Objets cachés – rapport Avira

[Apollo]

Bonjour,

 

Oui et il y a encore un doute; on va vérifier.

 

1) ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

[HKCU\Software\Grand Virtual]    
O69 - SBI: SearchScopes [HKCU] {E5A41B94-FB57-4C53-8633-D51DFED9C694} - (Ask Search) - [url=http://websearch.ask.com][url=http://websearch.ask.com]http://websearch.ask.com[/url][/url]    
firewallraz
emptytemp
emptyflash   

 

• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier)
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

 

------------

2) Dr.Web CureIt!

Il n'est pas obligatoire de cocher la case "J'accepte de recevoir des informations...", clique sur le bouton Suivant

Sur la page suivante clique sur le bouton

 

Lis le Contrat de licence et si tu l'acceptes coche la case et clique sur le bouton Continuer la procédure d'enregistrement

 

Redémarre en mode sans échec.

Après la fermeture de la première fenêtre du BIOS, au tout début de la phase de démarrage du PC (boot), appuyer sur F8.

Une fenêtre de type DOS s'ouvre, sélectionner Mode sans échec à l'aide des flèches du clavier et cliquer sur Entrée (Enter)

Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire et peut prendre quelque minutes pour démarrer.

Il faut choisir la même session qu'en mode normal et non pas la session Administrateur qui n'apparaît que sous ce mode (Sous XP)

 

Lance le fichier téléchargé du genre r3947jb7.exe

Accepte le mode renforcé.

Clique sur NON sur la fenêtre suivante.

Clique sur Commencer le scan et sur Oui pour lancer l'analyse.Une barre de progression verte s'affiche en bas de le fenêtre.

Le scan rapide qui va se lancé peut prendre jusqu'à une heure selon ta configuration matérielle et le nombre de programmes installés.

En fin de scan, sélectionne Guérir et à defaut Quarantaine ou Supprimer.

Poste le rapport.

Comme il sera assez conséquent, héberge-le sur Cjoint comme indiqué sur ce tutoriel

 

++

[gepetto38]

Bonjour,

excuse moi mais je trouve pas l'icône représentant la lettre H??

[Apollo]

Bonjour,

 

 

Dans ce cas, et c'est prévu il y a l'autre icône: "coller le presse papier"

sinon, colle-le. (avec le bouton "coller le presse-papier)

 

++

Modifié le 19 octobre 2012 par Apollo

[gepetto38]

Bonjour,

voici le rapport ZHPFix :

Rapport de ZHPFix 1.3.04 par Nicolas Coolman, Update du 30/09/2012

Fichier d'export Registre :

Run by fred at 19/10/2012 14:43:00

Windows XP Home Edition Service Pack 3 (Build 2600)

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

 

 

========== Clé(s) du Registre ==========

SUPPRIME Key: HKCU\Software\Grand Virtual

SUPPRIME Key: SearchScopes :{E5A41B94-FB57-4C53-8633-D51DFED9C694}

 

========== Valeur(s) du Registre ==========

Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

 

========== Dossier(s) ==========

SUPPRIME Temporaires Windows:

SUPPRIME Flash Cookies:

 

========== Fichier(s) ==========

SUPPRIME Temporaires Windows:

SUPPRIME Flash Cookies:

 

 

========== Récapitulatif ==========

2 : Clé(s) du Registre

1 : Valeur(s) du Registre

2 : Dossier(s)

2 : Fichier(s)

 

 

End of clean in 00mn 06s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 19/10/2012 14:43:00 [903]

 

Le fichier Dr web est trop gros il ne passe pas avec cjoint....

[gepetto38]

Re,

j'ai divisé le rapport en 2...

dis moi si ca convient ou si tu preferes que je fasse autrement :

Lien CJoint.com BJtrOgB6YJE

Lien CJoint.com BJtrOO9CmDy

merci et à plus...

[Apollo]

Re,

 

Ce qui est surtout intéressant dans un tel rapport, c'est la fin qui nous résume tout.

 

Il semble cependant que tu ne sois pas allé plus loin que l'analyse "rapide"; une complète aurait été souhaitable, mais ici, CureIt a traité deux infections.

 

Statistiques d'analyse

-----------------------------------------------------------------------------

Objets scannés: 12716

Objets infectés: 1

Objets ayant été modifiés: 0

Objets suspects: 0

Adwares détectés: 1

Dialers détectés: 0

Canulars détectés: 0

Riskwares détectés: 0

Hacktools détectés: 0

Désinfecté: 0

Supprimé: 0

Renommé: 0

Déplacé en quarantaine: 2

Ignoré: 0

Vitesse du scan: 778 Kb/s

Durée d'analyse: 1:11:55

-----------------------------------------------------------------------------

 

C:\Documents and Settings\HP_Propriétaire\Mes documents\PokkiInstaller.exe - supprimé

 

=============================================================================

Statistiques totales de la session

=============================================================================

Objets scannés: 12717

Objets infectés: 1

Objets ayant été modifiés: 0

Objets suspects: 0

Adwares détectés: 1

Dialers détectés: 0

Canulars détectés: 0

Riskwares détectés: 0

Hacktools détectés: 0

Désinfecté: 0

Supprimé: 1

Renommé: 0

Déplacé en quarantaine: 2

Ignoré: 0

Vitesse du scan: 777 Kb/s

Durée d'analyse: 1:12:03

=============================================================================

 

Comment va l'ordi?

 

@++

[gepetto38]

Re, effectivement j'ai fait une analyse rapide car tu m'avais parlé de scan rapide dans ton mot...mais bon je pourrais lancer une analyse complète ce soir et te l'envoyer demain...autant faire les choses juusqu'au bout...j'ai l'impression que l'ordi rame moins..pas seulement internet mais en général notamment au démarrage...Par contre j'ai un souci quand je le demarre, il ne se lance pas je suis obligé de l'eteindre et redemarrer avec les derniers parametres fontionnels pour qu'il se lance...pour le mode sans echec j'ai du m'y reprendre à 3 fois et ca a marché quand j'ai demande mode sans echec avec connexion réseau..mais je sais pas si c'est dû à l'infection ou à la vieillesse dema machine qui est de 2006...après le mode sans echec il a redemarré du 1er coup en mode normal donc à voir... par rapport a 1 des fihiers déplacé en quarantaine (je crois que c'est autorun du disque amovible L) j'avais des avertissements d'AVIRA..j'en ai aussi par rapport à l'autorun du disque D mais je sais pas si ca a un rapport..en fait AVIRA le bloque...

En tout cas grand merci, je ferai suivre un rapport complet de Curelt demain..

à plus...

[Apollo]

Doublon cause fausse manoeuvre clavier

 

Voir ci-dessous.

 

++

Modifié le 19 octobre 2012 par Apollo

[Apollo]

Oui,

Avira bloque l'autorun des supports amovibles et c'est parfois assez emmerdant.

 

Puisque tu en parles, on va contrôler ces derniers et les vacciner contre les infections qui transitent par ce genre de supports, cela vaccinera aussi les disques durs:

 

 

• Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.
   
  Téléchargements - Outils de El Desaparecido - UsbFix
   
  
• Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
   
  
• Si vous ne savez pas comment faire, reportez-vous à cet article.
  
• Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

 

• Double cliquez sur UsbFix.exe.
  
• Cliquez sur recherche.

 

 

• Laissez travailler l'outil.
  
• À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
  
• Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
  
• Tutoriel en images

Modifié le 19 octobre 2012 par Apollo

[gepetto38]

Voici le rapport USBFix :

############################## | UsbFix V 7.097 | [Recherche]

 

Utilisateur: fred (Administrateur) # NOM-EB85C523610

Mis à jour le 02/09/2012 par El Desaparecido

Lancé à 20:53:46 | 19/10/2012

 

Site Web: http://eldesaparecido.com

Forum: SosVirus • Portail

Fichier suspect ? : http://eldesaparecido.com/upload.php

Contact: [email protected]

 

PC: HP Pavilion 061 (EY905AA-ABF s7510.fr) (X86-based PC

CPU: AMD Sempron Processor 3000+ (1790)

RAM -> [Total : 958 | Free : 232]

BIOS: Phoenix - AwardBIOS v6.00PG

BOOT: Normal boot

 

OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3

WB: Windows Internet Explorer 8.0.6001.18702

 

SC: Security Center Service [Enabled]

WU: Windows Update Service [Enabled]

FW: Windows FireWall Service [Enabled]

 

C:\ -> Disque fixe # 143 Go (28 Go libre(s) - 20%) [HP_PAVILION] # NTFS

D:\ -> Disque fixe # 6 Go (656 Mo libre(s) - 10%) [HP_RECOVERY] # FAT32

E:\ -> CD-ROM

F:\ -> CD-ROM

L:\ -> Disque fixe # 298 Go (17 Go libre(s) - 6%) [Elements] # NTFS

 

################## | Processus Actif |

 

C:\WINDOWS\System32\smss.exe (492)

C:\WINDOWS\system32\winlogon.exe (596)

C:\WINDOWS\system32\services.exe (648)

C:\WINDOWS\system32\lsass.exe (660)

C:\WINDOWS\system32\svchost.exe (836)

C:\WINDOWS\System32\svchost.exe (1016)

C:\WINDOWS\system32\spoolsv.exe (1328)

C:\Program Files\Avira\AntiVir Desktop\sched.exe (1368)

C:\Program Files\Avira\AntiVir Desktop\avguard.exe (260)

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (268)

C:\Program Files\Bonjour\mDNSResponder.exe (376)

C:\Program Files\Java\jre7\bin\jqs.exe (1272)

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe (1352)

C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe (1500)

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (1656)

C:\WINDOWS\system32\svchost.exe (1704)

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (2644)

C:\WINDOWS\system32\wbem\wmiapsrv.exe (3272)

C:\Program Files\iPod\bin\iPodService.exe (2300)

C:\UsbFix\Go.exe (1864)

 

################## | Éléments infectieux |

 

Présent! D:\Autorun.inf

Présent! F:\AUTORUN.INF

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

HKCU\.\.\.\.\Explorer\MountPoints2\K

Shell\AutoRun\Command = K:\autorun\autorun.exe

 

 

 

################## | Vaccin |

 

(!) Cet ordinateur n'est pas vacciné!

 

################## | E.O.F |

A plus