[Résolu] Infection VUPX.PTI1 récalcitrante

[greenman]

Salut à tous,

 

Je rencontre actuellement un problème sur le poste d'un ami dont voici la configuration :

- Windows XP Pro 5.1.2600 SP3 NU2600 , Internet Explorer (v8.06001.18702) , Mozilla Firefox (v.11.0)

- Processeur : Pentium 4 CPU 3GHz

- RAM : 1Go

 

Il y a quelque temps (~2 semaines) , le virus souvent appelé de 'De la Gendarmerie' qui remplace explorer.exe et qui verrouille le démarrage de windows sur un écran particuliers a été 'attrapé' sur un site lors d'une consultation d'une vidéo sur un site (légal )

 

A cette occasion, j'avais rebooté après qq recherches en mode sans échec mais sans succès. J'avais découvert qu'explorer.exe pouvait êter impacté, j'ai donc récupérer le explorer.exe d'une sauvegarde et l'ai remplacé via l'invite de commande Dos. (L'ancien a été conservé au cas où en explorer.exe.sov).

 

La suite a été relativement simple, une désinfection avec antivir et suppression de tout ce qui a été trouvé, puis la même chose avec MalwareByte's , le tout en mode sans échec. Evidemment, la sauvegarde Explorer.exe.sov a été viré à l'occasion de ces scans.

 

Les en mode sans échec les derniers scan ne présentais plus de 'positifs' nous avons donc espérer pouvoir nous arreter la...

 

Erreur.

 

Le PC ayant de nouveau des lenteurs considérables à l'ouverture de firefox, nous avons relancé un scan MBAM pour découvrir les trois indésirables suivant qui semblent être plus ou moins liés :

Trojan.VUPXTI1 qui revient plusieurs fois

Trojan.CryptBel.gen présent une seule fois

et PUP.FUNMOODS présent plusieurs fois également.

 

J'ai donc :

- Eliminer les indésirables

- Désactiver la restauration système

- Rescanner en mode sans échecs avec MBAM

- Récuperer HijackThis et réinitialisé mon mdp Zebulon (Ca faisait longtemps que grace à vos précieux conseils de sécurité je n'avais pas eu a revenir, Merci à vous )

 

Voici donc le Log HijackThis de la machine en question en mode normal (je fais généralement toutes mes analyses en mode ss échec, je précise donc que là non!) :

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 16:51:16, on 10/04/2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\CheckPoint\SSL Network Extender\slimsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\VMware\VMware Workstation\vmware-authd.exe

C:\Program Files\Fichiers communs\VMware\VMware Virtual Image Editing\vmount2.exe

C:\WINDOWS\system32\vmnat.exe

C:\WINDOWS\system32\vmnetdhcp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe

C:\WINDOWS\ALCMTR.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\Program Files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe

C:\Documents and Settings\All Users\Application Data\Panda Security URL Filtering\Panda_URL_Filtering.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SuperCopier\SuperCopier.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Spark\Spark.exe

C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\Stickies\stickies.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrv.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Trend Micro\HijackThis\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Hotmail.fr, Messenger, Actualité, Sport, People, Femmes - MSN France

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Hotmail.fr, Messenger, Actualité, Sport, People, Femmes - MSN France

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [iAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [chkhbci] C:\WINDOWS\system32\chkhbcin.exe

O4 - HKLM\..\Run: [PSUNMain] "C:\Program Files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar

O4 - HKLM\..\Run: [Panda Security URL Filtering] "C:\Documents and Settings\All Users\Application Data\Panda Security URL Filtering\Panda_URL_Filtering.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [superCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [spark] C:\Program Files\Spark\Spark.exe

O4 - HKCU\..\Run: [NokiaSuite.exe] C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe -tray

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: stickies.exe.lnk = C:\Program Files\Stickies\stickies.exe

O4 - Startup: taskmgr.lnk = C:\WINDOWS\system32\taskmgr.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0C71BDAA-5B30-4E12-A317-D225FEB9A068} (AxVideoView Control) - http://192.168.0.222/AxViewer/AxVideoView.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {44C1E3A2-B594-401C-B27A-D1B4476E4797} (XTSAC Control) - https://sslaccess.hpsj.fr/XTSAC.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.apple.com.edgesuite.net/qtinstall.info.apple.com/lupin/us/win/QuickTimeInstaller.exe

O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://193.252.40.198:103/activex/AMC.cab

O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://sslaccess.hpsj.fr/msrdp.cab

O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - https://83.206.176.229:9852/ICSScanner.cab

O16 - DPF: {93B08541-9F6B-4697-9F9A-7058F1E33785} (NTR ActiveX 1.1.8.2) - http://eu.ntrsupport.com/nv/inquiero/mod/setup/ntractivex1182_2.cab

O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {D9D72A92-132E-46EC-A6F1-896B19227142} (mpeg4 ActiveX Plugin for web v2) - http://www.starvedia.com/ActiveX/ax4web.cab

O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://193.252.40.198:105/activex/AMC.cab

O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://akamaicdn.webex.com/client/WBXclient-T27L10NSP28EP2-12243/webex/ieatgpc.cab

O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1. - http://www.ntrsupport.com/inquiero/mod/setup/ntractivex118_24.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O17 - HKLM\System\CCS\Services\Tcpip\..\{437D6040-B585-4435-9FA5-0938B0F9A255}: NameServer = 212.27.40.240,212.27.40.241

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Check Point SSL Network Extender (cpextender) - Check Point Software Technologies - C:\Program Files\CheckPoint\SSL Network Extender\slimsvc.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Panda Cloud Antivirus Service (NanoServiceMain) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\oracle\ora81\BIN\ONRSD.EXE

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: ServiceOMC - Unknown owner - C:\WINDOWS\system32\ServiceOMC.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Fichiers communs\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

 

--

End of file - 12000 bytes

 

 

J'espère qu'il n'y a rien, après tout, la dernière recherche n'a pas remonté de résultat. Cependant le fait que le problème se soit représenté me laisse penser qu'il doit rester des petites choses au moins qui ne vont pas!

En vous remerciant à l'avance,

 

Greenman

[bernard53]

bonsoir

Fait ceci.

 

Tu as trop de chose au démarrage du pc.

 

Tu peux contrôler le démarrage de tous ces processus avec un logiciel comme Starter de Code Stuff.

Télécharge et installe Code Stuff Starter :

 

Télécharger Starter

 

Ensuite vas dans l’onglet démarrage et décoches les lignes voulues.

 

Ne t'inquiète pas si a l'usage tu veux réactiver l'une d'elles, il suffit de la. recocher

 

Elles sont lancées inutilement au démarrage du système et cela ne comporte aucun danger.

 

 

Lignes à décocher qui sont en relation.

 

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [iAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

O4 - HKLM\..\Run: [chkhbci] C:\WINDOWS\system32\chkhbcin.exe

O4 - HKLM\..\Run: [Panda Security URL Filtering] "C:\Documents and Settings\All Users\Application Data\Panda Security URL Filtering\Panda_URL_Filtering.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [superCopier.exe] C:\Program Files\SuperCopier\SuperCopier.

O4 - HKCU\..\Run: [spark] C:\Program Files\Spark\Spark.exe

O4 - HKCU\..\Run: [NokiaSuite.exe] C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe -tray

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

 

Redémarres le pc ensuite pour constater le mieux.

 

Ensuite ceci pour voir un peu plus qu'avec "HijackThis "

 

 

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

 

 

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

 

 

 

A la fin de l'installation ZHPDiag va se lancer....

 

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.

Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

 

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

 

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Accueil de Cjoint.com

[greenman]

Salut et merci pour l'analyse (passée, présente et future ),

 

Voici le lien pour le log ZHPDiag :

Cliquez ici.

 

J'ai eu toutefois qq soucis avec l'exécution, le premier ne s'est pas terminé (Freeze du PC, plus de souris/clavier, Processeur à 100% pendant 20 minutes avant de relancer la machine brutalement par pression prolongée du bouton Power de la tour, pas de fichier de log après redémarrage).

Le deuxième ici présent a posé le même problème, mais le freeze n'a eu lieu que lorsque l'analyse à inscrit 'Terminé avec succès'.

J'ai donc redémarré brutalement une nouvelle fois et récupéré le fichier, cette fois bien généré, dans le répertoire de ZHPDiag.

 

Du coup, je ne suis pas sur que le fichier contienne toute l'analyse...

 

Voilà, sinon pour le ménage des logiciels au démarrage, j'en ai tout de même garder qq'uns qui sont réellement utilisés à chaque fois que l'ordinateur est utilisé, par contre je suis vaguement étonné que tu ne m'aies pas indiqué une suppression du lancement automatique de JavaUpDate. Je l'ai toujours trouver gourmand au démarrage quelques soient les postes, il monopolise la connexion réseau très rapidement pour faire ces recherches. Cela dit la machine Java étant potentiellement faillible, je comprendrais qu'on le laisse si il ne se lance pas automatiquement lorsque l'on utilise une appli java qqconques.

J'étais pas parti pour optimiser le poste, mais tant qu'à faire ^^'.

 

Encore merci pour ton aide précieuse,

 

Cordialement

Greenman

[bernard53]

par contre je suis vaguement étonné que tu ne m'aies pas indiqué une suppression du lancement automatique de JavaUpDate.

non je ne t'ai pas indiqué de décocher Java avec " Code Stuff Starter :"

 

Ensuite ceci.

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

[MD5.0869B7123100D25E56BBAC81D5770BF8] - (.Panda Security - Visicom Media Anti-phishing Domain Advisor.) -- C:\Documents and Settings\All Users\Application Data\Panda Security URL Filtering\Panda_URL_Filtering.exe [217256] [PID.]

M3 - MFPP: Plugins - [Pierre] -- C:\Documents and Settings\Pierre\Application Data\Mozilla\Firefox\Profiles\g1nouu1c.default\searchplugins\funmoods.xml

M2 - MFEP: prefs.js [__vmware_user__ - g1nouu1c.default\ffxtlbr@funmoods.com] [] Funmoods.com v1.5.0 (.Volo-Net.)

O3 - Toolbar: (no name) - {178F34B8-A282-11D2-86C5-00C04F8EEA99} . (...) -- (.not file.)

O42 - Logiciel: J2SE Runtime Environment 5.0 Update 10 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0150100}

O42 - Logiciel: J2SE Runtime Environment 5.0 Update 6 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0150060}

O42 - Logiciel: J2SE Runtime Environment 5.0 Update 9 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0150090}

O42 - Logiciel: Java 6 Update 11 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216011F0}

O42 - Logiciel: Java 6 Update 2 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160020}

O42 - Logiciel: Java 6 Update 3 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160030}

O42 - Logiciel: Java SE Runtime Environment 6 Update 1 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160010}

O69 - SBI: SearchScopes [HKCU] {C719D16A-DD18-4950-8D96-C754AECF6D63} - (Search) - Funmoods Search

O69 - SBI: SearchScopes [HKCU] {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} - (Yahoo! Search) - Yahoo! Search - Web Search

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}]

[HKLM\Software\Classes\CLSID\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}]

[HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}]

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !.

[greenman]

Rebonjour!

 

Je pense avoir compris pourquoi désactiver JAvaUpdate au démarrage n'avait pas d'intérêt ^^

 

Voici le dernier Rapport R1 :

Cliquez ici.

 

Une certaine activité perpétuelle (variation continuelle d'utilisation de qq Mo de RAM) s'est stoppé après l'opération.

 

Merci!

[bernard53]

OK c'est pas mal tout cela.

De ton coté comment c'est?

Modifié le 11 avril 2012 par bernard53

[greenman]

D'après mon pote, il est comme jamais il a été depuis très longtemps!

 

Je lui fait relancé un petit MBAM à jour et en mode normal pour voir et si rien n'est détecté puis je mets résolu en en-tête, c'est ça?

 

 

Merci à toi pour les analyses et le temps passé sur ce problème.

 

Juste une question, n'étant pas 'novice' en info (c'est mon métier mais plutôt du côté gestion de projet, déploiement logiciel et admin Oracle) est ce qu'une auto-formation aux outils d'analyse Zébulon est longue? J'ai déjà parcouru le plan pour le tuto HijackThis, mais comme les outils semblent avoir évolués depuis mon dernier passage en 2009...

Je me mettrais bien ça dans ma besace de connaissance/compétence

 

En te souhaitant une agréable journée,

Cordialement

Modifié le 12 avril 2012 par greenman

[bernard53]

Content que tout aille

 

juste ceci pour terminer alors.

 

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

 

Télécharge << DELFIX >> de Xplode pour supprimer les logiciels qui ont servis a cette désinfection.

 

 

Lance-le.

 

* A l'invite, [suppression] ()

 

* Un rapport va s'ouvrir à la fin, colle le dans la réponse

 

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]

 

Puis: Maintenant on va mettre la restauration du système propre.

 

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés

ou touche "Windows+Pause"

Cliquez sur l'onglet Restauration du système

 

Sélectionnez Désactiver la Restauration du système sur tous les lecteurs.

 

Cliquez sur Appliquer puis OUI dans la fenêtre suivante.

 

Attendre quelques instants puis :

 

activer la restauration du système de nouveau. en décochant la case que vous venez de cocher puis valider par Appliquer et OK

 

Maintenant on crée un nouveau point de restauration.

 

Démarrer—Exécuter—ou touche "Windows+R" et tapes:

%SystemRoot%\System32\restore\rstrui.exe

 

Puis coche " Créer un point de restauration" que tu nommes PC- Clean. Valide.

 

Vous pouvez maintenant fermer toutes les fenêtres.

 

après tu peux marquer ton post en résolu.

Bonne journée

[greenman]

Ok c'est parti

 

Par contre pourrais-tu répondre à cette question presque hors sujet stp?

 

 

Juste une question, n'étant pas 'novice' en info (c'est mon métier mais plutôt du côté gestion de projet, déploiement logiciel et admin Oracle) est ce qu'une auto-formation aux outils d'analyse Zébulon est longue? J'ai déjà parcouru le plan pour le tuto HijackThis, mais comme les outils semblent avoir évolués depuis mon dernier passage en 2009...

Je me mettrais bien ça dans ma besace de connaissance/compétence

 

Merci d'avance!

[greenman]

Re!

 

Voilà les résultats finaux :

 

# DelFix v8.8 - Rapport créé le 12/04/2012 à 14:48:22

# Mis à jour le 12/02/12 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : Pierre - D2006-PIERRE (Administrateur)

# Exécuté depuis : I:\120410_MBAM_PIERRE\delfix.exe

# Option [suppression]

 

 

~~~~~~ Dossiers(s) ~~~~~~

 

Supprimé : C:\ZHP

Supprimé : C:\Documents and Settings\Pierre\Bureau\RK_Quarantine

Supprimé : C:\Program Files\ZHPDiag

Supprimé : C:\Program Files\Trend Micro\Hijackthis

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\Documents and Settings\Pierre\Bureau\HiJackThis.lnk

Supprimé : C:\Documents and Settings\Pierre\Bureau\RKreport[1].txt

Supprimé : C:\Documents and Settings\Pierre\Bureau\ZHPDiag.txt

Supprimé : C:\Documents and Settings\Pierre\Bureau\ZHPFixReport.txt

Supprimé : C:\Documents and Settings\Pierre\Mes documents\Téléchargements\HiJackThis.exe

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\HijackThis

Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

 

~~~~~~ Autres ~~~~~~

 

-> Prefetch Vidé

 

*************************

 

DelFix[s1].txt - [1365 octets] - [12/04/2012 14:48:22]

 

########## EOF - C:\DelFix[s1].txt - [1489 octets] ##########

 

 

Tout s'est bien passé, l'incident est maintenant terminé ^^.

 

Merci beaucoup pour ton aide, de ma part et de l'ami "qui-voulait-pas-se-créer-un-compte" et qui a été très agréablement étonné de la réactivité du forum Zebulon.

 

Bonne continuation,

 

Greenman