[Résolu] PC infecté par un troyen

[fran63]

Bonjour à Tous

 

Je suis un petit nouveau sur le forum et en fait je voulais savoir si quelqu'un avait la bonté et la gentillesse de m'aider car je me suis aperçu que j'avais un troyen sur ma machine lors d'un scan antivir : Ce cheval de troie s'appelle TR/Crypt.ZPACK.Gen2.

Antivir m'a demandé de le supprimer, ce que j'ai fait mais après redémarrage du pc et rescan, ce dernier y était encore.

Je suis à l'écoute et à la dispo de celui ou celle qui veut bien m'aider.

Je dispose d'un Intel Pentium Dual CPU E2180 2 Ghz avec 2GO de Ram avec système d'exploitation Windows XP Pro SP3. Je mets un log Hijackthis en direct

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:10:53, on 15/04/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: ::1 localhost

O1 - Hosts: 74.208.10.249 gs.apple.com

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\styler\TB\StylerTB.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\RunOnce: [NSSInstallation] C:\WINDOWS\system32\Adobe\Shockwave 11\nssstub.exe /RunOnce

O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-18\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

 

--

End of file - 8621 bytes

 

Merci de votre aide

Modifié le 17 avril 2011 par fran63

[bernard53]

Bonsoir et bienvenue

 

fait ceci dans cet ordre s.t.p

 

* Télécharge sur le bureau RogueKiller (par tigzy)

* Lance le puis valide choix 2.

 

* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse

 

Ensuite:

 

Téléchargez MyHosts sur votre bureau .

 

Pour le lancer, faites un double-clic sur l'icône de MyHosts qui se trouve sur votre bureau.

 

Le rapport " MyHosts.txt " s'ouvre quelques secondes après, copiez son contenu et postez-le sur le forum où vous vous faites aider.

 

Si par erreur vous avez fermé le rapport " MyHosts.txt " avant de le copier, vous pouvez le retrouver à la racine de votre disque système ( par exemple C:\MyHosts.txt ) .

 

 

IMPORTANT :

MyHosts doit être lancé sur une session ayant des droits "administrateur", toute exécution sur un compte "limité" entraînera l'apparition d'une fenêtre DOS vous demandant de le relancer à partir d'un compte administrateur.

 

Puis::

 

Installe Malewarebytes' Antimalware,

 

Malwarebytes

 

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

 

et enfin ceci pour contrôle.

 

 

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

 

 

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

 

 

 

A la fin de l'installation ZHPDiag va se lancer....

 

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.

Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

 

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

 

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

Modifié le 15 avril 2011 par bernard53

[fran63]

Bonjour Bernard53

 

Tout d'abord merci de ton aide.

 

J'avais tout d'abord fait un scan avec antivir et un scan en ligne avec Trend Micro et ceux ci m'avait apparemment supprimé le troyen en question TR/Crypt.ZPACK.Gen2.

 

En premier le rapport Roguekiller

RogueKiller V4.3.9 [16/04/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/17)

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: franck [Droits d'admin]

Mode: Suppression -- Date : 16/04/2011 15:04:56

 

Processus malicieux: 0

 

Entrees de registre: 0

 

Fichier HOSTS:

::1 localhost

127.0.0.1 rad.msn.com

127.0.0.1 rad.live.com

127.0.0.1 ads1.msn.com

127.0.0.1 adfarm.mediaplex.com

74.208.10.249 gs.apple.com

 

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

Secondo pour MyHosts je le lance en compte admin mais la fenetre dos s'ouvre en me stipulant que je ne suis pas admin. Je ne comprends pas car je suis sur le compte admin...........Impossible de faire clic droit et éxécuter en tant qu'administrateur

Tertio j'ai lancé un scan complet malwarebytes'antimalware (02heures 33 de scan) et 4 éléments infectés trouvés, voici le rapport

 

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6368

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13

 

16/04/2011 17:58:52

mbam-log-2011-04-16 (17-58-52).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 264850

Temps écoulé: 2 heure(s), 33 minute(s), 47 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 4

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\documents and settings\franck.3d17d9d552f9419\mes documents\logiciels\removewga.exe (PUP.RemoveWGA) -> Quarantined and deleted successfully.

c:\documents and settings\franck.3d17d9d552f9419\mes documents\downloads\autocad 2008 fra\Crack\autocad-2008-keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

c:\documents and settings\franck.3d17d9d552f9419\mes documents\downloads\autocad 2008 fra\Crack\kiss_cad08.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

c:\system volume information\_restore{573cc616-d320-4611-a203-f2548e888db9}\RP2\A0001456.rbf (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

 

quatrièmement voici le lien du rapport de ZHPDiag

 

Cliquez ici.

 

J'espère que ça ira et que tu pourras m'aider malgré que je n'ai pas encore remarqué les effets de ce troyen et merci encore

[bernard53]

OK fait ceci maintenant et après dis moi comment va ton pc s.t.p

 

 

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified

M2 - MFEP: prefs.js [franck - 1n9m4vwq.default\{9669CC8F-B388-42FE-86F4-CB5E7F5A8BDC}] [] MR Tech Toolkit v6.0.4 (.Mel Reyes (mrtech@gmail.com).)

O1 - Hosts: 74.208.10.249 gs.apple.com

O23 - Service: (CiSvc) - Clé orpheline

O23 - Service: (ClipSrv) - Clé orpheline

O23 - Service: (UPS) - Clé orpheline

O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]

FirewallRaz

EmptyFlash

Emptytemp

Hostfix

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

[fran63]

Resalut,

 

J'ai fait comme tu m'as dit et voici le rapport

 

Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011

Fichier d'export Registre : C:\ZHPExportRegistry-17-04-2011-00-17-22.txt

Run by franck at 17/04/2011 00:17:22

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Clé(s) du Registre ==========

O23 - Service: (CiSvc) - Clé orpheline => Clé non supprimée

O23 - Service: (ClipSrv) - Clé orpheline => Clé supprimée avec succès

O23 - Service: (UPS) - Clé orpheline => Clé non supprimée

O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe => Clé supprimée avec succès

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} => Clé supprimée avec succès

 

========== Valeur(s) du Registre ==========

FirewallRaz (SP) : C:\Documents and Settings\franck.3D17D9D552F9419\Local Settings\Temp\stInstall.exe => Valeur supprimée avec succès

FirewallRaz (SP) : C:\Program Files\Thomson\ST330\service\st330service.exe => Valeur supprimée avec succès

FirewallRaz (SP) : C:\Program Files\Samsung\Samsung New PC Studio\npsasvr.exe => Valeur supprimée avec succès

FirewallRaz (SP) : C:\Program Files\Samsung\Samsung New PC Studio\npsvsvr.exe => Valeur supprimée avec succès

FirewallRaz : Aucune valeur présente dans la clé d'exception du registre

 

========== Elément(s) de donnée du Registre ==========

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

 

========== Préférences navigateur ==========

C:\Documents and Settings\franck\Application Data\Mozilla\Firefox\Profiles\1n9m4vwq.default\prefs.js => Fichier absent

 

========== Dossier(s) ==========

Dossiers temporaires Windows supprimés: 36

 

========== Fichier(s) ==========

Fichiers temporaires Windows supprimés : 147

 

========== Fichier HOSTS ==========

Le fichier Hosts est sain

Le fichier Hosts est sain

 

 

========== Récapitulatif ==========

5 : Clé(s) du Registre

5 : Valeur(s) du Registre

1 : Elément(s) de donnée du Registre

1 : Dossier(s)

1 : Fichier(s)

1 : Préférences navigateur

2 : Fichier HOSTS

 

 

End of the scan

 

 

Est ce que c'est bon maintenant ? Et le pc ne m'a pas demande de redémarrer......

Merci en tout cas de ton aide.

[bernard53]

OK c'est mieux cette fois.

 

Comment cela va de ton coté?

[fran63]

OK c'est mieux cette fois.

 

Comment cela va de ton coté?

 

Ecoute ça a l'air d'aller, j'avais des redirections assez fréquentes quand j'étais sur le net, maintenant je n'en ai plus.....

En fait la dernière manip que tu m'as demandé de faire avec ZHPFix, c'est quoi exactement ? J'étais infecté ou pas ? Quelle était la gravité de l'infection si il y en avait une ?

Quoiqu'il en soit j'apprécie ton aide. C'est vraiment génial ce forum

[bernard53]

content que cette fois tout aille.

 

En fait il restait quelques traces que le dernier rapport a éliminer.

 

 

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

 

Télécharge << DelFix >> de Xplode pour supprimer les logiciels qui ont servis a cette désinfection.

 

 

* Lance-le.

 

* A l'invite, [suppression] ()

 

* Un rapport va s'ouvrir à la fin, colle le dans la réponse

 

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]

 

 

Puis::

 

 

Maintenant on va mettre la restauration du système propre.

 

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés

ou touche "Windows+Pause"

Cliquez sur l'onglet Restauration du système

 

Sélectionnez Désactiver la Restauration du système sur tous les lecteurs.

 

Cliquez sur Appliquer puis OUI dans la fenêtre suivante.

 

Attendre quelques instants puis :

 

activer la restauration du système de nouveau. en décochant la case que vous venez de cocher puis valider par Appliquer et OK

 

Maintenant on crée un nouveau point de restauration.

 

Démarrer—Exécuter—ou touche "Windows+R" et tapes:

%SystemRoot%\System32\restore\rstrui.exe

 

Puis coche " Créer un point de restauration" que tu nommes PC- Clean. Valide.

 

Vous pouvez maintenant fermer toutes les fenêtres.

 

 

Et ceci pour mettre ton post en résolu.

 

http://forum.zebulon.fr/comment-afficher-son-sujet-comme-resolu-t180253.html

 

Bon dimanche.

 

PS: je ne vais pas dire que tu avais une grosse infection mais cela n’empêche que c'est désagréable et ennuyeux.

Modifié le 17 avril 2011 par bernard53

[fran63]

Bonsoir et merci de ton aide encore une fois

 

Voici le rapport Delfix

 

# DelFix v7.7B - Rapport créé le 17/04/2011 à 21:00

# Mis à jour le 15/04/11 à 19h30 par Xplode

# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3

# Nom d'utilisateur : franck - PC1 (Administrateur)

# Exécuté depuis : C:\Documents and Settings\franck.3D17D9D552F9419\Bureau\DelFix.exe

# Option [suppression]

 

 

~~~~~~ Dossier(s) ~~~~~~

 

Supprimé : C:\Program Files\ZHPDiag

Supprimé : C:\Program Files\trend micro\Hijackthis

Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Hijackthis

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\ZHPExportRegistry-17-04-2011-00-17-22.txt

Supprimé : C:\PhysicalDisk0_MBR.bin

Supprimé : C:\Documents and Settings\franck.3D17D9D552F9419\Bureau\ZHPDiag.txt

Supprimé : C:\Documents and Settings\franck.3D17D9D552F9419\Bureau\ZHPDiag2.exe

Supprimé : C:\Documents and Settings\franck.3D17D9D552F9419\Bureau\ZHPDiag2.zip

Supprimé : C:\Documents and Settings\franck.3D17D9D552F9419\Bureau\RogueKiller.exe

Supprimé : C:\Documents and Settings\franck.3D17D9D552F9419\Bureau\RKreport[1].txt

Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk

Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk

Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

Supprimé : C:\Documents and Settings\franck.3D17D9D552F9419\Mes documents\Téléchargements\bfu.zip

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\HijackThis

Clé Supprimée : HKLM\Software\Classes\.cfxxe

Clé Supprimée : HKLM\Software\Classes\cfxxefile

Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

ACL [0] -> [7] & Clé Supprimée : HKLM\SOFTWARE\Swearware

 

~~~~~~ Autre ~~~~~~

 

 

########## EOF - "C:\DelFixSuppr.txt" - [2218 octets] ##########

 

Bonne fin de week-end