[Résolu] PC plus pareil, demande d'aide pour voir si infection

[ceylia_6438]

Euh... oui, j'essaye de rester cool ! il le faut !

Je te donne le lien d'AdwCleaner :

http://cjoint.com/?DIAxpIktme5

 

J'en suis donc à l'examen de MalawareBytes et s'il dure trop longtemps (là plus d'1 H 20) je posterai le résultat demain !

Une petite chose, le 250914 donc deux jours avant, j'ai mis des choses en quarantaine, peut-être que tu voudras aussi voir ça.

Parfois on dit que les nettoyages font trop le ménage et de ce fait, suppriment des choses qui ne doivent pas être supprimées ?!

 

A bientôt...

[tomtom95]

Dans votre cas il est nécessaire de faire du ménage mais pas n'importe comment, et avec n'importe quoi

 

Après avoir posté le rapport de Malwarebytes

Vous allez refaire un diagnostic de votre ordinateur avec l'outil ZHPDiag

Reprendre la procédure du post#2 http://forum.zebulon.fr/pc-plus-pareil-demande-daide-pour-voir-si-infection-t208990.html

 

[ceylia_6438]

Bonjour Tomtom,

 

Je vous poste les résultats d'examen de MalwareBytes des jours (190914, 220914 et donc hier 260914), je ne savais si vous vouliez aussi les anciens.

 

http://cjoint.com/?DIBmavNkLfP 26

 

http://cjoint.com/?DIBl6qlSWmQ 22

 

http://cjoint.com/?DIBl5tYfsXy 19

 

Puis ensuite,

 

Voici le diagnostic de ZHPDiag :

http://cjoint.com/?3IBmxWB2yIt

[tomtom95]

Bonjour ceylia_6438,

 

Ok , Dommage de n'avoir pas activé la case Rootkits comme demander pour le scan personnalisé de MBAM.

Alors (Aucune action, choix de l'utilisateur,) il faut supprimer toutes les infections que trouve Malwarebytes.

Sinon tout ce que l'on fait ne sert à rien.

 

Commencer pas vider ceux qui son dans la quarantaine de Malwarebytes.

Ouvrez MBAM >> cliquez sur Historique >> Quarantaine >> cliquez sur Supprimer tout.

Relancez un scan de Malwarebyte >> cliquez en haut de l’interface sur Examen >> Examen Menace >>

Si l'outil vous propose d'autres mises à jour, valide en cliquant sur Mettre à jour maintenant

en fin de scan cette fois cliquer supprimer la sélection que touve MBAM.

 

[ceylia_6438]

Re bonjour Tomtom, et merci !

 

La case "Recherche de Rookits" avait bien été cochée, je suis certaine car j'avais regardé si elle ne se décochait pas.

Je viens de supprimer ce qu'il y a dans la Quarantaine ok.

 

Je vais refaire l'examen dans "Examen Menaces". Ok.

 

Je ne vous ai pas pas parlé d'une "chose" qui se trouve qui se trouve depuis quelques jours (peut-être l'avez-vous "vu") sur mon bureau. Celle-ci porte le nom de "edb.chk", je ne savais s'il fallait la supprimer alors je l'ai laissé.

Un fichier texte "dxva_sig.txt" avec la lettre "B" à l'intérieur (je ne pense pas que ça "craigne" mais je tenais à vous le signaler).

 

Quand on s'y connait pas, on ose pas....

[tomtom95]

Re,

le fichier Dxva_sig.txt est superflu est crée lors de la lecture de certaines vidéos.
C'est DirectX qui crée (dxva_sig.txt) et ça na rien de dangereux

edb.chk sur votre bureau ?? c'est des fragments de fichiers récupérés qui ce trouve normalement (C:\WINDOWS\system32\CatRoot2\edb.chk)

Faite ceci
Démarrer >> panneau de configuration >> options des dossiers >> onglet Affichage
cliquez sur Paramètres par défaut >> puis cliquez sur Appliquer et ok

[tomtom95]

Après le scan et suppression avec Malwarebyte.

 

 

• Fermez toutes les applications en cours (notamment votre navigateur)
  Désactivez vos protections (Antivirus )
• Cliquez sur l'icône ZHPFix,présent sur votre Bureau
  pour vista/W7/W8 clique-droit > exécuter en tant qu'administrateur
• Surlignez tout le texte ci-dessous puis cliquez droit Copier
  
  

  Script ZHPFix
  H:\Program Files\Pando Networks
  H:\Documents and Settings\Cathe\Local Settings\Application Data\Pando
  H:\Program Files\Sony\Sound Forge 7.0\keygen.exe
  L:\PSP_070408\FILTRES08\FlamePear KeyGen\Flaming Pear keygen.exe
  L:\PSP_070408\FILTRES08\FlamePear KeyGen\fp_keygenerator.zip
  L:\Filtres_PSP_2011\Richard_Rosenman\Depthfield\keygen.rar
  O3 - Toolbar\WebBrowser: (no name) - [HKCU]{0E5CBF21-D15F-11D0-8301-00AA005B4383} Clé orpheline
  O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline
  O3 - Toolbar\WebBrowser: (no name) - [HKCU]{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} Clé orpheline
  O23 - Service: Optimizer Pro Crash Monitor (d364c441) . (...) - h:\Program Files\Optimizer Pro\OptProCrash.dll (.not file.)
  O39 - APT: - (..) -- H:\WINDOWS\Tasks\Notification de fin de service de Microsoft Windows XP - à la connexion.job [222]
  O39 - APT: - (..) -- H:\WINDOWS\Tasks\Notification de fin de service de Microsoft Windows XP -mensuellement.job [216]
  O42 - Logiciel: McAfee Security Scan Plus - (.McAfee, Inc..) [HKLM] -- McAfee Security Scan
  O43 - CFD: 18/11/2010 - 19:53:33 - [0] ----D H:\Program Files\Norton Security Scan
  O43 - CFD: 14/10/2008 - 23:51:49 - [] ----D H:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
  O43 - CFD: 27/02/2011 - 00:18:08 - [] ----D H:\Program Files\Pando Networks
  O43 - CFD: 17/09/2012 - 15:45:52 - [] ----D H:\Program Files\Spybot - Search & Destroy
  O43 - CFD: 26/05/2008 - 12:42:49 - [] ----D H:\Program Files\Symantec
  O43 - CFD: 10/07/2009 - 10:47:30 - [] ----D H:\Program Files\TeaTimer (Spybot - Search & Destroy)
  O43 - CFD: 18/11/2010 - 19:53:32 - [0] ----D H:\Program Files\Fichiers communs\Symantec Shared
  O43 - CFD: 26/08/2014 - 11:44:19 - [] ----D H:\Documents and Settings\All Users\Application Data\McAfee
  O43 - CFD: 05/09/2014 - 19:35:00 - [] ----D H:\Documents and Settings\All Users\Application Data\McAfee Security Scan
  O43 - CFD: 18/11/2010 - 19:53:33 - [] ----D H:\Documents and Settings\All Users\Application Data\Norton => Symantec Norton
  O43 - CFD: 05/05/2010 - 18:03:00 - [] ----D H:\Documents and Settings\All Users\Application Data\NortonInstaller
  O43 - CFD: 17/09/2012 - 15:38:50 - [] ----D H:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
  O43 - CFD: 23/08/2009 - 18:02:16 - [] ----D H:\Documents and Settings\All Users\Application Data\Symantec
  O43 - CFD: 02/09/2008 - 15:49:05 - [] ----D H:\Documents and Settings\Cathe\Local Settings\Application Data\Pando
  O43 - CFD: 02/09/2008 - 15:48:11 - [] ----D H:\Documents and Settings\Cathe\Local Settings\Application Data\{B7FAF9AE-F225-44F3-B29D-2C3AD4AD26DB}
  O51 - MPSK:{18169e74-0651-11e3-9aa7-001e8c47ecd9}\AutoRun\command. (...) -- D:\HTC_Sync_Manager_PC.exe (.not file.)
  O51 - MPSK:{18169e75-0651-11e3-9aa7-001e8c47ecd9}\AutoRun\command. (...) -- J:\HTC_Sync_Manager_PC.exe (.not file.)
  O51 - MPSK:{212f498e-3389-11df-958a-001e8c47ecd9}\AutoRun\command - Clé orpheline
  O53 - SMSR:HKLM\...\startupreg\Pando [Key] . (...) -- H:\Program Files\Pando Networks\Pando\Pando.exe (.not file.)
  O61 - LFC: 23/09/2014 - 12:10:31 ---A- . (.ParetoLogic Inc..) -- H:\Documents and Settings\Cathe\Mes documents\mam_exe\ParetoLogic PC Health Advisor_fr.exe [5248216]
  SS - | Auto 10/07/1658 0 | (d364c441) . (...) - h:\Program Files\Optimizer Pro\OptProCrash.dll
  [HKLM\SYSTEM\CurrentControlSet\Services\d364c441]
  [HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ilivid]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ParetoLogic]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\Arpcache\SmartShopper]
  [HKCU\Software\AppDataLow\Software\vmn3_2dn]
  [HKCU\Software\Pando Networks]
  [HKLM\Software\Pando Networks]
  [HKLM\Software\McAfee.com]
  
  ShortcutFix
  PROXYFix
  EmptyPrefetch
  EmptyCLSID
  FirewallRaz
  EmptyTemp
  EmptyFlash
  Sysrestore

• Dans l'interface de ZHPFix Cliquez sur Importer et sur OK
  
  
  
  Attention :vérifiez que que toutes les lignes se sont collées
• Puis Cliquez sur "GO"
• Confirmez les nettoyages des données en cliquant sur "Oui"
  
  Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
• Une fois le scan terminé le fichier ZHPFixReport à été crée sur le bureau.
• Hébergez le rapport ZHPFixReport sur le site http://www.cjoint.com
  puis copier/coller le lien fourni dans votre prochaine réponse.

 

 

[ceylia_6438]

Re,

 

J'ai quelques questions.

Je peux donc supprimer ce fichier "Dxva_sig.txt" sur mon Bureau même s'il ne fait rien de mal ?!

Ensuite, à quoi cela sert de ne rien Modifier si on fait cette manipulation :

Démarrer >> panneau de configuration >> options des dossiers >> onglet Affichage
cliquez sur Paramètres par défaut (je pensais "entrer" dans une fonction)>> puis cliquez sur Appliquer et ok ?!

Si c'est déjà ainsi ?! il faut que ça soit "repris en compte ?!

 

Exact, ce fichier "edb.chk" est bien dans le chemin C:\WINDOWS\system32\CatRoot2\edb.chk

Sur le bureau je le "laisse" quand même ?!

 

Dans mon examen des Menaces de Malwarbytes aucun éléments n'a été détecté.

 

Je vais faire la manipulation sur ZHPFix comme vous le demandez "et vous reviens"... consciente que mes Filtres :

FlamePear et Richard_Rosenman n'y seront plus...

Si vous avez un petit moment, pouvez-vous aussi m'expliquer ces lignes, comment savez-vous qu'il faut supprimer tout ça (je sais que vous avez de l'expérience et c'est pour ça que je vous "interroge"... moi si "petite") et qu'il faut coller celles-ci dans ZHPFix et pas des autres ou tout coller.... j'aime bien comprendre... aussi...

 

Je reviens après fermeture du navigateur et arrêt de l'antivirus Avast,

Merci de me "coatcher" comme vous le faites... surtout que je ne fais pas confiance à tout le monde... mais ça vous avez du le voir !

[ceylia_6438]

Je vous donne le lien de ZHPFIX :

http://cjoint.com/?3IBqZ4ffaGI

[tomtom95]

Re,

 

 

surtout que je ne fais pas confiance à tout le monde... mais ça vous avez du le voir !

 

Oui je m'en suis aperçu

 

 

Je peux donc supprimer ce fichier "Dxva_sig.txt"

 

Non sinon je vous l'aurais dit.

 

Cette démarche sert à masquer les fichiers et dossier cachés oui vous pouvez le faire sans inquiétude

Démarrer >> panneau de configuration >> options des dossiers >> onglet Affichage
cliquez sur Paramètres par défaut >> puis cliquez sur Appliquer et ok

 

 

Oui vous laisser le fichier edb.chk pour le moment sur votre bureau

 

 

Dans mon examen des Menaces de Malwarbytes aucun éléments n'a été détecté

 

Vous pouvez posté le rapport MBAM

 

Voici une partie des lignes néfaste trouver sur votre pc
http://nicolascoolman.fr/pup-optimizerpro =>PUP.OptimizerPro
http://nicolascoolman.fr/30068076-pup-paretologic =>PUP.Paretologic
http://nicolascoolman.fr/spyware-vmntoolbar =>Spyware.VMNToolbar
http://nicolascoolman.fr/adware-bandoo =>Adware.Bandoo

 

Comment ce comporte votre système ?