[Résolu] Fenêtres de pubs intempestives...

Salut,


Infecté effectivement ...



/!\ Pour le bon déroulement de la désinfection :

Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .

N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .

Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .

Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

=============================================================



Commence par faire ceci dans l'ordre :


1- protocole à suivre pour Windows Vista :

Désactiver le "contrôle des comptes utilisateurs" ou UAC (le réactiver seulement à la fin de la désinfection) :

Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC !

Tutos :
http://pagesperso-orange.fr/NosTools/uac_vista.html
http://forum.malekal.com/viewtopic.php?f=59&t=6517

Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...


une fois ceci fait et pris en compte , enchaine ...


===============================

2- * Désinstalle proprement Ad-Aware depuis le panneau de config ( affichage classique ) / "prg et fonctionnalité" :

inefficace face aux nouvelles menaces , lourd pour le systeme et la navigation ...


* Des restes de Norton à nettoyer :

Télécharge Norton removal tool sur ton bureau :
ftp://ftp.symantec.com/public/francais/removal_tools/No...

Déconnecte toi .
Ensuite désinstalle Norton avec "Norton removal tool": tu clique droit / 'executer en tant qu'admin...' dessus et tu te laisses guider ... il faut le désinstaller correctement ( fais la manipe 2 fois si nécessaire ).



===============================


3- Une fois tout ceci fait , il me faut un diagnostique plus précis du PC ,

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

Clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

> Laisses travailler l'outil ...
( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )

Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

Ferme le programme ...


> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .

Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...

Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

Bonjour !!

Et merci pour ta réponse !!

Bon, je suis complètement bloqué parce que je n'arrive pas à lancer un seul des téléchargements...

Les téléchargements ne se lancent pas... puis message d'erreur...

Est-ce mon pc ou les serveurs ???

Bref je n'ai pas avancé...

Je vais essayé d'aller sur un autre pc et de ramener les logiciels avec une clef...

Donc, j'ai suivi tes consignes à la lettre.

Pendant le scan, deux fenêtres sont apparues qui ont stoppé le scan. Je les ai tout simplement fermées avec la croix rouge habituelle en haut à droite... et le scan a repris...

Du coup j'ai retenté un scan une deuxième fois :

1er scan :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijnkr2v...

2em scan :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijk6Uqe...


Et copié/collé du contenu des fenêtres qui se sont ouvertes pendant le scan :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijCYzvq...

hello,


plusieurs infections sérieuses en faite ... y du boulot ...  


Si tu t'es effectivement servit d'une clé pour installer l'outil et faire passer les rapports , sache malheureusement que tu as infecté le deuxiemme PC ! ... On s'occupera de ce dernier par la suite si c'est le cas ....




-> dis moi si c'est toujours le cas ( essaye de télécharger les outils avec Internet Explorer si avec FireFox ça foire ... )





Puis commence par fair ceci dans l'ordre :



1- Télécharge Lop S&D (de AngelDark & Eric71) :
http://eric.71.mespages.googlepages.com/LopSD.exe
ou ici http://eric71.geekstogo.com/tools/LopSD.exe

! Déconnecte-toi et ferme toutes tes applications en cours !

Clique droit / "exécuter entant qu'admin..." sur l'.exe que tu viens de télécharger pour lancer l'outil .

> tape [F] puis [entrée] pour avoir l'outil en français

> Au menu principal, choisis directement l'option 2 ("Suppression + Hosts ") et valide ...

-> ne touche à rien pendant que l'outil travail .

Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.

> Poste ce rapport dans ta prochaine réponse pour analyse ...


==============================


2- Re-désactive l'UAC car l'outil Lop S&D la ré-activer lors du nettoyage ...


==============================

3- Les logiciels d'émulation de CD ( comme Daemon Tools ) peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
http://www.jpshortstuff.247fixes.com/Defogger.exe
* Lance le "entant qu'admin..."
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"


=============================

4- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
ou ici http://chiquitine.changelog.fr/UsbFix.exe

! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Clique droit / " executer en tant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Clique sur le bouton [ Recherche ] .

-> Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

Merci et désolé... y'a du boulot donc... je pense que certaines infections doivent pas mal dater...

J'ai réussi à télécharger les logiciels normalement aujourd'hui. Et hier, j'ai du aller dans un cyber et me les envoyer par mail...

voici les 3 rapports :



--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T5300 @ 1.73GHz )
BIOS : Ver 1.00PARTTBLv
USER : kelly ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1296 [VPS 081127-1] 4.8.1296 (Activated)
C:\ (Local Disk) - NTFS - Total:143 Go (Free:17 Go)
D:\ (Local Disk) - NTFS - Total:5 Go (Free:1 Go)
E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
F:\ (USB)
G:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [2] ( 07/09/2010|11:29 )

[ UAC => 0 ]


\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION

Supprime! - C:\Users\kelly\AppData\Roaming\MICROS~1\Windows\Cookies\kelly@ero-advertising[1].txt
Supprime! - C:\Program Files\Adverts
-
[ Fichier Hosts ] .. Restaure!

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\


--------------------\\ Listing des dossiers dans Local

[28/11/2009|00:13] C:\Users\kelly\AppData\Local\Adobe
[26/06/2008|11:05] C:\Users\kelly\AppData\Local\Apple
[05/04/2010|15:35] C:\Users\kelly\AppData\Local\Apple Computer
[09/09/2007|11:04] C:\Users\kelly\AppData\Local\Application Data
[18/01/2009|21:53] C:\Users\kelly\AppData\Local\Apps
[09/09/2007|11:17] C:\Users\kelly\AppData\Local\AtStart.txt
[23/06/2010|22:46] C:\Users\kelly\AppData\Local\d3d9caps.dat
[05/09/2010|14:37] C:\Users\kelly\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[09/09/2007|11:17] C:\Users\kelly\AppData\Local\DSwitch.txt
[06/09/2010|18:35] C:\Users\kelly\AppData\Local\DxO_Labs
[21/03/2010|14:08] C:\Users\kelly\AppData\Local\eMule
[09/10/2009|19:58] C:\Users\kelly\AppData\Local\FnF4.txt
[24/02/2010|14:51] C:\Users\kelly\AppData\Local\GDIPFONTCACHEV1.DAT
[15/07/2010|19:29] C:\Users\kelly\AppData\Local\Google
[09/09/2007|11:04] C:\Users\kelly\AppData\Local\Historique
[07/09/2010|02:53] C:\Users\kelly\AppData\Local\IconCache.db
[10/01/2010|19:24] C:\Users\kelly\AppData\Local\Microsoft
[25/10/2009|20:09] C:\Users\kelly\AppData\Local\Microsoft Corporation
[19/09/2008|12:30] C:\Users\kelly\AppData\Local\Microsoft Games
[04/11/2008|20:14] C:\Users\kelly\AppData\Local\Microsoft Help
[29/10/2008|15:42] C:\Users\kelly\AppData\Local\Mozilla
[06/01/2010|18:21] C:\Users\kelly\AppData\Local\PACE Anti-Piracy
[09/09/2007|11:17] C:\Users\kelly\AppData\Local\QSwitch.txt
[07/03/2010|15:12] C:\Users\kelly\AppData\Local\QuickPlay
[11/12/2009|15:45] C:\Users\kelly\AppData\Local\Real
[06/09/2010|18:31] C:\Users\kelly\AppData\Local\SV5MuuEng
[07/09/2010|11:29] C:\Users\kelly\AppData\Local\Temp
[09/09/2007|11:04] C:\Users\kelly\AppData\Local\Temporary Internet Files
[28/04/2010|21:13] C:\Users\kelly\AppData\Local\TVU Networks
[22/10/2007|20:34] C:\Users\kelly\AppData\Local\VirtualStore
[06/09/2010|18:31] C:\Users\kelly\AppData\Local\WviARhCO

--------------------\\ Tâches planifiées dans C:\Windows\tasks

[07/09/2010 10:41][--ah-----] C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[07/09/2010 11:13][--ah-----] C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[07/09/2010 10:38][--a------] C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[07/09/2010 09:40][--a------] C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[06/09/2010 14:51][--a------] C:\Windows\tasks\Ad-Aware Update (Weekly).job
[07/09/2010 09:44][--ah-----] C:\Windows\tasks\User_Feed_Synchronization-{6509161C-1240-4094-A5A0-C9DBC2AFD323}.job
[07/09/2010 09:40][--ah-----] C:\Windows\tasks\SA.DAT
[07/09/2010 02:53][--a------] C:\Windows\tasks\SCHEDLGU.TXT

--------------------\\ Listing des dossiers dans C:\ProgramData

[27/05/2010|12:03] C:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[16/09/2009|14:27] C:\ProgramData\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[29/04/2009|11:03] C:\ProgramData\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[14/01/2010|20:36] C:\ProgramData\Adobe
[20/01/2010|14:02] C:\ProgramData\Alwil Software
[26/06/2008|11:03] C:\ProgramData\Apple
[06/07/2009|10:58] C:\ProgramData\Apple Computer
[02/11/2006|15:02] C:\ProgramData\Application Data
[24/11/2005|22:19] C:\ProgramData\Bureau
[18/09/2007|13:55] C:\ProgramData\CyberLink
[08/11/2009|21:43] C:\ProgramData\DAEMON Tools Lite
[02/11/2006|15:02] C:\ProgramData\Desktop
[02/11/2006|15:02] C:\ProgramData\Documents
[07/03/2010|19:33] C:\ProgramData\Downloaded Installations
[02/04/2009|19:50] C:\ProgramData\DVD.exe
[21/03/2010|14:08] C:\ProgramData\eMule
[08/12/2008|20:21] C:\ProgramData\ezsidmv.dat
[24/11/2005|22:19] C:\ProgramData\Favoris
[02/11/2006|15:02] C:\ProgramData\Favorites
[02/04/2009|16:46] C:\ProgramData\FRA
[02/04/2009|16:47] C:\ProgramData\Games.exe
[27/11/2009|21:00] C:\ProgramData\Google
[28/11/2007|12:00] C:\ProgramData\Hewlett-Packard
[28/11/2007|19:32] C:\ProgramData\HP
[15/12/2008|15:18] C:\ProgramData\HP Product Assistant
[07/09/2010|09:42] C:\ProgramData\hpqp.ini
[01/09/2010|18:36] C:\ProgramData\hpqp.txt
[28/06/2009|15:52] C:\ProgramData\hpzinstall.log
[18/12/2006|23:12] C:\ProgramData\InstallShield
[02/04/2009|17:41] C:\ProgramData\Karaoke.exe
[06/09/2010|12:20] C:\ProgramData\Lavasoft
[24/11/2005|22:19] C:\ProgramData\Menu D‚marrer
[29/01/2010|10:31] C:\ProgramData\Messenger Plus!
[06/09/2010|18:31] C:\ProgramData\Microsoft
[25/08/2010|20:18] C:\ProgramData\Microsoft Help
[02/04/2009|17:37] C:\ProgramData\MobileTV.exe
[24/11/2005|22:19] C:\ProgramData\ModŠles
[02/04/2009|16:46] C:\ProgramData\MPV.exe
[24/03/2010|15:51] C:\ProgramData\NVIDIA
[07/09/2010|11:25] C:\ProgramData\nvModes.001
[06/09/2010|17:51] C:\ProgramData\nvModes.dat
[06/01/2010|18:21] C:\ProgramData\PACE Anti-Piracy
[07/03/2010|19:37] C:\ProgramData\PC Suite
[11/12/2009|15:49] C:\ProgramData\Real
[18/12/2006|23:19] C:\ProgramData\Roxio
[08/12/2008|20:11] C:\ProgramData\Skype
[11/09/2007|21:57] C:\ProgramData\Sonic
[02/11/2006|15:02] C:\ProgramData\Start Menu
[30/03/2010|18:41] C:\ProgramData\Sun
[02/11/2006|15:02] C:\ProgramData\Templates
[28/04/2010|21:13] C:\ProgramData\TVU Networks
[28/11/2007|12:09] C:\ProgramData\WEBREG
[15/12/2008|15:01] C:\ProgramData\WindowsSearch
[05/04/2008|08:44] C:\ProgramData\WLInstaller

--------------------\\ Listing des dossiers dans C:\Program Files

[05/06/2009|18:54] C:\Program Files\7-Zip
[14/01/2010|19:03] C:\Program Files\Adobe
[27/11/2009|20:59] C:\Program Files\adslTV
[20/01/2010|14:06] C:\Program Files\Alwil Software
[18/01/2009|21:27] C:\Program Files\Apple Software Update
[25/04/2009|15:40] C:\Program Files\BitTornado
[27/05/2010|11:52] C:\Program Files\Bonjour
[05/09/2010|14:19] C:\Program Files\CCleaner
[06/09/2010|18:30] C:\Program Files\Common Files
[29/11/2008|18:33] C:\Program Files\CONEXANT
[08/11/2009|21:43] C:\Program Files\DAEMON Tools Lite
[12/02/2008|20:37] C:\Program Files\DivX
[01/03/2008|21:11] C:\Program Files\DVD Decrypter
[05/09/2010|19:18] C:\Program Files\DxO Labs
[17/06/2009|13:12] C:\Program Files\Elisa
[21/03/2010|14:08] C:\Program Files\eMule
[22/05/2010|10:16] C:\Program Files\Fake Webcam
[24/11/2005|22:19] C:\Program Files\Fichiers communs [c:\Program Files\Common Files]
[05/06/2009|17:25] C:\Program Files\FileZilla FTP Client
[17/05/2010|23:19] C:\Program Files\Google
[15/12/2008|15:56] C:\Program Files\Hewlett-Packard
[07/09/2009|19:21] C:\Program Files\HP
[18/12/2006|23:48] C:\Program Files\HPQ
[27/07/2010|09:41] C:\Program Files\InstallShield Installation Information
[25/08/2010|20:21] C:\Program Files\Internet Explorer
[27/05/2010|12:01] C:\Program Files\iPod
[27/05/2010|12:03] C:\Program Files\iTunes
[25/08/2010|19:10] C:\Program Files\Java
[04/02/2010|00:57] C:\Program Files\JRE
[02/04/2009|18:15] C:\Program Files\Lavalys
[06/09/2010|12:20] C:\Program Files\Lavasoft
[18/09/2009|21:51] C:\Program Files\Lecteur CANALPLAY
[26/05/2010|11:32] C:\Program Files\Microsoft
[22/09/2007|13:15] C:\Program Files\Microsoft CAPICOM 2.1.0.2
[02/11/2006|14:37] C:\Program Files\Microsoft Games
[04/11/2008|19:58] C:\Program Files\Microsoft Office
[24/11/2007|13:22] C:\Program Files\Microsoft R‚f‚rence
[06/06/2010|15:08] C:\Program Files\Microsoft Silverlight
[02/04/2009|13:10] C:\Program Files\Microsoft Sync Framework
[04/11/2008|19:58] C:\Program Files\Microsoft Visual Studio
[04/11/2008|19:54] C:\Program Files\Microsoft Visual Studio 8
[14/10/2009|18:29] C:\Program Files\Microsoft Works
[25/06/2010|09:27] C:\Program Files\Microsoft.NET
[25/08/2010|20:21] C:\Program Files\Movie Maker
[07/09/2010|11:15] C:\Program Files\Mozilla Firefox
[23/03/2010|20:57] C:\Program Files\MP3 Player Utilities 4.03
[04/11/2008|19:59] C:\Program Files\MSBuild
[04/03/2009|00:12] C:\Program Files\MSECache
[22/09/2007|13:07] C:\Program Files\MSXML 4.0
[25/10/2009|18:10] C:\Program Files\NAVIGON
[27/11/2009|20:53] C:\Program Files\Nikon
[19/01/2009|00:44] C:\Program Files\OpenOffice.org 2.3
[04/02/2010|00:59] C:\Program Files\OpenOffice.org 3
[11/09/2007|14:12] C:\Program Files\PittOcha
[27/05/2010|11:58] C:\Program Files\QuickTime
[11/12/2007|19:34] C:\Program Files\Real
[08/10/2009|16:42] C:\Program Files\Recuva
[02/11/2006|14:37] C:\Program Files\Reference Assemblies
[18/12/2006|23:23] C:\Program Files\Roxio
[07/03/2010|19:36] C:\Program Files\Samsung
[26/12/2007|16:15] C:\Program Files\Securitoo
[18/12/2006|23:46] C:\Program Files\Services en ligne
[08/12/2008|20:11] C:\Program Files\Skype
[18/12/2006|22:59] C:\Program Files\Synaptics
[02/11/2006|15:01] C:\Program Files\Uninstall Information
[28/04/2008|11:06] C:\Program Files\VideoLAN
[05/06/2009|19:42] C:\Program Files\Windows Calendar
[05/06/2009|19:42] C:\Program Files\Windows Collaboration
[05/06/2009|19:42] C:\Program Files\Windows Defender
[05/06/2009|19:42] C:\Program Files\Windows Journal
[02/04/2009|13:11] C:\Program Files\Windows Live
[02/04/2009|13:09] C:\Program Files\Windows Live SkyDrive
[02/04/2009|13:11] C:\Program Files\Windows Live Toolbar
[25/08/2010|20:12] C:\Program Files\Windows Mail
[28/10/2009|17:38] C:\Program Files\Windows Media Player
[24/11/2005|22:19] C:\Program Files\Windows NT
[05/06/2009|19:42] C:\Program Files\Windows Photo Gallery
[28/10/2009|18:41] C:\Program Files\Windows Portable Devices
[05/06/2009|19:42] C:\Program Files\Windows Sidebar
[21/03/2010|15:39] C:\Program Files\Yahoo!
[06/09/2010|18:11] C:\Program Files\ZHPDiag

--------------------\\ Listing des dossiers dans C:\Program Files\Common Files

[14/01/2010|19:04] C:\Program Files\Common Files\Adobe
[27/05/2010|12:01] C:\Program Files\Common Files\Apple
[04/09/2009|14:20] C:\Program Files\Common Files\DESIGNER
[28/11/2007|12:03] C:\Program Files\Common Files\Hewlett-Packard
[28/11/2007|12:07] C:\Program Files\Common Files\HP
[18/12/2006|23:38] C:\Program Files\Common Files\InstallShield
[25/08/2010|19:11] C:\Program Files\Common Files\Java
[18/12/2006|23:48] C:\Program Files\Common Files\LightScribe
[26/05/2010|11:33] C:\Program Files\Common Files\microsoft shared
[27/11/2009|20:53] C:\Program Files\Common Files\Nikon
[06/09/2010|18:30] C:\Program Files\Common Files\PACE Anti-Piracy
[07/03/2010|19:36] C:\Program Files\Common Files\PCSuite
[06/01/2010|19:49] C:\Program Files\Common Files\PX Storage Engine
[11/12/2009|15:44] C:\Program Files\Common Files\Real
[18/12/2006|23:19] C:\Program Files\Common Files\Roxio Shared
[02/11/2006|13:18] C:\Program Files\Common Files\Services
[08/12/2008|20:11] C:\Program Files\Common Files\Skype
[18/12/2006|23:20] C:\Program Files\Common Files\Sonic Shared
[02/11/2006|13:18] C:\Program Files\Common Files\SpeechEngines
[18/12/2006|23:23] C:\Program Files\Common Files\SureThing Shared
[15/09/2007|16:52] C:\Program Files\Common Files\Symantec Shared
[05/06/2009|19:42] C:\Program Files\Common Files\System
[22/03/2009|12:44] C:\Program Files\Common Files\Windows Live
[05/04/2008|08:49] C:\Program Files\Common Files\WindowsLiveInstaller
[11/12/2009|15:43] C:\Program Files\Common Files\xing shared

--------------------\\ Process

( 82 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE


--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-07 11:29:48
Windows 6.0.6002 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 8

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\Users\kelly\Desktop\DxO_Optics_Pro_6.1.1.7525_Elite_Edition\crack
C:\Users\kelly\Desktop\DxO_Optics_Pro_6.1.1.7525_Elite_Edition\crack\ActivationDll.dll
C:\Users\kelly\Desktop\DxO_Optics_Pro_6.1.1.7525_Elite_Edition\crack\DrmServices.dll
C:\Users\kelly\Downloads\DxO\crack
C:\Users\kelly\Downloads\DxO\crack\ActivationDll.dll
C:\Users\kelly\Downloads\DxO\crack\DrmServices.dll


[F:53][D:15]-> C:\Users\kelly\AppData\Local\Temp
[F:280][D:2]-> C:\Users\kelly\AppData\Roaming\MICROS~1\Windows\Cookies
[F:1965][D:8]-> C:\Users\kelly\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5
[F:11][D:3]-> C:\$Recycle.Bin

1 - "C:\Lop SD\LopR_1.txt" - 07/09/2010|11:32 - Option : [2]

--------------------\\ Fin du rapport a 11:32:11
[ UAC => 1 ]




DEFOGGER

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 11:38 on 07/09/2010 (kelly)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-








############################## | UsbFix 7.023 | [Recherche]

Utilisateur: kelly (Administrateur) # PC-DE-KELLY [Hewlett-Packard HP Pavilion dv6000 (GF690EA#ABF)]
Mis à jour le 02/09/10 par El Desaparecido / C_XX
Lancé à 11:54:51 | 07/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU T5300 @ 1.73GHz
CPU 2: Intel(R) Core(TM)2 CPU T5300 @ 1.73GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18943

Pare-feu Windows: Activé
Antivirus: avast! antivirus 4.8.1296 [VPS 081127-1] 4.8.1296 [Enabled | Updated]
RAM -> 3069 Mo
C:\ (%systemdrive%) -> Disque fixe # 144 Go (18 Go libre(s) - 12%) [] # NTFS
D:\ -> Disque fixe # 5 Go (1 Go libre(s) - 24%) [HP_RECOVERY] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 2 Go (2 Go libre(s) - 94%) [] # FAT
H:\ -> Disque amovible # 7 Go (1 Go libre(s) - 16%) [Aleck 8] # FAT32

################## | Éléments infectieux |

Présent! C:\Users\kelly\AppData\Local\Temp\a.dat
Présent! C:\Users\kelly\AppData\Local\Temp\Nfp.exe
Présent! C:\Users\kelly\AppData\Local\Temp\Nfq.exe
Présent! C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
Présent! C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Présent! H:\sys

################## | Registre |

Présent! HKCU\Software\OTGV1DNWQQ
Présent! HKCU\Software\XBV6RD5SZF
Présent! HKCU\Software\XML
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|XBV6RD5SZF

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{7d1b7fdf-0470-11dd-aea1-001b240c5fcd}
Shell\AutoRun\Command = F:\rthrw.com
Shell\explore\Command = F:\rthrw.com
Shell\open\Command = F:\rthrw.com

HKCU\.\.\.\.\Explorer\MountPoints2\{c8d00f6b-e574-11dc-983f-001b240c5fcd}
Shell\AutoRun\Command = F:\setupSNK.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{e540d5d5-fb31-11dc-ad6e-001b240c5fcd}
Shell\AutoRun\Command = F:\ntde1ect.com
Shell\explore\Command = F:\ntde1ect.com
Shell\open\Command = F:\ntde1ect.com


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |




Voila.

Hello,



très bien .... la suite dans l'ordre :



1- ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Clique droit / "executer en tant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu cliques sur le bouton [ Suppression ] .

-> Laisse travailler l'outil et ne touche à rien ...

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Important : une fois le rapport posté , redémarre le PC pour que l'outil puisse terminer le nettoyage .



=====================================

2- Refais un scan ZHPDiag 'en tant qu'admin...' .

* Coche bien toutes les options ( sauf les 045 et 061 )

* Au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Alors alors...

le rapport usb fix :

############################## | UsbFix 7.023 | [Suppression]

Utilisateur: kelly (Administrateur) # PC-DE-KELLY [Hewlett-Packard HP Pavilion dv6000 (GF690EA#ABF)]
Mis à jour le 02/09/10 par El Desaparecido / C_XX
Lancé à 14:20:54 | 08/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU T5300 @ 1.73GHz
CPU 2: Intel(R) Core(TM)2 CPU T5300 @ 1.73GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18943

Pare-feu Windows: Activé
Antivirus: avast! antivirus 4.8.1296 [VPS 081127-1] 4.8.1296 [Enabled | Updated]
RAM -> 3069 Mo
C:\ (%systemdrive%) -> Disque fixe # 144 Go (18 Go libre(s) - 12%) [] # NTFS
D:\ -> Disque fixe # 5 Go (1 Go libre(s) - 24%) [HP_RECOVERY] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 4 Go (421 Mo libre(s) - 11%) [NIKON D40X] # FAT32
H:\ -> Disque amovible # 7 Go (1 Go libre(s) - 16%) [Aleck 8] # FAT32

################## | Éléments infectieux |

Supprimé! C:\Users\kelly\AppData\Local\Temp\a.dat
Supprimé! C:\Users\kelly\AppData\Local\Temp\Nfp.exe
Supprimé! C:\Users\kelly\AppData\Local\Temp\Nfq.exe
Supprimé! C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
Supprimé! C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Non supprimé ! E:\Autorun.inf
Non supprimé ! E:\DATA\SYSTEM
Supprimé! H:\sys

################## | Registre |

Supprimé! HKCU\Software\OTGV1DNWQQ
Supprimé! HKCU\Software\XBV6RD5SZF
Supprimé! HKCU\Software\XML
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|XBV6RD5SZF

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7d1b7fdf-0470-11dd-aea1-001b240c5fcd}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c8d00f6b-e574-11dc-983f-001b240c5fcd}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e540d5d5-fb31-11dc-ad6e-001b240c5fcd}

################## | Listing |

[08/09/2010 - 14:27:36 | SHD ] C:\$RECYCLE.BIN
[02/04/2009 - 14:15:43 | D ] C:\12770c5e0c0b56e078e2bb
[06/09/2010 - 12:11:05 | A | 134396] C:\aaw7boot.log
[18/09/2006 - 23:43:36 | A | 24] C:\autoexec.bat
[05/06/2009 - 19:51:36 | SHD ] C:\boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[18/09/2006 - 23:43:37 | A | 10] C:\config.sys
[02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
[07/11/2007 - 09:00:40 | A | 17734] C:\eula.1028.txt
[07/11/2007 - 09:00:40 | A | 17734] C:\eula.1031.txt
[07/11/2007 - 09:00:40 | A | 10134] C:\eula.1033.txt
[07/11/2007 - 09:00:40 | A | 17734] C:\eula.1036.txt
[07/11/2007 - 09:00:40 | A | 17734] C:\eula.1040.txt
[07/11/2007 - 09:00:40 | A | 118] C:\eula.1041.txt
[07/11/2007 - 09:00:40 | A | 17734] C:\eula.1042.txt
[07/11/2007 - 09:00:40 | A | 17734] C:\eula.2052.txt
[07/11/2007 - 09:00:40 | A | 17734] C:\eula.3082.txt
[07/11/2007 - 09:00:40 | A | 1110] C:\globdata.ini
[07/09/2010 - 11:43:45 | ASH | 3219185664] C:\hiberfil.sys
[18/12/2006 - 23:58:38 | HD ] C:\HP
[07/11/2007 - 09:03:18 | A | 562688] C:\install.exe
[07/11/2007 - 09:00:40 | A | 843] C:\install.ini
[07/11/2007 - 09:03:18 | A | 76304] C:\install.res.1028.dll
[07/11/2007 - 09:03:18 | A | 96272] C:\install.res.1031.dll
[07/11/2007 - 09:03:18 | A | 91152] C:\install.res.1033.dll
[07/11/2007 - 09:03:18 | A | 97296] C:\install.res.1036.dll
[07/11/2007 - 09:03:18 | A | 95248] C:\install.res.1040.dll
[07/11/2007 - 09:03:18 | A | 81424] C:\install.res.1041.dll
[07/11/2007 - 09:03:18 | A | 79888] C:\install.res.1042.dll
[07/11/2007 - 09:03:18 | A | 75792] C:\install.res.2052.dll
[07/11/2007 - 09:03:18 | A | 96272] C:\install.res.3082.dll
[24/11/2007 - 13:20:46 | RASH | 0] C:\IO.SYS
[07/09/2010 - 11:32:11 | D ] C:\Lop SD
[07/09/2010 - 11:32:11 | A | 14473] C:\lopR.txt
[24/11/2007 - 13:20:46 | RASH | 0] C:\MSDOS.SYS
[04/11/2008 - 19:51:04 | RHD ] C:\MSOCache
[07/02/2010 - 13:56:01 | D ] C:\My Music
[07/09/2010 - 11:43:43 | ASH | 3532980224] C:\pagefile.sys
[28/11/2008 - 13:33:12 | D ] C:\PerfLogs
[07/09/2010 - 19:51:28 | RD ] C:\Program Files
[06/09/2010 - 17:42:48 | HD ] C:\ProgramData
[26/12/2007 - 19:59:07 | A | 91] C:\Setup.log
[18/10/2008 - 14:41:30 | D ] C:\SwSetup
[05/09/2010 - 19:17:44 | SHD ] C:\System Volume Information
[09/09/2007 - 11:15:21 | HD ] C:\System.sav
[25/06/2010 - 23:34:10 | D ] C:\Temp
[08/09/2010 - 14:27:36 | D ] C:\UsbFix
[08/09/2010 - 14:20:54 | A | 4425] C:\UsbFix.txt
[09/09/2007 - 11:04:09 | RD ] C:\Users
[07/11/2007 - 09:00:40 | A | 5686] C:\vcredist.bmp
[07/11/2007 - 09:09:22 | A | 1442522] C:\VC_RED.cab
[07/11/2007 - 09:12:28 | A | 232960] C:\VC_RED.MSI
[07/09/2010 - 09:39:55 | D ] C:\Windows
[08/09/2010 - 14:27:36 | SHD ] D:\$RECYCLE.BIN
[11/09/2005 - 17:18:54 | ASH | 340] D:\AUTOMODE
[09/09/2007 - 11:12:44 | SH | 13] D:\BLOCK.RIN
[19/12/2006 - 09:06:59 | SHD ] D:\boot
[04/10/2006 - 01:02:44 | SH | 438328] D:\bootmgr
[03/11/2006 - 21:43:28 | SH | 117] D:\Desktop.ini
[10/09/2002 - 18:14:28 | SH | 8134] D:\Folder.htt
[19/12/2006 - 09:06:58 | SHD ] D:\HP
[19/12/2006 - 09:06:41 | SH | 698] D:\MASTER.LOG
[19/12/2006 - 00:41:17 | SHD ] D:\preload
[03/11/2005 - 17:19:52 | SH | 181736] D:\protect.ed
[19/12/2006 - 00:41:17 | RD ] D:\RECOVERY
[19/12/2006 - 00:10:35 | SHD ] D:\SOURCES
[19/12/2006 - 09:06:58 | SHD ] D:\System Volume Information
[19/12/2006 - 00:41:18 | SHD ] D:\Tools
[19/12/2006 - 09:06:58 | SH | 0] D:\USER
[19/12/2006 - 09:06:58 | SHD ] D:\WINDOWS
[08/08/2008 - 21:06:08 | R | 48] E:\Autorun.inf
[17/09/2009 - 17:25:36 | R | 173424] E:\Installation.exe
[21/07/2008 - 16:31:34 | R | 98558] E:\Kit.ico
[21/10/2009 - 20:56:46 | D ] E:\data
[27/08/2009 - 16:59:40 | R | 1698] E:\eSLauncher.ini
[10/11/2009 - 15:54:12 | R | 71335] E:\v2.5.6.md5
[15/04/2008 - 16:06:38 | AH | 512] F:\NIKON001.DSC
[15/04/2008 - 16:06:38 | D ] F:\DCIM
[28/12/2009 - 14:27:06 | A | 108974992] F:\DxO_OpticsPro6_Setup.exe
[20/04/2009 - 08:45:52 | D ] H:\Images
[20/04/2009 - 08:45:52 | D ] H:\Sounds
[20/04/2009 - 08:45:52 | D ] H:\Others
[20/04/2009 - 08:45:52 | D ] H:\Videos
[20/04/2009 - 08:45:52 | HD ] H:\System
[20/04/2009 - 08:47:12 | HD ] H:\Private
[20/04/2010 - 15:47:44 | A | 9] H:\_UnqiueId.dat
[12/06/2010 - 22:07:52 | D ] H:\Documents
[08/11/2009 - 18:47:18 | A | 9161776] H:\DTLite4355-0068.exe
[09/12/2009 - 15:59:36 | D ] H:\Musique
[29/12/2009 - 22:38:32 | D ] H:\Vidz
[29/05/2009 - 21:47:12 | D ] H:\FlashContents
[29/05/2009 - 21:46:42 | D ] H:\Games & Applications
[07/05/2009 - 11:59:00 | D ] H:\navigon
[29/05/2009 - 21:47:10 | D ] H:\Pictures
[07/05/2009 - 10:02:22 | D ] H:\resource
[01/01/2048 - 00:00:00 | SH | 4828] H:\DevLogo.fil
[01/01/2048 - 00:00:00 | SH | 436814] H:\DevIcon.fil
[01/06/2010 - 22:44:58 | A | 1333760] H:\Projet1.1.doc
[01/06/2010 - 23:21:30 | A | 366058] H:\Projet1.1.pdf

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-KELLY.zip
http://chiquitine.changelog.fr/Sample/Upload.php
Merci de votre contribution.

################## | E.O.F |




Je reboot et et je poste la suite...

Voila, le scan est effectué et posté, par contre les deux mêmes fenêtres qu'au premier scan se sont ouvertes (comme la première fois à 66% du scan) pour me demander d'accepter ou de refuser je ne sais pas quoi... du coup, comme la première fois je ferme simplement ces fenêtre...

http://www.cijoint.fr/cjlink.php?file=cj201009/cij3eikq...


J'attends la suite ;-)

(et merci² pour l'aide...)

hello,





> au prochaine scan , accepte ...  


La suite dans l'ordre :


1- Rends sur cette page :
> http://chiquitine.changelog.fr/Sample/Upload.php

* clique sur "parcourir" et va jusqu'au fichier C:\UsbFix_Upload_Me_PC-DE-KELLY.zip .

* En dessous de "Sélectionnez l'outil que vous venez d'utiliser", choisis UsbFix .

* puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

* Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_PC-DE-KELLY.zip


merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ...  



================================

2- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )





> Puis Lance ZHPFix 'en tant qu'admin...' depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton .


-> laisse travailler l'outil et ne touche à rien ...


Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


Pense à réactiver tes défenses une fois la procédure terminée !...


( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


=================================

3- Télécharge et installe la dernière version de CCleaner :
ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...

Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://www.commentcamarche.net/faq/27688-tutoriel-cclea...


---> Utilisation :
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


====================================

4- Télécharge Malwarebytes :
ici http://www.commentcamarche.net/telecharger/telecharger-...
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

* Potasse ce tuto pour te familiariser avec le prg :
http://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance 'Malwarebytes' .

Fais un examen dit " RAPIDE " .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


=================================

5- Refais un scan ZHPDiag 'en tant qu'admin...' .

* Coche bien toutes les options ( sauf les 045 et 061 )

* Au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Ok, bien tout suivi à la lettre !!

Voici le rapport de ZHPFix :

Rapport de ZHPFix v1.12.3145 par Nicolas Coolman, Update du 06/09/2010
Fichier d'export Registre :
Run by kelly at 09/09/2010 14:14:36
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Windows\Nwepia.exe [193024] => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
HKCU\Software\OTGV1DNWQQ => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Conduit => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O3 - Toolbar: (no name) - {66886C4D-B307-4ECA-A228-52CA9B9851A4} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur supprimée avec succès

========== Préférences navigateur ==========
/*user_pref("CT2542115.SearchEngine", "Recherche||http://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...");*/ => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\windows\tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Processus mémoire
2 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Fichier(s)
1 : Préférences navigateur


End of the scan





Celui de malware :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4581

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

09/09/2010 14:42:23
mbam-log-2010-09-09 (14-42-23).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 137703
Temps écoulé: 6 minute(s), 58 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)




Et celui de ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijuRDET...


(petite curiosité, pourquoi envoyer certains rapports par cijoint et d'autre avec un simple copier/coller ??)

hello,





Cijoint , c'est pour les rapports à ralonge ... Ci c'est trop long , le copier/coller directe sur le forum tronquera le rapport ... tout simplement ...  


Dis moi comment va le PC maintenant ... du mieux ?



Puis fait ceci :


Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

• Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe pour lancer l'installation .

Une fois l'outil installé, ce dernier s'ouvre directement ( et un raccourci se crée sur le bureau ).

• Au menu principal, clique sur le bouton [Scanner] .

• le scan démarre , laisse travailler l'outil et ne touche à rien ...


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

J'ai l'impression que ça va mieux, mais une fenêtre s'est tout de même ouverte seule il y a peu...

Voici le rapport :

======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 06/09/10 à 15:20
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 18:14:34 le 09/09/2010, Mode normal

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)
kelly@PC-DE-KELLY (Hewlett-Packard HP Pavilion dv6000 (GF690EA#ABF))

============== RECHERCHE ==============



-- Fichier ouvert: C:\Users\kelly\AppData\Roaming\Mozilla\FireFox\Profiles\qk3jg0hk.default\Prefs.js --
Ligne trouvée: user_pref("CT2542115.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT254...
-- Fichier Fermé --


0,Clé trouvée: HKLM\Software\Classes\Toolbar.CT2542115


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.11 (fr)] **

-- C:\Users\kelly\AppData\Roaming\Mozilla\FireFox\Profiles\qk3jg0hk.default\Prefs.js --
browser.download.dir, C:\\Users\\kelly\\Downloads
browser.download.lastDir, C:\\Users\\kelly\\Downloads
browser.search.defaultenginename, Google
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.1.11
keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA2&q=

========================================

** Internet Explorer Version [8.0.6001.18943] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 09/09/2010 (2685 Octet(s))

Fin à: 18:18:54, 09/09/2010

============== E.O.F ==============

re,





si tu peux être plus précis ...



puis fait ce qui suit :



1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !


• Lance Ad-Remover 'en tant qu'admin ...' depuis le raccourci du bureau.

• Au menu principal clique cette fois sur le bouton [Nettoyer] .

• Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


=============================

2- Télécharge bootkit_remover :
> http://www.esagelab.com/files/bootkit_remover.rar

Extrait le contenu de l'archive sur ton bureau .

! Désactive ton antivirus et ferme toutes applications en cours !

Lance l'outil "en tant qu'admin..." .

Une fenêtre noir type DOS va apparaitre > copie/colle tout le contenu de cette dernière dans ta prochaine réponse pour analyse ...


note :
pour copier/coller cette fenêtre, cliquer droit sur la fenêtre DOS / choisir "sélectionné tout"



Un fois le rapport sélectionné, il faut taper de suite sur [entrée] et le rapport est directement "copier" ....

Il suffit ensuite de le "coller" sur le forum ...

Ok !!

Heu la fenêtre c'était une pub, mais je ne sais pas de quoi... je l'ai fermé direct...

Voila donc le rapport du clean de ad-remover :


======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 06/09/10 à 15:20
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 15:48:14 le 10/09/2010, Mode normal

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)
kelly@PC-DE-KELLY (Hewlett-Packard HP Pavilion dv6000 (GF690EA#ABF))

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\kelly\AppData\Roaming\Mozilla\FireFox\Profiles\qk3jg0hk.default\Prefs.js --
Ligne supprimée: user_pref("CT2542115.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT254...
-- Fichier Fermé --


0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.12 (fr)] **

-- C:\Users\kelly\AppData\Roaming\Mozilla\FireFox\Profiles\qk3jg0hk.default\Prefs.js --
browser.download.dir, C:\\Users\\kelly\\Downloads
browser.download.lastDir, C:\\Users\\kelly\\Downloads
browser.search.defaultenginename, Google
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.1.12
keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA2&q=

========================================

** Internet Explorer Version [8.0.6001.18943] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 10/09/2010 (2678 Octet(s))
C:\Ad-Report-SCAN[1].txt - 09/09/2010 (2814 Octet(s))

Fin à: 15:52:43, 10/09/2010

============== E.O.F ==============



Et voici le rapport de bootkit remover :

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 2 (build 6
002), 32-bit

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: df1c10548966c4f16c540ebf80ffd180

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...





Voila voila, mais ça fait un bon moment qu'il est allumé et pas de fenêtres de pub qui se sont ouvertes toutes seules... donc ça va clairement mieux, voir il est peut-être guéri ??

bien ....



pour foire ce qu'il reste à faire , relance un scan ZHPDiag "en tant qu'admin...".

* Coche bien toutes les options ( sauf les 045 et 061 )

* Au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Voila : http://www.cijoint.fr/cjlink.php?file=cj201009/cijxx8j9...

oki,



fait ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix ( "entant qu'admin..." ) depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

> Là tu décoches la case devant ZHPDiag !


> Enfin clique en bas sur .


Laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ...

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage, fait le !



B- Clique sur le bouton en haut à droite " Vider la quarantaine "

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...


=====================

2- Refais un coup de CCleaner ( registre compris ) .


=====================

3- Télécharge et installe le logiciel HijackThis :

ici http://www.trendsecure.com/portal/en-US/_download/HJTIn...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...

> Clique droit / "executer entant qu'admin..." sur le setup pour lancer l'installe :
* laisse toi guider et ne modifie pas les paramètres d'installation .
* A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .

Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
C:\program files\Trend Micro\HijackThis\HijackThis.exe .

( ne fais pas de scan pour le moment )

=====================

4- Important :
Purge de la restauration système
-->Désactive ta restauration :
Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C ) , valide, applique et OK
Redémarre ton PC ...

-->Réactive ta restauration :
Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK
Redémarre ton PC ...

( tuto : http://www.commentcamarche.net/faq/sujet-13214-desactiv... )

=====================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec " Panda " :

> http://www.pandasecurity.com/homeusers/solutions/active...
( clique sur "scan your PC now" )

tuto :
http://www.malekal.com/scan_Av_en_ligne.php#mozTocId237...


poste moi le rapport obtenu pour analyse ...

Youhou !!!

Le active scan en ligne est hyper long, mais il a trouvé deux trucs.

Mais donc dans l'ordre :

ZHPFix :

Rapport de ZHPFix v1.12.3145 par Nicolas Coolman, Update du 06/09/2010
Fichier d'export Registre :
Run by kelly at 11/09/2010 10:20:56
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
Contact : nicolascoolman@yahoo.fr

========== Dossier(s) ==========
C:\Program Files\Ad-remover => Supprimé et mis en quarantaine
C:\UsbFix => Supprimé et mis en quarantaine
C:\Lop SD => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\users\kelly\desktop\usbfix.exe => Supprimé et mis en quarantaine
c:\usbfix.txt => Supprimé et mis en quarantaine
c:\lopr.txt => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O63 - Logiciel: Ad-Remover By C_XX => Logiciel déjà supprimé
O63 - Logiciel: HijackThis 2.0.2 => Logiciel déjà supprimé
O63 - Logiciel: Usbfix By C_XX & El Desaparecido => Logiciel déjà supprimé
O63 - Logiciel: Lop SD - (AngelDark & Eric71) => Logiciel supprimé avec succès


========== Récapitulatif ==========
3 : Dossier(s)
3 : Fichier(s)
4 : Logiciel(s)


End of the scan




Ensuite, CCleaner ok, et Hikackthis ok sur le bureau et je n'ai rien fait avec.

Purge des points de restaurations suivi point par point.

Et enfin le rapport de active scan :

Exporter vers :
Menaces avec désinfection gratuite (0)
Menaces (2)
Niveau de risque faible (2)
Application/De... Application de surveillance
Latent(e)
Masquer +Infos
Non désinfectable
1. c:\program files\mp3 player utilities 4.03\deldrv.exe
2. c:\users\kelly\desktop\zicplay\nanokey\driver...[_6227252443c841bf9ffdff29a9856421]
Cookie/Atlas D... Cookie de surveillance
Latent(e)
Masquer +Infos
1. c:\users\kelly\appdata\roaming\microsoft\windows\cookies\kelly@atdmt[2].txt

Et sinon :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijWSSiE...


(peut-être plus lisible que le copier/coller que je viens de tenter...)

(et sinon re fenêtre : spartoo.com ; betclic et un truc de poker en ligne....)

hello,



on va contrôler les deux fichiers dénichés par Panda .



Rends toi sur ce site :

http://www.virustotal.com/

Clique sur "parcourir" et va jusqu'au fichier suivant :

c:\program files\mp3 player utilities 4.03\deldrv.exe

Clique sur Send File ( = " Envoyer le fichier " ).

-> Un rapport va s'élaborer ligne à ligne.

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ...

Petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


Fais de même pour :

c:\users\kelly\desktop\zicplay\nanokey\driver\mp3set4_03\msi.cab[_6227252443c841bf9ffdff29a9856421]


Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

deldrv.exe :

http://www.virustotal.com/file-scan/report.html?id=d4bb...


0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
DelDrv.exe
Submission date:
2010-09-11 12:25:51 (UTC)
Current status:
queued (#4) queued (#4) analysing finished
Result:
14/ 43 (32.6%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.09.11.00 2010.09.11 Win-Trojan/Deleter.24576
AntiVir 8.2.4.50 2010.09.10 -
Antiy-AVL 2.0.3.7 2010.09.11 RiskTool/Win32.Deleter.gen
Authentium 5.2.0.5 2010.09.10 -
Avast 4.8.1351.0 2010.09.11 -
Avast5 5.0.594.0 2010.09.11 -
AVG 9.0.0.851 2010.09.11 -
BitDefender 7.2 2010.09.11 -
CAT-QuickHeal 11.00 2010.09.10 -
ClamAV 0.96.2.0-git 2010.09.11 -
Comodo 6041 2010.09.11 ApplicUnsaf.Win32.Deleter.~ABB
DrWeb 5.0.2.03300 2010.09.11 -
Emsisoft 5.0.0.37 2010.09.11 -
eSafe 7.0.17.0 2010.09.07 -
eTrust-Vet 36.1.7848 2010.09.10 -
F-Prot 4.6.1.107 2010.09.11 -
F-Secure 9.0.15370.0 2010.09.11 -
Fortinet 4.1.143.0 2010.09.10 HackerTool/Deleter
GData 21 2010.09.11 -
Ikarus T3.1.1.88.0 2010.09.11 -
Jiangmin 13.0.900 2010.09.11 -
K7AntiVirus 9.63.2494 2010.09.10 -
Kaspersky 7.0.0.125 2010.09.11 not-a-virus:RiskTool.Win32.Deleter.e
McAfee 5.400.0.1158 2010.09.11 Generic PUP.x
McAfee-GW-Edition 2010.1B 2010.09.11 Generic PUP.x
Microsoft 1.6103 2010.09.11 -
NOD32 5442 2010.09.11 -
Norman 6.06.06 2010.09.11 Suspicious_Gen2.ABUCM
nProtect 2010-09-11.01 2010.09.11 Trojan/W32.Agent.24576.AOT
Panda 10.0.2.7 2010.09.11 Application/Deleter
PCTools 7.0.3.5 2010.09.11 Trojan.RiskTool.generic!ct
Prevx 3.0 2010.09.11 Medium Risk Malware
Rising 22.64.04.03 2010.09.10 -
Sophos 4.57.0 2010.09.11 -
Sunbelt 6863 2010.09.11 RiskTool.Win32.Deleter.GeN
SUPERAntiSpyware 4.40.0.1006 2010.09.11 -
Symantec 20101.1.1.7 2010.09.11 -
TheHacker 6.7.0.0.014 2010.09.11 -
TrendMicro 9.120.0.1004 2010.09.11 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.11 -
VBA32 3.12.14.0 2010.09.08 -
ViRobot 2010.9.8.4031 2010.09.11 Not_a_virus:RiskTool.Deleter.24576.B
VirusBuster 12.64.27.1 2010.09.10 -
Additional information
Show all
MD5 : 54a1db00fcb6dcc637d79466d53ade23
SHA1 : 1c57a69e1e31caae1b42524427fc75be3c8bf644
SHA256: d4bb178fb05c833afe7784874fc9d531851d2ce7398c551a05a52212576adb40
ssdeep: 384:Ame/yLFx1E/9avxxe1Oa87/LPKPaRWBwP:9e/yLHPv8OaAh
File size : 24576 bytes
First seen: 2007-10-01 17:01:45
Last seen : 2010-09-11 12:25:51
TrID:
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
sigcheck:
publisher....:
copyright....: ____ (C) 2004
product......: DelDrv ____
description..: DelDrv Microsoft _______
original name: DelDrv.EXE
internal name: DelDrv
file version.: 1, 0, 0, 1
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: Armadillo v1.71
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x2560
timedatestamp....: 0x43FD159F (Thu Feb 23 01:53:35 2006)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x1962, 0x2000, 5.05, 6838a2990f30f9f774938fc50364ecc2
.rdata, 0x3000, 0xD22, 0x1000, 4.34, 702f70cccb16eb10fc97498e62c0f2f8
.data, 0x4000, 0x360, 0x1000, 1.16, 0d80de6eae4f5dbd752bd632ca029d7b
.rsrc, 0x5000, 0xAD0, 0x1000, 2.53, c6a7e4f5b65c6d61fdfdf7ff976583a7

[[ 6 import(s) ]]
SHLWAPI.dll: PathFileExistsA
msi.dll: -, -
MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
MSVCRT.dll: _except_handler3, __set_app_type, _controlfp, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, sprintf, _mbscmp, __p__fmode, __CxxFrameHandler, _setmbcp
KERNEL32.dll: GetPrivateProfileStringA, GetModuleHandleA, RemoveDirectoryA, GetStartupInfoA, DeleteFileA, GetExitCodeProcess, WaitForSingleObject, CreateProcessA, FreeLibrary, LoadLibraryA, GetProcAddress, GetModuleFileNameA, GetWindowsDirectoryA, GetVersionExA, CloseHandle, GetLastError
USER32.dll: DrawIcon, SendMessageA, GetClientRect, GetSystemMetrics, IsIconic, EnableWindow
Prevx Info:
http://info.prevx.com/aboutprogramtext.asp?PX5=04016ECB...
ThreatExpert:
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=54a1db00fcb...

msi.cab :

http://www.virustotal.com/file-scan/report.html?id=7d87...


0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
MSI.CAB
Submission date:
2010-09-11 12:33:52 (UTC)
Current status:
queued (#2) queued (#2) analysing finished
Result:
12/ 42 (28.6%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.09.11.00 2010.09.11 Win-Trojan/Deleter.24576
AntiVir 8.2.4.50 2010.09.10 -
Antiy-AVL 2.0.3.7 2010.09.11 RiskTool/Win32.Deleter.gen
Authentium 5.2.0.5 2010.09.10 -
Avast 4.8.1351.0 2010.09.11 -
Avast5 5.0.594.0 2010.09.11 -
AVG 9.0.0.851 2010.09.11 -
BitDefender 7.2 2010.09.11 -
CAT-QuickHeal 11.00 2010.09.10 Whale.9216
ClamAV 0.96.2.0-git 2010.09.11 -
Comodo 6041 2010.09.11 ApplicUnsaf.Win32.Deleter.~ABB
DrWeb 5.0.2.03300 2010.09.11 -
Emsisoft 5.0.0.37 2010.09.11 -
eSafe 7.0.17.0 2010.09.07 Win32.Jiospy.g
eTrust-Vet 36.1.7848 2010.09.10 -
F-Prot 4.6.1.107 2010.09.11 -
F-Secure 9.0.15370.0 2010.09.11 -
Fortinet 4.1.143.0 2010.09.10 HackerTool/Deleter
GData 21 2010.09.11 -
Ikarus T3.1.1.88.0 2010.09.11 -
Jiangmin 13.0.900 2010.09.11 -
K7AntiVirus 9.63.2494 2010.09.10 -
Kaspersky 7.0.0.125 2010.09.11 not-a-virus:RiskTool.Win32.Deleter.e
McAfee 5.400.0.1158 2010.09.11 Generic PUP.x
McAfee-GW-Edition 2010.1B 2010.09.11 Generic PUP.x
Microsoft 1.6103 2010.09.11 -
NOD32 5442 2010.09.11 -
Norman 6.06.06 2010.09.11 Suspicious_Gen2.ABUCM
nProtect 2010-09-11.01 2010.09.11 -
Panda 10.0.2.7 2010.09.11 Application/Deleter
PCTools 7.0.3.5 2010.09.11 Trojan.RiskTool.generic!ct
Prevx 3.0 2010.09.11 -
Rising 22.64.04.03 2010.09.10 -
Sophos 4.57.0 2010.09.11 -
Sunbelt 6863 2010.09.11 -
SUPERAntiSpyware 4.40.0.1006 2010.09.11 -
TheHacker 6.7.0.0.014 2010.09.11 -
TrendMicro 9.120.0.1004 2010.09.11 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.11 -
VBA32 3.12.14.0 2010.09.08 -
ViRobot 2010.9.8.4031 2010.09.11 -
VirusBuster 12.64.27.1 2010.09.10 -
Additional information
Show all
MD5 : 6d606721ee5aea7638dfdac4a7aa84a7
SHA1 : c9e64593835b181ec5b200c184a7d2c4c90d2e02
SHA256: 7d87f0001d3d36730b76647cbfa459c1d451204aac0bc3d3a54ce9e1b0077b41

bien ...



on fait sauté ....


1- Télécharge OTM (de Old_Timer) sur ton bureau :

http://oldtimer.geekstogo.com/OTM.exe


Clique droit / "executer en tant qu'admin..." sur "OTM.exe" pour ouvrir le prg .

Puis copie ce qui se trouve en citation ci-dessous,






et colle le dans le cadre de gauche de OTM (Paste Instructions for items to be moved ).
Ne touche à rien d'autre !

! Déconnecte toi et ferme toutes tes applications en cours ( navigateurs compris ) !

-> clique sur MoveIt! pour lancer le nettoyage .

-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

--> Poste le contenu du rapport qui se trouve dans le dossier " C:\_OTM\MovedFiles "
( c'est " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

C'est chose faite :

All processes killed
========== FILES ==========
c:\program files\mp3 player utilities 4.03\DelDrv.exe moved successfully.
c:\users\kelly\desktop\zicplay\nanokey\driver\mp3set4_03\MSI.CAB moved successfully.
File/Folder c:\users\kelly\desktop\zicplay\nanokey\driver\mp3set4_03\msi.cab[_6227252443c841bf9ffdff29a9856421] not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 53063 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: kelly
->Temp folder emptied: 90046 bytes
->Temporary Internet Files folder emptied: 5281440 bytes
->Java cache emptied: 65697531 bytes
->FireFox cache emptied: 56413779 bytes
->Flash cache emptied: 32085 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 37024 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 6230858 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 25500625 bytes
RecycleBin emptied: 550 bytes

Total Files Cleaned = 152,00 mb


OTM by OldTimer - Version 3.1.15.0 log created on 09112010_165203

Files moved on Reboot...
C:\Users\kelly\AppData\Local\Temp\ehmsas.txt moved successfully.
File C:\Windows\temp\_avast5_\Webshlock.txt not found!

Registry entries deleted on Reboot...

oki,


on finalise .... dans l'ordre :



1- Désinstalle proprement depuis le panneau de config (affichage classique) / "prg et fonctionnalité" tes anciennes versions de la console Java qui te sont inutiles .

à désinstaller donc :
Java(TM) 6 Update 16
Java(TM) 6 Update 3
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6

garde uniquement la dernière version ( 6 Update 21 )


==============================

2- Mets à jour ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

Version Adobe Reader à jour > v 9.3.4
Version FireFox à jour > V 3.6.8


* Adobe Reader :
-> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> télécharge et installe la dernière version ici :
http://www.infos-du-net.com/telecharger/Reader-Adobe,03...



* FireFox :
Soit le mettre à jour depuis le navigateur / onglet "?" / "rechercher des mises à jour" .
Soit tu télécharges et installes la dernière version directement ici > http://www.mozilla-europe.org/fr/


===============================

3- Une fois tout cec fait, relance un scan ZHPDiag "en tant qu'admin..." .

* Coche bien toutes les options ( sauf les 045 et 061 )

* Au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Ok.

Voici le ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijZkEVR...


Par contre petit imprévu, que je préfère préciser :

Après les maj de firefox et de adobe reader, la boite de mise à jour de itunes et quicktime s'est ouverte. J'ai voulu suivre ton conseil et je me suis dis qu'après tout il valait mieux tout mettre à jour.

La maj de itunes semble s'être déroulée correctement, mais ça a planté sur celle de quick time : message d'erreur disant que la maj n'a pas pu se faire et qu'il faudra ré-essayer plus tard...

J'espère que je n'ai pas fait de connerie...

(edit : bon en fait après vérification de chaque logiciel, les mises a jours semblent bonnes...)

re,




bah effectivement , ilfaudra essayer plus tard ...  



donc la suite dans l'ordre :


1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )





> Puis Lance ZHPFix "en tant qu'admin..." depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton .


-> laisse travailler l'outil et ne touche à rien ...


Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


Pense à réactiver tes défenses une fois la procédure terminée !...


( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


===============================

2- Redémarre l'ordi .
( important pour que certaines modifs faites avec l'outil soient prises en compte )


Puis teste ton PC ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....

> Poste aussi un dernier rapport ZHPDiag de contrôle ...

ok rapport ZHPFix :

Rapport de ZHPFix v1.12.3145 par Nicolas Coolman, Update du 06/09/2010
Fichier d'export Registre :
Run by kelly at 11/09/2010 22:52:47
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé supprimée avec succès
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl) .(.Pas de propriétaire - Pas de description.) - LEGACY_EECTRL => Clé supprimée avec succès
O64 - Services: CurCS - C:\Windows\system32\DRIVERS\Lbd.sys (.not file.) - Lbd (Lbd) .(.Pas de propriétaire - Pas de description.) - LEGACY_LBD => Clé supprimée avec succès
HKLM\Software\Symantec => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-389535053-255017094-2350298194-1000\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe => Valeur absente

========== Dossier(s) ==========
C:\Program Files\Lavasoft => Supprimé et mis en quarantaine
C:\Program Files\Common Files\Symantec Shared => Supprimé et mis en quarantaine
C:\ProgramData\Lavasoft => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\windows\tasks\ad-aware update (weekly).job => Supprimé et mis en quarantaine


========== Récapitulatif ==========
5 : Clé(s) du Registre
5 : Valeur(s) du Registre
3 : Dossier(s)
1 : Fichier(s)


End of the scan

Re-rapport de ZHPFix (j'ai refait la même manip une deuxième fois, la première j'avais zappé de fermer avast...) :

Rapport de ZHPFix v1.12.3145 par Nicolas Coolman, Update du 06/09/2010
Fichier d'export Registre :
Run by kelly at 11/09/2010 23:01:55
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé absente
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé absente
O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl) .(.Pas de propriétaire - Pas de description.) - LEGACY_EECTRL => Clé absente
O64 - Services: CurCS - C:\Windows\system32\DRIVERS\Lbd.sys (.not file.) - Lbd (Lbd) .(.Pas de propriétaire - Pas de description.) - LEGACY_LBD => Clé absente
HKLM\Software\Symantec => Clé absente

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur absente
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe => Valeur absente
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe => Valeur absente
O4 - HKCU\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe => Valeur absente
O4 - HKUS\S-1-5-21-389535053-255017094-2350298194-1000\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe => Valeur absente

========== Dossier(s) ==========
C:\Program Files\Lavasoft => Dossier absent
C:\Program Files\Common Files\Symantec Shared => Dossier absent
C:\ProgramData\Lavasoft => Dossier absent

========== Fichier(s) ==========
c:\windows\tasks\ad-aware update (weekly).job => Supprimé et mis en quarantaine


========== Récapitulatif ==========
5 : Clé(s) du Registre
5 : Valeur(s) du Registre
3 : Dossier(s)
1 : Fichier(s)


End of the scan


Ordi redémarré.


Et ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijrk5jX...



La navigation est ok.

Pas eu de fenêtres s'ouvrant toutes seules depuis un bon moment.

Vu,


suite et FIN dans l'ordre :


1- Télécharge ToolsCleaner (de A.Rothstein) sur ton bureau .
http://pc-system.fr/TC/ToolsCleaner2.exe

! Déconnecte toi et ferme bien toutes tes applications en cours !

Clique droit sur le prg et choisis "exécuter en tant qu' Administrateur" pour le lancer.

Clique sur Recherche et laisse le scan se terminer (cela peut être long).

Clique sur Suppression pour finaliser.

Clique sur quitter pour générer un rapport (et pas sur la croix rouge !).

--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .


( garde CCleaner et Malwarebytes : très utiles ! )

=====================

2- Refais un coup de CCleaner ( registre compris ) .

=====================

3- Fait ce check up pour finir :

A- Re-purge la restauration système :
---> Désactive ta restauration :
Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C ) , valide, applique et OK
Redémarres ton PC ...

---> Réactive ta restauration :
Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK
Redémarre ton PC ...

( tuto : http://www.commentcamarche.net/faq/sujet-13214-desactiv... )


Attention : ne pas toucher au PC pendant qu'il travaille !


B- Nettoyage et Défragmentation des Disques :
* Nettoyage
Clique droit sur "ordinateur" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général"
Clique sur le bouton "nettoyage de disque", OK
tu le fais pour chacun de tes disques durs ...

* Vérifications des erreurs
Clique droit sur "ordinateur" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" .
clique sur "Vérifier maintenant", une boîte s'ouvre, cocher les cases :
-"réparer automatiquement les erreurs..."
-"rechercher et tenter une récupération..."
Démarrer, ok
s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal .
Tu le fais pour chacun de tes disques ...

Ensuite toujours dans le même onglet tu choisis :
* Défragmentation
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK
tu le fais pour chacun de tes disques ...

Note : si tu as un utilitaire pour défragmenter , utilise le à la place ...
( attention, cela peut durer assez longtemps - plus d'une dix heure dans certains cas )


C- Créer un point de restauration de ton PC :

Aller dans le Menu Démarrer puis dans Programmes,
- Ensuite dans Accessoires et enfin dans Outils système,
- Choisir "Restauration du système",
- pour créer un point de restauration cliques sur : "ouvrer protection système" .
--> dans cette nouvelle fenêtre Cliquer en bas à gauche sur " créer " .
- Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple :
<< Point restauration sain >> .

--> Cliquer sur "Créer" et le point de restauration se créé automatiquement.



---> une fois terminé, dis moi ce que cela a donné et comment va le PC ...

Ok ok !!

En tous cas l'ordi tourne nikel!

Rapport Tcleaner :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\_OTM: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\Users\kelly\Desktop\LopSD.exe: trouvé !
C:\Users\kelly\Desktop\ZHPdiag.exe: trouvé !
C:\Users\kelly\Desktop\OTM.exe: trouvé !
C:\Users\kelly\Desktop\HijackThis.exe: trouvé !
C:\Users\kelly\Desktop\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\Users\kelly\Desktop\LopSD.exe: supprimé !
C:\Users\kelly\Desktop\ZHPdiag.exe: supprimé !
C:\Users\kelly\Desktop\OTM.exe: supprimé !
C:\Users\kelly\Desktop\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Users\kelly\Desktop\hijackthis.log: supprimé !
C:\_OTM: supprimé !
C:\Program Files\ZHPDiag: ERREUR DE SUPPRESSION !!



Je lance la suite.

vu,


dis moi une fois le check up terminé ...  

Le check up est terminé !! (désolé j'ai pris un peu de temps pour ces opérations qui sont bien longues).

hello,


supprime ce dossier si il est encore présent : C:\Program Files\ZHPDiag


Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre du topic :

Clique, dans ton premier message, sur le bouton Editer ( en bas à droite du message initial ) .

Ajoute la mention [Résolu] devant le titre.

Clique ensuite sur Valider votre message.


========================
========================
========================


Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.h...

=> Surveillance :
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).

=> Il faut absolument tenir à jour régulièrement Windows :

Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://windowsupdate.microsoft.com/

Effectue toutes les mise à jour critiques proposées .
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi :

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.h... )

Donc pour se faire, rends toi sur http://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici http://www.filehippo.com/download_java_runtime/
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

Autre astuce : http://www.commentcamarche.net/faq/sujet-15645-javara-i...

=============================================================

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. http://secunia.com/software_inspector/
- Tuto http://www.malekal.com/scan_vulnerabilite.php
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

-> autre très bon soft similaire dans cette astuce :
http://www.commentcamarche.net/faq/sujet-9908-update-ch...

===========================================================

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.ph...

* tests firewall: http://www.matousec.com/projects/firewall-challenge/res...

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto http://www.zebulon.fr/articles/zebprotect.php

================================================================

Pour une meilleur sécurité lorsque tu surfes :

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> http://www.commentcamarche.net/telecharger/telecharger-...

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
http://www.malekal.com/securiser_Firefox.php
http://forum.zebulon.fr/index.php?showtopic=69628

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox http://www.mywot.com/fr/download/ff - IE http://www.mywot.com/fr/download/ie
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> http://www.commentcamarche.net/faq/sujet-15620-wot-web-...

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web.
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée :
http://www.geekstogo.com/forum/redirect.php?url=http%3A...
https://addons.mozilla.org/fr/firefox/addon/722

=================================================================
=> Rappel sur les principales causes d'infection :

A lire > http://www.malekal.com/fichiers/projetantimalwares/Proj...
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks :
http://forum.malekal.com/danger-des-cracks-t893.html

-> Le crack dans toute sa splendeur, journal d'une infection attendue :
http://forum.zebulon.fr/index.php?showtopic=93281

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> http://www.futura-sciences.com/fr/news/t/informatique/d...


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

Les conséquences du P2P : http://forum.zebulon.fr/index.php?showtopic=85544

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/phpBB2/les-risques-securitaire...
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1...
> http://www.lexpansion.com/economie/actuali...ise_134122...


*IE > Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment :
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité :

MSN prévention :
http://forum.zebulon.fr/index.php?showtopic=130590
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-aler...


Infection par supports amovibles (clefs usb, flash, DD externes ..) :
http://forum.zebulon.fr/index.php?showtopic=131959
http://forum.malekal.com/viewtopic.php?f=45&t=5544

* Rappel sur l'utilisation d'une version piratée de Windows :
http://www.commentcamarche.net/faq/sujet-2981-j-utilise...

=================================================================

Bon à savoir :

* La "Console de récupération" ( XP ):
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable.
tutoriels ici :
http://www.pcastuces.com/pratique/windows/xp/console_re... .
http://www.informatruc.com/console.php

Equivalent Vista : http://www.forum-vista.net/tutoriaux_vista/reparer_vist...

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...).

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! )
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Utiliser un "compte limité" > http://b.marlow.free.fr/compte_limite.html

* Idées reçus en sécurité informatique ( très instructif ) >
http://www.libellules.ch/idees_recues_securite.php

=================================================================


Voilà ...


bonne continuation à toi ....  


A+

 


Bon mais la seule chose que je puisse dire, c'est merci merci merci merci² (etc !)

Le PC tourne nickel.

Je vais prendre le temps d'aller jeter un oeuil sur les différents liens histoire d'éviter d'autres merdes...

Pour info, j'ai remis un coup de Defogger pour ré-activer mon disque virtuel et j'ai aussi ré-activer le "contrôle des comptes utilisateurs".

Voila, j'espère que j'ai bien fait ???

J'attends ta réponse avant de d'éditer et de mettre "résolu".

Mais vraiment merci.

Tu et vous assurez un max ici...

yop,





> oui , bien fait tu as ...  



de rein pour l'aide ....


Bon week et A+