Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Virus ou pas ? [2]


carooo.a

Messages recommandés

Bonjour, cela fait quelques minutes que je cherche à commencer un sujet sans faire de boulettes :) mais je ne trouve pas alors je me permets de répondre à un sujet qui se rapproche de mon problème.

je crois bien que j'aurais besoin des lumières de certains concernant un problème qui ralenti tellement mon ordinateur depuis quelques jours et je crois bien que c'est un virus ou Trojan...

j'explique rapidement et vous me redirigerez si je me suis plantée de forum :)

Toutes les 15 mn j'ai une fenêtre d'erreur qui apparait avec ce titre: Wuauclt.exe - Erreur d'application

et ce contenu:

L'instruction à "0x6f8db00c" emploie l'adresse mémoire "0x6f8db00c". Les données nécessaires n'ont pas(...)

 

Si je clique Ok ou annuler alors je ne peux plus toucher à mon ordi pendant 15mn car trop lent...

j'ai également remarqué que Windows live Messenger et Windows live messenger mail ne fonctionnaient plus ainsi que les mises a jour Windows sur Internet Explorer même si je n'utilise plus que firefox.

J'ai lu pas mal de chose sur les forums et ai déjà fait pas mal de scan avec AVG, Spybot. ai même téléchargé de nouveau anti-virus mais rien n'y fait je m'y perd et préfère recommencer tout à 0 avec un pro de chez vous :)

 

Merci de m'indiquer la marche à suivre.

Caro,

 

------ EDIT ----------

Message désimbriqué du sujet d'origine : http://forum.zebulon.fr/virus-ou-pas-t188348.html&st=10

Modifié par Tonton
Création nouveau sujet
Lien vers le commentaire
Partager sur d’autres sites

Bonjour carooo.a,

 


Très Important!:

 

exclam.gif>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

- TeaTimer de Spybot-S&D peut interférer avec nos utilitaires et causer certains problèmes. Le désactiver dès maintenant s'il est installé sur la machine à traiter: Lancer Spybot-S&D => "Mode Avancé". Outils (à gauche) => "Résident" et Décocher "Résident TeaTimer (...)" => OK.

exclam.gif>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

exclam.gif>>> Que faire à la réception de nouvelles instructions:

  • Lire la totalité du message.
  • Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau (ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller").
  • Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  • NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.

exclam.gif>>> Comment répondre:

- Cliquer sur le bouton zeb_bouton.png (et non sur zeb-bouton2.png car je n'ai pas besoin de relire mes messages précédents).

- Héberger les rapports sur cjoint.comicne2cjoint.png. Cliquer sur Parcourir, chercher le fichier et cliquer dessus puis cliquer sur Créer le lien CJoint.

Dans la page suivante --> , une adresse (http//...) sera créée. La copier /coller dans la prochaine réponse.

exclam.gif>>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.

exclam.gif>>> Tout sujet sans suite pendant 8 jours sera abandonné et sa notification désactivée!


 

>>> ZHPDiag/ Analyse: Télécharger, sur le Bureau ZHPDiag (par Nicolas Coolman) depuis ici.

Pour installer le programme, double-cliquer sur "ZHPDiag.exe" pour lancer l'installation du programme (Vista/ W7, cliquer-droit dessus => "Exécuter en tant qu'administrateur"). Suivre les instructions jusqu'à la fin.

Fermer toutes les applications et fenêtres ouvertes et lancer le programme via l'icône "ZHPDiag" ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPDiag". Cliquer sur Lancer le diagnostic (loupe) et patienter jusqu'à la fin (en cas de blocage sur O80, cliquer sur le tournevis pour le décocher).

Un rapport "ZHPDiag.txt" sera généré et sauvegardé automatiquement sur le Bureau. L'héberger et poster son URL.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour lance_yien,

Merci beaucoup de t'occuper de moi. Je viens de "suivre ce sujet" en notification Immédiate. Je vais faire tout ce que tu m'as dit ce soir pour moi (car je suis au Canada)et te tenir au courant asap. j'ai déjà fait appel à vous dans le passé et ça a bien marché donc je n,abandonnerai pas le sujet sans qu'il soit clôt.

Merci d'avance. je reviens vers toi le plus vite possible.

 

caro.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour carooo.a,

 

>>> Programmes P2P: Ton rapport montre la présence de programme P2P (Vuze...) installé dans ta machine.

- Tout ce qui est lié aux applications type P2P/ Torrent devient de plus en plus dangereux pour les machines et les documents personnels et/ ou confidentiels qui y sont stockés.

Fini le partage entre des gens honnêtes. Les pirates, aussi, veulent partager avec le maximum d'internautes et mettent à disposition leurs applications partout où ils peuvent sous de faux noms aussi attractifs que possibles, des Cracks, keygen etc.

C'est OK, les programmes P2P ne sont pas tous dangereux en eux-mêmes (et c'est la preuve qu'il y en a qui le sont :)) mais qui sait avec certitude lequel est bon et lequel est dangereux?.

- Penser au principe même de ce type de réseau qui n'est en rien bénéfique: Vous autoriser tout le monde à utiliser votre bande passante ce qui peut ralentir considérablement votre système et communiquer avec votre machine ce qui peut faciliter la tâche aux intrus pour déposer des bombes à retardement.

- En adhérant à ce type de réseau, non seulement, vous ouvrez délibérément des portes à tout et n'importe quoi mais aussi, vous forcez votre pare-feu et antivirus à les tolérer (c'est compris dans la procédure d'installation). On s'étonne après de ce qui arrive à sa machine ou on accuse son antivirus.

Prendre la sage décision de désinstaller tout programme de ce type et rester à l'écart de ce type de réseaux.

Les fichiers/dossiers détectés sont listés ci-dessous pour être supprimés par ZHPFix.

 

 

>>> Utiliser ZHPFix: Sélectionner et copier le texte suivant (commençant par O4):

 

O4 - HKCU\..\Run: [GameXN (update)] . (.EasyBits Software AS - Game Organizer.) -- C:\Documents and Settings\All Users\Application Data\GameXN\GameXNGO.exe

O4 - HKCU\..\Run: [GameXN (news)] . (.EasyBits Software AS - Game Organizer.) -- C:\Documents and Settings\All Users\Application Data\GameXN\GameXNGO.exe

O4 - HKUS\S-1-5-21-2416317851-4088894708-647130104-1006\..\Run: [GameXN (update)] . (.EasyBits Software AS - Game Organizer.) -- C:\Documents and Settings\All Users\Application Data\GameXN\GameXNGO.exe

O4 - HKUS\S-1-5-21-2416317851-4088894708-647130104-1006\..\Run: [GameXN (news)] . (.EasyBits Software AS - Game Organizer.) -- C:\Documents and Settings\All Users\Application Data\GameXN\GameXNGO.exe

[HKCU\Software\RewardsArcade]

[HKLM\Software\PopCap]

[HKLM\Software\Trymedia Systems]

O43 - CFD: 2008-08-27 - 13:29:52 - [2,991] ----D- C:\Program Files\PopCap Games

O43 - CFD: 2011-05-16 - 22:59:10 - [0] ----D- C:\Program Files\QuestScan

O43 - CFD: 2008-08-27 - 13:31:22 - [0,001] ----D- C:\Program Files\Trymedia

O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Web Search) - http://search.conduit.com

[HKLM\Software\Classes\Interface\{4634804a-f0b0-4a74-a550-fc0eef8a4362}]

[HKLM\Software\Classes\Interface\{4c07ea4f-5f52-4222-b170-4cd9ed33baea}]

[HKLM\Software\Classes\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2}]

[HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}]

[HKLM\Software\Classes\Interface\{c44feff4-ef0c-4cf7-83d0-92b4266a32b9}]

[HKLM\Software\Classes\Interface\{E25DA6D6-C365-46CF-ABAF-DC5893135D7A}]

[HKLM\Software\Classes\Interface\{e6961c59-cfce-4ccd-b794-bc78db98413a}]

[HKLM\Software\Classes\Interface\{f131923c-381d-4e4c-a472-4a17118fd742}]

[HKLM\Software\PopCap]

[HKLM\Software\Trymedia Systems]

C:\Program Files\PopCap Games

C:\Program Files\QuestScan

C:\Program Files\Trymedia

O64 - Services: CurCS - 2011-07-12 - C:\Program Files\Bonjour\mDNSResponder.exe (Bonjour Service) .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE

O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Vuze.lnk . (.Vuze Inc..) -- C:\Program Files\Vuze\Azureus.exe

O42 - Logiciel: Vuze - (.Vuze Inc..) [HKLM] -- 8461-7759-5462-8226

O42 - Logiciel: Vuze Remote Toolbar - (.Vuze Remote.) [HKLM] -- Vuze_Remote Toolbar

[HKCU\Software\Azureus]

[HKCU\Software\Vuze_Remote]

[HKLM\Software\Azureus]

[HKLM\Software\Vuze_Remote]

O43 - CFD: 2011-11-30 - 07:33:14 - [67,377] ----D- C:\Program Files\Vuze

O43 - CFD: 2011-11-30 - 07:32:22 - [4,794] ----D- C:\Program Files\Vuze_Remote

O43 - CFD: 2011-11-30 - 20:34:48 - [44,276] ----D- C:\Documents and Settings\Caroline\Application Data\Azureus

O43 - CFD: 2011-12-03 - 09:04:16 - [5,105] ----D- C:\Documents and Settings\Caroline\Local Settings\Application Data\Vuze_Remote

O47 - AAKE:Key Export SP - "C:\Program Files\Vuze\Azureus.exe" [Enabled] .(.Vuze Inc. - Pas de description.) -- C:\Program Files\Vuze\Azureus.exe

C:\Program Files\Vuze_Remote

C:\Documents and Settings\Caroline\Local Settings\Application Data\Vuze_Remote

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install] LastSuccessTime : Out Of Date

G1 - GCS: Preference [user Data\Default] None

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1

O56 - MWPE:[HKLM\...\policies\Explorer] - "NoResolveTrack"=1

M3 - MFPP: Plugins - [Caroline] -- C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\e8x6mgpu.default\searchplugins\MyStart Search.xml

M2 - MFEP: prefs.js [Caroline - e8x6mgpu.default\[email protected]] [] Conduit Engine v3.3.3.2 (.Conduit Ltd..)

M2 - MFEP: prefs.js [Caroline - e8x6mgpu.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Community Toolbar v3.8.0.8 (.Conduit Ltd..)

R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

O2 - BHO: Vuze Remote - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuze.dll

O18 - Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} . (.AVG Technologies CZ, s.r.o. - Safe Search pluggable protocol.) -- C:\Program Files\AVG\AVG2012\avgpp.dll

[HKCU\Software\AppDataLow\AskBarDis]

[HKCU\Software\AskBarDis]

[HKCU\Software\Conduit]

[HKLM\Software\AskBarDis]

[HKLM\Software\Conduit]

O43 - CFD: 2011-11-30 - 07:32:26 - [0,609] ----D- C:\Program Files\Conduit

O43 - CFD: 2011-11-30 - 07:32:28 - [0,189] ----D- C:\Documents and Settings\Caroline\Local Settings\Application Data\Conduit

O69 - SBI: prefs.js [Caroline - e8x6mgpu.default] user_pref("CT2504091.SearchEngine", "Search||http://search.conduit.com/Results.aspx?q=UCM_SEARCH_TERM&ctid=CT2504091

O69 - SBI: prefs.js [Caroline - e8x6mgpu.default] user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");

[HKCU\Software\AppDataLow\AskBarDis]

[HKLM\Software\AppDataLow\AskBarDis]

[HKLM\Software\Classes\askibar.popswatterbarbutton]

[HKLM\Software\Classes\askibar.popswatterbarbutton.1]

[HKLM\Software\Classes\askibar.popswattersettingscontrol]

[HKLM\Software\Classes\askibar.popswattersettingscontrol.1]

[HKLM\Software\Classes\asktoolbar.settingsplugin]

[HKLM\Software\Classes\asktoolbar.settingsplugin.1]

[HKLM\Software\Classes\toolband.easyhidebtn]

[HKLM\Software\Classes\toolband.easyhidebtn.1]

[HKLM\Software\Classes\toolband.skypeiehelper]

[HKLM\Software\Classes\toolband.skypeiehelper.1]

[HKLM\Software\Classes\Toolbar.ct2504091]

[HKLM\Software\Classes\Interface\{115ccbae-27b0-47c3-ba42-bab708424393}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar]

C:\Program Files\Conduit

C:\Documents and Settings\Caroline\Local Settings\Application Data\Conduit

C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\e8x6mgpu.default\Conduit

C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\e8x6mgpu.default\ConduitEngine

C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\e8x6mgpu.default\Extensions\[email protected]

C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\e8x6mgpu.default\SearchPlugins\MyStart Search.xml

 

EmptyTemp

EmptyFlash

Lancer ZHPFix (raccourci sur le Bureau ZHPFix.png ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPFix") et cliquer sur le bouton [H].

Vérifier que toutes les lignes copiées (et rien d'autre) apparaissent dans la fenêtre (et disposées exactement de la même façon) et clique sur le bouton [OK] puis sur sur le bouton [Tous].

Fermer toutes les applications et autres fenêtres en cours (y compris Internet) et désactiver les programmes de protection (antivirus, pare-feu et antispyware).

Enfin, cliquer sur le bouton [Nettoyer] et laisser faire.

Redémarrer le PC pour finir le nettoyage si demandé et héberger le rapport "ZHPFixReport.txt" et poster son adresse. Ce rapport est en outre sauvegardé ici: C:\Program files\ZHPDiag\ZHPFixReport.txt.

 

>>> Un changement quelconque?

Autres symptômes persistants?

Lien vers le commentaire
Partager sur d’autres sites

Re-Bonjour et merci pour le temps que tu me consacres ainsi que toutes ces explications.

Pour Vuze je comprends complétement et il est maintenant désinstallé car il faisait partie de ta liste ;)

 

Maintenant... je ne vais pas prétendre ne pas utiliser ce genre de programmes donc si tu es plus à l’aise pour m'en parler personnellement, voir me recommander un autre logiciel, je suis preneuse.

 

Autrement, sache que je comprends tout à fait que je respecte cela.

 

Tu trouvera ci-joint le rapport du dernier scan:

 

Lien CJoint.com ALioe5IZ13g

 

Encore merci!.

 

Caro

Modifié par carooo.a
Lien vers le commentaire
Partager sur d’autres sites

Je te suggère d'éditer ton post et supprimer ton adresse email si tu ne veux pas être submergée par des pubs et autres spams. Il y a des robots et des humains qui parcourent les forums à la recherche de telles adresses. Il y a les Messages Personnels pour communiquer des infos personnelles.

 

Pour Vuze, j'étais et je suis bien à l'aise de t'en parler ici et je ne risque pas de t'en recommander d'autres. Si tu n'as pas compris ce que je t'ai suggéré pose des questions mais si tu ne veux pas le savoir c'est ton droit: Tu peux installer ce que tu veux sur ta machine.

 

Autres symptômes persistants à vérifier?

Lien vers le commentaire
Partager sur d’autres sites

Hello,

c'est fait merci pour ton aide.

Je ne savais pas pour les messages personnels et ne voulais pas te mettre dans l’embarras ou autre.

 

Je comprends pour Vuze. Et si j'ai bien tout compris. Je pensais juste que tu en connaissais peut-être d'autres plus sure car il est vrai que je télécharge même si je sais pertinemment que ce n,est pas légal. Je ne suis pas une grande fan de CA mais le fait pour me dépanner de temps à autre..

 

Je suis au travail maintenant et vérifierai ce soir. Je te tiens au courant.

merci.

Caro.

Lien vers le commentaire
Partager sur d’autres sites

Hello lance_yien,

Malheureusement rien n'y fait... J'ai l’impression que mon ordi est un tout petit peu plus rapide mais les symptômes persistent:

- fenêtre Wuauclt.exe qui apparait toutes les minutes du coup je la laisse ouverte et la met de côté

- Msn qui ne fonctionne pas

- la lenteur de mon ordi...

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau:

  • ComboFix© (par sUBs) depuis ici ou ici
  • TDSSKiller.zip depuis ici et le dézipper TDSSKiller.zip (clic-droit dessus => "Extraire ici"). Glisser TDSSKiller.zip dans la corbeille pour le supprimer..

 

>>> ComboFix/Analyse: Fermer toutes les applications et fenêtres ouvertes, désactiver antivirus/ pare-feu/ antispyware et double-cliquer sur "ComboFix.exe". Suivre les instructions en acceptant l'installation de la Console de Récupération (proposée pour Windows XP si pas installée).

NE PAS TOUCHER la machine avant la fin (même si les choses semblent ne pas avancer).

Quand c'est fini, un rapport (ComboFix.txt) s'affiche. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\). Copier/coller son contenu dans la prochaine réponse.

 

 

>>> TDSSKiller: Fermer toutes les fenêtres et applications en cours et désactiver antivirus et tout autre programme de protection.

Double-cliquer sur TDSSKiller.exe pour lancer le programme et cliquer sur le bouton "Start Scan" et patienter jusqu'à la fin de l'analyse.

Si un fichier infecté est détecté, l'action par défaut sera "Cure" et si un fichier suspect est détecté, l'action par défaut sera "Skip".

Sans rien changer, cliquer sur le bouton "Continue".

Si vous êtes invité à redémarre la machine pour finir le processus (reboot the computer to complete the process), cliquez sur le bouton "Reboot Now". Le rapport sera sauvegardé à la racine de la partition système, là où Windows est installé (généralement C:\); son format est du type "TDSSKiller.[Version]_[Date]_[Heure]_log.txt" (par exemple, C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt).

Si aucun redémarrage n'est requis, cliquer sur "Report". Un fichier texte s'ouvre et sera sauvegardé de la même manière.

Poster le contenu du rapport.

 

>>> Rapports demandés à coller directement:

  • ComboFix.txt
  • TDSSKiller_log.txt

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...