Help me, Pc infecté !

[rimas555]

Bonjour,

 

Mon Pc est infecté, pourriez-vous m'aider pour le désinfecter?

 

Il rame un peu, il chauffe beaucoup et il s’éteint tout seul souvent ...

 

voilà le lien vers mon rapport de ZHPDiag

 

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Merci d'avance pour votre aide

 

Rimas

[tomtom95]

Bonjour rimas555 et bienvenue sur ZEB

 

Quelques conseils avant de commencer

Important : Pense en haut de ce message à cliquer sur le bouton "Suivre ce sujet"

en choisissant "Notification immédiate"

 

S.T.P: n'utilise pas d'autre outils ou ne désinstalle pas des programmes

seulement ceux qui te sont notifier pour éviter tout problème .

 

Enregistre :toujours les outils sur ton bureau et désactive tes protections lors de utilisation des outils

Aprés Pense à réactiver tes protections à chaque fois

 

Bien lire les indications:

et si tu rencontre des problèmes n'hésiter pas à me le signaler avant d'effectuer une manip.

 

 

 

• Déconnecte toi d'Internet Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus,anti-spyware)
  
• Double-clique sur ZHPFix
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur
  
  Un raccourci installé par ZHPDiag sur le Bureau
   
  Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier" ou "Ctrl+C"
  ces lignes ci dessous :

  O42 - Logiciel: Java 6 Update 17 (64-bit) - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F86416017FF}
  O42 - Logiciel: Java 6 Update 18 - (.Sun Microsystems, Inc..) [HKLM][64Bits] -- {26A24AE4-039D-4CA4-87B4-2F83216018F0}
  O43 - CFD: 23/11/2010 - 23:55:10 - [0] RSH-D- C:\Users\Samir\AppData\Roaming\install
  O43 - CFD: 11/11/2010 - 09:10:22 - [265] ----D- C:\Users\Samir\AppData\Roaming\ZinioAlertMessenger.9310D8F796442B71068C511E15D70529A702D19D.1
  O43 - CFD: 11/11/2010 - 09:06:24 - [44367280] ----D- C:\Users\Samir\AppData\Roaming\ZinioReader4.9310D8F796442B71068C511E15D70529A702D19D.1
  O52 - TDSD: \Drivers32\"vidc.i420"="lvcod64.dll" . (.Logitech Inc. - Video Codec.) -- (.not file.)
  O53 - SMSR:HKLM\...\startupreg\WeatherClock [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files (x86)\Weather Clock\WeatherClock.exe O87 - FAEL: "{D29C5729-C392-45EA-B8C1-744C1C5647AB}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe (.not file.)
  O87 - FAEL: "{C526D9C7-70D1-41DB-BF2D-37829B98A320}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe (.not file.)
  :files
  C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe (.not file.)
   
  [emptyflash]
  [emptytemp]
   
  

• Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la "malette cachée par la feuille" .
   
  
• Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
  
• Et seulement ces lignes
  
• Puis clique sur le bouton [OK]
  
• A ce moment apparaîtra au début de chaque ligne
  une petite case vide.
  
• Ensuite clique sur Tous puis sur Nettoyer
  
• Valide par Oui la désinstallation des programmes si demandé
  
• Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
   
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

 

Télécharge ICI la dernier version MalwareByte's sur ton Bureau.

• Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
  Une fois l'installation et la mise à jour effectuées :
  
• Branche tes supports externes sur le pc (Clé USB,Disque Dur,etc..)
  Sans les ouvrirs
  
• Exécute maintenant MalwareByte's Anti-Malware.Clique droit sur l'icône et "Exécuter en tant qu'administrateur"
  sélectionne "Exécuter un examen complet".
  
• Coche toutes les cases des lecteurs
  
• Afin de lancer la recherche clique sur"Rechercher".
  
• Coche toutes les cases de tes lecteurs
  
• Une fois le scan terminé une fenêtre s'ouvre clique sur OK.
  
• Si des infections sont présentes
  clique sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
  
• poste le rapport dans ta prochaine réponse.

 

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression accepte en cliquant sur Ok.

 

Je te conseil de supprimer eMule PeerToPeer source d'infection

Pour le problème du pc qui chauufe ,fait un peu de ménage pour la poussiére.

Voir le tuto ici Merci Labougie

 

A+

[rimas555]

Merci pour ta réponse rapide et efficace ça fait plaisir !

 

voilà le rapport demandé :

 

 

Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011

Fichier d'export Registre :

Run by Samir at 27/04/2011 18:43:26

Windows 7 Home Premium Edition, 64-bit (Build 7600)

Web site : ZHPFix Fix de rapport

Contact : nicolascoolman@yahoo.fr

 

========== Clé(s) du Registre ==========

O42 - Logiciel: Java 6 Update 17 (64-bit) - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F86416017FF} => Clé non supprimée

O53 - SMSR:HKLM\...\startupreg\WeatherClock [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files (x86)\Weather Clock\WeatherClock.exe O87 - FAEL: "{D29C5729-C392-45EA-B8C1-744C1C5647AB}" |In - Public - P6 - TRUE | .(...) -- C:\Program => Clé absente

 

========== Valeur(s) du Registre ==========

O52 - TDSD: \Drivers32\"vidc.i420"="lvcod64.dll" . (.Logitech Inc. - Video Codec.) -- (.not file.) => Valeur supprimée avec succès

{C526D9C7-70D1-41DB-BF2D-37829B98A320} => Valeur supprimée avec succès

 

========== Dossier(s) ==========

C:\Users\Samir\AppData\Roaming\install => Fichier supprimé au reboot

C:\Users\Samir\AppData\Roaming\ZinioAlertMessenger.9310D8F796442B71068C511E15D70529A702D19D.1 => Supprimé et mis en quarantaine

C:\Users\Samir\AppData\Roaming\ZinioReader4.9310D8F796442B71068C511E15D70529A702D19D.1 => Supprimé et mis en quarantaine

 

========== Fichier(s) ==========

c:\program files (x86)\weather clock\weatherclock.exe => Supprimé et mis en quarantaine

 

========== Logiciel(s) ==========

O42 - Logiciel: Java 6 Update 18 - (.Sun Microsystems, Inc..) [HKLM][64Bits] -- {26A24AE4-039D-4CA4-87B4-2F83216018F0} => Logiciel déjà supprimé

 

========== Autre ==========

:files => Format Non supporté

[emptyflash] => Format Non supporté

[emptytemp] => Format Non supporté

 

 

========== Récapitulatif ==========

2 : Clé(s) du Registre

2 : Valeur(s) du Registre

3 : Dossier(s)

1 : Fichier(s)

1 : Logiciel(s)

3 : Autre

 

 

End of the scan

 

 

je vais désinstaller emule ... pour Malwarebytes, je l'avais déjà, je vais le mettre à jour et lancer le scan, mais ça risque de prendre plusieurs heures, j'ai deux disques durs externes, dont un qui fait 1TO et l'autre 500 GO !

 

Est-ce que pour l'instant, vu le premier rapport que je viens de poster, ça avance bien ?

 

Merci

[tomtom95]

Oui bon boulot

 

Le rapport MBAM que tu as déja fait ,tu peux le posté stp?

[rimas555]

oui, voilà, c'est partiel, car j'ai arrêté l'analyse quand tu m'as demandé de fermer toutes les applications ouvertes

 

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6435

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

27/04/2011 18:28:26

mbam-log-2011-04-27 (18-28-26).txt

 

Type d'examen: Examen complet (C:\|)

Elément(s) analysé(s): 201887

Temps écoulé: 2 heure(s), 9 minute(s), 38 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[tomtom95]

C'est tout bon

Tu as regarder pour la poussiére ? et le bruit ?

Lorsque le pc s'éteind tout seul ,a tu un message d'erreur?

 

Je voudrais que tu analyse sur VirusTotal

Lecteur >> C: ce fichier >>PhysicalMBR.bin

Avant tu dois Affichage les dossiers et fichiers cachés :

Ouvre un dossier

n'importe lequel :

Dans la barre d'outils

Menu "Outils "

Cliquez sur "Options des dossiers... "

Puis cliquez sur l'onglet "Affichage"

Cochez la case "Afficher les fichiers et dossiers cachés"

Décochez la case "Masquer les extensions des fichiers dont le type est connu"

Cliquez sur le bouton "Appliquer à tous les dossiers" puis cliquez sur "OK

Important lorsque tu aura fini n'oublie pas d'effectuer l'opération inverse pour cachés les dossiers

 

 

voici la marche à suivre pour envoyer ton fichier .

Rend toi sur ce site =>VirusTotal.http://www.virustotal.com/fr/

Dans la fenêtre clique sur Parcourir.

Recherche ce fichier sur ton pc en suivant son chemin

Une fois que tu la trouver clique sur Envoyer le fichier.

(si on t'annonce qu'il a déja été analyser,clique pour qu'il soit denouveau analyser)

Lorsque l'analyse est terminée Sélectionne tout le texte du résultat et Copie/Colle le dans ta prochaine réponse.

 

 

Passe aussi cette outil

 

Télécharge RogueKiller (par tigzy). sur le bureau

• IMPORTANT:Quitte tous tes programmes en cours Sous Vista/Seven et désactive ton antivirus
  Clique droit -> lancer en tant qu'administrateur
  
• Lance RogueKiller.exe.
  Lorsque demandé tape 1 pour lancer le scanne et valide
  
• Un rapport (RKreport.txt) a du se créer à côté de l'exécutable
  colle son contenu dans ta réponse sur le forum.
  
• Si le programme a été bloqué
  ne pas hésiter a essayer à l'exécuter de nouveau .
   
  NOTE: taper 2 pour mode suppression
  NOTE: S'il y a un proxy de trouvé
  taper 1 pour la suppression
   
  Un rapport (RKreport.txt) a du se créer à côté de l'exécutable
  colle son contenu dans la réponse en fin de procédure.
  
• Si le programme demande pour supprimer le proxy
  tape 2

 

A+

Modifié le 27 avril 2011 par tomtom95

[rimas555]

Voilà, j'ai analysé le fichier, voilà le résultat :

 

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.

File name: PhysicalMBR.bin

Submission date: 2011-04-27 18:01:26 (UTC)

Current status: finished

Result: 0/ 42 (0.0%)

VT Community

 

not reviewed

Safety score: -

Compact

Print results

Antivirus Version Last Update Result

AhnLab-V3 2011.04.28.00 2011.04.27 -

AntiVir 7.11.7.7 2011.04.25 -

Antiy-AVL 2.0.3.7 2011.04.27 -

Avast 4.8.1351.0 2011.04.27 -

Avast5 5.0.677.0 2011.04.27 -

AVG 10.0.0.1190 2011.04.27 -

BitDefender 7.2 2011.04.27 -

CAT-QuickHeal 11.00 2011.04.27 -

ClamAV 0.97.0.0 2011.04.27 -

Commtouch 5.3.2.6 2011.04.27 -

Comodo 8498 2011.04.27 -

DrWeb 5.0.2.03300 2011.04.27 -

Emsisoft 5.1.0.5 2011.04.27 -

eSafe 7.0.17.0 2011.04.26 -

eTrust-Vet 36.1.8294 2011.04.27 -

F-Prot 4.6.2.117 2011.04.27 -

F-Secure 9.0.16440.0 2011.04.27 -

Fortinet 4.2.257.0 2011.04.27 -

GData 22 2011.04.27 -

Ikarus T3.1.1.103.0 2011.04.27 -

Jiangmin 13.0.900 2011.04.27 -

K7AntiVirus 9.98.4497 2011.04.27 -

Kaspersky 9.0.0.837 2011.04.27 -

McAfee 5.400.0.1158 2011.04.27 -

McAfee-GW-Edition 2010.1D 2011.04.27 -

Microsoft 1.6802 2011.04.27 -

NOD32 6076 2011.04.27 -

Norman 6.07.07 2011.04.27 -

Panda 10.0.3.5 2011.04.27 -

PCTools 7.0.3.5 2011.04.27 -

Prevx 3.0 2011.04.27 -

Rising 23.55.02.06 2011.04.27 -

Sophos 4.64.0 2011.04.27 -

SUPERAntiSpyware 4.40.0.1006 2011.04.27 -

Symantec 20101.3.2.89 2011.04.27 -

TheHacker 6.7.0.1.184 2011.04.27 -

TrendMicro 9.200.0.1012 2011.04.27 -

TrendMicro-HouseCall 9.200.0.1012 2011.04.27 -

VBA32 3.12.16.0 2011.04.27 -

VIPRE 9136 2011.04.27 -

ViRobot 2011.4.27.4433 2011.04.27 -

VirusBuster 13.6.324.0 2011.04.27 -

Additional informationShow all

MD5 : 0047cc573cc440abdca26a79dcd5d932

SHA1 : 331b7016d543b0c168d467194207822e72e12212

SHA256: 961922354668b256b0c5a1588e62f3ddd29711d980bc42d4cd5411ae4d503dc0

VT Community

This file has never been reviewed by any VT Community member. Be the first one to comment on it!

VirusTotal Team

[rimas555]

et voilà le 2ème rapport :

 

 

RogueKiller V4.3.11 [25/04/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/19)

 

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version

Demarrage : Mode normal

Utilisateur: Samir [Droits d'admin]

Mode: Recherche -- Date : 27/04/2011 20:08:44

 

Processus malicieux: 0

 

Entrees de registre: 0

 

Fichier HOSTS:

 

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

[rimas555]

Pour le bruit et la chaleur, là, depuis que j'ai effectué les opérations que tu m'as demandé, il chauffe un peu moins, mais le ventilo tourne toujours à fond ...

 

pour les poussières, je ne sais pas si je peux ( je sais ? ) l'ouvrir, c'est un portable, il est encore sous garantie, et j'ai peur si je l'ouvre, de perdre la garantie après ?

 

Sinon, quand le PC s'éteint tout seul, il n'y avait aucun message d'erreur, tout d'un coup l'écran devient et le PC s'arrêt net, on n'entend plus rien tourner, et c'était lié à la chaleur, car quand il faisait ça, il était tout brullant et le ventilo tournait à fond !

 

Merci !

[tomtom95]

Il faut vérifier que les grilles des ventilations du portable ne soient pas obstruées.

Eviter de travailler avec sur un lit, ce qui va l’empêcher de bien s’aéré.

 

A moins que tu aies un problème matériel, tous les ventilateurs fonctionnent ?

 

On va vérifier quand même avec un autre outil d'analyse.

 

Télécharge OTL

• Désactive temporairement ton antivirus
  
• Double-clique sur OTL.exe pour le lancer.
  
  Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur"
  Dans le menu contextuel.
  
• L'interface principale s'ouvre :
   
  
   
  
• Dans la section Rapport en haut à droite de la fenêtre
  coche Rapport standard
  
• tous les utilisateurs
  
• Coche également les cases Recherche LOP et Recherche Purity
  
• Processus
  Services
  Drivers
  Registre:Standard
  Modules
  Pilotes doivent être sur [Avec liste blanche] par défaut.
  Registre : approfondi est sur Aucun.
   
  
• Laisse tous les autres paramètres par défaut
  
• Clique sur le bouton Analyse
  patiente pendant le balayage du système.
  
• Après le balayage
  2) rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)
   
  !!Ne les poste pas sur le forum,ils seraient trop long!!
   
  Pour me les transmettre tu dois te rendre sur ce site http://www.cijoint.fr/
  
• Tu cliques sur parcourir et tu sélectionnes le premier rapport sur ton bureau
  
• Tu coches "Rendre public le fichier"
  
• Ensuite tu cliques sur "Cliquez ici pour déposer le fichier"
  
• il va te donner un lien tu copies/colles dans ton message. idem pour le 2nd rapport.

 

A+