[Résolu] PC infecté : rapport ZHPDiag

[GOTCHA]

Salut à tous,

 

D'habitude j'arrive toujours à me débrouiller pour ce genre de problème, mais là je coince

 

J'ai reçu un pc portable hier car il est infecté par un/des virus. L'antivirus "Microsoft Security Essentials" que j'avais installé auparavant reste désactivé, lorsque je surf sur le net via Internet Explorer, j'ai des redirections sur divers sites.

 

J'ai installé et mis à jour "Malwarebyte Anti-Malware Free", lancé une analyse complete en mode sans echec, ca ma bien supprimé quelques virus mais je suis toujours embêté. Si je relance une analyse complete, il ne detecte plus rien. En lançant une analyse en mode normal, le logiciel ce ferme et je dois le réinstaller pour pouvoir le réutiliser. TCPView aussi plante.

 

Voici un rapport ZHPDiag :

 

Download ZHPDiag gotcha.txt

 

J'ai déja supprimé les lignes détecté comme Malware sur ZHPFix mais apparement ça ne suffit pas.

 

 

EDIT : Est-ce que c'est possible que ZHPHelper renomme le dossier "Demarrage" du menu demarré en "Startup" sur Windows 7 ? Car c'est le cas sur mon PC (Windows 7 non infecté) et le pc infecté (Vista).

J'ai inséré une clé usb sur le pc infecté pour transférer le rapport ZHPDiag sur mon pc juste.

Modifié le 26 octobre 2011 par GOTCHA

[bernard53]

Bonsoir

 

 

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

O87 - FAEL: "TCP Query User{C8A142EF-81E4-418B-9680-10CEEF844A13}C:\program files\widestream6\spointer\widestream6_air.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\widestream6\spointer\widestream6_air.exe (.not file.)

O87 - FAEL: "UDP Query User{B04D1A2A-015E-4CDB-84F9-6184C1C280AC}C:\program files\widestream6\spointer\widestream6_air.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\widestream6\spointer\widestream6_air.exe (.not file.)

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

Ensuite tu as trop de chose au démarrage du pc.

 

Tu peux contrôler le démarrage de tous ces processus avec un logiciel comme Starter de Code Stuff.

Télécharge et installe Code Stuff Starter :

 

http://telechargement.zebulon.fr/starter.html

 

Après le lancement >> configuration >> Options >> Langage >> French >> OK

 

Ensuite vas dans l’onglet démarrage et décoches les lignes voulues.

 

Ne t'inquiète pas si a l'usage tu veux réactiver l'une d'elles, il suffit de la. recocher

 

Elles sont lancées inutilement au démarrage du système et cela ne comporte aucun danger.

 

 

Lignes à décocher qui sont en relation.

 

O4 - HKLM\..\Run: [ArcadeDeluxeAgent] . (.CyberLink Corp. - Acer Arcade Deluxe Resident Program.) -- C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe

O4 - HKLM\..\Run: [CLMLServer] . (.CyberLink - CyberLink MediaLibray Service.) -- C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe

O4 - HKLM\..\Run: [startCCC] . (.Advanced Micro Devices, Inc. - Catalyst® Control Center Launcher.) -- C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKLM\..\Run: [RtHDVCpl] . (.Realtek Semiconductor - HD Audio Control Panel.) -- C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

O4 - HKLM\..\Run: [skytel] . (.Realtek Semiconductor Corp. - Realtek Voice Manager.) -- C:\Program Files\Realtek\Audio\HDA\Skytel.exe

O4 - HKLM\..\Run: [PLFSetI] . (.Pas de propriétaire - DefaultSettingEXE MFC Application.) -- C:\Windows\PLFSetI.exe

O4 - HKLM\..\Run: [Apoint] . (.Alps Electric Co., Ltd. - Alps Pointing-device Driver.) -- C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [LManager] . (.Dritek System Inc. - Launch Manager Keyboard Application.) -- C:\Program Files\Launch Manager\LManager.exe

O4 - HKLM\..\Run: [backupManagerTray] . (.NewTech Infosystems, Inc. - Acer Backup Manager.) -- C:\Program Files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe

O4 - HKLM\..\Run: [Acer ePower Management] . (.Acer Incorporated - ePowerTrayLauncher.) -- C:\Program Files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe

O4 - HKLM\..\Run: [PlayMovie] . (.Acer Corp. - Acer Arcade Deluxe PlayMovie Resident Progr.) -- C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe

O4 - HKLM\..\Run: [CloneCDTray] . (.SlySoft, Inc. - CloneCD Tray.) -- C:\Program Files\CloneCD\CloneCDTray.exe

O4 - HKLM\..\Run: [Microsoft Default Manager] . (.Microsoft Corporation - Microsoft Default Manager.) -- C:\Program Files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

O4 - HKCU\..\Run: [ProductReg] . (.Acer - ProductR Application.) -- C:\Program Files\Acer\WR_PopUp\ProductReg.exe

O4 - HKCU\..\Run: [incrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] . (.Adobe Systems, Inc. - Adobe® Flash® Player Installer/Uninstaller.) -- C:\Windows\system32\Macromed\Flash\FlashUtil10t_ActiveX.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] . (.Microsoft Corporation - Volet Windows.) -- C:\Program Files\Windows Sidebar\Sidebar.exe

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll

O4 - HKUS\S-1-5-21-747764070-1494722992-1414565434-1000\..\Run: [ProductReg] . (.Acer - ProductR Application.) -- C:\Program Files\Acer\WR_PopUp\ProductReg.exe

O4 - HKUS\S-1-5-21-747764070-1494722992-1414565434-1000\..\Run: [incrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe

O4 - HKUS\S-1-5-21-747764070-1494722992-1414565434-1000\..\RunOnce: [FlashPlayerUpdate] . (.Adobe Systems, Inc. - Adobe® Flash® Player Installer/Uninstaller.) -- C:\Windows\system32\Macromed\Flash\FlashUtil10t_ActiveX.exe

 

Ensuite::

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

Les Téléchargements - Outils de Xplode - AdwCleaner

 

Lance le, clique sur [Recherche] puis patiente le temps du scan.

Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

Modifié le 26 octobre 2011 par bernard53

[GOTCHA]

Erf merci beaucoup pour ton aide Bernard53 mais je viens de lancer une restauration usine avant de voir ta réponse car je rends le pc demain.

 

J'avais fait une petite recherches sur "Widestream6" et apparement ce n'est pas un virus. J'avais aussi essayé de demarrer le pc avec tous les processus cité plus haut mais le résultat été le même.

 

Je ne connaissais pas AdwCleaner, je le garde car il pourra surement me servir à l'avenir

 

J'ai aussi l'habitude d'utiliser HiJackThis mais les outils ZHP me plaise bien.

 

Merci encore.

[bernard53]

Pas de soucis

 

Bonne journée