Se connecter / S'enregistrer
Votre question

Impossible de supprimer deux processus iexplore.exe

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
18 Mars 2011 17:10:48

Bonjour, je vous contacte car depuis un certain temps mon pc ralentis, après quelque recherche je me suis rendu compte que deux processus(iexplore.exe) sont lancé et qu'il m'est impossible de les supprimer. Au vue de plusieurs discussion dans le forum je me suis aperçus que la solution à ce problème est personnaliser.
Voici donc le rapport que j'ai établis avec HijackThis. ( OS : xp pro, antivirus: avast gratuit + panda gratuit):
Spoiler
Citation :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:23, on 18/03/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\System Volume Information\Microsoft\services.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\System Volume Information\Microsoft\smss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\afwServ.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\EPSON\EPuras\EPurasLog.exe
C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe
C:\Program Files\Fichiers communs\Protexis\License Service\PSIService.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
C:\Program Files\EPSON\EPuras\EPuras.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\avastUI.exe
C:\Program Files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Norton Ghost\Shared\Drivers\SymSnapService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Norton Ghost\Agent\VProSvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Gary.WINHAIR\Bureau\HiJackThis.exe

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [PSUNMain] "C:\Program Files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe -update activex (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe -update activex (User 'Default user')
O4 - S-1-5-18 Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\D-Link\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\D-Link\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/...
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - https://transfers.ds.microsoft.com/FTM/TransferSource/g...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = winhair.lan
O17 - HKLM\Software\..\Telephony: DomainName = winhair.lan
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C454CA2-2189-4AC7-969B-79B736A83FF8}: Domain = winhair.lan
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = winhair.lan
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = winhair.lan
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Firewall - AVAST Software - C:\Program Files\Alwil Software\Avast5\afwServ.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\D-Link\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Epson Puras Service (EpsonPuras) - SEIKO EPSON CORPORATION - C:\Program Files\EPSON\EPuras\EPuras.exe
O23 - Service: Epson Puras Log Service (EpsonPurasLog) - SEIKO EPSON CORPORATION - C:\Program Files\EPSON\EPuras\EPurasLog.exe
O23 - Service: GenericMount Helper Service - Symantec - C:\Program Files\Norton Ghost\Shared\Drivers\GenericMountHelper.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Panda Cloud Antivirus Service (NanoServiceMain) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\VProSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Program Files\Fichiers communs\Protexis\License Service\PSIService.exe
O23 - Service: SymSnapService - Symantec - C:\Program Files\Norton Ghost\Shared\Drivers\SymSnapService.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe

--
End of file - 8796 bytes

Merci D'avance pour toute aide.
Bonne journée a vous

Autres pages sur : impossible supprimer processus iexplore exe

18 Mars 2011 20:22:38

Salut,



Citation :
antivirus: avast gratuit + panda gratuit



grosse erreur ! ... Tu as deux Antivirus actifs sur ton PC : c'est 1 de trop ! Ralentissement et instabilité du système + conflit entre les AV + grosse faille de sécurité ...
A lire sur la sur-multiplication des défenses > http://forum.malekal.com/phenomene-sur-multiplication-d...




Infection Whistler Bootkit ... du boulot donc ... :whistle: 



/!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================



    Commence par faire ceci dans l'ordre :


    1- Désintalle proprement Spybot S&D depuis le panneau de config / "ajout et suppression de prg " .

    Sert à rien à part alourdir le systeme et la navigation ...


    De plus, il va géner fortement les procédures de désinfection !


    A lire sur les antispy gratos > http://forum.malekal.com/antispyware-gratuit-sert-rien-...


    ==============================

    2- une fois Sypbot désinstaller , il faut que tu vire un de tes antivirus ...

    je te conseil de virer Panda ( pour le virer proprement > http://www.commentcamarche.net/faq/7367-desinstaller-pr... )




    Une fois tout ceci fait ( et pas avant ! ) , enchaine ...



    =========================


    3- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • Clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
    Contenus similaires
    21 Mars 2011 20:41:12

    Salut,



    on commence .... dans l'ordre :



    1- Les logiciels d'émulation de CD ( comme Daemon Tools ) peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    * Télécharge Defogger (de jpshortstuff) sur ton Bureau
    http://www.jpshortstuff.247fixes.com/Defogger.exe
    * Lance le
    * Une fenêtre apparait : clique sur "Disable"
    * Fais redémarrer l'ordinateur si l'outil te le demande
    * Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"



    =============================


    2- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    C:\System Volume Information\Microsoft\services.exe
    C:\System Volume Information\Microsoft\smss.exe
    O41 - Driver: (oreans32) . (...) - C:\WINDOWS\system32\drivers\oreans32.sys
    O43 - CFD: 29/03/2010 - 10:56:14 - [737] ----D- C:\Program Files\DAEMON Tools Toolbar
    O43 - CFD: 17/03/2011 - 10:31:02 - [33884041] ----D- C:\Program Files\Panda Security
    O43 - CFD: 21/03/2011 - 09:51:32 - [7145406] ----D- C:\Program Files\Spybot - Search & Destroy
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp242\mdm.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp242\mdm.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp243\mdm.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp243\mdm.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp244\mdm.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp244\mdm.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp245\mdm.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp245\mdm.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp246\mdm.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp246\mdm.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp247\mdm.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp247\mdm.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp248\mdm.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp248\mdm.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp249\mdm.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp249\mdm.exe (.not file.)
    O58 - SDL:[MD5.21DC5B289DCE2D32A32BAAB7BCF29A6A] - 05/01/2009 - 09:48:43 ---A- . (...) -- C:\WINDOWS\system32\drivers\oreans32.sys [33824]
    O58 - SDL:[MD5.FDC5FBCC24FFF63B0DC8057F77224BDC] - 16/12/2010 - 18:12:26 ---A- . (.Panda Security, S.L. - PSINAflt Filter Driver for XP32.) -- C:\WINDOWS\system32\drivers\PSINAflt.sys [141768]
    O58 - SDL:[MD5.21340BAE4746BB87685EB7B0340E37F4] - 16/12/2010 - 18:12:34 ---A- . (.Panda Security, S.L. - PSINFile Filter Driver for XP32.) -- C:\WINDOWS\system32\drivers\PSINFile.sys [97352]
    O58 - SDL:[MD5.043BB8AFCB1FAD95046F4CC9374FDDF3] - 16/12/2010 - 18:12:42 ---A- . (.Panda Security, S.L. - PSINKNC Kernel Controller for XP32.) -- C:\WINDOWS\system32\drivers\PSINKNC.sys [130376]
    O58 - SDL:[MD5.A821BB25B89CED1999EAF40FEB9E3FEC] - 16/12/2010 - 18:12:51 ---A- . (.Panda Security, S.L. - PSINProc Filter Driver for XP32.) -- C:\WINDOWS\system32\drivers\PSINProc.sys [111944]
    O58 - SDL:[MD5.FDB3745E5458EF8E1A39EDD65C0D4DEC] - 16/12/2010 - 18:12:59 ---A- . (.Panda Security, S.L. - PSINProt for XP32.) -- C:\WINDOWS\system32\drivers\PSINProt.sys [113096]
    O64 - Services: CurCS - (.not file.) - bckd (bckd) .(...) - LEGACY_BCKD
    O64 - Services: CurCS - (.not file.) - Kl1 (kl1) .(...) - LEGACY_KL1
    O64 - Services: CurCS - (.not file.) - Kaspersky Lab Driver (KLIF) .(...) - LEGACY_KLIF
    O64 - Services: CurCS - C:\WINDOWS\system32\drivers\oreans32.sys - oreans32 (oreans32) .(...) - LEGACY_OREANS32
    O64 - Services: CurCS - (.not file.) - Panda boot driver (PsBoot) .(...) - LEGACY_PSBOOT
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINAflt.sys - PSINAflt (PSINAFLT) .(.Panda Security, S.L. - PSINAflt Filter Driver for XP32.) - LEGACY_PSINAFLT
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINFile.sys - PSINFile (PSINFILE) .(.Panda Security, S.L. - PSINFile Filter Driver for XP32.) - LEGACY_PSINFILE
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\psinknc.sys - PSINKNC (PSINKNC) .(.Panda Security, S.L. - PSINKNC Kernel Controller for XP32.) - LEGACY_PSINKNC
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINProc.sys - PSINProc (PSINPROC) .(.Panda Security, S.L. - PSINProc Filter Driver for XP32.) - LEGACY_PSINPROC
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINProt.sys - PSINProt (PSINPROT) .(.Panda Security, S.L. - PSINProt for XP32.) - LEGACY_PSINPROT
    SR - | Auto 16/12/2010 140608 | (NanoServiceMain) . (.Panda Security, S.L..) - C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe



    > Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ==================================

    3- Télécharge bootkit_remover :
    > http://www.esagelab.com/files/bootkit_remover.rar

  • Extrait le contenu de l'archive sur ton bureau .
  • ! Désactive ton antivirus et ferme toutes applications en cours !
  • Lance l'outil.
  • Une fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse ...


    note :
    pour copier/coller cette fenêtre, cliquer droit sur la fenêtre DOS / choisir "sélectionné tout"



    Un fois le rapport sélectionné, il faut taper de suite sur [entrée] et le rapport est directement "copier" ....

    Il suffit ensuite de le "coller" sur le forum ...






    22 Mars 2011 09:42:18

    Voici les deux rapports dans l'ordre:
    Celui de ZHPFIX
    Citation :
    Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-22-03-2011-09-42-14.txt
    Run by Gary at 22/03/2011 09:42:14
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O41 - Driver: (oreans32) . (...) - C:\WINDOWS\system32\drivers\oreans32.sys => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - bckd (bckd) .(...) - LEGACY_BCKD => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - Kl1 (kl1) .(...) - LEGACY_KL1 => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - Kaspersky Lab Driver (KLIF) .(...) - LEGACY_KLIF => Clé supprimée avec succès
    O64 - Services: CurCS - C:\WINDOWS\system32\drivers\oreans32.sys - oreans32 (oreans32) .(...) - LEGACY_OREANS32 => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - Panda boot driver (PsBoot) .(...) - LEGACY_PSBOOT => Clé supprimée avec succès
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINAflt.sys - PSINAflt (PSINAFLT) .(.Panda Security, S.L. - PSINAflt Filter Driver for XP32.) - LEGACY_PSINAFLT => Clé supprimée avec succès
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINFile.sys - PSINFile (PSINFILE) .(.Panda Security, S.L. - PSINFile Filter Driver for XP32.) - LEGACY_PSINFILE => Clé supprimée avec succès
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\psinknc.sys - PSINKNC (PSINKNC) .(.Panda Security, S.L. - PSINKNC Kernel Controller for XP32.) - LEGACY_PSINKNC => Clé supprimée avec succès
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINProc.sys - PSINProc (PSINPROC) .(.Panda Security, S.L. - PSINProc Filter Driver for XP32.) - LEGACY_PSINPROC => Clé supprimée avec succès
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINProt.sys - PSINProt (PSINPROT) .(.Panda Security, S.L. - PSINProt for XP32.) - LEGACY_PSINPROT => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp242\mdm.exe" [Enabled] .(.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp242\mdm.exe (.not file.) => Valeur supprimée avec succès
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp243\mdm.exe" [Enabled] .(.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp243\mdm.exe (.not file.) => Valeur supprimée avec succès
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp244\mdm.exe" [Enabled] .(.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp244\mdm.exe (.not file.) => Valeur supprimée avec succès
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp245\mdm.exe" [Enabled] .(.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp245\mdm.exe (.not file.) => Valeur supprimée avec succès
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp246\mdm.exe" [Enabled] .(.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp246\mdm.exe (.not file.) => Valeur supprimée avec succès
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp247\mdm.exe" [Enabled] .(.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp247\mdm.exe (.not file.) => Valeur supprimée avec succès
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp248\mdm.exe" [Enabled] .(.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp248\mdm.exe (.not file.) => Valeur supprimée avec succès
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp249\mdm.exe" [Enabled] .(.) -- C:\DOCUME~1\GARY~1.WIN\LOCALS~1\Temp\~temp\mlp249\mdm.exe (.not file.) => Valeur supprimée avec succès

    ========== Dossier(s) ==========
    C:\Program Files\DAEMON Tools Toolbar => Supprimé et mis en quarantaine
    C:\Program Files\Panda Security => Fichier supprimé au reboot
    C:\Program Files\Spybot - Search & Destroy => Fichier supprimé au reboot

    ========== Fichier(s) ==========
    c:\system volume information\microsoft\services.exe => Fichier absent
    c:\system volume information\microsoft\smss.exe => Fichier absent
    c:\docume~1\gary~1.win\locals~1\temp\~temp\mlp242\mdm.exe => Supprimé et mis en quarantaine
    c:\docume~1\gary~1.win\locals~1\temp\~temp\mlp243\mdm.exe => Supprimé et mis en quarantaine
    c:\docume~1\gary~1.win\locals~1\temp\~temp\mlp244\mdm.exe => Supprimé et mis en quarantaine
    c:\docume~1\gary~1.win\locals~1\temp\~temp\mlp245\mdm.exe => Supprimé et mis en quarantaine
    c:\docume~1\gary~1.win\locals~1\temp\~temp\mlp246\mdm.exe => Supprimé et mis en quarantaine
    c:\docume~1\gary~1.win\locals~1\temp\~temp\mlp247\mdm.exe => Supprimé et mis en quarantaine
    c:\docume~1\gary~1.win\locals~1\temp\~temp\mlp248\mdm.exe => Supprimé et mis en quarantaine
    c:\docume~1\gary~1.win\locals~1\temp\~temp\mlp249\mdm.exe => Supprimé et mis en quarantaine
    c:\windows\system32\drivers\oreans32.sys => Supprimé et mis en quarantaine
    c:\windows\system32\drivers\psinaflt.sys => Supprimé et mis en quarantaine
    c:\windows\system32\drivers\psinfile.sys => Supprimé et mis en quarantaine
    c:\windows\system32\drivers\psinknc.sys => Supprimé et mis en quarantaine
    c:\windows\system32\drivers\psinproc.sys => Supprimé et mis en quarantaine
    c:\windows\system32\drivers\psinprot.sys => Supprimé et mis en quarantaine


    ========== Récapitulatif ==========
    11 : Clé(s) du Registre
    8 : Valeur(s) du Registre
    3 : Dossier(s)
    16 : Fichier(s)


    End of the scan

    celui de remover:
    Citation :
    Bootkit Remover
    (c) 2009 eSage Lab
    www.esagelab.com

    Program version: 1.2.0.0
    OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

    System volume is \\.\C:
    \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
    Boot sector MD5 is: bfa611d5fe300f883a84a4fd7447f26b

    Size Device Name MBR Status
    --------------------------------------------
    149 GB \\.\PhysicalDrive0 Unknown boot code

    Unknown boot code has been found on some of your physical disks.
    To inspect the boot code manually, dump the master boot sector:
    remover.exe dump <device_name> [output_file]
    To disinfect the master boot sector, use the following command:
    remover.exe fix <device_name>


    Done;
    Press any key to quit...

    Encore merci.
    22 Mars 2011 21:48:23

    Salut,


    On continue ... fait ce qui suit dans l'ordre :



    1- Créer un doc texte sur ton bureau :

  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    @ECHO OFF
    START remover.exe fix \\.\PhysicalDrive0
    EXIT



  • Sauvegarde le document sur ton bureau :
    Va sur "fichier"/"enregistrer sous" :
    -> Nom du fichier, tu tapes : fix.bat
    Type de fichier, tu choisis : "tous les fichiers"
    -> clique sur "enregistrer"
    ( le .bat à la fin est important )

    ! Désactive ton antivirus et ferme toutes applications en cours !

  • Double clique sur fix.bat > ça doit ouvrir une fenêtre noir qui va se refermer.

  • Une fois finit, une nouvelle fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse ...


    Note :
    si après avoir lancer fix.bat, une fenêtre apparait avec le message suivant :
    Its strongly recommended to reboot immediately after the disinfection
    Otherwise the malicious boot code can be restored by the trojan etc...

    > clique sur [Yes] afin que l'outil redémarre le PC et qu'il puisse terminer le nettoyage .


    =============================


    3- refait un scan Hijackthis et poste moi le nouveau rapport obtenu stp ...



    =============================


    4- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...





    23 Mars 2011 09:40:44

    Voici le rapport Hijackhis et le lien vers le rapport ZHPDiag:
    Citation :
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 09:29:00, on 23/03/2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast5\afwServ.exe
    C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\EPSON\EPuras\EPurasLog.exe
    C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe
    C:\Program Files\Norton Ghost\Agent\VProSvc.exe
    C:\Program Files\Fichiers communs\Protexis\License Service\PSIService.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
    C:\Program Files\EPSON\EPuras\EPuras.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Norton Ghost\Shared\Drivers\SymSnapService.exe
    C:\Program Files\Alwil Software\Avast5\avastUI.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\Gary.WINHAIR\Bureau\Nouveau dossier\HiJackThis.exe

    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
    O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe -update activex (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe -update activex (User 'Default user')
    O4 - S-1-5-18 Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'SYSTEM')
    O4 - .DEFAULT Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'Default user')
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\D-Link\Logiciel Bluetooth\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\D-Link\Logiciel Bluetooth\btsendto_ie.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/...
    O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - https://transfers.ds.microsoft.com/FTM/TransferSource/g...
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = winhair.lan
    O17 - HKLM\Software\..\Telephony: DomainName = winhair.lan
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1C454CA2-2189-4AC7-969B-79B736A83FF8}: Domain = winhair.lan
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = winhair.lan
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = winhair.lan
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: avast! Firewall - AVAST Software - C:\Program Files\Alwil Software\Avast5\afwServ.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\D-Link\Logiciel Bluetooth\bin\btwdins.exe
    O23 - Service: Epson Puras Service (EpsonPuras) - SEIKO EPSON CORPORATION - C:\Program Files\EPSON\EPuras\EPuras.exe
    O23 - Service: Epson Puras Log Service (EpsonPurasLog) - SEIKO EPSON CORPORATION - C:\Program Files\EPSON\EPuras\EPurasLog.exe
    O23 - Service: GenericMount Helper Service - Symantec - C:\Program Files\Norton Ghost\Shared\Drivers\GenericMountHelper.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Panda Cloud Antivirus Service (NanoServiceMain) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe
    O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\VProSvc.exe
    O23 - Service: ProtexisLicensing - Unknown owner - C:\Program Files\Fichiers communs\Protexis\License Service\PSIService.exe
    O23 - Service: SymSnapService - Symantec - C:\Program Files\Norton Ghost\Shared\Drivers\SymSnapService.exe
    O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe

    --
    End of file - 7882 bytes

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijqUbKT...
    merci
    23 Mars 2011 21:26:11

    re,


    et le rapport de l'étape 1 que j'ai demandé ici > http://www.infos-du-net.com/forum/297833-11-impossible-...


    tu l'as ? ... :??: 


    si tu ne l'as pas tant pis , ne refait pas la manipe pour autant ...


    Parcontre j'aimerai que tu faces ce que j'ai demandé stp > tu as toujours Avast et Panda sur ton ordi !
    CA SERT A REIN ! A par foutre le bronxe et avoir un niveau de protection proche du zéro ... :o 


    donc fait ce que je t'ai demandé au début :

    Citation :
    grosse erreur ! ... Tu as deux Antivirus actifs sur ton PC : c'est 1 de trop ! Ralentissement et instabilité du système + conflit entre les AV + grosse faille de sécurité ...
    A lire sur la sur-multiplication des défenses > http://forum.malekal.com/phenomene-sur-multiplication-d...

    ...

    il faut que tu vire un de tes antivirus ...

    je te conseil de virer Panda ( pour le virer proprement > http://www.commentcamarche.net/faq/7367-desinstaller-pr... )




    Une fois le prb des antivirus réglé ( ET PAS AVANT ! ... ), on continue car il reste encore pas mal de saloperies qui trainent ..



    Dans l'ordre :


    1- Infecté par Navipromo .

    -------------------------------------

    Pour info,
    Les programmes suivants installent cette infection :
    - Funky Emoticons
    - Games-Attack
    - Original-Solitaire
    - Go-Astro
    - GoRecord
    - HotTVPlayer
    - Live-Player
    - MailSkinner
    - Messenger Skinner
    - Instant Access
    - InternetGameBox
    - Sudoplanet
    - WebMediaPlayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/

    ---------------------------------------

    Télécharge Navilog1 sur ton bureau

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

    Ensuite double-clique sur navilog1.exe pour lancer l'outil .

    Laisse-toi guider. Au menu principal, choisis 1 et valide .
    (ne fais pas d'autre choix sans notre avis/accord) .

    Patiente le temps du scan ...

    > Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
    laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) .

    Note :
    Si l'outil de demande d'effectuer la manipe en mode sans echec, fais le.
    ( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).


    Patiente jusqu'au message :
    *** Scan Terminé le ..... ***

    Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
    Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

    (Le rapport est en outre sauvegardé à la racine du disque "C:\cleanavi.txt" )


    ==============================

    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://www.teamxscript.org/adremoverTelechargement.html
    ou ici http://forum-aide-contre-virus.be/download/AD-Remover.h...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe pour lancer l'installation .

    Une fois l'outil installé, ce dernier s'ouvre directement ( et un raccourci se crée sur le bureau ).

    • Au menu principal, clique directement sur le bouton [Nettoyer] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    =========================

    3- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...






    24 Mars 2011 10:51:24

    A zut, désolé je me suis planter, je dois l'avoir conserver si je le retrouve je te le posterais,
    Pour panda je l'ai désinstaller des que tu ma dit qu'il fallait le faire ( plus d'icône en bas a droite).
    J'ai re-exécuter l'outil de désinstalle avant de faire les deux manipulations que tu ma données voici les rapports:
    Citation :
    Fix Navipromo version 4.0.9 commencé le 24/03/2011 9:47:14,89

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exécuté depuis C:\navilog1

    Mise à jour le 24.11.2010 à 16h00 par IL-MAFIOSO

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
    X86-based PC ( Multiprocessor Free : Intel(R) Celeron(R) CPU E1200 @ 1.60GHz )
    BIOS : Default System BIOS
    USER : Gary ( Not Administrator ! )
    BOOT : Normal boot

    Antivirus : avast! Internet Security 5.0.100664296 (Not Activated)
    Firewall : avast! Internet Security 5.0.100664296 (Not Activated)

    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:74 Go (Free:31 Go)
    D:\ (Local Disk) - NTFS - Total:74 Go (Free:4 Go)
    E:\ (CD or DVD)
    G:\ (CD or DVD)
    T:\ (Network Disk)
    X:\ (Network Disk)


    Recherche executée en mode normal

    Nettoyage exécuté au redémarrage de l'ordinateur




    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\Gary.WINHAIR\locals~1\Temp effectué !


    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok




    *** Scan terminé 24/03/2011 9:51:59,06 ***


    Citation :
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 01/03/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 09:59:59 le 24/03/2011, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    Gary@MTP-DIR-02 ( )

    ============== ACTION(S) ==============


    Dossier supprimé: C:\Documents and Settings\Gary.WINHAIR\Local Settings\Application Data\Conduit
    Dossier supprimé: C:\Documents and Settings\Gary.WINHAIR\Application Data\PriceGong

    (!) -- Fichiers temporaires supprimés.


    Clé supprimée: HKLM\Software\Classes\Interface\{89541520-2D31-11D2-A166-0060081C43D9}
    Clé supprimée: HKLM\Software\Classes\Interface\{8954152E-2D31-11D2-A166-0060081C43D9}
    Clé supprimée: HKLM\Software\Classes\Conduit.Engine
    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2851639
    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKCU\Software\Conduit
    Clé supprimée: HKCU\Software\PriceGong
    Clé supprimée: HKU\.DEFAULT\Software\Conduit
    Clé supprimée: HKU\.DEFAULT\Software\conduitEngine
    Clé supprimée: HKU\.DEFAULT\Software\PriceGong


    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.0.10 (fr)] ****

    Components\aboutRights.js
    Components\aboutRobots.js
    Components\nsPostUpdateWin.js

    -- C:\Documents and Settings\Gary.WINHAIR\Application Data\Mozilla\FireFox\Profiles\e5tgvjri.default --
    Prefs.js - browser.search.defaultenginename, Bing
    Prefs.js - browser.search.defaulturl, hxxp://www.bing.com/search?FORM=IEFM1&q=
    Prefs.js - browser.search.selectedEngine, Google
    Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.0.10
    Prefs.js - keyword.URL, hxxp://www.bing.com/search?FORM=IEFM1&q=

    ========================================

    **** Internet Explorer Version [8.0.6001.18702] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (x)
    HKCU_Toolbar\WebBrowser|{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} (x)
    HKLM_ElevationPolicy\{AF342A31-526E-4E67-B73C-4EDC487B45E8} - C:\Program Files\uTorrentBar_FR\uTorrentBar_FRToolbarHelper.exe (?)
    HKLM_Extensions\{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - "Create Mobile Favorite" (C:\PROGRA~1\MI3AA1~1\INetRepl.dll,210)
    HKLM_Extensions\{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - "?" (?)
    HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\D-Link\Logiciel Bluetooth\bt_cold_icon.ico)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
    BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 30 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 24/03/2011 10:00:09 (2765 Octet(s))

    Fin à: 10:01:46, 24/03/2011

    ============== E.O.F ==============

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijuMyX2...
    24 Mars 2011 19:01:39

    hello,


    bah pour Panda , toujours là !!!!


    je en sais pas si tu as bien saisis le truc pour désinstaller un prg ...

    ou cette merde ne se déinstalle pas ...



    bref, on va régler ça de suite avant de faire quoi que se soit d'autre ...



    dans l'ordre :


    1- On va le virer depuis le mode sans échec .

    Comment aller en Mode sans échec :
    a) Redémarre ton ordi .
    b) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
    c) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
    d) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
    e) Choisis ton compte habituel ( et pas Administrateur ).
    Attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...


    > une fois dans ce mode , va dans le panneau de configuration / "ajout et suppression de prg"

    lance la désinstalle Panda Cloud Antivirus .


    une fois terminé , lance éventuellement l'utilitaire de désinstalle pour virer d'éventuels reste ...


    =============================

    2- redémarre l'ordri ! ( retour en mode normal ...)


    =============================

    3- Télécharge et installe la dernière version de CCleaner ( la teinne est peut-être obsolete ) :

    ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    - choisis bien "français" en langue .
    - dans la première fenêtre : décoche toutes les "options supplémentaires" sauf les 2 premières.
    - dans la deuxieme fenêtre : refuser l'installation de GoogleChrome en décochant les deux cases.

    Un tuto ( aide ):
    http://www.commentcamarche.net/faq/27688-tutoriel-cclea...


    ---> Utilisation :
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )




    ===================================

    4- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...







    25 Mars 2011 11:11:14

    Panda n'apparait plus dans liste des programmes installés, j'ai fait une recherche de tous les répertoires sur le disque dur comportant le mot panda et les ai tous supprimés(tous ceci en mode sans échec suivit d'un nettoyage avec ccleaner).
    Voici le rapport:
    http://www.cijoint.fr/cjlink.php?file=cj201103/cijgm8pR...
    Je serais intéressé par votre méthode d'analyse des rapports générés par ces outils.
    25 Mars 2011 23:28:34

    hello,


    bien ... y en reste encore ....


    dans l'ordre :



    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    O61 - LFC:Last File Created 05/11/2008 - 18:51:05 ---A- C:\Documents And Settings\Gary.WINHAIR\Local Settings\Application Data\Application Data\ooyie_nav.dat [276290]
    O61 - LFC:Last File Created 11/11/2008 - 17:30:13 ---A- C:\Documents And Settings\Gary.WINHAIR\Local Settings\Application Data\Application Data\ooyie_navps.dat [502]
    O23 - Service: (NanoServiceMain) - Clé orpheline
    O41 - Driver: (PSINKNC) . (. - .) - C:\Windows\System32\DRIVERS\psinknc.sys (.not file.)
    O43 - CFD: 22/03/2011 - 09:41:30 - [1168216] ----D- C:\Program Files\Spybot - Search & Destroy
    C:\Documents And Settings\All Users\Application Data\Spybot - Search & Destroy
    O64 - Services: CurCS - C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe (.not file.) - Panda Cloud Antivirus Service (NanoServiceMain) .(...) - LEGACY_NANOSERVICEMAIN
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINAflt.sys (.not file.) - PSINAflt (PSINAflt) .(...) - LEGACY_PSINAFLT
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINFile.sys (.not file.) - PSINFile (PSINFile) .(...) - LEGACY_PSINFILE O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINProc.sys (.not file.) - PSINProc (PSINProc) .(...) - LEGACY_PSINPR
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINProt.sys (.not file.) - PSINProt (PSINProt) .(...) - LEGACY_PSINPROT
    SS - | Disabled 12/04/2010 0 | (NanoServiceMain) . (...) - C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe
    [HKLM\Software\Safer Networking Limited]



    > Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    =====================================


    2- je vois que tu as Malwarebytes , on va l'utiliser ainsi :


    mets le à jour ! ( onglet 'mise à jour'. Recommence jusqu'à ce qu'il n'y est plus de maj disponible )


    * Utilisation :

    ! Déconnecte toi et ferme toutes applications en cours !

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Poste le rapport généré après la suppression des objets infectés pour analyse ...

    Note importante :
    si MBAM te demande de redémarrer ton PC pour finir le nettoyage, fais le imédiatement après m'avoir fait parvenir le rapport !



    ============================

    3- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 06 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    28 Mars 2011 14:26:26

    Voici les rapports:
    Citation :
    Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-28-03-2011-11-45-43.txt
    Run by Gary at 28/03/2011 11:45:43
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O23 - Service: (NanoServiceMain) - Clé orpheline => Clé supprimée avec succès
    O41 - Driver: (PSINKNC) . (. - .) - C:\Windows\System32\DRIVERS\psinknc.sys (.not file.) => Clé supprimée avec succès
    O64 - Services: CurCS - C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe (.not file.) - Panda Cloud Antivirus Service (NanoServiceMain) .(...) - LEGACY_NANOSERVICEMAIN => Clé supprimée avec succès
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINAflt.sys (.not file.) - PSINAflt (PSINAflt) .(...) - LEGACY_PSINAFLT => Clé supprimée avec succès
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINFile.sys (.not file.) - PSINFile (PSINFile) .(...) - LEGACY_PSINFILE O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINProc.sys (.not file.) - PSINProc (PSINProc) .(...) - LEGACY_PSINPR => Clé absente
    O64 - Services: CurCS - C:\Windows\System32\DRIVERS\PSINProt.sys (.not file.) - PSINProt (PSINProt) .(...) - LEGACY_PSINPROT => Clé supprimée avec succès
    SS - | Disabled 12/04/2010 0 | (NanoServiceMain) . (...) - C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe => Clé absente
    HKLM\Software\Safer Networking Limited => Clé supprimée avec succès

    ========== Dossier(s) ==========
    C:\Program Files\Spybot - Search & Destroy => Fichier supprimé au reboot
    c:\documents and settings\all users\application data\spybot - search & destroy => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\documents and settings\gary.winhair\local settings\application data\application data\ooyie_nav.dat (Adware.Navipromo) => Supprimé et mis en quarantaine
    c:\documents and settings\gary.winhair\local settings\application data\application data\ooyie_navps.dat (Adware.Navipromo) => Supprimé et mis en quarantaine
    c:\documents and settings\all users\application data\spybot - search & destroy => Fichier absent
    c:\program files\panda security\panda cloud antivirus\psanhost.exe => Supprimé et mis en quarantaine


    ========== Récapitulatif ==========
    8 : Clé(s) du Registre
    2 : Dossier(s)
    4 : Fichier(s)


    End of the scan

    Citation :
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6190

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    28/03/2011 12:03:01
    mbam-log-2011-03-28 (12-03-01).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 242697
    Temps écoulé: 8 minute(s), 45 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\system volume information\microsoft\services.exe (Trojan.Cycler) -> Quarantined and deleted successfully.
    c:\system volume information\microsoft\smss.exe (Trojan.Cycler) -> Quarantined and deleted successfully.

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijF24eG...
    28 Mars 2011 18:52:49

    hello,


    pas bon signe ce qu'a de nouveau déniché MBAM ... possible que le MBR soit de nouveau infecté .... :o 



    pour vérifier cela de suite , refait cette manipe :


  • ! Désactive ton antivirus et ferme toutes applications en cours !
  • Relance l'outil Bootkit_Remover
  • Une fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse ...


    note :
    pour copier/coller cette fenêtre, cliquer droit sur la fenêtre DOS / choisir "sélectionné tout"



    Un fois le rapport sélectionné, il faut taper de suite sur [entrée] et le rapport est directement "copier" ....

    Il suffit ensuite de le "coller" sur le forum ...
    29 Mars 2011 09:35:13

    Voila le rapport:
    Bootkit Remover
    (c) 2009 eSage Lab
    www.esagelab.com

    Program version: 1.2.0.0
    OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

    System volume is \\.\C:
    \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
    Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd

    Size Device Name MBR Status
    --------------------------------------------
    149 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)


    Done;
    Press any key to quit...*

    Encore un grand merci a toi :)  !
    29 Mars 2011 20:23:13

    Salut,


    le MBR est clean ... ;) 



    dis moi comment va l'ordi ? .. du mieux ?...


    je vois que tu as Norton Ghost : supprimes toute images récentes ( très probablement infectées ) ... Tu pourras en refaire une quand on aura finit ensemble .



    Fait ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :


    ( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


    1- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert :

    !! ferme tes autres applications en cours !!


    A- Clique sur le bouton " Nettoyeur de tools " . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

    > Là tu décoches la case devant ZHPDiag !


    > Enfin clique en bas sur .


    Laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

    -> Copie/colle le contenu de ce rapport pour analyse ...

    ( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )

    Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage, fait le !



    B- Clique sur le bouton en haut à droite " Vider la quarantaine "

    Au message de confirmation , clique sur "Ok" .


    Puis ferme ZHPFix ...


    ======================================

    2- Refais un coup de CCleaner ( registre compris ) .


    ======================================

    3- Important :
    Purge de la restauration système
    *Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    *Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ décoche la case désactiver la restauration, appliquer, OK
    --->Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->"systeme"->" restauration système " ).


    ======================================

    4- Fais ce scan en ligne pour vérifier :

    ( ne rien faire d'autre avec le PC durant le scan ! )

    Fais un scan en ligne avec " Panda " :

    > http://www.pandasecurity.com/homeusers/solutions/active...
    ( clique sur "scan your PC now" )

    tuto :
    http://www.malekal.com/scan_Av_en_ligne.php#mozTocId237...


    poste moi le rapport obtenu pour analyse ...





    31 Mars 2011 11:37:00

    L'ordi va beaucoup mieux , la navigation internet et de nouveau possible ( temps de lancement et chargement rapide)
    voici les deux rapports generer ( l'analyse anti virus fut un peut longue):
    Citation :
    Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-30-03-2011-11-28-01.txt
    Run by Gary at 30/03/2011 11:28:01
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O63 - Logiciel: Ad-Remover par C_XX - (.C_XX.) [HKLM] -- Ad-Remover => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
    O63 - Logiciel: HijackThis 2.0.2 - (.TrendMicro.) [HKLM] -- HijackThis => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!

    ========== Dossier(s) ==========
    C:\Program Files\Ad-remover => Supprimé et mis en quarantaine
    C:\Lop SD => Supprimé et mis en quarantaine

    ========== Logiciel(s) ==========
    O63 - Logiciel: Ad-Remover par C_XX - (.C_XX.) [HKLM] -- Ad-Remover => Logiciel supprimé avec succès
    O63 - Logiciel: Lop SD - (AngelDark & Eric71) => Logiciel supprimé avec succès


    ========== Récapitulatif ==========
    2 : Clé(s) du Registre
    2 : Dossier(s)
    2 : Logiciel(s)


    End of the scan

    Citation :
    ;***********************************************************************************************************************************************************************************
    ANALYSIS: 2011-03-31 11:43:05
    PROTECTIONS: 2
    MALWARE: 17
    SUSPECTS: 1
    ;***********************************************************************************************************************************************************************************
    PROTECTIONS
    Description Version Active Updated
    ;===================================================================================================================================================================================
    Panda Cloud Antivirus 01.04.00.0000 No Yes
    avast! Internet Security 5.0.100664296 Yes Yes
    ;===================================================================================================================================================================================
    MALWARE
    Id Description Type Active Severity Disinfectable Disinfected Location
    ;===================================================================================================================================================================================
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@doubleclick[2].txt
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cahcvv28.txt
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@doubleclick[11].txt
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@doubleclick[1].txt
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@doubleclick[10].txt
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@doubleclick[3].txt
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@doubleclick[4].txt
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@doubleclick[5].txt
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@doubleclick[6].txt
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@doubleclick[7].txt
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@doubleclick[8].txt
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@doubleclick[9].txt
    00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@atdmt[7].txt
    00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@atdmt[1].txt
    00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@atdmt[3].txt
    00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@atdmt[4].txt
    00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@atdmt[5].txt
    00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@atdmt[6].txt
    00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@atdmt[2].txt
    00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@mediaplex[3].txt
    00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@mediaplex[4].txt
    00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@mediaplex[2].txt
    00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@xiti[1].txt
    00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@xiti[2].txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ad.yieldmanager[7].txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ad.yieldmanager[8].txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ad.yieldmanager[9].txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ad.yieldmanager[6].txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ad.yieldmanager[5].txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ad.yieldmanager[4].txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ad.yieldmanager[3].txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ad.yieldmanager[2].txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ad.yieldmanager[1].txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ad.yieldmanager[11].txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ca09xpdl.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ca0a021x.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ca2afpro.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ca43bl2e.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ca4jepxy.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ca53v50z.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ca5axzy8.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ca69zp5u.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ca6l7x27.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ca7lribt.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@caaqig4h.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cabj0r1s.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cacoib66.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cadjh8dq.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cado73h9.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@caf0rc0c.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cagtbeka.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cah09b0z.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@ad.yieldmanager[10].txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@caicm27q.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cajzpnmz.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cak0nbud.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cak4iv2r.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cak9luzz.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cakc40md.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cakgrrp9.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cakv57wx.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@caky336w.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@caky3prp.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@caoo3w7k.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@caorffxh.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cap0emok.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@capd437j.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@catlho34.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cattw3m0.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@caubo7es.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cauff6gd.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cawum339.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cayfmwu9.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@caym7bwm.txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@cayvd1r5.txt
    00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@apmebf[1].txt
    00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@apmebf[4].txt
    00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@apmebf[5].txt
    00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@apmebf[2].txt
    00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@apmebf[3].txt
    00168076 Cookie/BurstNet TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@burstnet[2].txt
    00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@serving-sys[2].txt
    00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@serving-sys[3].txt
    00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@serving-sys[4].txt
    00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@serving-sys[1].txt
    00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@bs.serving-sys[1].txt
    00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@bs.serving-sys[2].txt
    00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@weborama[6].txt
    00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@weborama[4].txt
    00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@weborama[8].txt
    00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@weborama[2].txt
    00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@weborama[1].txt
    00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@weborama[7].txt
    00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@weborama[5].txt
    00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@weborama[3].txt
    00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@adtech[3].txt
    00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@adtech[6].txt
    00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@adtech[2].txt
    00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@adtech[1].txt
    00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@adtech[4].txt
    00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@fl01.ct2.comclick[6].txt
    00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@fl01.ct2.comclick[8].txt
    00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@fl01.ct2.comclick[5].txt
    00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@fl01.ct2.comclick[4].txt
    00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@fl01.ct2.comclick[3].txt
    00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@fl01.ct2.comclick[2].txt
    00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@fl01.ct2.comclick[1].txt
    00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@fl01.ct2.comclick[7].txt
    00172221 Cookie/Zedo TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@zedo[1].txt
    00172221 Cookie/Zedo TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@zedo[2].txt
    00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@bluestreak[2].txt
    00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@bluestreak[1].txt
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@smartadserver[7].txt
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@smartadserver[6].txt
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@smartadserver[5].txt
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@smartadserver[8].txt
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@smartadserver[3].txt
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@smartadserver[2].txt
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@smartadserver[1].txt
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@smartadserver[10].txt
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@smartadserver[4].txt
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\windows\system32\config\systemprofile\cookies\system@smartadserver[9].txt
    03898912 Generic Malware Virus/Trojan No 0 Yes No c:\documents and settings\gary.winhair\bureau\cle usb\winrar.v3.60.fr.incl-crack.zip[crack/winrar patch.exe]
    03898912 Generic Malware Virus/Trojan No 0 Yes No d:\logiciel\winrar\crack\winrar patch.exe
    07863281 Trj/Downloader.YBP Virus/Trojan No 1 No No d:\logiciel\coreldraw x5\coreldraw x5\coreldraw.exe[²öç\eula.exe]
    ;===================================================================================================================================================================================
    SUSPECTS
    Sent Location
    ;===================================================================================================================================================================================
    No c:\documents and settings\gary.winhair\bureau\desinfection\navilog1.exe
    ;===================================================================================================================================================================================
    VULNERABILITIES
    Id Severity Description
    ;===================================================================================================================================================================================
    ;===================================================================================================================================================================================
    31 Mars 2011 18:25:22

    yop,


    supprime cet outil ( sert à rien de le garder ) :

    > c:\documents and settings\gary.winhair\bureau\desinfection\navilog1.exe



    Puis fait ceci :


    Rends toi sur ce site :

    http://www.virustotal.com/

  • Clique sur "parcourir" et va jusqu'au fichier suivant :

    :\logiciel\winrar\crack\winrar patch.exe


  • Clique sur Send File ( = " Envoyer le fichier " ).

    -> Un rapport va s'élaborer ligne à ligne.

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

  • Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

  • Copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ...

    Petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


    Fais de même pour :

    d:\logiciel\coreldraw x5\coreldraw x5\coreldraw.exe

    Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
    1 Avril 2011 17:56:04

    Voici les deux rapports:
    Citation :
    Antivirus Version Last Update Result
    AhnLab-V3 2011.04.01.01 2011.04.01 -
    AntiVir 7.11.5.161 2011.04.01 -
    Antiy-AVL 2.0.3.7 2011.03.31 -
    Avast 4.8.1351.0 2011.04.01 -
    Avast5 5.0.677.0 2011.04.01 -
    AVG 10.0.0.1190 2011.04.01 -
    BitDefender 7.2 2011.04.01 -
    CAT-QuickHeal 11.00 2011.04.01 -
    ClamAV 0.97.0.0 2011.04.01 -
    Commtouch 5.2.11.5 2011.03.24 -
    Comodo 8185 2011.04.01 -
    DrWeb 5.0.2.03300 2011.04.01 -
    eSafe 7.0.17.0 2011.04.01 Win32.TrojanHorse
    eTrust-Vet 36.1.8247 2011.04.01 -
    F-Prot 4.6.2.117 2011.04.01 -
    F-Secure 9.0.16440.0 2011.04.01 -
    Fortinet 4.2.254.0 2011.04.01 -
    GData 22 2011.04.01 -
    Ikarus T3.1.1.103.0 2011.04.01 not-a-virus.Patch.winrar
    Jiangmin 13.0.900 2011.03.31 -
    K7AntiVirus 9.96.4269 2011.04.01 Trojan
    McAfee 5.400.0.1158 2011.04.01 -
    McAfee-GW-Edition 2010.1C 2011.04.01 -
    Microsoft 1.6702 2011.04.01 -
    NOD32 6006 2011.04.01 -
    Norman 6.07.03 2011.04.01 W32/Suspicious_Gen2.HPTRC
    Panda 10.0.3.5 2011.03.31 Generic Malware
    PCTools 7.0.3.5 2011.04.01 -
    Prevx 3.0 2011.04.01 -
    Rising 23.51.04.06 2011.04.01 -
    Sophos 4.64.0 2011.04.01 -
    SUPERAntiSpyware 4.40.0.1006 2011.04.01 -
    Symantec 20101.3.2.89 2011.04.01 WS.Reputation.1
    TheHacker 6.7.0.1.164 2011.04.01 -
    TrendMicro 9.200.0.1012 2011.04.01 CRCK_WINRAR.D
    TrendMicro-HouseCall 9.200.0.1012 2011.04.01 CRCK_WINRAR.D
    VBA32 3.12.14.3 2011.04.01 -
    VIPRE 8887 2011.04.01 -
    ViRobot 2011.4.1.4388 2011.04.01 -
    VirusBuster 13.6.281.0 2011.04.01 -
    Additional information
    Show all
    MD5 : b5e81866a497e1ee9e4745e6b66d016b
    SHA1 : c344ebd6abe9520027fc725bcd1df6962cd56fa6
    SHA256: 1d9369f33c54f0c34b85e62af6f97faeb5b84e0992401a2cb75885d115dd0367
    ssdeep: 1536:1zuBJOgOlenrgNkc2eGcRWRR+IxYd3VwlkPL0S4A7040f+dPv74MZeBg3Mbs:1zuBJ1nfN
    TxYCoV0mnBMI
    File size : 161280 bytes
    First seen: 2006-07-14 08:24:38
    Last seen : 2011-04-01 15:46:13
    TrID:
    Win32 Executable Generic (68.0%)
    Generic Win/DOS Executable (15.9%)
    DOS Executable Generic (15.9%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    PEInfo: PE structure information

    [[ basic data ]]
    entrypointaddress: 0x101F
    timedatestamp....: 0x44A1735A (Tue Jun 27 18:05:14 2006)
    machinetype......: 0x14c (I386)

    [[ 4 section(s) ]]
    name, viradd, virsiz, rawdsiz, ntropy, md5
    .text, 0x1000, 0x4619, 0x4800, 6.28, c343c3375f2492265392ffe3bc366776
    .rdata, 0x6000, 0xA42, 0xC00, 4.86, b6e09c273c913ee52dc488cda8c97ba4
    .data, 0x7000, 0x10A740, 0xA00, 3.16, 5240cbd398b05777aa8d0f15bfcd1267
    .rsrc, 0x112000, 0x21210, 0x21400, 5.05, 63acac66c93acbc3716d433e02483e33

    [[ 7 import(s) ]]
    user32.dll: ShowWindow, UpdateWindow, SendMessageA, RegisterClassExA, PostQuitMessage, SetDlgItemTextA, TranslateMessage, MessageBoxA, LoadIconA, LoadCursorA, IsWindowEnabled, IsDlgButtonChecked, GetMessageA, wsprintfA, CheckDlgButton, CreateDialogParamA, DefWindowProcA, DestroyWindow, DispatchMessageA, EnableWindow, GetDlgItem, GetDlgItemTextA
    kernel32.dll: _llseek, CreateThread, _lopen, _lread, LockResource, Sleep, _lclose, LocalFree, SetFilePointer, lstrcpyA, lstrcmpA, lstrcatA, WriteFile, VirtualAlloc, SizeofResource, SetUnhandledExceptionFilter, CloseHandle, CreateFileA, ExitProcess, FindResourceA, GetCommandLineA, GetFileSize, GetModuleHandleA, LoadResource, ReadFile, SetCurrentDirectoryA, LocalAlloc
    shell32.dll: Shell_NotifyIconA
    comctl32.dll: InitCommonControls
    comdlg32.dll: GetOpenFileNameA
    advapi32.dll: GetUserNameA
    winmm.dll: waveOutWrite, waveOutUnprepareHeader, waveOutReset, waveOutPrepareHeader, waveOutOpen, waveOutGetPosition, waveOutClose
    ExifTool:
    file metadata
    CodeSize: 18432
    EntryPoint: 0x101f
    FileSize: 158 kB
    FileType: Win32 EXE
    ImageVersion: 4.0
    InitializedDataSize: 1230848
    LinkerVersion: 5.12
    MIMEType: application/octet-stream
    MachineType: Intel 386 or later, and compatibles
    OSVersion: 4.0
    PEType: PE32
    Subsystem: Windows GUI
    SubsystemVersion: 4.0
    TimeStamp: 2006:06:27 20:05:14+02:00
    UninitializedDataSize: 0

    VT Community

    0

    This file has never been reviewed by any VT Community member. Be the first one to comment on it!


    Le deuxième fichier j'ai du le supprimer entre temps pour faire un peut de place.
    1 Avril 2011 20:37:47

    hello,


    on finalise ... dans l'ordre :



    1- Mets à jour ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

    Version Console Java à jour > 6 Update 24
    Version Adobe Reader à jour > v 9.4.3
    Version FireFox à jour > V 4.0


    * pour la console Java :
    -> désinstalle toutes les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .

    ton ancienne version :
    Java(TM) 6 Update 20

    -> Puis télécharge et installe la dernière version ici :
    http://www.commentcamarche.net/telecharger/telecharger-...
    ou http://www.java.com/fr/

    ( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions
    avec l'outil Javara : http://www.commentcamarche.net/faq/sujet-15645-javara-i... )

    -> Enfin contrôle ceci :
    Démarrer > Panneau de configuration ( affichage classique ) > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".



    * Adobe Reader :
    -> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
    -> télécharge et installe la dernière version ici :
    http://www.infos-du-net.com/telecharger/Reader-Adobe,03...



    * FireFox :
    Soit le mettre à jour depuis le navigateur / onglet "?" / "rechercher des mises à jour" .
    Soit tu télécharges et installes la dernière version directement ici > http://www.mozilla-europe.org/fr/



    =============================

    2- Une fois tout ceci fait , relance un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 066 )

    * Au niveau du bouton "calendrier" choisis > 15 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...



    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS