Demande d'aide / analyse

[Apollo]

Fais un nouveau ZHPDiag et héberge le rapport stp.

 

++

[Apollo]

Essaie avec ceci: SUPERAntiSpyware: Téléchargement,installation, configuration : Antivirus - Anti-malwares

[Pifou84]

Le voici : pjjoint.malekal.com - Submit a file

 

Merci

[Apollo]

Bonjour,

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

[MD5.EA70F0E014688712B5B305D9E59E030C] [APT] [{61B1EE8B-FC8B-4CD6-B4AB-6D38D0F769B3}] (...) -- F:\Logiciels\PDF\SumatraPDF-0.9.4-install.exe      
O44 - LFC:[MD5.A103FDF7348130EF3F3FEF56B1700A27] - 19/07/2012 - 17:12:04 ---A- . (...) -- C:\END   [9]    
C:\Program Files\Mozilla Firefox\Extensions\[email protected]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1]  
firewallraz
emptytemp
emptyflash

 

• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

-------------------

Fais l'analyse avec SuperAntispyware comme demandé plus haut; si cela ne va pas non plus on utilisera ComboFix ou Kaspersky.

 

@++

[Pifou84]

après avoir lancé ZHPFix, j'ai eu trois fois l'affichage suivant :

C:\Windows\system32\clb.dll n'est pas conçu pour s'exécuter sous Windows ou il contient une erreur

puis :

Editeur de registre a cessé de fonctionner

 

Voivi le rapport :

 

Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012

Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-03-08-2012-12-51-06.txt

Run by JOUVE at 03/08/2012 12:51:06

Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Clé(s) du Registre ==========

ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1

 

========== Valeur(s) du Registre ==========

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

 

========== Dossier(s) ==========

SUPPRIME Temporaires Windows:

SUPPRIME Flash Cookies:

 

========== Fichier(s) ==========

ABSENT Folder/File: f:\logiciels\pdf\sumatrapdf-0.9.4-install.exe

ABSENT File: c:\end

ABSENT Folder/File: c:\program files\mozilla firefox\extensions\[email protected]

SUPPRIME Temporaires Windows:

SUPPRIME Flash Cookies:

 

========== Tache planifiée ==========

ABSENT Task: {61B1EE8B-FC8B-4CD6-B4AB-6D38D0F769B3}

 

 

========== Récapitulatif ==========

1 : Clé(s) du Registre

2 : Valeur(s) du Registre

2 : Dossier(s)

5 : Fichier(s)

1 : Tache planifiée

 

 

End of clean in 01mn 46s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 03/08/2012 09:15:55 [1881]

C:\ZHP\ZHPFix[R2].txt - 03/08/2012 12:51:06 [1344]

[Apollo]

Tu dois avoir des problèmes avec le système proprement dit, ou alors un service a été infecté par autre-chose, antérieure à ce sujet.

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop
   
  exemple:
   
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur plop.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
   
  
   
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

+++

[Pifou84]

Voici le lien du rapport ComboFix : pjjoint.malekal.com - Submit a file

 

Pendant le travail de ComboFix, j'ai eu plein de fois, l'editeur de registre a cessé de fonctionner.

 

Merci

[Apollo]

RE,

 

Je ne pense pas que cela soit dû à une infection, il faudra faire contrôler l'intégrité des fichiers Windows par une invite de commandes.

 

Démarrer/tous les programmes/accessoires -->> clic droit sur invite de commande/exécuter en temps qu'administrateur et inscrire ceci: sfc /scannow puis presser la touche Enter.

 

@++

 

EDIT: fais quand-même une vérification avec TDSSKIller par acquis de conscience:

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

 

Et coche les 2 options supplémentaires:

 

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

Modifié le 3 août 2012 par Apollo

[Pifou84]

Voici le texte affiché après le scannow

Microsoft Windows [version 6.0.6002]

Copyright © 2006 Microsoft Corporation. Tous droits réservés.

 

C:\Windows\system32>sfc /scannow

 

Début de l'analyse du système. Cette opération peut nécessiter un certain temps.

 

 

Démarrage de la phase de vérification de l'analyse du système.

La vérification 100% est terminée.

La protection des ressources Windows a trouvé des fichiers endommagés, mais

n'a pas réussi à tous les réparer. Des détails sont inclus dans le journal

CBS.Log windir\Logs\CBS\CBS.log. Par exemple C:\Windows\Logs\CBS\CBS.log

 

C:\Windows\system32>

 

Je n'arrive pas à envoyer les CBS.log

 

Voici le rapport de TDSSKiller : http://pjjoint.malekal.com/files.php?id=20120803_r12j11c14e9k9

Modifié le 3 août 2012 par Pifou84

[Apollo]

Re,

 

Pour le CBS.log, tu fais juste un copié/collé sur le bureau et tu pourras alors l'ouvrir, mais cela doit être interprété par un forum Hardware, ce n'est guère de ma compétence, car je dois moi-même demander assistance si j'ai un souci de ce côté-là.

 

Tu as ici: Hardware - Forums Zebulon.fr ou là: Aide à la résolution de problèmes sur Windows Vista

 

------------

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

Explications de Tigzy: [RogueKiller] V7 - Tutorial officiel (1/1)

 

Poste les rapports obtenus après chaque demande de manip stp.

 

 

Autres options:

 

- Suppression

- HostRAZ

- Proxyraz

- DNS Raz

- RaccourcisRaz (si les icônes ont disparu, uniquement).

- Rapport

 

++