Souci d'infection ou autre

[xiredoc]

Bonjour a vous, voila je vous expose mon probleme qui me suis depuis un bon moment maintenant sans savoir si c est d origine infectieuse ou non ( je suis partie a l etranger recement et j ai embarquer mon pc, ayant un net plus que capricieux je n ai pas pu faire les mise a jour necessaire pendant trois bon mois, bien sur une fois rentré la premiere chose a etait de tout remettre a jour...) bref du a ca je ne sais pas vraiment si je me suis fait veroler ou non, mais mon probleme de "depart" remonte a encore plus loin.

Depuis un bon moment donc, il m est totalement impossible de lire une video heberger chez dailymotion, le lecteur se lance mais ne stream qu une trentaine de seconde avant de couper comme si c etait la fin de video (de la meme maniere que si vous regarder une video de 5 min, au terme de cette video le lecteur vous propose d autre video sur un sujet similaire) mais helas dans mon cas cela se produit toujour au bout d'une trentaine de seconde.

Chose bizarre, cela ne se produit que sur daily, toittuyau (youtube) aucun probleme ainsi que sur tout les autres lecteur internet.

J ai donc essayer avec firefox ( j utilise depuis le debut IE), mais meme probleme, j ai desinstallé flashplayer et reinstaller ( prope hein desinstalle, puis nettoyage avec ccleaner, reboot, reinstalle..) mais toujours meme probleme, j ai tenter de modifier quelque parametre de ma carte graphique mais rien y fait. bref j en perd mon latin.

 

Ma config:

 

Serie ipower GX packard bell

windowns 7 familiale prenium 64 bit

service pack1

GPU NVIDA GTX 260M cuda 1GB

Internet Explorer 9 64 bit

 

Protection : Microsoft security essentials

Malawares bytes sans protection residente, juste en scan pc

 

Ah oui aussi depuis quelques jours je trouve mon IE ralenti, l ouverture de la page est rapide mais le temps d affichage de google mais parfois un certain temps.

 

Voila, je vous remercie d avoir pris le temps de lire tout ca est espere avoir des nouvelles

[lance_yien]

Bonjour xiredoc,

 

Merci de prendre connaissance de ces recommandations et appliquer ce qu'il y a faire avant de commencer un premier nettoyage avec ZHP.

 

---

Très Important!:

 

>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

- TeaTimer de Spybot-S&D peut interférer avec nos utilitaires et causer certains problèmes. Le désactiver dès maintenant s'il est installé sur la machine à traiter: Lancer Spybot-S&D => "Mode Avancé". Outils (à gauche) => "Résident" et Décocher "Résident TeaTimer (...)" => OK.

>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

>>> Que faire à la réception de nouvelles instructions:

• Lire la totalité du message.
  
• Certains outils utilisés peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller" (PAS de raccourcis).
  
• Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  
• NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.
  

>>> Comment répondre:

- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).

- Héberger les rapports sur cjoint.com. Cliquer sur Parcourir, chercher le fichier et cliquer dessus puis cliquer sur Créer le lien CJoint.

Dans la page suivante --> , une adresse (http//...) sera créée. La copier /coller dans la prochaine réponse.

- Merci de coller les rapports (quand c'est demandé) directement sans rien y ajouter ni balises de citation, ni de code ni de formatage de texte (gras, italique) c'est déjà assez difficile avec ce que les pirates essaient de camoufler.

>>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.

>>> Tout sujet sans suite pendant 8 jours sera abandonné et sa notification désactivée!

---

 

>>> C'est parti! Télécharger, sur le Bureau ZHPDiag (par Nicolas Coolman) depuis ici.

Pour installer le programme, double-cliquer sur "ZHPDiag.exe" pour lancer l'installation du programme (Vista/ W7, cliquer-droit dessus => "Exécuter en tant qu'administrateur"). Suivre les instructions jusqu'à la fin.

Fermer toutes les applications et fenêtres ouvertes et lancer le programme via l'icône "ZHPDiag" ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPDiag". Cliquer sur Lancer le diagnostic (loupe) et patienter jusqu'à la fin (en cas de blocage sur O80, cliquer sur le tournevis pour le décocher).

Un rapport "ZHPDiag.txt" sera généré et sauvegardé automatiquement sur le Bureau.

Héberger le rapport et poster son adresse.

[xiredoc]

Bonsoir a toi Lance_yien, voila ci joint le rapport

 

rapport zhpdiag

 

Merci a toi.

[lance_yien]

Bonjour,

 

>>> Programmes P2P: Ton rapport montre la présence de programme P2P (uTorrent...) installé dans ta machine.

- Tout ce qui est lié aux applications type P2P/ Torrent devient de plus en plus dangereux pour les machines et les documents personnels et/ ou confidentiels qui y sont stockés.

Fini le partage entre des gens honnêtes. Les pirates, aussi, veulent partager avec le maximum d'internautes et mettent à disposition leurs applications partout où ils peuvent sous de faux noms aussi attractifs que possibles, des Cracks, keygen etc.

C'est OK, les programmes P2P ne sont pas tous dangereux en eux-mêmes (et c'est la preuve qu'il y en a qui le sont ) mais qui sait avec certitude lequel est bon et lequel est dangereux?.

- Penser au principe même de ce type de réseau qui n'est en rien bénéfique: Vous autoriser tout le monde à utiliser votre bande passante ce qui peut ralentir considérablement votre système et communiquer avec votre machine ce qui peut faciliter la tâche aux intrus pour déposer des bombes à retardement.

- En adhérant à ce type de réseau, non seulement, vous ouvrez délibérément des portes à tout et n'importe quoi mais aussi, vous forcez votre pare-feu et antivirus à les tolérer (c'est compris dans la procédure d'installation). On s'étonne après de ce qui arrive à sa machine ou on accuse son antivirus.

Prendre la sage décision de désinstaller tout programme de ce type et rester à l'écart de ce type de réseaux.

Les fichiers/dossiers détectés sont listés ci-dessous pour être supprimés par ZHPFix.

 

 

>>> Utiliser ZHPFix: Sélectionner et copier le texte suivant:

 

[MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task] (...) -- C:\Program Files (x86)\FREEzeFrog\bin\2.0.19.0\FREEzeFrogSA.exe (.not file.)

[HKCU\Software\AppDataLow\Software\searchqutoolbar]

[HKCU\Software\Datamngr]

[HKCU\Software\Totem]

[HKCU\Software\cacaoweb]

[HKCU\Software\ilivid]

[HKLM\Software\Bandoo]

[HKLM\Software\FREEzeFrog]

O43 - CFD: 16/06/2011 - 20:00:14 - [0,013] ----D- C:\Users\AôP\AppData\Local\Ilivid Player

O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} [DefaultScope] - (Search Results) - http://dts.search-results.com

O87 - FAEL: "TCP Query User{E1C20101-C0A5-4081-B156-90CDC8202E40}C:\users\aôp\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\aôp\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)

O87 - FAEL: "UDP Query User{B8FCF3A8-6E6E-4FDD-AD22-190754D1B800}C:\users\aôp\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\aôp\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)

O87 - FAEL: "TCP Query User{2B554431-FAF9-4C31-AA2E-62E7A39052E2}C:\users\aôp\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\aôp\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)

O87 - FAEL: "UDP Query User{04749AE2-8D70-43C9-AD73-3B6F4B7B36DB}C:\users\aôp\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\aôp\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)

[HKLM\Software\WOW6432Node\Classes\AppID\bandoocore.exe]

[HKLM\Software\WOW6432Node\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}]

[HKLM\Software\WOW6432Node\Classes\AppID\{1301a8a5-3dfb-4731-a162-b357d00c9644}]

[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624f4-c5dd-4e1d-bdd0-1e9c9b7799cc}]

[HKLM\Software\WOW6432Node\Classes\Interface\{477f210a-2a86-4666-9c4b-1189634d2c84}]

[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}]

[HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}]

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}]

[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}]

[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9c8a3ca5-889e-4554-beec-ec0876e4e96a}]

[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f9189560-573a-4fde-b055-ae7b0f4cf080}]

[HKLM\Software\WOW6432Node\Classes\Interface\{ff871e51-2655-4d06-aed5-745962a96b32}]

[HKLM\Software\WOW6432Node\Bandoo]

[HKCU\Software\cacaoweb]

[HKCU\Software\DataMngr]

[HKLM\Software\WOW6432Node\FREEzeFrog]

[HKCU\Software\ilivid]

[HKCU\Software\AppDataLow\Software\searchqutoolbar]

[HKCU\Software\Totem]

C:\Users\AôP\AppData\LocalLow\searchquband

[MD5.00000000000000000000000000000000] [APT] [bearShareNAG] (...) -- C:\Users\AôP\AppData\Local\Temp\BearShare_setup.exe (.not file.)

[MD5.00000000000000000000000000000000] [APT] [{E95F85FA-B473-45C5-A385-CB428DCBF660}] (...) -- C:\Program Files (x86)\InstallShield Installation Information\{EE171732-BEB4-4576-887D-CB62727F01CA}\setup.exe (.not file.)

O43 - CFD: 29/05/2010 - 17:02:40 - [0,001] ----D- C:\ProgramData\Partner

O43 - CFD: 04/09/2011 - 20:31:56 - [0] ----D- C:\Users\AôP\AppData\Roaming\Amazon

O51 - MPSK:{2a1c0d93-7172-11df-90ce-001f16c26b54}\AutoRun\command. (...) -- F:\setup\rsrc\autorun.exe (.not file.)

O87 - FAEL: "TCP Query User{27E774DC-75EE-4CD3-B92F-B907894E5B6C}C:\gamez\steam\steamapps\xiredoc2123\team fortress 2\hl2.exe" |In - Private - P6 - TRUE | .(...) -- C:\gamez\steam\steamapps\xiredoc2123\team fortress 2\hl2.exe (.not file.)

O87 - FAEL: "UDP Query User{B90923ED-4B88-4AD7-B572-D8147E329483}C:\gamez\steam\steamapps\xiredoc2123\team fortress 2\hl2.exe" |In - Private - P17 - TRUE | .(...) -- C:\gamez\steam\steamapps\xiredoc2123\team fortress 2\hl2.exe (.not file.)

O87 - FAEL: "TCP Query User{630DD2DF-CE19-41D8-B94E-447AD237DD71}C:\gamez\steam\steamapps\xiredoc2123\team fortress 2\hl2.exe" |In - Public - P6 - TRUE | .(...) -- C:\gamez\steam\steamapps\xiredoc2123\team fortress 2\hl2.exe (.not file.)

O87 - FAEL: "UDP Query User{9013215F-EFCA-484C-8633-1FD78CD599FC}C:\gamez\steam\steamapps\xiredoc2123\team fortress 2\hl2.exe" |In - Public - P17 - TRUE | .(...) -- C:\gamez\steam\steamapps\xiredoc2123\team fortress 2\hl2.exe (.not file.)

O87 - FAEL: "TCP Query User{D2E03BD9-6342-48E1-8EF3-13E7175913BF}C:\gamez\steam\steamapps\common\lost planet 2\lp2dx9.exe" |In - Private - P6 - TRUE | .(...) -- C:\gamez\steam\steamapps\common\lost planet 2\lp2dx9.exe (.not file.)

O87 - FAEL: "UDP Query User{D94F62D7-66AA-4859-8C0F-15518EF41089}C:\gamez\steam\steamapps\common\lost planet 2\lp2dx9.exe" |In - Private - P17 - TRUE | .(...) -- C:\gamez\steam\steamapps\common\lost planet 2\lp2dx9.exe (.not file.)

O87 - FAEL: "{FEDE0558-9115-4865-AB16-8663BC71591D}" |In - Private - P6 - TRUE | .(...) -- C:\GameZ\steam\SteamApps\common\alien swarm\srcds.exe (.not file.)

O87 - FAEL: "{0F087A4D-1CAA-47FD-96CC-BB6BD57E173D}" |In - Private - P17 - TRUE | .(...) -- C:\GameZ\steam\SteamApps\common\alien swarm\srcds.exe (.not file.)

O87 - FAEL: "TCP Query User{A11DBF7C-00B6-45A9-AB8E-ACC08034E707}C:\users\aôp\desktop\downloader_diablo2_frfr.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\aôp\desktop\downloader_diablo2_frfr.exe (.not file.)

O87 - FAEL: "UDP Query User{EA41C748-7856-461C-9426-883327F7F514}C:\users\aôp\desktop\downloader_diablo2_frfr.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\aôp\desktop\downloader_diablo2_frfr.exe (.not file.)

O87 - FAEL: "TCP Query User{11AC6E6A-377F-478E-8703-823F057E9FBC}C:\users\aôp\desktop\downloader_diablo2_lord_of_destruction_frfr.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\aôp\desktop\downloader_diablo2_lord_of_destruction_frfr.exe (.not file.)

O87 - FAEL: "TCP Query User{2F7EF402-6AB5-4AE6-A120-A3D1E181949C}C:\gamez\steam\steamapps\common\portal 2\portal2.exe" |In - Public - P6 - TRUE | .(...) -- C:\gamez\steam\steamapps\common\portal 2\portal2.exe (.not file.)

O87 - FAEL: "UDP Query User{4491CD2C-0AB2-4A2D-B68D-536F740CF7A5}C:\gamez\steam\steamapps\common\portal 2\portal2.exe" |In - Public - P17 - TRUE | .(...) -- C:\gamez\steam\steamapps\common\portal 2\portal2.exe (.not file.)

O87 - FAEL: "TCP Query User{42FF79DE-19CA-49D4-908A-8EE97CC4CAB3}D:\gamez\dow soulstorm\soulstorm.exe" |In - Public - P6 - TRUE | .(...) -- D:\gamez\dow soulstorm\soulstorm.exe (.not file.)

O87 - FAEL: "UDP Query User{C6D696F6-1A5F-4F12-B37D-66EA69F98920}D:\gamez\dow soulstorm\soulstorm.exe" |In - Public - P17 - TRUE | .(...) -- D:\gamez\dow soulstorm\soulstorm.exe (.not file.)

O87 - FAEL: "TCP Query User{BFB82FD9-20B7-4D3E-AA86-D9631579DBA0}C:\gamez\steam\steamapps\common\eye\eye.exe" |In - Public - P6 - TRUE | .(...) -- C:\gamez\steam\steamapps\common\eye\eye.exe (.not file.)

O87 - FAEL: "UDP Query User{CB97A0DD-128B-424C-8951-471236D56962}C:\gamez\steam\steamapps\common\eye\eye.exe" |In - Public - P17 - TRUE | .(...) -- C:\gamez\steam\steamapps\common\eye\eye.exe (.not file.)

O42 - Logiciel: µTorrent - (.Pas de propriétaire.) [HKLM] -- uTorrent

[HKCU\Software\BitTorrent]

O43 - CFD: 02/01/2012 - 04:46:16 - [1,500] ----D- C:\Users\AôP\AppData\Roaming\uTorrent

O43 - CFD: 16/06/2011 - 02:30:08 - [0,381] ----D- C:\Program Files (x86)\uTorrent

O87 - FAEL: "{B5EE3AF9-2778-4645-B08F-3AB0CB24842D}" | In - None - P6 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe

O87 - FAEL: "{BAE60B82-51E4-44D2-A1CC-E17334F44877}" | In - None - P17 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Program Files (x86)\uTorrent\uTorrent.exe

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install] LastSuccessTime : Out Of Date

G1 - GCS: Preference [user Data\Default] None

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1

O5 - control.ini: [HKLM\..\Control Panel] inetcpl.cpl=no

O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0

O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0

O55 - MWPS:[HKLM\...\Policies\System] - "DisableCAD"=1

O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktop"=1

O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktopChanges"=1

[HKCU\Software\Freecorder]

O43 - CFD: 26/08/2010 - 21:10:22 - [0,007] ----D- C:\Users\AôP\AppData\Roaming\teamspeak2

 

EmptyTemp

EmptyFlash

Lancer ZHPFix (raccourci sur le Bureau ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPFix") et cliquer sur le bouton [H].

Vérifier que toutes les lignes copiées (et rien d'autre) apparaissent dans la fenêtre (et disposées exactement de la même façon) et clique sur le bouton [OK] puis sur sur le bouton [Tous].

Fermer toutes les applications et autres fenêtres en cours (y compris Internet) et désactiver les programmes de protection (antivirus, pare-feu et antispyware).

Enfin, cliquer sur le bouton [Nettoyer] et laisser faire.

Redémarrer le PC pour finir le nettoyage si demandé et héberger le rapport "ZHPFixReport.txt" et poster son adresse. Ce rapport est en outre sauvegardé ici: C:\Program files\ZHPDiag\ZHPFixReport.txt.

 

 

>>> Autres symptômes à vérifier?

[xiredoc]

Bonsoir, voici ci joint le rapport

 

rapport ZHP fix

 

Sinon le probleme dailymotion et toujours present T_T

[lance_yien]

Bonjour,

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau:

• OTL (par OldTimer) depuis ici ou ici.

 

>>> Analyse OTL: Brancher et allumer tous les médias amovibles disponibles et susceptibles d'être infectés (DD externe, clés USB etc) et fermer toutes les applications et fenêtres ouvertes.

Double-cliquer/Cliquer-droit sur OTL.exe => "Exécuter en tant qu'administrateur", cocher la case "Tous les utilisateurs" (en haut) et copier/ coller ces lignes (commençant par netsvcs) dans l'espace sous "Personnalisation":

 

netsvcs

drivers32

%SYSTEMDRIVE%\*.* /90

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /90

%systemroot%\Tasks\*.job

%systemroot%\system32\drivers\*.sys /90

CREATERESTOREPOINT

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

SAVEMBR:0

Sans rien changer, cliquer sur le bouton bleu Analyse et laisser faire.

A la fin du scan, 2 rapports seront créés: "OTL.txt" (qui s'ouvre dans le bloc-note) et "Extras.txt" (qui sera minimisé dans la Barre des tâches).

Les héberger et poster leurs adresses dans une nouvelle réponse.

 

---

Sujet abandonné et notification désactivée car sans suite depuis 8 jours ou plus!

---

Modifié le 19 janvier 2012 par lance_yien