[Résolu] Nombreuses infections ?

[CHOUMJC]

© CJoint.com, 2012

[CHOUMJC]

ZHPdiag semble de nouveau bloquer a 89 % quand le scan est rendu à lui même "c/...../bureau/ZHPDiag" quelque chose comme ça. Et un programme s'est ouvert durant le scan C:\WINDOWS\system32\nslookup.exe avec des lignes de commandes sur fond noir. Et des mots style "hôte" et "serveur". J'ai voulu faire une capture d'écran mais l'ordi était bloqué et j'ai du le rebooter de force (en appuyant de façon continue sur le bouton). Peut-être que je devrais attendre plus longtemps ?

 

D'autre part, des fichiers ont disparus sur l'autre ordinateur du réseau. Est-ce que cela peut être dû aux manip que j'ai faites?

[Apollo]

D'autre part, des fichiers ont disparus sur l'autre ordinateur du réseau. Est-ce que cela peut être dû aux manip que j'ai faites?

 

Non, si tu as exécuté les outils sur le pc malade; et puis ceux-ci n'éliminent pas de fichiers légitimes sauf gros bug (rare).

 

Désinstalle ZHPDiag et télécharge une nouvelle version.

 

Lance le scan avec les paramètres par défaut sans cocher "tous". en mode sans échec si nécessaire.

 

++

[CHOUMJC]

© CJoint.com, 2012

 

en mode sans échec

[CHOUMJC]

je viens de redémarrer l'ordi en mode normal et le rapport zhpdiag a disparu du bureau ^^

[Apollo]

IE6 ! C'est pas sérieux ça! On s'occuper des mises à jour plus tard.

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

O47 - AAKE:Key Export SP - "C:\Documents and Settings\foutel\Local Settings\Temporary Internet Files\Content.IE5\O147WFSF\SweetImSetup[1].exe" [Enabled] .(...) -- C:\Documents and Settings\foutel\Local Settings\Temporary Internet Files\Content.IE5\O147WF    
O51 - MPSK:{26d54719-f1a1-11dc-bee1-0019db42815d}\AutoRun\command. (...) -- C:\WINDOWS\system32\AdobeR.exe (.not file.)    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC]    
O42 - Logiciel: FrameFox Extensions 1.0.100.0 - (.QwertyBox Team.) [HKLM] -- {2DB9FBF9-C964-4297-80CF-77018D74C1A3}    
[HKCU\Software\Duuqu]    
[HKCU\Software\YahooPartnerToolbar]    
[HKLM\Software\Duuqu]   
firewallraz
emptytemp
emptyflash   

 

• Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier)
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

@++

[Apollo]

Bah, il est là-dedans: c:\ZHP

[CHOUMJC]

Rapport de ZHPFix 1.3.20 par Nicolas Coolman, Update du 25/02/2013

Fichier d'export Registre :

Run by foutel at 26/02/2013 15:59:08

High Elevated Privileges : OK

Windows XP Professional Service Pack 2 (Build 2600)

 

Corbeille vidée

 

========== Logiciel(s) ==========

SUPPRIME FrameFox Extensions 1.0.100.0

 

========== Clé(s) du Registre ==========

SUPPRIME CLSID MPSK: {26d54719-f1a1-11dc-bee1-0019db42815d}

SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC

SUPPRIME Key: HKCU\Software\Duuqu

SUPPRIME Key: HKCU\Software\YahooPartnerToolbar

SUPPRIME Key: HKLM\Software\Duuqu

 

========== Valeur(s) du Registre ==========

SUPPRIME AAKE KeyValue: C:\Documents and Settings\foutel\Local Settings\Temporary Internet Files\Content.IE5\O147WFSF\SweetImSetup[1].exe

SUPPRIME FirewallRaz (SP) : %windir%\system32\sessmgr.exe

SUPPRIME FirewallRaz (DP) : %windir%\system32\sessmgr.exe

SUPPRIME FirewallRaz (DP) : C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

 

========== Dossier(s) ==========

SUPPRIME Temporaires Windows

SUPPRIME Flash Cookies

 

========== Fichier(s) ==========

ABSENT File: c:\documents and settings\foutel\local settings\temporary internet files\content.ie5\o147wf

SUPPRIME Temporaires Windows

SUPPRIME Flash Cookies

 

 

========== Récapitulatif ==========

5 : Clé(s) du Registre

5 : Valeur(s) du Registre

2 : Dossier(s)

3 : Fichier(s)

1 : Logiciel(s)

 

 

End of clean in 00mn 20s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 26/02/2013 15:59:08 [1650]

[CHOUMJC]

Je ne sais pas si c'est intéressant pour vous mais voici le rapport du scan avira de ce midi http://cjoint.com/?0BArLjKQ0Z2

Modifié le 26 février 2013 par CHOUMJC

[Apollo]

Très simple:

 

Purge la restauration système.

Désactiver la Restauration Système.

 

Menu Démarrer/Tous les programmes/Accessoires/Outils Système/

 

Cliquer sur Restauration Système.

 

Cliquer sur "Paramètres de la restauration du système; cocher la case: "Désactiver la Restauration du système sur tous les lecteurs"

Appliquer/OK.

 

Pour réactiver la Restauration système, suivre le même chemin et décocher la case. Appliquer/OK.

 

Un nouveau point de restauration sera automatiquement créé.

 

++