui faire faire certaines manip à distance pour avancer mais ce n'est pas gagné d'avance...

    Du coup sans mettre cette affaire en stand bye, ne t'étonne pas que je ne poste pas pendant un bon moment...

    Et merci biensur...
    6 Juin 2011 21:46:22

    hello,


    Citation :
    J'imagine que l'idéal est de garder l'ordi complètement éteint et de ne pas du tout s'en servir.



    > t'as tout compris ! ... :sol: 


    Citation :
    Est-il possible malgrè tout qu'elle puisse accéder à quelques documents et aller consulter ses mails ?


    > c'est TRES FORTEMENT déconseillé ! ... :( 

    pas touche à l'ordi ... sinon gros risque de réinfection ... possible que le MBR soit bel et bien touché, donc redirection sur des sites bidons , frauduleux, dangereux , etc ...


    Citation :
    Je vais essayer de lui faire faire certaines manip à distance pour avancer mais ce n'est pas gagné d'avance...


    > dans ce cas là , vaut mieux pas alors ! ... :whistle: 


    Citation :
    je ne poste pas pendant un bon moment...


    > cad ? ... dans un an ? ... :lol: 


    ++
    7 Juin 2011 00:35:12

    Ok, je passe les consignes !

    Citation :
    > cad ? ... dans un an ? ... :lol: 


    :sweat: 

    Heu...

    Un mois peut-être...

    :sweat: 


    [:_tom_:5]
    7 Juin 2011 18:58:29

    re,


    Citation :
    Un mois peut-être...



    ah ... :o 


    fait au mieux ...


    A+


    :hello: 
    9 Juin 2011 22:21:34

    Alors !!!

    On a fait les manips à distance (vive les numéros en illimité...)

    Et on a fait super gaffe, ce fut long, mais il n'y a eu aucun soucis.

    Voici donc les trois rapports :



    Fix Navipromo version 4.1.0 commencé le 2011-06-09 20:51:29.32

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exécuté depuis C:\navilog1

    Mise à jour le 20.04.2011 à 09h00 par IL-MAFIOSO

    Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
    X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz )
    BIOS : Phoenix ROM BIOS PLUS Version 1.10 A01
    USER : ELODIE ( Administrator )
    BOOT : Normal boot

    Antivirus : AntiVir Desktop 10.0.1.58 (Not Activated)


    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:24 Go (Free:3 Go)
    D:\ (CD or DVD)
    E:\ (CD or DVD)
    H:\ (Local Disk) - NTFS - Total:50 Go (Free:1 Go)


    Recherche executée en mode normal

    Nettoyage exécuté au redémarrage de l'ordinateur




    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\ELODIE\locals~1\Temp effectué !


    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    Certificat Egroup supprimé !
    Certificat Electronic-Group supprimé !
    Certificat OOO-Favorit supprimé !



    *** Scan terminé 2011-06-09 20:55:34.60 ***



    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -



    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:25:30 le 09/06/2011, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    ELODIE@HUGUES-FF410280 ( )

    ============== ACTION(S) ==============



    (!) -- Fichiers temporaires supprimés.


    Clé supprimée: HKLM\Software\Poker 770
    Clé supprimée: HKLM\Software\Titan Poker
    Clé supprimée: HKCU\Software\Poker 770
    Clé supprimée: HKCU\Software\Titan Poker

    Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo jimddp
    Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo hpfanicgkffmccehnpkikogcffaepkfp
    Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo dgnckdmmolaijpbbakmplfhlfpdhglgc


    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [4.0.1 (fr)] ****

    Searchplugins\bing.xml ( hxxp://www.bing.com/search)
    Components\browsercomps.dll (Mozilla Foundation)

    -- C:\Documents and Settings\ELODIE\Application Data\Mozilla\FireFox\Profiles\ks6xe5im.default --
    Extensions\BitTorrent_WebUI@firefox.alexisbrunet.com (<RDF:D escription RDF:about="urn:mozilla:install-manifest" em:creator="Alexis Brunet" em:D escription="Automatically upload .torrent files to your favorite BitTorrent client's Web Interface." em:homepageURL="http://www.alexisbrunet.com/firefox/" em:iconURL="chrome://bittorrent_webui/content/images/bittorrent_32.png" em:id="BitTorrent_WebUI@firefox.alexisbrunet.com" em:name="BitTorrent WebUI" em:o ptionsURL="chrome://bittorrent_webui/content/options.xul" em:version="0.2.1">)
    Extensions\newtaburl@sogame.cat (NewTabURL)
    Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
    User.js - keyword.URL, hxxp://redirecterror.sfr.fr/?q=
    Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\ELODIE\\Bureau
    Prefs.js - browser.search.defaultenginename, Google
    Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
    Prefs.js - browser.startup.homepage_override.buildID, 20110413222027
    Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1
    Prefs.js - keyword.URL, hxxp://redirecterror.sfr.fr/?q=

    ========================================

    **** Internet Explorer Version [8.0.6001.18702] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_Toolbar|{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} (x)
    HKLM_ElevationPolicy\{B2321D2F-1154-4d97-AD3E-2FE0BAE2897B} - C:\Program Files\Neuf\Kit\9launch.exe (SFR)
    HKLM_ElevationPolicy\{F17F95B7-54B5-406F-A7DF-146A2EC05DD3} - C:\Program Files\ScanSoft\PDF Create 4\bin\SendMail.exe (Zeon Corporation )
    HKLM_Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - "?" (?)
    BHO\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - "Objet d'aide à la navigation SFR" (C:\Program Files\Neuf\Kit\SFRNavErrorHelper.dll)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
    BHO\{5CA3D70E-1895-11CF-8E15-001234567890} - "DriveLetterAccess" (C:\WINDOWS\system32\dla\tfswshx.dll)
    BHO\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - "SSVHelper Class" (C:\Program Files\Java\jre6\bin\ssv.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 09/06/2011 21:25:51 (3675 Octet(s))

    Fin à: 21:26:50, 09/06/2011

    ============== E.O.F ==============




    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -




    ############################## | UsbFix 7.047 | [Recherche]

    Utilisateur: ELODIE (Administrateur) # HUGUES-FF410280 [ ]
    Mis à jour le 06/06/2011 par TeamXscript
    Lancé à 21:32:19 | 09/06/2011
    Site Web: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz
    CPU 2: Intel(R) Pentium(R) 4 CPU 3.00GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702

    Pare-feu Windows: Activé
    Antivirus: AntiVir Desktop 10.0.1.58 [(!) Disabled | Updated]
    RAM -> 1022 Mo
    C:\ (%systemdrive%) -> Disque fixe # 24 Go (4 Go libre(s) - 14%) [Maison I] # NTFS
    D:\ -> CD-ROM
    E:\ -> CD-ROM
    H:\ -> Disque fixe # 50 Go (1 Go libre(s) - 3%) [Maison II] # NTFS

    ################## | Éléments infectieux |


    ################## | Registre |

    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDesktop
    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{33225293-7826-11dc-9a4d-0011431645dc}
    Shell\AutoRun\Command = G:\9.cmd
    Shell\explore\Command = G:\9.cmd
    Shell\open\Command = G:\9.cmd

    HKCU\.\.\.\.\Explorer\MountPoints2\{9f3e3130-ce8f-11dd-9b68-0011431645dc}
    Shell\AutoRun\Command = G:\opgde.exe
    Shell\open\Command = G:\opgde.exe


    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |





    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -



    Voila voila...

    J'ai été assez catégorique sur le fait de ne pas utiliser l'ordi, mais je ne suis pas sûr que la consigne soit bien suivie...


    Bref, désolé pour ces laps de temps et merci de ne pas lâcher l'affaire !

    +
    9 Juin 2011 23:00:57

    hello,



    bien joué ...


    alors voilà pour la suite , dans l'ordre :



    1- ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu cliques sur le bouton [ Suppression ] .

    -> Laisse travailler l'outil et ne touche à rien ...

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    /!\ Important : une fois le rapport posté , redémarre le PC pour que l'outil puisse terminer le nettoyage .



    ===================================


    2- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    21 Juillet 2011 14:16:08

    Alors alors...

    Heu...

    Disons que 1 mois, 11 jours et 15 heures plus tard...

    Je suis efin en direct live devant ce pc.

    Je ne sais pas dans quelle mesure il est bon de recomencer là où on en était...

    Parce que selon toutes vraisemblances, le pc a été utilisé...

    Du coup j'ai lancé le usbfix :

    ############################## | UsbFix 7.047 | [Suppression]

    Utilisateur: ELODIE (Administrateur) # HUGUES-FF410280 [ ]
    Mis à jour le 06/06/2011 par TeamXscript
    Lancé à 12:54:58 | 21/07/2011
    Site Web: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz
    CPU 2: Intel(R) Pentium(R) 4 CPU 3.00GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702

    Pare-feu Windows: Activé
    Antivirus: AntiVir Desktop 10.0.1.58 [(!) Disabled | Updated]
    RAM -> 1022 Mo
    C:\ (%systemdrive%) -> Disque fixe # 24 Go (2 Go libre(s) - 8%) [Maison I] # NTFS
    D:\ -> CD-ROM
    E:\ -> CD-ROM
    H:\ -> Disque fixe # 50 Go (1 Go libre(s) - 3%) [Maison II] # NTFS

    ################## | Éléments infectieux |

    Supprimé! C:\Recycler\S-1-5-21-789336058-1364589140-725345543-1004
    Supprimé! H:\Recycler\S-1-5-21-789336058-1364589140-725345543-1004

    ################## | Registre |

    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDesktop
    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{33225293-7826-11dc-9a4d-0011431645dc}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{9f3e3130-ce8f-11dd-9b68-0011431645dc}

    ################## | Listing |

    [09/06/2011 - 21:26:52 | N | 4421] C:\Ad-Report-CLEAN[1].txt
    [07/11/2005 - 15:57:53 | N | 0] C:\AUTOEXEC.BAT
    [04/06/2011 - 16:45:39 | N | 216] C:\boot.ini
    [19/08/2004 - 21:56:33 | N | 4952] C:\Bootfont.bin
    [09/06/2011 - 20:55:34 | N | 1308] C:\cleannavi.txt
    [13/07/2011 - 20:03:19 | D ] C:\Config.Msi
    [07/11/2005 - 15:57:53 | N | 0] C:\CONFIG.SYS
    [13/05/2006 - 15:55:05 | D ] C:\C_DILLA
    [31/08/2006 - 11:50:56 | D ] C:\DELL
    [23/12/2007 - 12:22:01 | D ] C:\DesignWorkshop Lite Installer
    [11/09/2008 - 23:12:49 | D ] C:\Documents and Settings
    [30/03/2005 - 17:10:34 | N | 729088] C:\Ereg.exe
    [21/07/2011 - 12:46:38 | ASH | 1071796224] C:\hiberfil.sys
    [17/07/2011 - 11:35:27 | N | 521] C:\hpfr3420.xml
    [17/07/2011 - 11:35:27 | N | 11973] C:\hpfr3425.log
    [07/11/2005 - 15:57:53 | N | 0] C:\IO.SYS
    [13/05/2006 - 15:35:21 | D ] C:\LRE
    [26/12/2008 - 01:17:28 | D ] C:\Mes téléchargements
    [07/11/2005 - 15:57:53 | N | 0] C:\MSDOS.SYS
    [20/07/2008 - 14:27:28 | D ] C:\MSOCache
    [09/06/2011 - 20:55:44 | D ] C:\Navilog1
    [19/08/2004 - 22:03:09 | N | 47564] C:\NTDETECT.COM
    [08/07/2008 - 17:04:47 | N | 252240] C:\ntldr
    [21/07/2011 - 12:46:31 | ASH | 805306368] C:\pagefile.sys
    [04/06/2011 - 17:05:28 | N | 512] C:\PhysicalDisk0_MBR.bin
    [24/12/2007 - 21:15:01 | D ] C:\Poker
    [09/06/2011 - 21:25:29 | D ] C:\Program Files
    [21/07/2011 - 12:59:13 | SHD ] C:\RECYCLER
    [21/07/2011 - 12:47:32 | N | 1401] C:\serf_conf.txt
    [23/06/2011 - 23:01:36 | SHD ] C:\System Volume Information
    [27/09/2008 - 10:57:08 | D ] C:\Temp
    [21/07/2011 - 12:59:13 | D ] C:\UsbFix
    [21/07/2011 - 12:59:49 | A | 1576] C:\UsbFix.txt
    [15/07/2011 - 10:37:50 | D ] C:\WINDOWS
    [05/06/2011 - 03:58:35 | N | 984] C:\ZHPExportRegistry-2011-06-05-03-58-35.txt
    [01/11/2009 - 18:18:16 | D ] H:\2d18be8613b1b85fcb8190e17fcf
    [01/11/2009 - 18:18:17 | D ] H:\7026f2dcae504bbb52
    [01/11/2009 - 18:18:16 | D ] H:\8e890322585693a6d786ff480bfc27
    [29/08/2010 - 12:07:30 | D ] H:\Aleck
    [18/03/2011 - 18:34:10 | N | 229013156] H:\Californication.204.VOSTFR.HDTV.avi
    [18/03/2011 - 18:34:56 | N | 226165340] H:\Californication.205.VOSTFR.HDTV.avi
    [07/09/2008 - 19:21:58 | D ] H:\Documents
    [31/10/2010 - 23:52:28 | D ] H:\EA Games
    [16/11/2007 - 14:55:37 | D ] H:\Google Desktop Data
    [02/06/2007 - 19:42:25 | D ] H:\Les freres scott saison 1 (episode 1 à 11) - francais
    [31/10/2010 - 13:34:03 | D ] H:\PHOTO
    [21/07/2011 - 12:59:13 | SHD ] H:\RECYCLER
    [31/10/2010 - 23:52:26 | D ] H:\sarah
    [23/05/2008 - 12:59:27 | D ] H:\Soirée julie aurélie et soirée philippe
    [04/06/2011 - 16:45:31 | SHD ] H:\System Volume Information
    [28/09/2009 - 14:16:28 | D ] H:\Temp
    [24/12/2007 - 17:33:16 | D ] H:\[PC - Game]-THE SIMS 2 ITA+serial

    ################## | Vaccin |

    C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    H:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_HUGUES-FF410280.zip
    http://www.teamxscript.org/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |







    Et donc à la suite le ZHPDiag :

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijfqgGt...


    Wala...

    Désolé de déterrer ce vieux topic... mais il c'était vraiment compliquer de continuer de faie faire les manips à distance...

    A + !
    21 Juillet 2011 19:37:46

    hello,


    de retour dans le vif du sujet donc . :) 


    c'était pourquoi déjà ? ... des piles neuves ? ....




    Ah non c'est vrai , des virus trojan et autres niaks ... :whistle: 




    donc on va refaire un tou d'horizon vite fait ( vu le rapport ZHPDiag , cela n'est pas trop mal )



    dans l'ordre :


    1- Déjà , dis moi comment va l'ordi ? ... des prb particuliers et autre trucs bizards ou tout semble OK ?


    ================================

    2- Rends toi sur ce site :

    http://www.virustotal.com/

  • Clique sur "parcourir" et va jusqu'au fichier suivant :

    C:\Ereg.exe

  • Clique sur Send File ( = " Envoyer le fichier " ).

    -> Un rapport va s'élaborer ligne à ligne.

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

  • Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

  • Copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ...

    Petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


    ===================================

    3- Ré-utilise Malwarebytes ainsi ,


    mets le à jour ! ( onglet 'mise à jour' . Recommence jusqu'à ce qu'il n'y est plus de maj disponible )


    * Utilisation

    ! Déconnecte toi et ferme toutes applications en cours !

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Poste le rapport généré après la suppression des objets infectés pour analyse ...

    Note importante :
    si MBAM te demande de redémarrer ton PC pour finir le nettoyage, fais le imédiatement après m'avoir fait parvenir le rapport !


    ============================


    4- histoire de contrôler si le hook au niveau du MDR est bien dû aux émulateurs qui sont installés fait ceci :


    >>> supprime bien la version de TdssKiller que tu as.




    Puis on reprend avec la dernière version dispo ,


    Télécharge sur ton bureau l'outil TdssKiller ( de Kaspersky lab ) :

    > http://support.kaspersky.com/downloads/utils/tdsskiller...


    ! Ferme toutes applications en cours, déconnecte toi et désactive ton antivirus le temps de la procédure !


  • Lance TdssKiller.exe .


    > La fenêtre suivante va s'ouvrir::




    > Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.


    ( Note : si aucune infection n'est détectée après le scan, clique sur close pour fermer l'outil ... )


  • Si des fichiers infectés sont trouvés, une nouvelle fenêtre va s'ouvrir:



    o Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

    o Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

    o Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

    o Si Suspicious file est indiqué, laisse l'option cochée sur Skip .


    > Clique sur Continue puis sur Reboot now pour redémarrer le PC.

    laisse travailler ...


    > Une fois finit, fait moi parvenir le rapport généré dans ta prochaine réponse

    Ce rapport sera sauvegardé à la racine de ta partition système sous le nom C:\TDSSKillerJJ.MM.AA_HH.MM.SS.txt (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).


    ( tutoriel--> http://support.kaspersky.com/viruses/solutions?qid=2082... )








    21 Juillet 2011 23:07:10

    Yep c'est (re)parti...

    Alors premier petit truc, impossible d'accéder à virustotal.com... "le serveur met trop de temps à répondre".... J'imagine que ça vient de leur site...

    Ensuite avant de lancer tes manips...

    Le pc est ultra lent, que ce soit pour afficher une page web, ouvrir une application et même pour la plus petite tache d'écriture que je puisse lui demander. En fait, le ressenti (je me doute que concrètement ça doit pas trop être ça...) c'est qu'on dirait que le disque dur tourne au ralenti...

    Les autres signes, c'est que quand l'infection s'est déclarée, le wallpaper a disparu au profit d'un joli bleu, que quelques icônes du bureau se sont faits la male, ainsi que tous les raccourcis du menu démarrer...
    J'ai l'impression qu'il manque aussi des choses dans le menu "tous les programmes" du menu démarrer.

    Sinon pas mal de dossiers sont réapparus et je n'ai pas l'impression qu'il manque des fichiers...

    Wala...

    Bon, je retente virustotal et j'avance sur les manips...

    (merci de reprendre le dossier !)
    21 Juillet 2011 23:33:31

    Et MBAM n'a rien trouvé...

    Voici son rapport :

    Malwarebytes' Anti-Malware 1.51.1.1800
    www.malwarebytes.org

    Version de la base de données: 7224

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    2011-07-21 23:27:19
    mbam-log-2011-07-21 (23-27-19).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 183096
    Temps écoulé: 7 minute(s), 21 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)


    ----------------------------------------------------------------------------------------



    Je me colle à TDSSKiller.
    21 Juillet 2011 23:51:44

    Voici le rapport de TDSSKiller :

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijG7Jm9...


    Sinon, en vérifiant vite fait si des documents ne manquaient pas je me suis rendu compte que mes DD (qui n'est son qu'un partitionnés en deux) étaient complètement blindés (moins de deux giga de libre sur chaque, et j'ai donc viré quelques fichiers qui ne manqueront à personne...), depuis ça tourne mieux...

    Et sinon toujours les deux petits messages au démarrage, un de DAEMON Tools : "Virtual SCSI driver not detected" et desktop.ini : "[.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787"

    22 Juillet 2011 20:48:12

    hello,


    comme je le pensais , on avait bien une infection TDSS ... :fou: 

    fichier systeme VolSnap.sys patché et normalement réctifier pas Tdsskiller ... mais bon pas sûr que cela soit terminé pour autant ...


    pour ce qui est des fichiers et raccourcis manquant , normalement le script ZHPFix qu'on avait fait aurait du rectifier le truc ... :heink: 
    pour les dossiers disparus et autres , cela risque d'être plus complexe mais on devrait pouvoir les retrouver ....

    pour le font d'écran , pas le choix , il faudra le rétablir toi même ...



    donc la suite dans l'ordre :


    1- Télécharge Unhide.exe (de Grinler) sur ton Bureau.

    ! Désactive ton anti-virus le temps de la manipe !

  • Lance Unhide .

  • Laisse l'outil tourner.

  • Ferme la fenêtre une fois finit .

    Normalement, ce qui avait disparu du bureau doit être de nouveau visible ... Dis moi alors ce qu'il en est de ce côté là ...



    ==================================

    2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Double-clique sur l'icône "ComboFix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    -- Pour XP, l' installation de la Console de Récupération sera demandé :
    * Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).

    *Une fois la console installée,

    Déconnecte toi si possible avant de cliquer sur "Oui" pour lancer le scan --


    Notes importantes :
    -> Ne rien faire avec le PC pendant le scan !
    -> N'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Si l'outil t'anonce qu'un version plus récente de ComboFix est disponible, accepte la mise à jour.
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
    -> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore ComboFix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses une fois la procédure terminée.


    > Poste le rapport ComboFix pour analyse et attends la suite ..
    22 Juillet 2011 23:52:37

    Je crois que le bureau est ok (sauf le fond d'écran, mais ça va pas être dur d'en mettre un nouveau...).

    Je ne sais pas si j'avais précisé, mais quand tu cliques sur "démarrer", puis sur "tous les programmes", là il manque des trucs (genre plus la calculette etc...) et surtout quand tu passes le pointeur de la sourie sur les différents dossiers pour qu'ils se développent, et bien ils sont quasi tous vide...

    Mais ça fait peut-être parti des choses : "plus complexe mais on devrait pouvoir les retrouver ...."

    Je passe à combofix.
    23 Juillet 2011 21:27:18

    Pas d'accés à l'ordi d'ici jeudi !!
    Reprise des hostilités en fin de semaine donc !

    Et d'ici là, la consigne est passée, personne ne touche !

    A plus.
    24 Juillet 2011 20:56:32

    hello,



    la suite donc :



    1- 1- Créer un doc texte sur ton bureau :
  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    KillAll::

    Driver::
    Afdrxy94sdf



  • Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ==================================


    3- on va essayer de retrouver ce qui manque mais je ne te garantie rien ...


    fait ceci stp :

    Télécharge OTL de OLDTimer sur ton bureau :

    http://oldtimer.geekstogo.com/OTL.exe

    ! Déconnecte toi et ferme toutes applications en cours !

    > Double clique sur OTL.exe pour le lancer .


    Une fois l'outil ouvert,

  • Coche les 2 cases Lop et Purity .

  • Coche la case en haut devant tous les utilisateurs

  • copie / colle ce qui ce trouve en sitation ci dessous dans l'encadré "custom scans..."


    netsvcs
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %Temp%\smtmp\*.* /s



    Ne touche à rien d'autre .


    > Clique sur Analyse pour lancer le scan et laisse travailler l'outil ...

    A la fin, 2 rapports s'ouvrent avec le Bloc-Notes et sont sauvegardés sur le bureau :"OTL.txt" et "Extras.txt"

    > Fait moi parvenir ces dernier via "Cijoint" attends la suite ...


    29 Juillet 2011 23:56:03

    Hello, me revoila pour la désinfection la plus longue de l'histoire du farwest...

    Alors, primo le rapport combofix :

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijyVIaB...


    Tout s'est bien passé, l'ordi a redémarré tout seul.

    Pour OTL, pas de soucis particuliers, mais deux détails :

    1/ Avira s'est déclanché pour me dire que C:\Autorun.inf a été bloqué.

    Je m'étais bien déconnecté, mais je n'avais pas coupé mes défenses puisque ça n'était pas précisé.

    2/ Pas mal de fichiers (les fichiers cachés) sont ré-apparus, mais les exécutables des menus de "démarrer--> tous les programmes--> etc..." restent invisibles, même si il me semble que certains soient réapparus...

    Voici les deux rapports :

    OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj201107/cijzGRqX...

    Extras.txt : http://www.cijoint.fr/cjlink.php?file=cj201107/cijJ9wfC...


    Et sinon, l'ordi se comporte bien.

    Merci !!!
    30 Juillet 2011 10:27:40

    hello,


    tant mieux si l'ordi est OK ...


    RAS dans les rapports


    ============================

    En ce qui concerne AntiVir , pour qu'il arrète de te prendre la tête avec les autorun , fait le réglage suivant :

    Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " :




    > http://www.cijoint.fr/cj201107/cijCelrtAN.jpg


    =============================


    parcontre pour le 'menu démarrer', je ne vois pas trop ... poss'ble que celui-ci est été vidé ( par l'infection ou pas un outil ) et qu'il se 'remplira' à nouveau au fure et a mesure que tu lanceras des appli.


    =============================



    Fait ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :


    ( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


    1- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert :

    !! ferme tes autres applications en cours !!


    A- Clique sur le bouton " Nettoyeur de tools " . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

    > Là tu décoches la case devant ZHPDiag !


    > Enfin clique en bas sur .


    Laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

    -> Copie/colle le contenu de ce rapport pour analyse ...

    ( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )

    Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage, fait le !



    B- Clique sur le bouton en haut à droite " Vider la quarantaine "

    Au message de confirmation , clique sur "Ok" .


    Puis ferme ZHPFix ...


    ======================================

    2- Refais un coup de CCleaner ( registre compris ) .


    ======================================

    3- Important :
    Purge de la restauration système
    *Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    *Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ décoche la case désactiver la restauration, appliquer, OK
    --->Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->"systeme"->" restauration système " ).


    ======================================


    4- on va utiliser AntiVir ainsi :


    mets le à jour si besoin .


    Aide AntiVir : http://www.malekal.com/tutorial_antivir.php

    Fais ce réglage supplémentaire :

    ***************************************
    Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " :

    * mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé .
    coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir.
    * toujours dans "recherche" -> "Autres réglages", coche les cases suivantes :
    > secteur d'amorçage lecteurs de rech.
    > Contrôler secteurs d'amorçage maître
    > Suivre les liens symboliques
    > Rech.Rootkit au dém. de la recherche
    et décoche :
    ignorer les fichiers hors ligne

    * mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus = coché, et en dessous coche activer AHeAD et coche la case degré d'identification élevé ...
    * mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .

    * mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus = coché, et en dessous coche activer AHeAD et coche la case degré d'identification moyen ...


    ---> clique sur "OK" pour valider le réglage ..

    ****************************************


    Une fois fait, lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...


    => poste moi le rapport obtenu ... Aide toi bien du tuto ;) 







    31 Juillet 2011 19:36:26

    Hello !

    *Rapport ZHPFix :

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijFIzKf...

    Pendant le désinstallation pas mal de messages dans tous les sens, des divers outils et de fenêtres internet qui s'ouvrent etc... mais au final ça a abouti...

    *CCleaner ok, mais au niveau du registre il y a un truc qui revient à chaque scan, impossible de le virer même en relançant plein de fois :

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijT6BMv...

    *Purge des points de restauration ok.

    *Antivir ok, mais au niveau des réglages, par rapport à cette consigne :
    Citation :
    mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel"
    je n'ai pas trouvé où choisir "le mode individuel... :/ 

    En tous cas il n'a rien trouvé, donc je n'ai rien eu à mettre en quarantaine :

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijLPYQe...


    Voila voila...


    Et sinon toujours les deux petits messages au démarrage, un de DAEMON Tools : "Virtual SCSI driver not detected" et desktop.ini : "[.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787"


    A toute !


    31 Juillet 2011 21:42:38

    re,


    pour DAEMON Tools , désinstalle le proprement puis réinstalle le pour voir ...



    pour l'autre message fait ceci :


    Va dans "démarrer"/commande "Exécuter" : tu tapes msconfig et valides ...

    ( tu peux aussi accèder à la commande " exécuter " en tapant sur :
    touche Windows (en bas à gauche du clavier) + R ).


    Dans cette nouvelle fenêtre , tu vas sur l'onglet " démarrage " :

    -> cherche une ligne qui corresponderait au lancement du fichier desktop.ini
    Si tu la trouves , décoche là ! ... Puis valide la modife .

    Laisse toi guider et redémarre ton PC quand il te le sera demandé ....

    ( au redémarrage , à l'arrivée du bureau , une fenêtre s'ouvrira : coche la petite case vide et valide ... )



    Dis mois si les messages persitent après cela ...



    ++


    1 Août 2011 10:31:13

    Salut !

    Les deux manips ont fonctionné !

    Petit détail qu'il ne me semble pas avoir remarqué avant, j'ai un message au redémarrage de l'ordi.

    C'est un écran qui dure à peine une seconde, et qui ressemble un peu aux écrans de choix de mode de démarrage qu'on obtient en faisant F8 lorsque l'ordi démarre.

    J'ai essayé de retenir ce qu'il y est inscrit : "Windows recovery consol" Do not select this option (debogueur activé"

    et en dessous "windows xp familiale"


    Je ne me souviens pas que le pc présentait cet écran avant la désinfection. Et ce n'est absolument pas gênant, je t'en fais juste part histoire de dire tout ce qui se passe... Je ne sais pas si ce genre de détail a une grande importance mais bon...


    A plus !
    1 Août 2011 21:11:55

    hello,


    pour ce menu au démarrage , c'est normal ! ...
    c'est la Console de Récupération installer lors de la manipe de ComboFix .

    * La "Console de récupération" ( XP ):
    face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable.
    tutoriels ici :
    http://www.pcastuces.com/pratique/windows/xp/console_re... .
    http://www.informatruc.com/console.php



    ==============================


    Pour voir ou on en est et ce qu'il reste à pauffiner , relance un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...




    2 Août 2011 19:14:50

    yop,



    1- ta restauration systeme est désactivé ... il faut la réactivé de suite :

    Clique droit sur poste de travail/propriétés/Restauration système/ décoche la case désactiver la restauration, appliquer, OK

    --->Redémarre ton PC ...



    dis moi si c'est Ok après cela ( tu retournes au même endroit et contôle que se soit toujours décoché )


    ===============================

    2- un dossier suspect ...

    fait ceci :

    Télécharge SystemLook de jpshortstuff sur ton bureau :

    ici http://jpshortstuff.247fixes.com/SystemLook.exe
    ou ici http://images.malwareremoval.com/jpshortstuff/SystemLoo...


    * Double-clique sur "SystemLook.exe" pour lancer l'outil .

    -> Copies/colle le texte ci-dessous dans la fenêtre :


    :dir
    C:\Documents and Settings\ELODIE\Local Settings\Application Data\F5NN9tWsqcLUb



    * Clique sur le bouton [Look] pour lancer l'examen .

    Laisse travailler ...

    * Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

    -> Poste ce rapport dans ta prochaine réponse pour analyse ...


    ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )





    2 Août 2011 23:45:15

    Ok,

    pour la restauration c'est réglé...

    Et pour le dossier suspect, voici le rapport de SystemLook :

    SystemLook 30.07.11 by jpshortstuff
    Log created at 23:40 on 02/08/2011 by ELODIE
    Administrator - Elevation successful

    ========== dir ==========

    C:\Documents and Settings\ELODIE\Local Settings\Application Data\F5NN9tWsqcLUb - Parameters: "(none)"

    ---Files---
    RDKJsRE130.va_ ------- 1079 bytes [11:52 16/07/2009] [11:52 16/07/2009]

    ---Folders---
    None found.

    -= EOF =-




    J'ai essayé de lancer certaines applications pour voir si elles réapparaissaient dans le menu démarrer, et pas moyen.

    Pas très grave, pour celles qui sont le plus utilisées sur cet ordi je ferai soit des liens, soit une ré-installation quand on aura terminé...

    Tcho !
    3 Août 2011 21:14:12

    yop,



    C:\Documents and Settings\ELODIE\Local Settings\Application Data\F5NN9tWsqcLUb\RDKJsRE130.va_


    pour le dossier et le fichier ... pas trop de risque vu la taille qu'il fait ...

    mais analyse le sur VirusTotal histoire de > http://www.virustotal.com/index.html

    et poste moi le rapport obtenu stp ...



    ==============================

    pour le menu démarrer , regarde si ce n'est pas une histoire de réglage qui aurait été modifié .

    clique droit sur la barre des tâches / 'propriétés'.

    va sur l'onglet 'menu démarrer' et regarde si tout est bien réglé correctement > http://www.cijoint.fr/cj201108/cijelzFVLl.jpg






    tient moi au ju ...


    A+
    3 Août 2011 23:59:57

    Voici le rapport de virustotal :

    http://www.virustotal.com/file-scan/report.html?id=3c4f...

    Par contre, pas trop pu faire de grandes modifs au niveau des réglages du menu démarrer...

    Je n'ai pas les mêmes options que sur ton screen shot à ma disposition :

    la preuve par l'image :

    http://www.cijoint.fr/cjlink.php?file=cj201108/cijKMFzo...

    Un peu compliqué d'aller chercher paint dans C:/windows/system32 etc...

    On va dire que c'est dans mes compétences, mais pas dans celles des personnes qui utilisent habituellement cet ordi...

    Je pourrais créer un maximum de raccourcis sur le bureau une fois qu'on aura terminé si il n'y a pas d'autres solutions...

    Incroyable quand même cette attaque...
    5 Août 2011 19:18:58

    hello,



    fait ceci maintenant :


    1- faut faire de la place sur le disque dur :

    Citation :
    4 GB (17%) free of 24 GB


    4 Go de libre sur 24 c'est un peu légé pour que le systeme tourne correctement


    =================================

    2- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
    O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} . (...) -- (.not file.)
    OPT:O4 - HKCU\..\Run: [DAEMON Tools Lite] . (.DT Soft Ltd - DAEMON Tools Lite.) -- C:\Program Files\DAEMON Tools Lite\DTLite.exe
    OPT:O4 - HKUS\S-1-5-21-789336058-1364589140-725345543-1004\..\Run: [DAEMON Tools Lite] . (.DT Soft Ltd - DAEMON Tools Lite.) -- C:\Program Files\DAEMON Tools Lite\DTLite.exe
    OPT:O4 - HKCU\..\Run: [msnmsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\MsnMsgr.exe
    OPT:O4 - HKUS\S-1-5-21-789336058-1364589140-725345543-1004\..\Run: [msnmsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\MsnMsgr.exe
    OPT:O4 - HKLM\..\Run: [WinampAgent] . (...) -- C:\Program Files\Winamp\winampa.exe
    OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
    OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
    OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
    OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
    OPT:O4 - HKUS\S-1-5-21-789336058-1364589140-725345543-1004\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    [HKLM\Software\Boonty]
    O43 - CFD: 07/07/2008 - 18:10:40 - [3477593] ----D- C:\Program Files\Spybot - Search & Destroy
    O44 - LFC:[MD5.C04D1CDDCA5B495C29F4B984BA64EF17] - 02/08/2011 - 08:09:07 ---A- . (...) -- C:\Program [40]
    O43 - CFD: 08/07/2008 - 09:18:58 - [0] ----D- C:\Documents and Settings\ELODIE\Application Data\Lavasoft
    [HKLM\Software\McAfee.com]
    [HKCU\Software\McAfee.com]
    [HKCU\Software\Safer Networking Limited]
    [HKLM\Software\Safer Networking Limited]
    [HKCU\Software\Zone Labs]



    > Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.


    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [GO] pour lancer le nettoyage .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé sur ton bureau > ZHPFix.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    =======================================


    3- Avant de passer à la toute dernière étape , relance un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    6 Août 2011 00:56:07

    Hello !

    Voici le rapport zhpfix :

    Rapport de ZHPFix 1.12.3345 par Nicolas Coolman, Update du 29/07/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-06-08-2011-00-37-17.txt
    Run by ELODIE at 06/08/2011 00:37:17
    Windows XP Home Edition Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: CLSID BHO: {5C255C8A-E604-49b4-9D64-90988571CECB}
    SUPPRIME Key: HKLM\Software\Boonty
    SUPPRIME Key: HKLM\Software\McAfee.com
    ABSENT Key: HKCU\Software\McAfee.com
    ABSENT Key: HKCU\Software\Safer Networking Limited
    SUPPRIME Key: HKLM\Software\Safer Networking Limited
    ABSENT Key: HKCU\Software\Zone Labs

    ========== Valeur(s) du Registre ==========
    ABSENT Toolbar: {710EB7A1-45ED-11D0-924A-0020AFC7AC4D}
    SUPPRIME Toolbar: {710EB7A1-45ED-11D0-924A-0020AFC7AC4D}
    SUPPRIME RunValue: DAEMON Tools Lite
    ABSENT RunValue: DAEMON Tools Lite
    SUPPRIME RunValue: msnmsgr
    ABSENT RunValue: msnmsgr
    SUPPRIME RunValue: WinampAgent
    SUPPRIME RunValue: QuickTime Task
    SUPPRIME RunValue: iTunesHelper
    SUPPRIME RunValue: ctfmon.exe
    ABSENT RunValue: ctfmon.exe

    ========== Dossier(s) ==========
    SUPPRIME Folder*: C:\Program Files\Spybot - Search & Destroy
    SUPPRIME Folder*: C:\Documents and Settings\ELODIE\Application Data\Lavasoft

    ========== Fichier(s) ==========
    ABSENT File: c:\program


    ========== Récapitulatif ==========
    7 : Clé(s) du Registre
    11 : Valeur(s) du Registre
    2 : Dossier(s)
    1 : Fichier(s)


    ========== Chemin du fichier rapport ==========
    C:\Program Files\ZHPDiag\ZHPFixReport.txt



    End of the scan in 02mn 22s


    Et voici le rapport zhpdiag :

    http://www.cijoint.fr/cjlink.php?file=cj201108/cijLCesi...


    Je vais tenter de faire de la place... surtout que le pc va selon toutes vraisemblances survivre à l'épreuve... Donc je pense investir dans un petit disque dur et dé-partitioné le disque dur déjà en place...

    Vraiment merci sérieux...

    J'attends la suite ;)  !!
    6 Août 2011 11:46:27

    hello,


    suite et FIN dans l'ordre :


    1- Télécharge DelFix ( de Xplode ) sur ton bureau :

    ici > http://general-changelog-team.fr/telechargements/logici...
    ou ici > http://www.commentcamarche.net/download/telecharger-340...

    ! Ferme toutes applications en cours !

  • lance le .

  • Clique directement sur le bouton [suppression] pour lancer le nettoyage .

    > laisse travailler , ne touche à rien ...

  • Une fois termniné, poste le rapport obtenu pour analyse ....


    Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
    Supprime tout les outils , dossiers ou rapports consernant la désinfection que l'outil n'a pas supprimé .

    ( tu pourras désinstaller l'outil une fois que tout sera terminé )


    =================================


    2- Refait un coup de CCleaner ( registre compris )


    =================================


    3- Fait ce check up pour finir :


    Attention : ne pas toucher au PC pendant qu'il travaille !


    A- Nettoyage et Défragmentation des Disques .
    * Nettoyage :
    Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général"
    Clique sur le bouton "nettoyage de disque", OK .
    tu le fais pour chacun de tes disques ...

    * Vérifications des erreurs :
    Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil"
    "Vérifier maintenant", une boîte s'ouvre, cocher les cases :
    -réparer automatiquement les erreurs...
    -rechercher et tenter une récupération...
    --->Démarrer, ok
    Note : s'il te dis de redémarrer ton PC pour le faire , tu redémarres de suite et tu laisses faire, cela prend un peu de temps c'est normal.
    Tu le fais pour chacun de tes disques ...

    ensuite toujours dans le même onglet tu choisis :
    * Défragmentation :
    "défragmenter maintenant", OK
    une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK .
    Tu le fais pour chacun de tes disques ...

    Note : si tu as un utilitaire pour défragmenter , utilise le à la place ...
    ( attention , cela peut durer assez longtemps - plus de dix heures dans certains cas )


    B- Créer un point de restauration de ton PC :

    Aller dans le Menu Démarrer puis dans Programmes,
    - Ensuite dans Accessoires et enfin dans Outils système,
    - Choisir "Restauration du système",
    - Sélectionner "Créer un point de restauration",
    - Cliquer sur "Suivant",
    - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple :
    << Point restauration sain >> .

    --> Cliquer sur "Créer" et le point de restauration se créé automatiquement.




    ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... ;) 

    7 Août 2011 16:09:31

    Hello,

    Alors... j'ai été trop vite avec DelFix...

    Du coup voici son deuxième rapport, lje n'ai pas pris le temps de sauver le premier pour le coller ici... mais tout les petits softs s'étaient bien désinstallés :

    # DelFix v8.1 - Rapport créé le 07/08/2011 à 16:01
    # Mis à jour le 20/06/11 à 19h par Xplode
    # Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
    # Nom d'utilisateur : ELODIE - HUGUES-FF410280 (Administrateur)
    # Exécuté depuis : C:\Documents and Settings\ELODIE\Bureau\DelFix-8.1.exe
    # Option [Suppression]


    ~~~~~~ Dossier(s) ~~~~~~

    Non supprimé (1) : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

    ~~~~~~ Fichier(s) ~~~~~~


    ~~~~~~ Registre ~~~~~~


    ~~~~~~ Autre ~~~~~~

    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [683 octets] ##########


    Tout le reste s'est passé correctement.

    Deux détails tout de même :

    cette chose qui revient à chaque fois avec ccleaner quand je tente de nettoyer le registre :

    Extension de fichiers inutilisée {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

    Et un disque C: qui aurait besoin d'être défragmenter 50 fois de suite...

    Mais sinon tout va bien...

    AH et j'oubliais...

    Citation :
    B- Créer un point de restauration de ton PC :

    Aller dans le Menu Démarrer puis dans Programmes,
    - Ensuite dans Accessoires et enfin dans Outils système,
    - Choisir "Restauration du système",
    - Sélectionner "Créer un point de restauration",
    - Cliquer sur "Suivant",
    - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple :
    << Point restauration sain >> .

    --> Cliquer sur "Créer" et le point de restauration se créé automatiquement.


    Impossible de passer par là, puisque je n'ai rien dans outils système....

    Je suis passé par msconfig et j'ai choisi "créer un point de restauration"


    Voila, sinon ça tourne nickel... pas de bug ou de ralentissement particuliers...
    Il me reste aussi à virer la fenêtre de pub de avira...

    merci merci merci !

    A plus !
    7 Août 2011 18:25:23

    hello,


    Citation :
    Il me reste aussi à virer la fenêtre de pub de avira...


    Pas besoin ... c'est te casser la tête pour trois fois rien ...


    Citation :
    cette chose qui revient à chaque fois avec ccleaner quand je tente de nettoyer le registre


    t'inquiète , c'est pareil chez moi avec cette clé ... peut-être un bug du soft, mais rien de grave en tout cas ...



    ==========================
    ==========================
    ==========================



    Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre du topic :

  • Clique, dans ton premier message, sur le bouton Editer ( en bas à droite du message initial ) .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.


    ==========================
    ==========================
    ==========================



    Potasse ces quelques recommandations :


    => Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html
    et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.h...

    => Surveillance :
    Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).

    => Il faut absolument tenir à jour régulièrement Windows :

    Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
    http://windowsupdate.microsoft.com/

    Effectue toutes les mise à jour critiques proposées .
    Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

    Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
    Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

    =============================================================


    => Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :

    Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. http://secunia.com/software_inspector/
    - Tuto http://www.malekal.com/scan_vulnerabilite.php
    - Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

    -> autre très bon soft similaire dans cette astuce :
    http://www.commentcamarche.net/faq/sujet-9908-update-ch...

    ===========================================================

    * teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
    http://www.zebulon.fr/outils/scanports/test-securite.ph...


    ================================================================

    Pour une meilleur sécurité lorsque tu surfes :

    * Je te conseille d'utiliser le navigateur " FireFox " :
    télécharge le ici -> http://www.mozilla-europe.org/fr/
    ou -> http://www.commentcamarche.net/telecharger/telecharger-...

    ( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

    -> Tutorial pour sécuriser Firefox :
    http://www.malekal.com/securiser_Firefox.php
    http://forum.zebulon.fr/index.php?showtopic=69628

    * tu peux installer cet Add-ons : WOT
    > http://www.mywot.com/fr/download/ff
    ( gratuit / disponible également sur cet page les versions pour les autres navigateurs tel que IE, Chrome, Safari et Opéra )
    -> Démo : http://www.mywot.com/fr/demo
    Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
    > http://www.commentcamarche.net/faq/sujet-15620-wot-web-...

    * Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web.
    Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée :
    http://www.geekstogo.com/forum/redirect.php?url=http%3A...
    https://addons.mozilla.org/fr/firefox/addon/722

    =================================================================

    => Rappel sur les principales causes d'infection :

    A lire > http://www.malekal.com/fichiers/projetantimalwares/Proj...
    ( merci aux auteurs de ce pdf )

    * L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

    Les dangers des cracks :
    http://forum.malekal.com/danger-des-cracks-t893.html

    -> Le crack dans toute sa splendeur, journal d'une infection attendue :
    http://forum.zebulon.fr/index.php?showtopic=93281

    -> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
    > http://www.futura-sciences.com/fr/news/t/informatique/d...


    * Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

    Les conséquences du P2P : http://forum.zebulon.fr/index.php?showtopic=85544

    Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
    > http://www.libellules.ch/phpBB2/les-risques-securitaire...
    > http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1...
    > http://www.lexpansion.com/economie/actuali...ise_134122...


    *IE > Faire attention avec les ActiveX :
    http://assiste.com.free.fr/p/abc/a/activex_dangers.html
    et comment :
    http://assiste.com.free.fr/p/abc/c/anti_activex.html



    Infection par supports amovibles (clefs usb, flash, DD externes ..) :
    http://forum.zebulon.fr/index.php?showtopic=131959
    http://forum.malekal.com/viewtopic.php?f=45&t=5544


    * Rappel sur l'utilisation d'une version piratée de Windows :
    http://www.commentcamarche.net/faq/sujet-2981-j-utilise...


    =================================================================

    Bon à savoir :

    * La "Console de récupération" ( XP ):
    face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable.
    tutoriels ici :
    http://www.pcastuces.com/pratique/windows/xp/console_re... .
    http://www.informatruc.com/console.php

    Equivalent Vista : http://www.forum-vista.net/tutoriaux_vista/reparer_vist...

    * Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...).

    * Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

    * Analyser les fichiers reçus/téléchargés :
    Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! )
    Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
    Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

    * Utiliser un "compte limité" > http://b.marlow.free.fr/compte_limite.html

    * Idées reçus en sécurité informatique ( très instructif ) >
    http://www.libellules.ch/idees_recues_securite.php
    > Surmultiplication des protections : http://forum.malekal.com/phenomene-sur-multiplication-d...
    > Antispywares gratos, superflu : http://forum.malekal.com/antispyware-gratuit-sert-rien-...

    =================================================================


    Voilou ...


    Bonne continuation à toi ... :hello: 


    A+

    8 Août 2011 16:55:41

    Ok !!

    Tout semble ok.

    Je mets résole dans le titre, encore merci...

    Tu assures et ce site assure trop...

    Bref, juste avant de finir est-ce que lancer une "réparation" de windows à l'aide du cd d'installation ne permettrait pas de récupérer un bon nombre de ce qui a disparu du menu démarrer ??
    8 Août 2011 18:50:17

    hello,


    Citation :
    juste avant de finir est-ce que lancer une "réparation" de windows à l'aide du cd d'installation ne permettrait pas de récupérer un bon nombre de ce qui a disparu du menu démarrer ??



    possible ... mais attention de ne pas formater ! ....

    suis ce petit tuto > http://www.informatruc.com/reparer.php



    tient nous au courant ...


    A+


    :) 


    10 Août 2011 13:38:31

    Alors alors...

    La "réparation" s'est bien déroulée et j'ai récupéré pas mal d’éléments dans le menu démarrer. Surtout ceux liés à windows, genre accessoires etc...

    Par contre grosse galère pour faire le mises à jours. Obligé de faire une maj vers IE8 manuellement et ça plante au niveau du SP3...

    Je retente manuellement et en désactivant les défenses...
    10 Août 2011 14:20:51

    En fait, c'est au moment de la "mise à jour des clefs du registre" que ça plante et qu'une fenêtre "accés refusé" s'ouvre.

    ...

    A oui et au passage, depuis la réparation, un vieux bug que j'ai déjà vu sur ce pc je crois est apparu : à chaque fois que je clic droit sur un fichier ou un dossier, voir un icone, une fenêtre installer s'ouvre pour installer "scansoft pdf 4" et me demande un fichier pour continuer...

    Aller... je vais patiemment attendre tes conseils avant d'empirer les choses...

    A plus.
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS