Se connecter / S'enregistrer
Votre question

PC infesté, tout neuf, pas eu le temps de sauvegarder

Tags :
  • Sauvegarde de données
  • Sécurité
Dernière réponse : dans Sécurité et virus
16 Juillet 2010 08:30:55

Bonjour!

Vous vous en doutez, vu la partie du forum, j'ai des virus sur mon ordinateur...
Je l'ai acheté hier... Je n'ai pas eu le temps de sauvegarder quoi que ce soit et je suspecte avoir chopé les virus lors de l'installation de mon antivirus...
Lorsque je clique sur mes raccourcis ou programme ça ne fonctionne pas, le pc est super lent et hier j'avais pleins de raccourcis "pornotube.com - nudetube.com - youporn.com" sur mon bureau.
En plus de cela j'ai la restauration de système Windows et Roxio BackOnTrack qui sont activés (???) donc j'ai un message d'alerte.
Lorsque je tente d'exécuter des programmes j'ai toujours une fenêtre "ouvrir avec" qui s'ouvre... donc je n'arrive pas à mettre en route mon antivirus, ccleaner ou encore hijackThis...
Hier j'avais un logiciel je crois Defense Center qui n'a pas arrêté de me mettre des messages d'alertes.

A savoir que je suis sous XP et que je ne m'y connais vraiment pas pour tout ce qui est nettoyage, sauvegarde, formatage, etc... Donc merci d'avantage pour les âmes charitable qui me viendront en aide!

Edit: Mon antivirus (que je n'arrive pas à lancer, n'arrête pas de me signaler que j'ai un virus DR/Delphi.gen2)

Autres pages sur : infeste temps sauvegarder

16 Juillet 2010 12:40:40

Voici le rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 09:22:56, on 16/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Roxio\BackOnTrack\Instant Restore\BOTService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\idt\wdm\STacSV.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\uti\Mes documents\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {995C0555-F58E-4312-8CDF-47754C3EEC42} - c:\windows\system32\lezjfhg.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [AESTFltr] %SystemRoot%\system32\AESTFltr.exe /NoDlg
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HP] C:\Program Files\Hewlett-Packard\HP QuickSync\QuickSync.exe
O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ruecuy] C:\Documents and Settings\uti\ruecuy.exe
O4 - HKCU\..\Run: [JDK5SWFMZY] C:\DOCUME~1\uti\LOCALS~1\Temp\Osl.exe
O4 - HKCU\..\Run: [Wketilek] rundll32.exe "C:\WINDOWS\wspsuayp.dll",Startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Recherche AOL Toolbar - C:\Documents and Settings\All Users\Application Data\AOL\ieToolbar\resources\fr-FR\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Roxio SAIB Service (9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269) - Unknown owner - C:\Program Files\Roxio\BackOnTrack\Disaster Recovery\SaibSVC.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: BOTService - Sonic Solutions - C:\Program Files\Roxio\BackOnTrack\Instant Restore\BOTService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\HP Game Console\GameConsoleService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\program files\idt\wdm\STacSV.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

--
End of file - 10695 bytes
16 Juillet 2010 12:58:58

Hello,


infecté par un rogue et plus si infinité ... :( 


/!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================


    fait ce qui suit pour avoir un diagnostique plus précis de la situation ...


    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • Clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ...
    ( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarataine pour le moment ! )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
    Contenus similaires
    16 Juillet 2010 14:39:45

    bon


    très très infecté ! ....


    avant de taper dedans , il me faut d'autres infos ....


    fait donc ceci :


    1- Refais un scan ZHPDiag .

    * mais cette fois coche uniquement l'option 061 !

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse ...


    ==========================

    2- Avoir accès aux fichiers cachés :

    Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    -> valide la modif ( "appliquer" puis "ok" ).
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



    3- Rends toi sur ce site :

    http://www.virustotal.com/

  • Clique sur "parcourir" et va jusqu'au fichier suivant :

    C:\WINDOWS\system32\drivers\hckmgahf.sys

  • Clique sur Send File ( = " Envoyer le fichier " ).

    -> Un rapport va s'élaborer ligne à ligne.

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

  • Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

  • Copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ...

    Petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


    Fais de même pour :

    C:\Documents and Settings\uti\ruecuy.exe
    C:\WINDOWS\wspsuayp.dll


    Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
    16 Juillet 2010 15:33:45

    Quand je vois tout le rouge, ça me stresse... Je me demande bien comment j'ai pu avoir autant de m*rde en une soirée...

    Le rapport ZHPDiag option 061
    http://www.cijoint.fr/cjlink.php?file=cj201007/cijRLA4w...

    Rapport C:\WINDOWS\system32\drivers\hckmgahf.sys

    http://www.virustotal.com/fr/analisis/e2686a4bbf32a2e87...

    Rapport C:\Documents and Settings\uti\ruecuy.exe

    http://www.virustotal.com/fr/analisis/1a295ae13528cc652...


    Rapport C:\WINDOWS\wspsuayp.dll
    http://www.virustotal.com/fr/analisis/a0b96a5c99298969e...

    16 Juillet 2010 16:19:23

    bon ...


    du boulot ! ... :sweat: 


    commence par faire ceci dans l'ordre :



    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    C:\DOCUME~1\uti\LOCALS~1\Temp\MSDERUN.exe
    C:\WINDOWS\wspsuayp.dll
    C:\Documents and Settings\uti\ruecuy.exe
    O2 - BHO: (no name) - {995C0555-F58E-4312-8CDF-47754C3EEC42} . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\lezjfhg.dll
    O4 - HKCU\..\Run: [ruecuy] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\uti\ruecuy.exe
    O4 - HKCU\..\Run: [JDK5SWFMZY] C:\DOCUME~1\uti\LOCALS~1\Temp\Osl.exe (.not file.)
    O4 - HKCU\..\Run: [Wketilek] . (.MaresWEB - Monkey's Audio add-on for the BASS library.) -- C:\WINDOWS\wspsuayp.dll
    O20 - Winlogon Notify: cbssreg . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\All Users\Documents\Settings\cbss.dll
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
    O53 - SMSR:HKLM\...\startupreg\Defense Center [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Defense Center\defcnt.exe
    O43 - CFD:Common File Directory ----D- C:\Program Files\Defense Center
    O44 - LFC:[MD5.4350420F4EBA8DB1074AA5BD25A9EB67] - 15/07/2010 - 20:28:36 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\Omiqoa.exe [183296]
    O44 - LFC:[MD5.77AB6361C3982AEBC1862150E8979350] - 15/07/2010 - 20:28:32 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\sshnas21.dll [216576]
    O58 - SDL:[MD5.29F4CB32C93D8F13FC8808A10B1DA2F2] - 15/04/2008 - 13:00:00 ---A- . (.Sonic Solutions - CDRAL Place Holder Driver (see PxHelp).) -- C:\WINDOWS\system32\drivers\wloieyus.sys
    O58 - SDL:[MD5.29F4CB32C93D8F13FC8808A10B1DA2F2] - 15/04/2008 - 13:00:00 ---A- . (.Sonic Solutions - CDRAL Place Holder Driver (see PxHelp).) -- C:\WINDOWS\system32\drivers\hckmgahf.sys
    O61 - LFC:Last File Created 15/07/2010 - 20:47:54 ---A- C:\Documents And Settings\uti\Local Settings\Temp\PRAGMAef6e.tmp [343040]
    O61 - LFC:Last File Created 15/07/2010 - 20:49:00 ---A- C:\Documents And Settings\uti\Local Settings\Temp\fiu4.tmp [274432]
    O61 - LFC:Last File Created 15/07/2010 - 20:49:43 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asd2.tmp [0]
    O61 - LFC:Last File Created 15/07/2010 - 20:50:30 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asd3.tmp [0]
    O61 - LFC:Last File Created 15/07/2010 - 20:50:30 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asd4.tmp [0]
    O61 - LFC:Last File Created 15/07/2010 - 20:50:34 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asd4.tmp.exe [128000]
    O61 - LFC:Last File Created 15/07/2010 - 20:50:49 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asd5.tmp [0]
    O61 - LFC:Last File Created 15/07/2010 - 20:50:53 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asd5.tmp.exe [128000]
    O61 - LFC:Last File Created 15/07/2010 - 20:51:39 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asd6.tmp [0]
    O61 - LFC:Last File Created 15/07/2010 - 20:51:39 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asd7.tmp [0]
    O61 - LFC:Last File Created 15/07/2010 - 20:51:42 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asd6.tmp.exe [128000]
    O61 - LFC:Last File Created 15/07/2010 - 20:51:42 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asd7.tmp.exe [128000]
    O61 - LFC:Last File Created 15/07/2010 - 20:52:46 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asd8.tmp [0]
    O61 - LFC:Last File Created 15/07/2010 - 20:52:46 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asd9.tmp [0]
    O61 - LFC:Last File Created 15/07/2010 - 20:52:47 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asd8.tmp.exe [128000]
    O61 - LFC:Last File Created 15/07/2010 - 20:52:47 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asd9.tmp.exe [128000]
    O61 - LFC:Last File Created 15/07/2010 - 20:53:15 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asdA.tmp [0]
    O61 - LFC:Last File Created 15/07/2010 - 20:53:17 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asdA.tmp.exe [128000]
    O61 - LFC:Last File Created 15/07/2010 - 20:54:26 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asdB.tmp [0]
    O61 - LFC:Last File Created 15/07/2010 - 20:54:27 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asdC.tmp [0]
    O61 - LFC:Last File Created 15/07/2010 - 20:54:27 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asdC.tmp.exe [128000]
    O61 - LFC:Last File Created 15/07/2010 - 20:55:22 ---A- C:\Documents And Settings\uti\Local Settings\Temp\a71e.tmp [6307368]
    O61 - LFC:Last File Created 15/07/2010 - 20:55:27 ---A- C:\Documents And Settings\uti\Local Settings\Temp\e654.tmp [52568]
    O61 - LFC:Last File Created 15/07/2010 - 20:55:28 ---A- C:\Documents And Settings\uti\Local Settings\Temp\f335.tmp [9920]
    O61 - LFC:Last File Created 15/07/2010 - 20:55:29 ---A- C:\Documents And Settings\uti\Local Settings\Temp\f642.tmp [25000]
    O61 - LFC:Last File Created 15/07/2010 - 20:55:35 ---A- C:\Documents And Settings\uti\Local Settings\Temp\asdD.tmp [0]
    O61 - LFC:Last File Created 15/07/2010 - 20:56:15 ---A- C:\Documents And Settings\uti\Cookies\uti@quantserve[1].txt [101]
    O61 - LFC:Last File Created 15/07/2010 - 20:56:20 ---A- C:\Documents And Settings\uti\Local Settings\Temp\f856.tmp [2192592]
    O61 - LFC:Last File Created 15/07/2010 - 20:56:35 ---A- C:\Documents And Settings\uti\Application Data\Microsoft\Internet Explorer\Quick Launch\Defense Center.lnk [696]
    O61 - LFC:Last File Created 15/07/2010 - 20:56:35 ---A- C:\Documents And Settings\uti\Bureau\Defense Center Support.lnk [1582]
    O61 - LFC:Last File Created 15/07/2010 - 20:28:11 ---A- C:\Documents And Settings\uti\Local Settings\Temp\0.586295639085491.exe [81920]
    O61 - LFC:Last File Created 15/07/2010 - 20:28:31 ---A- C:\Documents And Settings\uti\Local Settings\Temp\Osj.exe [270848]
    O61 - LFC:Last File Created 15/07/2010 - 20:28:36 ---A- C:\Documents And Settings\uti\Local Settings\Temp\Osk.exe [183296]
    O61 - LFC:Last File Created 15/07/2010 - 20:29:42 ---A- C:\Documents And Settings\uti\Local Settings\Temp\vJVQaxCcJi.exe [66560]
    O61 - LFC:Last File Created 15/07/2010 - 20:29:45 ---A- C:\Documents And Settings\uti\Local Settings\Temp\32.tmp
    O61 - LFC:Last File Created 15/07/2010 - 20:30:56 ---A- C:\Documents And Settings\All Users\Favoris\_favdata.dat [8]
    O64 - Services: CurCS - C:\Windows\system32\drivers\hckmgahf.sys - hckmgahf (hckmgahf) .(.Sonic Solutions - CDRAL Place Holder Driver (see PxHelp).) - LEGACY_HCKMGAHF
    O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl) .(.Pas de propriétaire - Pas de description.) - LEGACY_EECTRL
    O64 - Services: CurCS - (.not file.) - EraserUtilDrv10910 (EraserUtilDrv10910) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRV10910
    O64 - Services: CurCS - (.not file.) - EraserUtilDrvI9 (EraserUtilDrvI9) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRVI9
    O64 - Services: CurCS - (.not file.) - EraserUtilRebootDrv (EraserUtilRebootDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILREBOOTDRV
    O64 - Services: CurCS - (.not file.) - Symantec Extended File Attributes (SymEFA) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMEFA
    O64 - Services: CurCS - (.not file.) - Symantec Network Filter Driver (SYMFW) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMFW
    O64 - Services: CurCS - (.not file.) - Symantec Network Filter Driver (SYMIDS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMIDS
    O64 - Services: CurCS - (.not file.) - Symantec Network Filter Driver (SYMNDIS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMNDIS
    O64 - Services: CurCS - (.not file.) - Symantec Network Dispatch Driver (SYMTDI) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMTDI
    O67 - Shell Spawning: <.exe> <secfile>[HKCU\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\uti\LOCALS~1\Temp\MSDERUN.exe
    O67 - Shell Spawning: <.exe> <secfile>[HKCR\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\uti\LOCALS~1\Temp\MSDERUN.exe
    O69 - SBI: SearchScopes {11B0E3AB-63F4-4E65-B0D2-436B97446D37}- (Kelkoo) - http://fr.kelkoopartners.net/ctl/do
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    C:\System Rollback Data\Restore\Current\51140\3\Target\DOCUMENTS AND SETTINGS\uti\MES DOCUMENTS\Toshop\1\Keygen.exe
    [HKCU\Software\JDK5SWFMZY]
    [HKCU\Software\W34BCG2GRJ]
    [HKCU\Software\XML]
    [HKLM\Software\Symantec]
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified




    > Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ================================

    2- Télécharge Malwarebytes :
    ici http://www.commentcamarche.net/telecharger/telecharger-...
    ou ici : http://www.malwarebytes.org/mbam.php
    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

    * Potasse ce tuto pour te familiariser avec le prg :
    http://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance 'Malwarebytes' .

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


    =========================

    3- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    16 Juillet 2010 17:22:17

    Je ne sais pas si mon anti-virus, anti-spyware sont desactivés ou pas, vu que quand je tente d'aller dans mon centre de sécurité j'ai le message:

    C:\WINDOWS\system32\rundll32.exe
    application introuvable
    16 Juillet 2010 17:52:18

    re,

    ne va pas dans le centre de sécurité ! ...

    tu cliques droit sur l'icone d' AntiVir présent dans la barre des tâches et tu décoches au niveau de "AntiVir Guard" .

    Si AntiVir n'est pas présent dans la barre des tâches , fait la manipe directement ... ( et si il y a des alertes de se dernier pendant le scan , tu cliques sur "ignorer" à chaque fois )
    16 Juillet 2010 20:22:10

    bon ....


    on avance ... mais des saltés s'accrochent ! ....



    la suite dans l'ordre :


    1- Fait moi parvenir le fichier suivant :

    C:\Program Files\ZHPDiag\Quarantine\keygen.exe.VIR

    Utilise pour cela ce site d'uplaod > http://www.sendspace.com/

    fait moi parvenir le lien d'uplaod en Message Privé via mon profil stp ...


    merci d'avance ... ;) 


    ==========================

    2- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    O64 - Services: CurCS - (.not file.) - hckmgahf (hckmgahf) .(.Pas de propriétaire - Pas de description.) - LEGACY_HCKMGAHF
    O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    MBRFix


    > Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ================================

    3- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
    ou ici http://chiquitine.changelog.fr/UsbFix.exe

    ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Clique sur le bouton [ Recherche ] .

    -> Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html
    16 Juillet 2010 21:02:56

    bien ...


    la suite dans l'ordre :


    1- ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu cliques sur le bouton [ Suppression ] .

    -> Laisse travailler l'outil et ne touche à rien ...

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    /!\ Important : une fois le rapport posté , redémarre le PC pour que l'outil puisse terminer le nettoyage .


    =======================

    2- Télécharge et installe la dernière version de CCleaner :
    ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://www.commentcamarche.net/faq/27688-tutoriel-cclea...


    ---> Utilisation :
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


    ==========================

    3- Télécharge gmer sur le bureau et dézippe-le (clic droit et "extraire ici") :

    http://www.gmer.net/gmer.zip

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

    * Double-clique sur gmer.exe pour lancer l'outil.
    * Met toi bien sur l'onglet "rootkit".
    * A droite, au niveau des options , vérifie que TOUT soit coché .
    * puis clique sur scan .

    > laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ...! )

    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note ... Sauvegarde le .

    > poste le rapport via "Cijoint" stp ...


    16 Juillet 2010 21:47:13

    L'ordi a planté... Ecran bleu, puis il a redémarré!

    Je recommence avec gmer?
    16 Juillet 2010 22:24:51

    re,


    comment par me posté le rapport UsbFix stp ...


    ensuite voilà ce que tu vas faire :


    1- Les logiciels d'émulation de CD ( comme Daemon Tools ) peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    * Télécharge Defogger (de jpshortstuff) sur ton Bureau
    http://www.jpshortstuff.247fixes.com/Defogger.exe
    * Lance le
    * Une fenêtre apparait : clique sur "Disable"
    * Fais redémarrer l'ordinateur si l'outil te le demande
    * Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"


    ============================

    2- renome gmer.exe en skeG.exe ( clique droit dessus / "renommer" )


    ============================

    3- retentes la manipe de gmer ( avec skeG.exe )

    poste le rapport obtenu si cela a fonctionné ....

    16 Juillet 2010 23:20:09

    re,


    Citation :
    J'ai antivir continue à me bombarder d'alerte dr/Delphi.Gen2.


    tu m'étonnes ... c'est qu'il reste du taf ! ... :D 

    t'as mis ton PC dans un état faut dire ... merci les cracks ! ...



    j'attends donc le rapport de gmer ... en espérant qu'il passe ...


    17 Juillet 2010 00:38:17

    Je comprends toujours pas comment ça a pu arriver... J'ai mis antivir, Ccleaner, Alzip et msn... c'est tout. Si j'ai encore mis Photoshop, mais celui là je l'ai sur tous mes pcs et j'ai jamais eu de soucis.

    Y a eu un message d'erreur, donc je ne sais pas si ça a entièrement fonctionné. Je te postes ce que j'ai ...
    http://www.cijoint.fr/cjlink.php?file=cj201007/cijgvAjB...


    Le message:

    Windows L'écriture décalée a échoué

    Windows8system328config8SysEvent.EVT



    Zou je file au dodo, je verrai demain pour la suite. Dis moi si je dois refaire le gmer.
    17 Juillet 2010 01:03:16

    vu,

    c'est bon pour GMER ...


    donc on a bien une infection TDL 3 avec un driver systeme patché ( voir 2 ... )



    pour demain , fait ceci :


    Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Double-clique sur l'icône "ComboFix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    -- Pour XP, l' installation de la Console de Récupération sera demandé :
    * Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).

    *Une fois la console installée,

    Déconnecte toi si possible avant de cliquer sur "Oui" pour lancer le scan --


    Notes importantes :
    -> Ne rien faire avec le PC pendant le scan !
    -> N'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Si l'otuil t'anonce qu'un version plus récente de ComboFix est disponible, accepte la mise à jour.
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
    -> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore ComboFix , ignore les alertes et essaye de désactiver ton AV ! ( ne supprime rien et ne mets rien en quarantaine )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses une fois la procédure terminée.


    > Poste le rapport ComboFix pour analyse et attends la suite ...

    17 Juillet 2010 07:20:20

    Bon j'ai un soucis... J'ai bien désactivé antivir (c'est marqué désactivé à coté d'antivir Guard), mais ComboFix me dit que non... :pt1cable: 
    Je fais quoi?
    17 Juillet 2010 08:50:36

    re,


    rappel pour désactiver la garde d'AntiVir :



    > cliquer droit sur l'icone / décocher "activé AntiVir Guard"



    Si c'est Ok de ce côté là, bah passe outre l'alerte de ComboFix et lance le scan ...
    17 Juillet 2010 09:21:45

    Bonjour!

    C'était ok ;) 

    J'ai plusieurs messages d'erreur sur AutoScan de ComboFix: This application has requested the Runtime to terminate it in an unusual way.
    Ensuite il y a
    C:\...
    Puis Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.

    En parallèle j'ai pleins de messages PEV.cfxxe a rencontré un pb et doit fermer blablabla envoyer le rapport d'erreur/ ne pas envoyer

    Et j'ai aussi une fenêtre Prévention de l'execution des données -Microsoft Windows Pour protéger votre ordinateur, Windows a fermé ce programme


    (Je précise que je suis sur mon autre pc pendant que ComboFix tourne)

    Et maintenant ComboFix ne tourne plus...
    17 Juillet 2010 09:37:05

    oula ! ...


    c'est des composantes de l'outil qui foirent ... l'infection doit les contrer ...


    patiente encore voir si il termine le job et poste le rapport ...


    on avisera après ...
    17 Juillet 2010 11:11:46

    re,


    1- supprime ComboFix ainsi :

    Clique sur " Démarrer " -> " Executer "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

    ComboFix /uninstall

    ( laisse l'espace entre "Combofix" et "/uninstall" )

    -> Valide .

    l'outil se relancera et se supprimera de lui-même ....


    si cela ne fonctionne pas , supprime le manuellement ( clique droit dessus/"supprimer" )

    ==========================

    2- télécharge cette nouvelle version de l'outil ici

    > http://www.cijoint.fr/cj201007/cij1cFziRi.zip

    * extrait le contenu de l'archive téléchargé sur ton bureau ( clique droit dessus / extrait tout ) .

    * ske.exe = Combofix.exe que j'ai préalablement renomé pour contrer l'infection .


    Puis reprend la manipe de Combofix en utilisant "ske.exe" .


    en espérant que cela passe cette fois ...


    poste moi le rapport obtenu ....
    17 Juillet 2010 13:34:52



    Mauvaise nouvelle :S

    Ca se met en route, mais ça reste bloqué.. Décidément aujourd'hui ça veut pas :pfff: 
    Y a le message recherche de fichiers infectés etc
    18 Juillet 2010 11:11:01

    Re,


    laisse tomber ComboFix pour le moment .


    on va passé un autre outil d'abors :


    Télécharge load_tdsskiller de Loup blanc sur ton Bureau.

    Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

    ! Désactive ton antivirus et ferme toutes applications en cours !

  • Lance load_tdsskiller en double-cliquant dessus :
  • L'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan.
  • Un message dans la fenêtre noire d'invite de commande te demandera d'appuyer sur une touche pour continuer.
  • Le rapport s'affichera automatiquement : copie-colle son contenu dans la prochaine réponse.
    (le fichier est également présent ici : C:\tdsskiller\report.txt)

    18 Juillet 2010 22:30:39

    bien ...


    l'outil à bien fait son job mais a déniché autre chose de louche .... :p 



    pour le moment , essayer de refaire un scan Combofix ( avec "ske.exe" )


    poste moi le rapport obtenu si cela a focntionné ....
    19 Juillet 2010 08:21:34

    re,


    c'est tout ce qu'il y a dans le rapport ????


    tu peux contrôler stp ..... et si c'est bien le cas, bah recommence la manipe et poste le nouveau rapport obtenu ....
    19 Juillet 2010 12:17:26

    re,


    et beh ... cela s'accroche dur ... :fou: 



    voilà ce que tu vas faire :



    1- Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Rends toi sur cette page > http://www.cijoint.fr/cj201007/cijoxDx1wC.txt

  • Copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

  • Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ... ( sauvegarde le bien sur le bureau )



    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )




    19 Juillet 2010 14:11:30

    bien ....



    on avance , on avance ... ;p



    mais reste quelques merdes qui reviennent ... des fichiers d'AntiVir sont touchés ...


    ne surtout pas éteindre le PC pour le moment ! ....




    fait ceci maintenant :


    Télécharge SystemLook de jpshortstuff sur ton bureau :

    http://images.malwareremoval.com/jpshortstuff/SystemLoo...


    * Double-clique sur "SystemLook.exe" pour lancer l'outil .

    -> Copies/colle le texte ci-dessous dans la fenêtre :


    :dir
    c:\program files\Avira\AntiVir Desktop



    * Clique sur le bouton [Look] pour lancer l'examen .

    Laisse travailler ...

    * Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

    -> Poste ce rapport dans ta prochaine réponse pour analyse ...


    ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )
    19 Juillet 2010 14:52:15

    bien ...



    on reprends avec ce nouveau script :



    1- Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Rends toi sur cette page > http://www.cijoint.fr/cj201007/cijBbiBGbD.txt

  • Copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

  • Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ... ( sauvegarde le bien sur le bureau )


    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

    19 Juillet 2010 16:26:28

    Impec ! ... :bounce: 



    mainteant on paufine le nettoyage et quelques vérifes ... :) 



    dans l'ordre :


    1- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe pour lancer l'installation .

    • Une fois l'outil installé, double clique sur le raccourci pour le lancer .

    • Au menu principal, clique sur le bouton [Scanner] .

    • le scan démarre , laisse travailler l'outil et ne touche à rien ...


    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )




    ======================

    2- réutilise GMER pour un contrôle :

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

    * Double-clique sur gmer.exe pour lancer l'outil.
    * Met toi bien sur l'onglet "rootkit".
    * A droite, au niveau des options, que tout soit coché
    * puis clique sur scan .

    > laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )

    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

    > poste le contenu du rapport stp ...




    19 Juillet 2010 18:30:32

    J'ai eu un message d'erreur: Ressources système insuffisantes pour terminer le système demandé.
    19 Juillet 2010 20:39:18

    tu peux préciser stp ?

    > avec quel outil tu as eu ce message ? ...



    je rappel que lorsqu' un outil tourne, on ne fait rien d'autre avec le PC ! ....
    19 Juillet 2010 21:01:27

    C'est GMER, oups j'avais oublié de préciser.

    J'ai rien fait d'autre, j'ai tout désactivé, etc... J'ai mon pc de bureau, donc sur le portable y a rien d'autre qui tourne!

    C:\Windows\system32\config\software: Ressources système insuffisantes pour terminer le système demandé.

    Puis j'ai eu un 2eme message Windows, l'écriture décalée a échoué. Windows n'a pas pu sauvegarder toutes les données pour le fichier. Les données ont été perdues. Cette erreur peut être due à une panne de votre matériel ou de votre connexion réseau. Essayez de sauvegarder ce fichier à un autre emplacement.

    Je te poste le rapport d'Ad Remover tout de suite, faut juste que je me mette sur l'autre pc et j'édite!
    19 Juillet 2010 21:04:08

    re,


    non ... reboot le PC et fait Ad-R juste après !


    poste le rapport de AD-R pour le moment ....

    19 Juillet 2010 21:33:36

    RAS de ce côté donc ...


    bisard cependant pour GMER ... :heink: 



    Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    19 Juillet 2010 22:46:35

    bon ....



    pas encore net le rapport ZHPdiag ... et pour GMER , tu as bien lancer celui qui est renomé en "skeG" n'est-ce pas ?



    fait ceci :


    Télécharge SEAF ( de C__XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/SEAF.ex...

    ! Ferme toutes applications en cours !

  • Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
  • Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :


    Nlgdaixr,klmd23,klmdb


  • Au niveau des "options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

  • Au niveau des " options du registre " :
    > coche " chercher également dans le registre "

    ( ne touche à aucun autre réglage )

  • Clique sur " Lancer la recherche " et laisse travailler l'outil ...

    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

    --> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/

        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS