PC lent suite au virus Gendarmerie

[7aVaK]

Bonjour tout le monde,

 

Suite au virus de gendarmerie dont j'ai réussi à me débarasser sans vraiment savoir comment, mon ordinateur est devenu extrêmement lent. Je ne suis pas du tout un crack en informatique mais j'ai scanné mon portable avec Piratrax, Malwarebytes, RogueKiller, CCleaner, j'ai défragmenté mes disques durs mais rien y fait.

 

Je ne sais pas comment procéder et j'espérais que quelqu'un puisse m'aider ici.

 

 

Merci d'avance

 

PS: J'espère que je suis sur le bon forum, je m'excuse d'avance si ce n'est pas le cas je viens tout juste de m'inscrire et je me familiarise à peine avec le site

[7aVaK]

Après avoir lu quelques topics j'ai fait un scan avec ZHPDiag dont voici le rapport: © CJoint.com, 2012

 

Edit de Notpa :

Bienvenu sur Zébulon : J'ai déplacé ton sujet dans le forum Analyses et éradications malwares, plus approprié.

 

Cordialement

 

Notpa

Modifié le 23 février 2013 par Notpa
Déplacé ce sujet

[pear]

Bonjour,

 

 

1) Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes que vous avez volontairement modifiées

(Si vous n'avez rien modifié ,vous n'avez donc pas de raison valable d'en décocher. )

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

Sauf avis contraire, ne touchez pas aux index SSDT

(Liste des index)

 

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

Il y aura 6 rapports à poster.

 

2)Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

3)Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

4)

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[7aVaK]

Bonsoir,

 

Tout d'abord merci pour cette réponse plus que rapide.J'ai réalisé toutes les manips du protocole que tu m'as posté. A noter que lors du RK je n'avais rien dans l'onglet Driver.

 

Voici les différents rapports demandés:

 

MBAM

 

AdwCleaner Recherche

AdwCleaner Supression

 

RK Recherche

RK Supression

RK Host RAZ

RK Proxy RAZ

RK DNS RAZ

RK Racc RAZ

 

J'espère que je n'ai rien oublié. Merci encore

 

PS: Que dit mon rapport ZHPDiag ?

[pear]

Que dit mon rapport ZHPDiag ?

 

Rien ne s'oppose à ce que vous le lisiez !

 

---\\ Scan Additionnel (O88) Database Version : v2.10854 - (23/02/2013) Clés trouvées (Keys found) : 12 Valeurs trouvées (Values found) : 0 Dossiers trouvés (Folders found) : 2 Fichiers trouvés (Files found) : 0 [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] =>Toolbar.Agent [HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] =>Toolbar.Agent [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] =>Toolbar.Agent [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] =>Toolbar.Agent [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] =>Toolbar.Agent [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}] =>Spyware.Partner [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}] =>Spyware.Partner [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] =>Toolbar.Bing [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] =>Toolbar.Bing [HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] =>Toolbar.Bing C:\ProgramData\Babylon =>Toolbar.Babylon C:\ProgramData\Partner =>Spyware.Partner

 

 

 

 

 

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document ou, mieux, en cliquant le bouton Coller le presse papier au milieu,en haut, à gauche[1]

 

O43 - CFD: 16/05/2012 - 01:04:58 - [11,866] ----D C:\ProgramData\Babylon => Infection BT (Toolbar.Babylon)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] => Infection BT (Spyware.BHO)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] => Infection BT (Spyware.BHO)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}] => Infection BT (Spyware.BHO)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}] => Infection BT (Spyware.BHO)

C:\ProgramData\Babylon => Infection BT (Toolbar.Babylon)

P2 - FPN: [HKCU] [pandonetworks.com/PandoWebPlugin] - (.Pando Networks - Pando Web Plugin.) -- C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll

O4 - GS\Programs: Piratrax.lnk . (.DENIAU F.A.A.) -- C:\Program Files (x86)\Piratrax\piratrax.exe

[MD5.00000000000000000000000000000000] [APT] [Ad-Aware Update (Weekly)] (...) -- C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (.not file.) => Lavasoft AB Ad-Aware

[MD5.15798831AC8F1C8C50F0EBA0C1D70707] [APT] [Piratrax_autorun] (.DENIAU F.A.A.) -- C:\Program Files (x86)\Piratrax\piratrax.exe

[MD5.15798831AC8F1C8C50F0EBA0C1D70707] [APT] [Piratrax_with_menu] (.DENIAU F.A.A.) -- C:\Program Files (x86)\Piratrax\piratrax.exe

[MD5.00000000000000000000000000000000] [APT] [{8F049553-986B-43E6-AEB8-C875BE8F278D}] (...) -- C:\Program Files (x86)\LibUSB-Win32-0.1.10.1\unins000.exe (.not file.) => Fichier absent

[HKCU\Software\Amazon]

[HKLM\Software\Wow6432Node\Amazon]

O43 - CFD: 13/07/2010 - 02:56:28 - [14,491] ----D C:\Program Files (x86)\Amazon

O43 - CFD: 05/09/2011 - 07:32:27 - [0,001] ----D C:\ProgramData\Partner => Game

O43 - CFD: 23/02/2013 - 14:46:05 - [0,039] ----D C:\ProgramData\PMB Files => Sony Corporation

O43 - CFD: 08/08/2011 - 16:51:48 - [0] ----D C:\Users\TaVaK\AppData\Roaming\Amazon

O43 - CFD: 08/08/2011 - 16:51:32 - [0,460] ----D C:\Users\TaVaK\AppData\Local\Amazon

O43 - CFD: 03/02/2013 - 12:31:44 - [0] ----D C:\Users\TaVaK\AppData\Local\ESN => Empty Folder not necessary

O43 - CFD: 23/02/2013 - 15:56:20 - [0,291] ----D C:\Users\TaVaK\AppData\Local\PMB Files => Sony Corporation

O44 - LFC:[MD5.A48D8C80F99A5473D174152BE48B05B5] - 23/02/2013 - 14:16:48 ---A- . (...) -- C:\Windows\setupact.log [952] => Fichiers de rapport (Log)

O44 - LFC:[MD5.71841D45496A765C6773F6F4C23872CF] - 23/02/2013 - 13:13:32 ---A- . (...) -- C:\Windows\WindowsUpdate.log [1365791] => Fichiers de rapport (Log)

O44 - LFC:[MD5.50A75FEC40236D866094C5E450931981] - 21/02/2013 - 19:10:55 ---A- . (...) -- C:\Windows\DirectX.log [17533] => Fichiers de rapport (Log)

O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 13/02/2013 - 15:55:13 ---A- . (...) -- C:\Windows\setuperr.log [0] => Fichiers de rapport (Log)

[MD5.E563A65BAEA25CEF8F49FB0228CB8555] [sPRF][14/02/2013] (...) -- C:\Users\TaVaK\AppData\Local\Temp\vlc-2.0.5-win32.exe [22916830] => Temporary file not necessary

O87 - FAEL: "{BEA566EA-3237-4F1F-B05F-D8050C85B394}" |In - None - P6 - TRUE | .(...) -- G:\setup\hpznui40.exe (.not file.) => Fichier absent

C:\ProgramData\Partner => Game

[HKCU\Software\Conduit] => Toolbar.Conduit

[HKLM\Software\Wow6432Node\Conduit] => Toolbar.Conduit

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] => Toolbar.Skype

[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] => Toolbar.Skype

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] => Toolbar.Skype

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] => Toolbar.Skype

[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] => Toolbar.Skype

O87 - FAEL: "{F22BFD25-3220-4BCB-A492-6931B42AE4BC}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

O87 - FAEL: "{30F6097C-6A06-46E9-85CF-D6BDE4DB8BB9}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

O87 - FAEL: "{E57DDC37-889E-487F-B2B4-CDFF03B57B03}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe

O87 - FAEL: "{3CDDA498-FB56-4350-8C65-05EB326BD625}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe

EmptyFlash

EmptyTemp

EmptyClsid

FirewallRaz

Proxyfix

SysRestore

 

Cliquer sur "Go" |2]

 

Si vous ne voyez pas le boutonGo, cliquez sur le bouton du milieu, en haut, à gauche.[1]

Redémarrer pour achever le nettoyage.

 

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .

Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

 

 

[7aVaK]

Bonjour,

 

je l'ai lu croyez-moi mais je ne comprends pas un traître mot de ce rapport.

[7aVaK]

Rebonjour,

 

Voici le rapport demandéZHPFixReport

 

J'espère que ça va marcher, merci pour ton aide.

[pear]

Cela parait bon.

 

Un coup de plumeau..

 

Télécharger Junkware Removal Tool de thisisu

OS:Windows XP/Vista/7/8

Utilisable sur systèmes 32-bits et 64-bits

 

Clquez sur Jrt.exe avec droits administrateur.

 

Une fenêtre noire s'ouvre qui vous dit de cliquer une touche pour lancer le scan.

 

L'outil va prendre quelques minutes pour fouiller votre machine.

Patientez jusqu'à l'apparition de Jrt.txt dont vous posterez le contenu.

 

Comment poster les rapports

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[7aVaK]

Bonjour,

 

voici le rapport suite au nettoyage de Junkware: JRT Report

 

Merci

[pear]

cela semble bon.

 

Autre chose ?