Se connecter / S'enregistrer
Votre question

Virus Win HDD + Antimalware Doctor ... HEEELP !!!

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
30 Novembre 2010 18:21:20

Bonjour,
Hier je suis allée sur un site pour regarder des vidéos en streaming avec mégavidéo ... Jusque là rien d'anormal, c'est quelque chose que je fais couramment et il n'arrive jamais rien. Sauf que ce site je ne le connaissais pas et mon ordi s'est mis à beugé et je me suis retrouvée avec 2 problèmes :

- Antimalware Doctor s'est installé tout seul sur mon ordi et démarre à chaque connexion. Je ne sais pas vraiment ce que c'est mais d'après ce que j'ai pu lire c'est un cheval de troie et j'ai donc installé l'application que plusieurs conseillaient pour l'éliminer : Malwarbytes Anti-Malware mais ça n'a pas tout supprimé ...
Lorsque je vais dans l'ajout/suppression de programme ça ne fait que lancer le programme mais je ne peux pas le supprimer

- Win HDD qui s'est installé tout seul aussi... Sauf que plus grave j'ai lu que c'était un virus et je n'ai pas trouvé de solutions pour l'éliminer !!!
J'ai voulu sauver tous mes fichiers importants (mes 7000 photos de 2009 et 2010, ma musique, mes doc professionnels ...) sauf que mon ordi ne détecte subitement plus mon disque dur externe (Iomega) ... (J'ai quelques programmes installés sur le :/ C et la plupart de mes données persos sont sur le :/ E)

Je suis un peu paniquée car j'ai peur de tout perdre à cause de ces 2 installations ...

Pouvez-vous m'aider à les éliminer sans perdre mes données SVP ?

Merci d'avance !

Autres pages sur : virus win hdd antimalware doctor heeelp

30 Novembre 2010 19:03:08

hello,


une vrai salté ce rogue ... de plus , il ne s'invite pas seul ...



on va voir ce qu'on peu faire ...



/!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================



    Commence par ceci pour avoir un diagnostique précis de la situation ,


    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • Clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....






    2 Décembre 2010 11:58:45

    Problème résolu beaucoup plus simplement en installant un patch qui a supprimé les 2 en même temps en 10 min !
    Merci quand meme !
    Contenus similaires
    2 Décembre 2010 20:08:14

    re,


    Citation :
    Problème résolu beaucoup plus simplement en installant un patch qui a supprimé les 2 en même temps en 10 min !



    t'en as de la chance ... par curiosité, si tu as le lien de téléchargement du patch miracle , ce serait cool ...


    Mais à mon avis, il doit rester pas mal de merdes qui trainent encore sur l'ordi .....



    A+


    :hello: 
    2 Décembre 2010 21:08:05

    vu sham ! ... :whistle: 



    Donc marseillelis, laisse tomber les patchs de la mère Denis et si tu veux t'en sortir, fait ce que je t'ai demandé avec ZHPDiag ...
    2 Décembre 2010 22:49:42

    Bon ok il me reste plein de merdes lol ...
    Désolée je n'ai plus le lien parce que j'ai nettoyé mon ordi avec CCleaner

    Je crois que je vais essayer ta solutions sKe69 mais ça me paraissait long et compliqué c'est pour ça que j'ai cherché autre chose :$
    2 Décembre 2010 22:52:09

    Bon ok il me reste plein de merdes lol ...
    Désolée je n'ai plus le lien parce que j'ai nettoyé mon ordi avec CCleaner

    Je crois que je vais essayer ta solutions sKe69 mais ça me paraissait long et compliqué c'est pour ça que j'ai cherché autre chose :$
    2 Décembre 2010 23:05:28

    HEEELP !! Pendant le scan il y a une fenetre qui apparait :
    "SigCheck License Agreement
    SYSINTERNALS SOFTWARE LICENSE TERMS
    These license terms are an agreement between Sysinternals (a wholly owned subsidiary of Microsoft Corporation) and you. Please read them. They apply to the software you are downloading from Systinternals.com, which includes the media on which you received it, if any. The terms also apply to any Sysinternals
    · updates,
    · supplements,
    · Internet-based services, and
    · support services
    for this software, unless other terms accompany those items. If so, those terms apply.
    BY USING THE SOFTWARE, YOU ACCEPT THESE TERMS. IF YOU DO NOT ACCEPT THEM, DO NOT USE THE SOFTWARE.
    If you comply with these license terms, you have the rights below.
    1. INSTALLATION AND USE RIGHTS. You may install and use any number of copies of the software on your devices.
    2. Scope of License. The software is licensed, not sold. This agreement only gives you some rights to use the software. Sysinternals reserves all other rights. Unless applicable law gives you more rights despite this limitation, you may use the software only as expressly permitted in this agreement. In doing so, you must comply with any technical limitations in the software that only allow you to use it in certain ways. You may not
    · work around any technical limitations in the binary versions of the software;
    · reverse engineer, decompile or disassemble the binary versions of the software, except and only to the extent that applicable law expressly permits, despite this limitation;
    · make more copies of the software than specified in this agreement or allowed by applicable law, despite this limitation;
    · publish the software for others to copy;
    · rent, lease or lend the software;
    · transfer the software or this agreement to any third party; or
    · use the software for commercial software hosting services.
    3. DOCUMENTATION. Any person that has valid access to your computer or internal network may copy and use the documentation for your internal, reference purposes.
    4. Export Restrictions. The software is subject to United States export laws and regulations. You must comply with all domestic and international export laws and regulations that apply to the software. These laws include restrictions on destinations, end users and end use. For additional information, see www.microsoft.com/exporting <http://www.microsoft.com/exporting&gt;.
    5. SUPPORT SERVICES. Because this software is "as is," we may not provide support services for it.
    6. Entire Agreement. This agreement, and the terms for supplements, updates, Internet-based services and support services that you use, are the entire agreement for the software and support services.
    7. Applicable Law.
    a. United States. If you acquired the software in the United States, Washington state law governs the interpretation of this agreement and applies to claims for breach of it, regardless of conflict of laws principles. The laws of the state where you live govern all other claims, including claims under state consumer protection laws, unfair competition laws, and in tort.
    b. Outside the United States. If you acquired the software in any other country, the laws of that country apply.
    8. Legal Effect. This agreement describes certain legal rights. You may have other rights under the laws of your country. You may also have rights with respect to the party from whom you acquired the software. This agreement does not change your rights under the laws of your country if the laws of your country do not permit it to do so.
    9. Disclaimer of Warranty. The software is licensed "as-is." You bear the risk of using it. SYSINTERNALS gives no express warranties, guarantees or conditions. You may have additional consumer rights under your local laws which this agreement cannot change. To the extent permitted under your local laws, SYSINTERNALS excludes the implied warranties of merchantability, fitness for a particular purpose and non-infringement.
    10. Limitation on and Exclusion of Remedies and Damages. You can recover from SYSINTERNALS and its suppliers only direct damages up to U.S. $5.00. You cannot recover any other damages, including consequential, lost profits, special, indirect or incidental damages.
    This limitation applies to
    · anything related to the software, services, content (including code) on third party Internet sites, or third party programs; and
    · claims for breach of contract, breach of warranty, guarantee or condition, strict liability, negligence, or other tort to the extent permitted by applicable law.
    It also applies even if Sysinternals knew or should have known about the possibility of the damages. The above limitation or exclusion may not apply to you because your country may not allow the exclusion or limitation of incidental, consequential or other damages.
    Please note: As this software is distributed in Quebec, Canada, some of the clauses in this agreement are provided below in French.
    Remarque : Ce logiciel étant distribué au Québec, Canada, certaines des clauses dans ce contrat sont fournies ci-dessous en français.
    EXONÉRATION DE GARANTIE. Le logiciel visé par une licence est offert « tel quel ». Toute utilisation de ce logiciel est à votre seule risque et péril. Sysinternals n'accorde aucune autre garantie expresse. Vous pouvez bénéficier de droits additionnels en vertu du droit local sur la protection dues consommateurs, que ce contrat ne peut modifier. La ou elles sont permises par le droit locale, les garanties implicites de qualité marchande, d'adéquation à un usage particulier et d'absence de contrefaçon sont exclues.
    LIMITATION DES DOMMAGES-INTÉRÊTS ET EXCLUSION DE RESPONSABILITÉ POUR LES DOMMAGES. Vous pouvez obtenir de Sysinternals et de ses fournisseurs une indemnisation en cas de dommages directs uniquement à hauteur de 5,00 $ US. Vous ne pouvez prétendre à aucune indemnisation pour les autres dommages, y compris les dommages spéciaux, indirects ou accessoires et pertes de bénéfices.
    Cette limitation concerne :
    · tout ce qui est relié au logiciel, aux services ou au contenu (y compris le code) figurant sur des sites Internet tiers ou dans des programmes tiers ; et
    · les réclamations au titre de violation de contrat ou de garantie, ou au titre de responsabilité stricte, de négligence ou d'une autre faute dans la limite autorisée par la loi en vigueur.
    Elle s'applique également, même si Sysinternals connaissait ou devrait connaître l'éventualité d'un tel dommage. Si votre pays n'autorise pas l'exclusion ou la limitation de responsabilité pour les dommages indirects, accessoires ou de quelque nature que ce soit, il se peut que la limitation ou l'exclusion ci-dessus ne s'appliquera pas à votre égard.
    EFFET JURIDIQUE. Le présent contrat décrit certains droits juridiques. Vous pourriez avoir d'autres droits prévus par les lois de votre pays. Le présent contrat ne modifie pas les droits que vous confèrent les lois de votre pays si celles-ci ne le permettent pas."

    Et en dessous "Print" / "Agree" / "Decline" ... Je met quoi ? :S

    EDIT 23h14 : J'ai mis "Agree"

    EDIT bis 23h22 : Le scan est bloqué depuis un bout de temps à 66% "Observateur d'événement d'application (OEA) (066)" ...
    2 Décembre 2010 23:30:20

    hello,


    Citation :
    Le scan est bloqué depuis un bout de temps à 66% "Observateur d'événement d'application (OEA) (066)"



    vu ... des erreurs Windows , tu as dû en avoir un paquet ces derniers temps alors ! ...


    arrète le scan et recommence la manipe, en décochant en plus au niveau des options le module 66 ...


    j'attends le rapport obtenu ...


    ( poste le via 'Cijoint' et je regarderai cela demain ... :sleep:  )




    PS :

    Citation :
    Je crois que je vais essayer ta solutions sKe69 mais ça me paraissait long et compliqué c'est pour ça que j'ai cherché autre chose :$



    la procédure avec ZHPDiag ne donnera qu'un rapport de diagnostique ... cela ne résoudera rien ! ...
    Parcontre cela me permettera de voir ce qui se passe sur l'ordi et d'engager en fonction du résultat la procédure de désinfection ... Et là, il y aura du taf ! ... les solutions miracles avec un petit patch à lancer, c'était il y a dix ans . Maintenant pour se débarrasser d'une infection, c'est beaucoup plus complexe et fastidieux ... :p 


    bonne nuitée ...
    3 Décembre 2010 15:26:26

    Bonjour !

    Hier soir je n'ai pas pu finir car ça beugait trop et mes yeux se fermaient tout seul !
    Alors voilà le rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201012/cijFLUle...

    J'ai enlevé les modules 045 et 061 comme tu me l'as dit + quelques uns car ils faisaient beuger mon ordi et ça ne répondait plus donc impossible à chaque fois de finir le scan :/ 

    Merci :) 
    3 Décembre 2010 17:45:58

    hello,


    tu m'étonnes qu'il bug !!! ... sur-infecté ...


    Systeme pas à jour et aucune défenses d'installées sur l'ordi !!! ... t'es suicidaire ? ... :sarcastic: 


    on réglera cela une fois l'ordi clean ... ( si on y arrive ...)





    Commence par faire ceci dans l'ordre :


    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    [MD5.C1436E46B0AE39EF7068212DD9A5AF3F] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\sivchost.exe [10004]
    [MD5.A9CCFE2647002AA93169758C864BE1B4] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\sivchostp.exe [30000]
    [MD5.47FA86B74F889C9EF8062BF5C88FB3FD] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\sivchosts.exe [20000]
    O2 - BHO: C:\WINDOWS\system32\ztc0svo.dll - {B1B220C1-A503-59BD-F413-03B53A2C8954} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\ztc0svo.dll
    O4 - HKLM\..\Run: [jhsaf9w8jfiosdfhse7a8fyuidfj] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\sivchost.exe
    O22 - SharedTaskScheduler: (no name) - {B1B220C1-A503-59BD-F413-03B53A2C8954} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\ztc0svo.dll
    C:\WINDOWS\system32\3Rbp8BB7.com
    C:\WINDOWS\Fonts\3Rbp8BB7.com
    C:\Documents and Settings\All Users\Application Data\LjECAh12.exe
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\3Rbp8BB7.exe
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At10.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At100.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At101.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At102.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At103.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At104.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At105.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At106.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At107.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At108.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At109.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At11.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At110.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At111.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At112.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At113.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At114.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At115.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At116.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At117.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At118.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At119.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At12.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At120.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At121.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At122.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At123.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At124.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At125.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At126.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At127.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At128.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At129.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At13.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At130.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At131.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At132.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At133.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At134.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At135.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At136.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At137.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At138.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At139.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At14.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At140.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At141.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At142.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At143.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At144.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At145.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At146.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At147.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At148.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At149.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At15.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At150.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At151.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At152.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At153.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At154.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At155.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At156.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At157.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At158.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At159.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At16.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At160.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At161.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At162.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At163.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At164.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At165.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At166.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At167.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At168.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At169.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At17.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At170.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At171.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At172.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At173.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At174.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At175.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At176.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At177.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At178.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At179.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At18.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At180.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At181.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At182.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At183.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At184.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At185.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At186.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At19.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At20.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At21.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At211.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At212.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At213.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At214.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At215.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At216.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At217.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At218.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At219.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At220.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At221.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At222.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At223.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At224.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At225.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At226.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At227.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At228.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At229.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At230.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At231.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At232.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At233.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At234.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At43.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At44.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At45.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At46.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At47.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At48.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At49.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At50.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At51.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At52.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At53.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At54.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At55.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At56.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At57.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At58.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At59.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At60.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At61.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At62.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At63.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At64.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At65.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At66.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At1.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At2.job
    O44 - LFC:[MD5.C1436E46B0AE39EF7068212DD9A5AF3F] - 02/12/2010 - 17:21:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\sivchost.exe [10004]
    O44 - LFC:[MD5.A9CCFE2647002AA93169758C864BE1B4] - 02/12/2010 - 17:21:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\sivchostp.exe [30000]
    O44 - LFC:[MD5.47FA86B74F889C9EF8062BF5C88FB3FD] - 02/12/2010 - 17:21:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\sivchosts.exe [20000]
    O44 - LFC:[MD5.C27B10147D05D54316E5ED3B2E56E3C4] - 29/11/2010 - 22:28:28 --HA- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\win32 .exe [60004]
    O44 - LFC:[MD5.C27B10147D05D54316E5ED3B2E56E3C4] - 29/11/2010 - 22:28:25 --HA- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\win .exe [60004]
    O44 - LFC:[MD5.C27B10147D05D54316E5ED3B2E56E3C4] - 29/11/2010 - 22:28:23 --HA- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\user .exe [60004]
    O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe



    > Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ======================================

    2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Double-clique sur l'icône "ComboFix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    -- Pour XP, l' installation de la Console de Récupération sera demandé :
    * Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).

    *Une fois la console installée,

    Déconnecte toi si possible avant de cliquer sur "Oui" pour lancer le scan --


    Notes importantes :
    -> Ne rien faire avec le PC pendant le scan !
    -> N'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Si l'otuil t'anonce qu'un version plus récente de ComboFix est disponible, accepte la mise à jour.
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
    -> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore ComboFix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses une fois la procédure terminée.


    > Poste le rapport ComboFix pour analyse et fait la suite ...


    ========================================

    3- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    3 Décembre 2010 17:58:20

    1 - Rapport ZHPFixReport :

    Rapport de ZHPFix 1.12.3225 par Nicolas Coolman, Update du 30/11/2010
    Fichier d'export Registre :
    Run by sj at 03/12/2010 17:57:36
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Contact : nicolascoolman@yahoo.fr

    ========== Processus mémoire ==========
    C:\WINDOWS\system32\sivchost.exe [10004] => Supprimé et mis en quarantaine
    C:\WINDOWS\system32\sivchostp.exe [30000] => Supprimé et mis en quarantaine
    C:\WINDOWS\system32\sivchosts.exe [20000] => Supprimé et mis en quarantaine
    C:\WINDOWS\Fonts\3Rbp8BB7.com => Supprimé et mis en quarantaine
    C:\Documents and Settings\All Users\Application Data\LjECAh12.exe => Supprimé et mis en quarantaine

    ========== Clé(s) du Registre ==========
    O2 - BHO: C:\WINDOWS\system32\ztc0svo.dll - {B1B220C1-A503-59BD-F413-03B53A2C8954} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\ztc0svo.dll => Clé supprimée avec succès
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B1B220C1-A503-59BD-F413-03B53A2C8954}] => Clé supprimée avec succès
    [HKCR\CLSID\{B1B220C1-A503-59BD-F413-03B53A2C8954}] => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O4 - HKLM\..\Run: [jhsaf9w8jfiosdfhse7a8fyuidfj] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\sivchost.exe => Valeur supprimée avec succès
    O22 - SharedTaskScheduler: (no name) - {B1B220C1-A503-59BD-F413-03B53A2C8954} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\ztc0svo.dll => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

    ========== Fichier(s) ==========
    c:\windows\system32\ztc0svo.dll => Supprimé et mis en quarantaine
    c:\windows\system32\3rbp8bb7.com => Fichier absent
    c:\documents and settings\networkservice\local settings\application data\3rbp8bb7.exe => Fichier absent
    c:\windows\tasks\at10.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at100.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at101.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at102.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at103.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at104.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at105.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at106.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at107.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at108.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at109.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at11.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at110.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at111.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at112.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at113.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at114.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at115.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at116.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at117.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at118.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at119.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at12.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at120.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at121.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at122.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at123.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at124.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at125.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at126.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at127.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at128.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at129.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at13.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at130.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at131.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at132.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at133.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at134.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at135.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at136.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at137.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at138.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at139.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at14.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at140.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at141.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at142.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at143.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at144.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at145.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at146.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at147.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at148.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at149.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at15.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at150.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at151.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at152.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at153.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at154.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at155.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at156.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at157.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at158.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at159.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at16.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at160.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at161.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at162.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at163.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at164.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at165.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at166.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at167.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at168.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at169.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at17.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at170.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at171.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at172.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at173.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at174.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at175.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at176.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at177.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at178.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at179.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at18.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at180.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at181.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at182.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at183.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at184.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at185.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at186.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at19.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at20.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at21.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at211.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at212.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at213.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at214.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at215.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at216.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at217.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at218.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at219.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at220.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at221.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at222.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at223.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at224.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at225.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at226.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at227.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at228.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at229.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at230.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at231.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at232.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at233.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at234.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at43.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at44.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at45.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at46.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at47.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at48.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at49.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at50.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at51.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at52.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at53.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at54.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at55.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at56.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at57.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at58.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at59.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at60.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at61.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at62.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at63.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at64.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at65.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at66.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at1.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at2.job => Supprimé et mis en quarantaine
    c:\windows\win32 .exe => Supprimé et mis en quarantaine
    c:\windows\win .exe => Supprimé et mis en quarantaine
    c:\windows\user .exe => Supprimé et mis en quarantaine


    ========== Récapitulatif ==========
    5 : Processus mémoire
    4 : Clé(s) du Registre
    4 : Valeur(s) du Registre
    155 : Fichier(s)


    End of the scan



    Je continue et post la suite petit à petit
    3 Décembre 2010 17:59:45

    impec ...


    continue ... ;) 
    3 Décembre 2010 18:46:20

    Pendant la recherche des fichiers infectés mon ordi s'est bloqué à 18h11 ... et ça ne bouge pas depuis ... C'est normal ou je dois faire quelque chose ? (J'ai suivi tout ce que tu m'as dis à la lettre)

    PS : je n'écris pas depuis mon ordi ;) 
    3 Décembre 2010 19:00:59

    laisse tourné pour le moment ! ...


    vu l'état du PC et surtout vu le peu de RAM que tu as , cela risque de durer un bon moment ... donc laisse bien tourner sans rien toucher ... ( plusieurs heures parfois )
    3 Décembre 2010 22:37:21

    Bon ... c'est toujours bloqué à 18h11 ... Ca fait quand même 4h ... Je laisse tourner toute la nuit ou je fais autre chose ?
    Je ne pourrais pas répondre après car j'utilise un ordinateur dont je n'aurais plus accés mais je peux lire les réponses quand même via mon téléphone (je ne sais pas pourquoi mais il refuse de m'afficher la page de connexion au forum ...)

    Merci encore
    Bonne nuit
    5 Décembre 2010 12:00:42

    Bonjour,

    Je n'arrive toujours pas à faire la manip avec ComboFix car il se bloque toujours au même endroit ... Je l'ai laissé tourner 2 fois toute la nuit mais à chaque fois il se bloque ...
    Que dois-je faire ?

    Bonne journée
    5 Décembre 2010 12:16:58

    mince ...


    essaye de le lancer depuis le mode sans échec pour voir ....


    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

    Comment aller en Mode sans échec :
    1) Redémarre ton ordi .
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
    3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
    4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
    5) Choisis ton compte habituel ( et pas Administrateur ).
    Attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...



    en espérant que cela passe cette fois ...

    6 Décembre 2010 14:07:14

    Snif ... Même en mode sans échec ça ne donne rien ... Je l'ai laissé tourner une fois pendant 6h, l'horloge défilait mais rien puis pendant 15h, il s'est bloqué au bout de 9h...
    6 Décembre 2010 18:07:17

    hello,


    ça pue cette histoire ... et vu les modules avec ZHPdiag ( comme celui du MBR ) on foirée également , je me demande ci cela n'est pas lié ...



    on va procéder autrement ...



    dans l'ordre :


    1- supprime ComboFix de cette manière :

    Clique sur " Démarrer " -> " Executer "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

    ComboFix /uninstall

    ( laisse l'espace entre "Combofix" et "/uninstall" )

    -> Valide .

    l'outil se relancera et se supprimera de lui-même ....



    =====================================

    2- on va retenter une nouvelle fois avec Combofix mais tu va le télécharger ici

    > http://www.cijoint.fr/cj201012/cijOHUu2GZ.zip

    * tu télécharges l'archive sur ton bureau .
    * tu extrait son contenu sur ton bureau ( ske.exe est en faite ComboFix que j'ai préalablement renommé pour essayer de contourner l'infection )

    Puis tu reprend la procédure de ComboFix en lançant ske.exe ...


    si cela a fonctionné , copie/colle moi le rapport obtenu pour analyse ...






    7 Décembre 2010 17:22:08

    Bonjour !

    Ca ne marche toujours pas ... J'ai essayé 2 fois en normal et 2 fois en mode sans échec en laissant tourner des heures et des heures ... :( 
    7 Décembre 2010 17:49:57

    arf ...



    on va déjà voir ce qui est encore présent , ce qui est revenu et ce qui a été supprimé ...



    Refais un nouveau scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    7 Décembre 2010 23:03:36

    bien ...



    fait ceci maintenant dans l'ordre :


    1- Rends toi sur ce site :

    http://www.virustotal.com/

  • Clique sur "parcourir" et va jusqu'au fichier suivant :

    E:\telech\Adobe Reader 9\Reader\Reader_sl.exe

  • Clique sur Send File ( = " Envoyer le fichier " ).

    -> Un rapport va s'élaborer ligne à ligne.

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

  • Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

  • Copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ...

    Petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


    Puis recommence avec :

    C:\WINDOWS\System32\InetCpl.cpl.zip

    Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et fait la suite ...

    ========================================


    2- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    C:\Documents and Settings\All Users\Application Data\LjECAh12.exe
    O2 - BHO: C:\WINDOWS\system32\ztc0svo.dll - {B1B220C1-A503-59BD-F413-03B53A2C8954} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\ztc0svo.dll
    O22 - SharedTaskScheduler: (no name) - {B1B220C1-A503-59BD-F413-03B53A2C8954} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\ztc0svo.dll
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At1.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At10.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At11.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At12.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At13.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At14.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At15.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At16.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At17.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At18.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At19.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At2.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At20.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At21.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At22.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At23.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At24.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At3.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At4.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At5.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At6.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At7.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At8.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At9.job
    O51 - MPSK:{f6316d10-7a10-11de-b3c2-0007cb58a396}\Shell\AutoRun\command - Clé orpheline
    O51 - MPSK:{f6316d10-7a10-11de-b3c2-0007cb58a396}\Shell\explore\command - Clé orpheline
    O51 - MPSK:{f6316d10-7a10-11de-b3c2-0007cb58a396}\Shell\open\command - Clé orpheline
    O64 - Services: CurCS - (.not file.) - dmexueqrxbexfyu (dmexueqrxbexfyu) .(.Pas de propriétaire - Pas de description.) - LEGACY_DMEXUEQRXBEXFYU
    [HKCU\Software\JP595IR86O]



    > Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ======================================

    3- Télécharge Malwarebytes :
    ici http://www.commentcamarche.net/telecharger/telecharger-...
    ou ici : http://www.malwarebytes.org/mbam.php
    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

    * Potasse ce tuto pour te familiariser avec le prg :
    http://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance 'Malwarebytes' .

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


    =========================================


    4- Télécharge bootkit_remover :
    > http://www.esagelab.com/files/bootkit_remover.rar

  • Extrait le contenu de l'archive sur ton bureau .
  • ! Désactive ton antivirus et ferme toutes applications en cours !
  • Lance l'outil.
  • Une fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse ...


    note :
    pour copier/coller cette fenêtre, cliquer droit sur la fenêtre DOS / choisir "sélectionné tout"



    Un fois le rapport sélectionné, il faut taper de suite sur [entrée] et le rapport est directement "copier" ....

    Il suffit ensuite de le "coller" sur le forum ...



    ===================================

    5- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    8 Décembre 2010 16:30:33

    1 - Rapport du 1er fichier :

    Antivirus Version Last Update Result
    AhnLab-V3 2010.12.08.00 2010.12.07 -
    AntiVir 7.10.14.225 2010.12.08 -
    Antiy-AVL 2.0.3.7 2010.12.08 -
    Avast 4.8.1351.0 2010.12.08 -
    Avast5 5.0.677.0 2010.12.08 -
    AVG 9.0.0.851 2010.12.08 -
    BitDefender 7.2 2010.12.08 -
    CAT-QuickHeal 11.00 2010.12.08 -
    ClamAV 0.96.4.0 2010.12.08 -
    Command 5.2.11.5 2010.12.08 -
    Comodo 6991 2010.12.08 -
    DrWeb 5.0.2.03300 2010.12.08 -
    Emsisoft 5.1.0.1 2010.12.08 -
    eSafe 7.0.17.0 2010.12.07 -
    eTrust-Vet 36.1.8027 2010.12.08 -
    F-Prot 4.6.2.117 2010.12.07 -
    F-Secure 9.0.16160.0 2010.12.08 -
    Fortinet 4.2.254.0 2010.12.08 -
    GData 21 2010.12.08 -
    Ikarus T3.1.1.90.0 2010.12.08 -
    Jiangmin 13.0.900 2010.12.08 -
    K7AntiVirus 9.71.3191 2010.12.08 -
    Kaspersky 7.0.0.125 2010.12.08 -
    McAfee 5.400.0.1158 2010.12.08 -
    McAfee-GW-Edition 2010.1C 2010.12.08 -
    Microsoft 1.6402 2010.12.08 -
    NOD32 5685 2010.12.08 -
    Norman 6.06.10 2010.12.08 -
    nProtect 2010-12-08.02 2010.12.08 -
    Panda 10.0.2.7 2010.12.08 -
    PCTools 7.0.3.5 2010.12.08 -
    Prevx 3.0 2010.12.08 -
    Rising 22.77.01.08 2010.12.08 -
    Sophos 4.60.0 2010.12.08 -
    SUPERAntiSpyware 4.40.0.1006 2010.12.08 -
    Symantec 20101.2.0.161 2010.12.08 -
    TheHacker 6.7.0.1.096 2010.12.06 -
    TrendMicro 9.120.0.1004 2010.12.08 -
    TrendMicro-HouseCall 9.120.0.1004 2010.12.08 -
    VBA32 3.12.14.2 2010.12.08 -
    VIPRE 7560 2010.12.08 -
    ViRobot 2010.12.8.4191 2010.12.08 -
    VirusBuster 13.6.80.0 2010.12.08 -
    Additional information
    Show all
    MD5 : 12673bcf7b32087df63f0cff550ea40b
    SHA1 : d9cda6c7182fcf9a0f55949e528f25b35e28b850
    SHA256: 5985a7902b39bd08b6f0bd96af5a98d466e4e54cdda69ccb56767fa5c78085d1
    ssdeep: 768:a9x2NrjVIGERtTEx+fRwdz+SrlVc2vypDkmOt1mJvLWUbCmb:a9GXnELTEMR++gQ6MOt1mJ
    vaQCY
    File size : 35760 bytes
    First seen: 2010-10-05 19:46:44
    Last seen : 2010-12-08 15:26:57
    TrID:
    Win64 Executable Generic (80.9%)
    Win32 Executable Generic (8.0%)
    Win32 Dynamic Link Library (generic) (7.1%)
    Generic Win/DOS Executable (1.8%)
    DOS Executable Generic (1.8%)
    sigcheck:
    publisher....: Adobe Systems Incorporated
    copyright....: Copyright 1984-2010 Adobe Systems Incorporated and its licensors. All rights reserved.
    product......: Adobe Acrobat
    description..: Adobe Acrobat SpeedLauncher
    original name: AcroSpeedLaunch.exe
    internal name: n/a
    file version.: 9.4.0.195
    comments.....:
    signers......: Adobe Systems, Incorporated
    VeriSign Class 3 Code Signing 2009-2 CA
    Class 3 Public Primary Certification Authority
    signing date.: 12:47 PM 9/23/2010
    verified.....: -
    PEInfo: PE structure information

    [[ basic data ]]
    entrypointaddress: 0x3E34
    timedatestamp....: 0x4C9B3E32 (Thu Sep 23 11:46:58 2010)
    machinetype......: 0x14c (I386)

    [[ 4 section(s) ]]
    name, viradd, virsiz, rawdsiz, ntropy, md5
    .text, 0x1000, 0x366C, 0x3800, 6.17, 4575ccc70e3747ed38636f9020a56c88
    .rdata, 0x5000, 0x2DE6, 0x2E00, 4.54, 2a50d381f11f6cf8f4be2c3c5440f7f2
    .data, 0x8000, 0x778, 0x400, 4.17, 62eaa689ea8dc81b9e5bee7440ff87c1
    .rsrc, 0x9000, 0x6FC, 0x800, 4.79, dd81261a44349c434164a78ac5b15e2e

    [[ 6 import(s) ]]
    KERNEL32.dll: CloseHandle, TerminateThread, CreateThread, InitializeCriticalSection, CreateEventA, GetSystemInfo, UnmapViewOfFile, CreateFileA, VirtualQueryEx, GetCurrentProcess, MapViewOfFile, CreateFileMappingA, GetFileAttributesA, FindClose, FindNextFileA, FindFirstFileA, ReadFile, DeleteCriticalSection, GetTempPathA, GetWindowsDirectoryA, GetSystemDirectoryA, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetStartupInfoA, InterlockedCompareExchange, Sleep, InterlockedExchange, GetSystemTimeAsFileTime, GetCurrentThread, GetModuleHandleA, GetModuleFileNameA, EnterCriticalSection, SetEvent, SetThreadPriority, LeaveCriticalSection, SetFilePointer, WaitForSingleObject
    USER32.dll: GetMessageA, SetTimer, DispatchMessageA, TranslateMessage, KillTimer, DestroyWindow, UnregisterClassA, LoadIconA, LoadCursorA, RegisterClassExA, CreateWindowExA, DefWindowProcA, PostQuitMessage, FindWindowA
    ADVAPI32.dll: OpenSCManagerA, QueryServiceStatus, CloseServiceHandle, RegOpenKeyA, RegQueryValueExA, RegCloseKey, RegQueryValueA, OpenServiceA
    SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA, SHGetMalloc
    MSVCP80.dll: _append@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@PBD@Z, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, _erase@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@II@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBDI@Z, _append@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@ABV12@@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@ABV01@@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, _c_str@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEPBDXZ, __$_MDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_NABV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@0@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBD@Z
    MSVCR80.dll: _onexit, _decode_pointer, _invoke_watson, _controlfp_s, _lock, __dllonexit, strrchr, memset, malloc, __CxxFrameHandler3, __1exception@std@@UAE@XZ, __3@YAXPAX@Z, __0exception@std@@QAE@XZ, _invalid_parameter_noinfo, __2@YAPAXI@Z, _CxxThrowException, __0exception@std@@QAE@ABV01@@Z, ___V@YAXPAX@Z, strchr, free, _terminate@@YAXXZ, _amsg_exit, __getmainargs, _cexit, _exit, _XcptFilter, _ismbblead, exit, _acmdln, _initterm, _initterm_e, _configthreadlocale, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, _encode_pointer, __set_app_type, _crt_debugger_hook, __type_info_dtor_internal_method@type_info@@QAEXXZ, _except_handler4_common, _unlock
    ExifTool:
    file metadata
    CharacterSet: Windows, Latin1
    CodeSize: 14336
    Comments:
    CompanyName: Adobe Systems Incorporated
    EntryPoint: 0x3e34
    FileDescription: Adobe Acrobat SpeedLauncher
    FileFlagsMask: 0xffff
    FileOS: Win32
    FileSize: 35 kB
    FileSubtype: 0
    FileType: Win32 EXE
    FileVersion: 9.4.0.195
    FileVersionNumber: 9.4.0.195
    ImageVersion: 0.0
    InitializedDataSize: 14848
    LanguageCode: English (U.S.)
    LegalCopyright: Copyright 1984-2010 Adobe Systems Incorporated and its licensors. All rights reserved.
    LinkerVersion: 8.0
    MIMEType: application/octet-stream
    MachineType: Intel 386 or later, and compatibles
    OSVersion: 4.0
    ObjectFileType: Dynamic link library
    OriginalFilename: AcroSpeedLaunch.exe
    PEType: PE32
    ProductName: Adobe Acrobat
    ProductVersion: 9.4.0.195
    ProductVersionNumber: 0.0.0.0
    Subsystem: Windows GUI
    SubsystemVersion: 4.0
    TimeStamp: 2010:09:23 13:46:58+02:00
    UninitializedDataSize: 0

    8 Décembre 2010 16:34:46

    1 - Rapport du 2ème fichier :

    Antivirus Version Last Update Result
    AhnLab-V3 2010.12.08.00 2010.12.07 -
    AntiVir 7.10.14.225 2010.12.08 -
    Antiy-AVL 2.0.3.7 2010.12.08 -
    Avast 4.8.1351.0 2010.12.08 -
    Avast5 5.0.677.0 2010.12.08 -
    AVG 9.0.0.851 2010.12.08 -
    BitDefender 7.2 2010.12.08 -
    CAT-QuickHeal 11.00 2010.12.08 -
    ClamAV 0.96.4.0 2010.12.08 -
    Command 5.2.11.5 2010.12.08 -
    Comodo 6964 2010.12.06 -
    DrWeb 5.0.2.03300 2010.12.08 -
    Emsisoft 5.1.0.1 2010.12.08 -
    eSafe 7.0.17.0 2010.12.07 -
    eTrust-Vet 36.1.8027 2010.12.08 -
    F-Prot 4.6.2.117 2010.12.07 -
    F-Secure 9.0.16160.0 2010.12.08 -
    Fortinet 4.2.254.0 2010.12.08 -
    GData 21 2010.12.08 -
    Ikarus T3.1.1.90.0 2010.12.08 -
    Jiangmin 13.0.900 2010.12.08 -
    K7AntiVirus 9.71.3191 2010.12.08 -
    Kaspersky 7.0.0.125 2010.12.08 -
    McAfee 5.400.0.1158 2010.12.08 -
    McAfee-GW-Edition 2010.1C 2010.12.08 -
    Microsoft 1.6402 2010.12.08 -
    NOD32 5685 2010.12.08 -
    Norman 6.06.10 2010.12.08 -
    nProtect 2010-12-08.02 2010.12.08 -
    Panda 10.0.2.7 2010.12.08 -
    PCTools 7.0.3.5 2010.12.08 -
    Prevx 3.0 2010.12.08 -
    Rising 22.77.01.08 2010.12.08 -
    Sophos 4.60.0 2010.12.08 -
    SUPERAntiSpyware 4.40.0.1006 2010.12.08 -
    Symantec 20101.2.0.161 2010.12.08 -
    TheHacker 6.7.0.1.096 2010.12.06 -
    TrendMicro 9.120.0.1004 2010.12.08 -
    TrendMicro-HouseCall 9.120.0.1004 2010.12.08 -
    VBA32 3.12.14.2 2010.12.08 -
    VIPRE 7560 2010.12.08 -
    ViRobot 2010.12.8.4191 2010.12.08 -
    VirusBuster 13.6.80.0 2010.12.08 -
    Additional information
    Show all
    MD5 : 6b8a299e58c2f57b20d053c780a01bc9
    SHA1 : 2cac7a5c2811f28f1d3c74b3d1f8abe0a80cf57b
    SHA256: eb6cb2aaa24137511ba854a139185a9c45fc869375083a70717bb38e59cd2f74
    ssdeep: 3072:1U5ReRrM4hUcg6V5K42SH4cmbsY7ym61/czarBE4JaaM:1UmSkUR6Vo49H4oEWqd
    File size : 119055 bytes
    First seen: 2010-12-08 15:32:24
    Last seen : 2010-12-08 15:32:24
    TrID:
    ZIP compressed archive (100.0%)
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    8 Décembre 2010 16:43:57

    Quand j'ai lancé la procédure avec ZHPFix ça m'a éteint l'ordi et rallumé direct et ça m'a affiché que Windows avait rencontré une erreur sérieuse ... J'ai fais un copié/collé de ce que ça disait ...

    Signature de l'erreur :
    BCCode : 10000050 BCP1 : FF86801C BCP2 : 00000000 BCP3 : F9940ABB
    BCP4 : 00000000 OSVer : 5_1_2600 SP : 2_0 Product : 256_1

    Informations techniques conçernant le rapport d'erreur :
    C:\DOCUME~1\sj\LOCALS~1\Temp\WER97fb.dir00\Mini120810-01.dmp
    C:\DOCUME~1\sj\LOCALS~1\Temp\WER97fb.dir00\sysdata.xml

    8 Décembre 2010 17:02:51

    Bon ... J'ai réessayé et ça refait pareil : J'appuie sur "Nettoyer" et presque aussitôt apparaît un écran bleu avec des écritures blanches qui défilent très vite (donc impossible de lire ce qui est écrit) et l'ordi se redémarre :/ 
    8 Décembre 2010 17:49:39

    et beh ,


    on est dans une me*de noire ... :fou: 



    pour l'analyse du fichier Reader_sl.exe sur VirusTotal, il y a eu une couille ... il doit y en avoir plusieurs dans le dossier d'ailleurs ( peut-être qu'il ne sont pas visibles ) ...


    donc fait ceci :


    1- Avoir accès aux fichiers cachés :

    Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    -> valide la modif ( "appliquer" puis "ok" ).
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



    ===============================

    2- ré analyse ce fichier sur Virus Total :

    E:\telech\Adobe Reader 9\Reader\Reader_sl.exe


    et analyse bien celui qui fait 43524 Octets ...


    copie/colle le rapport obtenu ...

    ========================

    3- laisse tomber ZHPfix pour le moment et passe directement aux étapes 3, 4 et 5 que je t'ai donné ici > http://www.infos-du-net.com/forum/296249-11-virus-antim...



    ++




    8 Décembre 2010 18:10:03

    Voilà la nouveau rapport Virus Total (en effet il y avait 2 fois le même fichier) :

    Antivirus Version Last Update Result
    AhnLab-V3 2010.12.08.00 2010.12.07 Win-Trojan/Kazy.43612
    AntiVir 7.10.14.225 2010.12.08 TR/ATRAPS.Gen
    Antiy-AVL 2.0.3.7 2010.12.08 Trojan/Win32.Powp.gen
    Avast 4.8.1351.0 2010.12.08 Win32:Rootkit-gen
    Avast5 5.0.677.0 2010.12.08 Win32:Rootkit-gen
    AVG 9.0.0.851 2010.12.08 Dropper.Generic2.CAIX
    BitDefender 7.2 2010.12.08 Gen:Variant.Kazy.38
    CAT-QuickHeal 11.00 2010.12.08 -
    ClamAV 0.96.4.0 2010.12.08 -
    Command 5.2.11.5 2010.12.08 W32/CeeInject.P.gen!Eldorado
    Comodo 6991 2010.12.08 -
    DrWeb 5.0.2.03300 2010.12.08 Trojan.Inject.15353
    Emsisoft 5.1.0.1 2010.12.08 Virus.Win32.CeeInject!IK
    eSafe 7.0.17.0 2010.12.07 -
    eTrust-Vet None 2010.12.08 Win32/Powp.A!generic
    F-Prot 4.6.2.117 2010.12.07 W32/CeeInject.P.gen!Eldorado
    F-Secure 9.0.16160.0 2010.12.08 Gen:Variant.Kazy.38
    Fortinet 4.2.254.0 2010.12.08 -
    GData 21 2010.12.08 Gen:Variant.Kazy.38
    Ikarus T3.1.1.90.0 2010.12.08 Virus.Win32.CeeInject
    Jiangmin 13.0.900 2010.12.08 -
    K7AntiVirus 9.71.3191 2010.12.08 Riskware
    Kaspersky 7.0.0.125 2010.12.08 Trojan.Win32.Powp.gen
    McAfee 5.400.0.1158 2010.12.08 -
    McAfee-GW-Edition 2010.1C 2010.12.08 -
    Microsoft 1.6402 2010.12.08 VirTool:Win32/CeeInject.gen!J
    NOD32 5685 2010.12.08 Win32/TrojanDownloader.Unruy.BN
    Norman 6.06.12 2010.12.08 W32/Obfuscated.K
    nProtect 2010-12-08.02 2010.12.08 Trojan/W32.Powp.43524
    Panda 10.0.2.7 2010.12.08 -
    PCTools 7.0.3.5 2010.12.08 Trojan.FakeAV!rem
    Prevx 3.0 2010.12.08 Medium Risk Malware
    Rising 22.77.01.08 2010.12.08 -
    Sophos 4.60.0 2010.12.08 Troj/Agent-PPU
    SUPERAntiSpyware 4.40.0.1006 2010.12.08 Trojan.Agent/Gen-Virut
    Symantec 20101.2.0.161 2010.12.08 Trojan.FakeAV
    TheHacker 6.7.0.1.096 2010.12.06 Trojan/Powp.iwa
    TrendMicro 9.120.0.1004 2010.12.08 TROJ_GEN.R72C3L2
    TrendMicro-HouseCall 9.120.0.1004 2010.12.08 TROJ_GEN.R72C3L2
    VBA32 3.12.14.2 2010.12.08 Trojan.Win32.Powp.iwp
    VIPRE 7561 2010.12.08 Trojan.Win32.Powp.gen (v)
    ViRobot 2010.12.8.4191 2010.12.08 -
    VirusBuster 13.6.81.1 2010.12.08 Trojan.Powp.Gen
    Additional information
    Show all
    MD5 : 1fbda034b726d57264ae31103a0b8034
    SHA1 : 61ce7aebca40825b25039dce31a17ccc4132505b
    SHA256: 26e256f832090d515113bcf721144cf5b9bdaff5158393d0b689738a2146a8dd
    ssdeep: 768:1KMGEOfhx12BIG12VYOqVZ85SpzwPm4ZAfdP1jpiomO3j979:1ZIhXmKqM5xeAAfd7ioN3B
    79
    File size : 43524 bytes
    First seen: 2010-12-08 17:01:47
    Last seen : 2010-12-08 17:01:47
    TrID:
    Win32 Executable Generic (42.3%)
    Win32 Dynamic Link Library (generic) (37.6%)
    Generic Win/DOS Executable (9.9%)
    DOS Executable Generic (9.9%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    PEInfo: PE structure information

    [[ basic data ]]
    entrypointaddress: 0x3CE0
    timedatestamp....: 0x4CEE10DB (Thu Nov 25 07:31:39 2010)
    machinetype......: 0x14c (I386)

    [[ 4 section(s) ]]
    name, viradd, virsiz, rawdsiz, ntropy, md5
    .text, 0x1000, 0x3830, 0x3A00, 5.94, 4011c2b22978cb23ba64fee3573bec8e
    .rdata, 0x5000, 0x130, 0x200, 2.87, e00d198bc2a6466ecee352ab532faf9c
    .data, 0x6000, 0x67C8, 0x6800, 7.73, 6cdb4441fbdc3dd221872f898d527727
    .rsrc, 0xD000, 0x10, 0x200, 0.00, bf619eac0cdf3f68d496ea9344137e8b

    [[ 2 import(s) ]]
    KERNEL32.dll: HeapAlloc, GetProcessHeap, GetProcAddress, LoadLibraryA
    USER32.dll: SendMessageA, AttachThreadInput, SetWindowPos, SetForegroundWindow
    Prevx Info:
    http://info.prevx.com/aboutprogramtext.asp?PX5=160A4746...
    ExifTool:
    file metadata
    CodeSize: 14848
    EntryPoint: 0x3ce0
    FileSize: 43 kB
    FileType: Win32 EXE
    ImageVersion: 0.0
    InitializedDataSize: 27648
    LinkerVersion: 6.0
    MIMEType: application/octet-stream
    MachineType: Intel 386 or later, and compatibles
    OSVersion: 4.0
    PEType: PE32
    Subsystem: Windows GUI
    SubsystemVersion: 4.0
    TimeStamp: 2010:11:25 08:31:39+01:00
    UninitializedDataSize: 0
    8 Décembre 2010 18:19:45

    vu,


    fait la suite stp ...
    8 Décembre 2010 19:36:15

    Désolée ça a duré un moment (et j'avais le repas à préparer aussi ^^) :

    Rapport Malwarebytes:

    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 5273

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    08/12/2010 19:34:08
    mbam-log-2010-12-08 (19-34-08).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 169338
    Temps écoulé: 44 minute(s), 52 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 5
    Valeur(s) du Registre infectée(s): 3
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{B1B220C1-A503-59BD-F413-03B53A2C8954} (Trojan.Ertfor) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B1B220C1-A503-59BD-F413-03B53A2C8954} (Trojan.Ertfor) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B1B220C1-A503-59BD-F413-03B53A2C8954} (Trojan.Ertfor) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{B1B220C1-A503-59BD-F413-03B53A2C8954} (Trojan.Ertfor) -> Value: {B1B220C1-A503-59BD-F413-03B53A2C8954} -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{B1B220C1-A503-59BD-F413-03B53A2C8954} (Trojan.Ertfor) -> Value: {B1B220C1-A503-59BD-F413-03B53A2C8954} -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Value: idstrf -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    c:\documents and settings\sj\menu démarrer\programmes\Win HDD (Rogue.WinHDD) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    c:\documents and settings\sj\menu démarrer\programmes\Win HDD\Win HDD.lnk (Rogue.WinHDD) -> Quarantined and deleted successfully.
    c:\documents and settings\sj\menu démarrer\programmes\Win HDD\uninstall win hdd.lnk (Rogue.WinHDD) -> Quarantined and deleted successfully.
    8 Décembre 2010 19:52:52

    Bon pour bootkik remover je ne sais si je devais obtenir un court rapport comme ça alors bon je copie :

    Bootkit Remover
    (c) 2009 eSage Lab
    www.esagelab.com

    Program version: 1.2.0.0
    OS Version: Microsoft Windows XP Professional Service Pack 2 (build 2600)

    System volume is \\.\C:
    \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
    Boot sector MD5 is: bc3a483da6e5c3ac44723f8d118141eb

    Size Device Name MBR Status
    --------------------------------------------
    37 GB \\.\PhysicalDrive0 Unknown boot code

    Unknown boot code has been found on some of your physical disks.
    To inspect the boot code manually, dump the master boot sector:
    remover.exe dump <device_name> [output_file]
    To disinfect the master boot sector, use the following command:
    remover.exe fix <device_name>


    Done;
    Press any key to quit...
    8 Décembre 2010 20:39:58

    Hello,


    et beh ... un examen rapide avec MBAM et cela a durée 44 min ... t'es vraiment light au niveau RAM et process ....



    la suite dans l'ordre :


    1- Télécharge CCleaner :
    ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    - choisis bien "français" en langue .
    - dans la première fenêtre : décoche toutes les "options supplémentaires" sauf les 2 premières.
    - dans la deuxieme fenêtre : refuser l'installation de GoogleChrome en décochant les deux cases.

    Un tuto ( aide ):
    http://www.commentcamarche.net/faq/27688-tutoriel-cclea...


    ---> Utilisation :
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


    ==================================

    2- Télécharge SEAF ( de C__XX ) sur ton bureau :

    ici http://forum-aide-contre-virus.be/download/C_XX/SEAF.ex...

    ! Ferme toutes applications en cours !

  • Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
  • Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :


    dmexueqrxbexfyu


  • Au niveau des "options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

  • Au niveau des " options du registre " :
    > coche " chercher également dans le registre "

    ( ne touche à aucun autre réglage )

  • Clique sur " Lancer la recherche " et laisse travailler l'outil ...

    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

    --> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/


    ===================================

    3- Télécharge mbr.exe de Gmer :
    > http://www2.gmer.net/mbr/mbr.exe
    et enregistre le fichier sur le Bureau.

    ! Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) !

    * Double clique sur mbr.exe
    > Un rapport sera généré : mbr.log

    Poste le stp ...

    ===================================

    4- Télécharge UsbFix ( de C_XX & El desaparecido ) sur ton bureau :

    ici http://www.teamxscript.org/usbfixTelechargement.html
    ou ici http://chiquitine.changelog.fr/UsbFix.exe

    ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Clique sur le bouton [ Recherche ] .

    -> Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Site de l'auteur > http://www.teamxscript.org/usbfix.html
    8 Décembre 2010 22:41:33

    CCleaner OK

    SEAF : Impossible de le télécharger parce que le lien renvoie vers ça -> "This Account Has Been Suspended" ... :/ 
    9 Décembre 2010 22:49:38

    Bonsoir!

    Voici le rapport SEAF :

    1. ========================= SEAF 1.0.1.0 - C_XX
    2.
    3. Commencé à: 22:47:18 le 09/12/2010
    4.
    5. Valeur(s) recherchée(s):
    6. dmexueqrxbexfyu
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) --- Calcul du Hash "MD5"
    11. (!) --- Informations supplémentaires
    12. (!) --- Affichage des ADS
    13. (!) --- Recherche registre
    14.
    15. ====== Fichier(s) ======
    16.
    17. Aucun fichier trouvé
    18.
    19.
    20. ====== Entrée(s) du registre ======
    21.
    22.
    23. [HKLM\System\ControlSet001\Enum\Root\LEGACY_DMEXUEQRXBEXFYU]
    24. DA: 09/12/2010 19:43:31
    25.
    26. [HKLM\System\ControlSet003\Enum\Root\LEGACY_DMEXUEQRXBEXFYU]
    27. DA: 09/12/2010 19:43:31
    28.
    29. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_DMEXUEQRXBEXFYU]
    30. DA: 09/12/2010 19:43:31
    31.
    32. =========================
    33.
    34. Fin à: 22:51:16 le 09/12/2010
    35. 191496 Éléments analysés
    36.
    37. =========================
    38. E.O.F
    9 Décembre 2010 23:01:18

    MBR : Quand je le lance ça démarre et puis ça se bloque ...
    La dernière ligne est "Error : Read" ... et le mbr.log se crée mais est vide ...
    Je dois faire quoi ?

    Je lirais ta réponse demain ...
    Encore merci et bonne nuit ;) 
    12 Décembre 2010 21:09:04

    hello,


    il y a un prb avec le master boot record ( MBR ) ... surement infecté ... :( 


    est-ce qu'il y a un multi boot sur ce PC ? ( choix au démarrage de plusieurs environements )



    laisse tomber GMER et passe à la suite de la manipe stp ...
    13 Décembre 2010 17:37:04

    Je ne sais pas ce que c'est un multi boot ...
    Et je me rappelle que lors d'une des manip il mettait "le master boot record est infecté, vérifiez que votre antivirus est desactivé" ou quelque chose dans le genre ...
    13 Décembre 2010 18:04:14

    J'ai fais la manip USBFix mais par contre mon ordi ne détecte pas mon DD externe alors que le pilot est installé ... En plus j'ai des photos dessus :/ 

    Rapport :

    ############################## | UsbFix 7.035 | [Recherche]

    Utilisateur: sj (Administrateur) # ELISEPORTABLE [ ]
    Mis à jour le 05/12/10 par El Desaparecido / C_XX
    Lancé à 17:58:09 | 13/12/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Pentium(R) M processor 1.40GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180

    Pare-feu Windows: Activé
    Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
    RAM -> 246 Mo
    C:\ (%systemdrive%) -> Disque fixe # 14 Go (4 Go libre(s) - 26%) [] # NTFS
    D:\ -> CD-ROM
    E:\ -> Disque fixe # 23 Go (437 Mo libre(s) - 2%) [] # NTFS
    F:\ -> Disque amovible # 7 Go (4 Go libre(s) - 55%) [IPOD ELISE] # FAT32
    G:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [] # FAT32

    ################## | Éléments infectieux |


    Présent! C:\WINDOWS\Tasks\At1.job
    Présent! C:\WINDOWS\Tasks\At2.job
    Présent! C:\WINDOWS\Tasks\At3.job
    Présent! C:\WINDOWS\Tasks\At4.job
    Présent! C:\WINDOWS\Tasks\At5.job
    Présent! C:\WINDOWS\Tasks\At6.job
    Présent! C:\WINDOWS\Tasks\At7.job
    Présent! C:\WINDOWS\Tasks\At8.job
    Présent! C:\WINDOWS\Tasks\At9.job
    Présent! C:\WINDOWS\Tasks\At10.job
    Présent! C:\WINDOWS\Tasks\At11.job
    Présent! C:\WINDOWS\Tasks\At12.job
    Présent! C:\WINDOWS\Tasks\At13.job
    Présent! C:\WINDOWS\Tasks\At14.job
    Présent! C:\WINDOWS\Tasks\At15.job
    Présent! C:\WINDOWS\Tasks\At16.job
    Présent! C:\WINDOWS\Tasks\At17.job
    Présent! C:\WINDOWS\Tasks\At18.job
    Présent! C:\WINDOWS\Tasks\At19.job
    Présent! C:\WINDOWS\Tasks\At20.job
    Présent! C:\WINDOWS\Tasks\At21.job
    Présent! C:\WINDOWS\Tasks\At22.job
    Présent! C:\WINDOWS\Tasks\At23.job
    Présent! C:\WINDOWS\Tasks\At24.job

    ################## | Registre |

    Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
    Présent! HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore|DisableSR
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFind
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{f6316d10-7a10-11de-b3c2-0007cb58a396}
    Shell\AutoRun\Command = iok.exe
    Shell\explore\Command = iok.exe
    Shell\open\Command = iok.exe


    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    13 Décembre 2010 18:05:09

    hello,

    Citation :
    Je ne sais pas ce que c'est un multi boot ...


    bah comme je te l'ai précisé > 'choix au démarrage de plusieurs environements'



    pour ton DD extern, il faut bien l'alimenter electriquement pour la suite !!!



    1- ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu cliques sur le bouton [ Suppression ] .

    -> Laisse travailler l'outil et ne touche à rien ...

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    /!\ Important : une fois le rapport posté , redémarre le PC pour que l'outil puisse terminer le nettoyage .


    ================================

    2- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    13 Décembre 2010 18:14:19

    Donc pour le DD, si il est simplement connecté à l'ordi ça marche quand même ? Parce que le voyant est allumé donc il est alimenté ...
    13 Décembre 2010 18:41:23

    re,

    Citation :
    si il est simplement connecté à l'ordi ça marche quand même ?


    oui ça marchera ( alimenté electriquement égalemenet )


    j'attends donc les résultats demandés ...
    13 Décembre 2010 19:10:34

    ############################## | UsbFix 7.035 | [Suppression]

    Utilisateur: sj (Administrateur) # ELISEPORTABLE [ ]
    Mis à jour le 05/12/10 par El Desaparecido / C_XX
    Lancé à 18:37:53 | 13/12/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Pentium(R) M processor 1.40GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180

    Pare-feu Windows: Activé
    Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
    RAM -> 246 Mo
    C:\ (%systemdrive%) -> Disque fixe # 14 Go (3 Go libre(s) - 20%) [] # NTFS
    D:\ -> CD-ROM
    E:\ -> Disque fixe # 23 Go (844 Mo libre(s) - 4%) [] # NTFS
    F:\ -> Disque amovible # 7 Go (4 Go libre(s) - 55%) [IPOD ELISE] # FAT32
    G:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [] # FAT32

    ################## | Éléments infectieux |


    Supprimé! C:\Recycler\S-1-5-21-854245398-113007714-1343024091-1003
    Supprimé! E:\Recycler\S-1-5-21-854245398-113007714-1343024091-1003

    ################## | Registre |


    ################## | Mountpoints2 |


    ################## | Listing |

    [24/11/2010 - 17:20:49 | D ] C:\379d0ede0ed0761ac4cb01d55f4f5c83
    [24/11/2010 - 17:19:00 | N | 2006] C:\aqua_bitmap.cpp
    [21/12/2008 - 12:19:02 | N | 0] C:\AUTOEXEC.BAT
    [13/12/2010 - 18:32:01 | RASHD ] C:\Autorun.inf
    [02/08/2010 - 22:19:29 | N | 217] C:\Boot.bak
    [03/12/2010 - 18:09:38 | N | 333] C:\boot.ini
    [28/08/2001 - 12:00:00 | N | 4952] C:\Bootfont.bin
    [03/12/2010 - 18:09:37 | D ] C:\cmdcons
    [03/08/2004 - 23:00:08 | N | 263488] C:\cmldr
    [08/01/2009 - 22:06:33 | N | 74] C:\CMLoader.log
    [06/12/2010 - 18:32:42 | D ] C:\ComboFix
    [21/12/2008 - 12:19:02 | N | 0] C:\CONFIG.SYS
    [08/01/2009 - 22:15:33 | D ] C:\ConvertTemp
    [21/12/2008 - 12:06:52 | D ] C:\Documents and Settings
    [14/04/2008 - 03:34:32 | N | 362496] C:\inetcpl.cpl
    [21/12/2008 - 12:19:02 | N | 0] C:\IO.SYS
    [04/11/2010 - 14:20:24 | N | 7650] C:\lxbscomx.log
    [21/12/2008 - 12:19:02 | N | 0] C:\MSDOS.SYS
    [10/12/2009 - 22:47:40 | RHD ] C:\MSOCache
    [28/08/2001 - 12:00:00 | N | 24448] C:\NTBOOTDD.SYS
    [06/01/2009 - 23:28:16 | N | 47564] C:\NTDETECT.COM
    [12/05/2010 - 18:53:00 | N | 251712] C:\ntldr
    [13/12/2010 - 18:37:02 | ASH | 390070272] C:\pagefile.sys
    [09/12/2010 - 22:46:31 | D ] C:\Program Files
    [06/12/2010 - 18:33:53 | D ] C:\Qoobox
    [21/12/2008 - 16:13:38 | D ] C:\Recycled
    [13/12/2010 - 18:40:55 | SHD ] C:\RECYCLER
    [07/12/2010 - 01:36:00 | D ] C:\ske
    [07/01/2009 - 22:24:30 | N | 268] C:\sqmdata00.sqm
    [07/01/2009 - 22:24:30 | N | 244] C:\sqmnoopt00.sqm
    [07/12/2010 - 16:45:34 | SHD ] C:\System Volume Information
    [13/11/2002 - 16:00:14 | N | 31] C:\TEXTE.TXT
    [13/12/2010 - 18:40:55 | D ] C:\UsbFix
    [13/12/2010 - 18:40:56 | A | 1048] C:\UsbFix.txt
    [13/12/2010 - 18:35:12 | D ] C:\UsbFix_Upload_Me
    [09/12/2010 - 22:59:00 | D ] C:\WINDOWS
    [03/12/2010 - 17:57:36 | N | 6446] C:\ZHPExportRegistry-03-12-2010-17-57-36.txt
    [13/12/2010 - 18:32:01 | RASHD ] E:\Autorun.inf
    [07/06/2010 - 21:27:53 | N | 85] E:\basket.dat
    [02/12/2010 - 18:50:43 | D ] E:\CCleaner
    [16/11/2010 - 16:46:04 | D ] E:\Config.Msi
    [06/01/2009 - 23:06:43 | D ] E:\Drive Backup 8.51 Professional Trial
    [09/09/2010 - 16:51:50 | D ] E:\Incomplete
    [04/12/2010 - 22:02:39 | D ] E:\Mes documents
    [11/12/2010 - 11:30:58 | D ] E:\Mozilla Firefox
    [06/01/2009 - 20:14:17 | D ] E:\Paragon.Partition.Manager.v9.0.Professional.Retail-FOSI rar
    [06/01/2009 - 23:05:41 | D ] E:\Partition Manager 9.0 Professional
    [30/11/2010 - 17:59:53 | D ] E:\program files
    [13/12/2010 - 18:40:55 | SHD ] E:\RECYCLER
    [21/12/2008 - 20:15:36 | D ] E:\sauvegarde
    [29/11/2010 - 22:37:37 | SHD ] E:\System Volume Information
    [13/12/2010 - 17:42:35 | D ] E:\telech
    [28/01/2010 - 17:22:29 | D ] E:\_OTM
    [24/11/2071 - 04:38:30 | D ] F:\iPod_Control
    [17/10/2063 - 22:10:16 | N | 0] F:\.metadata_never_index
    [17/10/2063 - 22:10:16 | D ] F:\Calendars
    [17/10/2063 - 22:10:16 | D ] F:\Contacts
    [17/10/2063 - 22:10:16 | D ] F:\Notes
    [17/10/2063 - 22:10:16 | D ] F:\Recordings
    [20/10/2009 - 00:00:00 | D ] F:\Photos
    [13/12/2010 - 18:32:04 | RASHD ] F:\Autorun.inf
    [03/07/2009 - 13:53:38 | D ] G:\DCIM

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_ELISEPORTABLE.zip
    http://www.teamxscript.org/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |








    Je ferais le ZHPDiag en rentrant parce que je n'ai plus du tout le temps désolée :S

    MERCI !
    13 Décembre 2010 19:32:52

    re,

    toi tu as fait le nettoyage 2 fois avec UsbFix ... :sarcastic: 


    bref, j'attends le rapport ZHPDiag .


    A tout' ...
    13 Décembre 2010 21:46:01

    Comment ça j'ai fais 2 fois le nettoyage ?? C'est grave ??
    Olala désolée mauvaise journée je fais n'importe quoi !

    Je fais le ZHPDiag ;) 
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS