FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[GetPerrier]

Bonjour à tous et merci d'avance de vos réponses.

Je suis nouvelle sur ce forum donc je ne sais pas si j'ai bien fais d'ouvrir un nouveau sujet. Excusez-moi si ce n'était pas la chose à faire...

Je vous appelles à l'aide suite à plusieurs manips infructueuses pour formater mon vieux PC portable Toshiba Satellite de 2006 je crois. Il tourne sous XP.

Je ne peux pas le formater car rapidement le lecteur Cd-Rom n'a plus été reconnu donc je ne peux pas utiliser la restauration.
Bref, le sujet n'est pas là. J'ai décidé d'au moins faire un bon nettoyage et voici les outils utilisés:
1 - ZHPDiag
2 - AdwCleaner
3 - Junkware Removal Tool
4 - Malwarebytes Anti-Malware
5 - de nouveau ZHPDiag dont voici le rapport = http://cjoint.com/?3GwnIKsj3A7http://cjoint.com/?3GwnIKsj3A7  

Quelqu'un pourrait-il m'aider en m'indiquant ce que je dois copier dans ZHPFix pour me nettoyer ce qu'il reste SVP?

Encore merci de votre amabilité.

Cdlmt,

Coline.

[2011N2]

Bonjour,



Si tu as bien fait de poster un nouveau sujet.

Pourrais-tu poster les rapports AdwCleaner, JRT et MBAM ?
AdwCleaner, dans C:, JRT sur le bureau et MBAM dans le logiciel (il faut l'exporter en format .txt).

Gabriel.

[GetPerrier]

Bonjour Gabriel et merci.

Voici les rapports:
AdwCleaner = http://cjoint.com/?3GwpgLTXebh
JRT = http://cjoint.com/?3GwphMsEZFC
et MBAM = http://cjoint.com/?3GwpiwGd56w

[2011N2]

Re,

Tu vas pouvoir réinitialiser tous tes mots de passe, ils ont probablement été volés apparemment. Mais attends encore un peu la fin de la procédure suivante.

Est-ce que tu pourrais refaire MBAM en Examen Personnalisé avec la recherche de rootkits activée STP ?
Pense à mettre à jour la base de données avant, et poste le rapport.

Gabriel.

[GetPerrier]

Ok Je m'exécutes et je reviens vers toi dès que c'est fini...

[2011N2]

D'accord.

@+

Gabriel.

[GetPerrier]

Je m'excuses Gabriel, au bout d'une heure et demi de scan le PC s'est éteint (soit surchauffe soit autre car message d'erreur "windows a récupéré d'une erreur sérieuse bla bla bla...").

Je ferais un exam un peu plus tard dans la soirée.

A+

Coline.

[2011N2]

Re,

Aucun problème.
Laisse-le reposer un peu, puis réessaye en mode sans échec avec prise en charge réseau s'il le faut : http://www.forum-entraide-informatique. ... rge-reseau

Gabriel.

[GetPerrier]

Bonjour bonjour!

J'espère que vous allez bien.

Victoire! avec le mode sans Echec l'examen de MBAM a pu aboutir et voici le rapport
= http://cjoint.com/?3GxkzVYtMcb

De plus, j'ai reçu un mail et un SMS de la part de facebook qui me disent qu'une demande de réinitialisation de mot de passe a été effectué... Je suis dubitative... JE fais une demande par moi-même? Je dois vraiment réinitialiser tout mes mots de passes??

Merci

[2011N2]

Salut,

Bien.

Normalement, tous tes mots de passe ont été volés, vu les infections que tu avais. Par exemple :
Spyware.Passwords.XGen, C:\Documents and Settings\colinebio\Local Settings\Temp\169.exe, Mis en quarantaine, [2e1b6996710977bfd33bced0bc44c838],

Ou du moins, tous les mots de passe que tu as entré depuis que le PC est infecté. Mais je suppose que tu ne sais pas depuis quand il est infecté, c'est pour cela qu'il vaut mieux prendre la précaution de tout changer.
Sois également très vigilante avec tes coordonnées bancaires si tu en as fait usage, il serait bon d'également demander à ta banque de nouveaux identifiants.

De plus, j'ai reçu un mail et un SMS de la part de facebook qui me disent qu'une demande de réinitialisation de mot de passe a été effectué... Je suis dubitative... JE fais une demande par moi-même?
Est-ce que tu avais déjà fait la demande ?
Si oui, alors vas-y, réinitialise.
Si non, alors c'est le pirate qui commence à réinitialiser tes comptes.

À présent, passe Shortcut_Module et poste le rapport hébergé : http://www.forum-entraide-informatique. ... e-tutoriel

Gabriel.

[GetPerrier]

Bon, ok je réinitialise tout mes mots de passes.

En attendant, je n'ai pas pu installer Shortcut car suite à sa MAJ, j'ai eu ça:
" /

Désolée...

[GetPerrier]

De plus, je n'arrive plus à démarrer en mode sans Echec... F4, F5, F8, F10... rien ne marche...

[2011N2]

Re,

Tu peux retélécharger Shortcut_Module STP, cela devrait être corrigé ?

On s'occupera du monde sans échec après.

Gabriel.

[GetPerrier]

Ok. Il en ai à 65%...

Pour info, j'ai pu le lancer en me déconnectant d'internet car il demandait à nouveau une MAJ qui se lance automatiquement et ensuite apparait/disparait aussitôt cette fenêtre:
" /

une fois de plus, merci de ton suivi...

[2011N2]

Re,

D'accord, il a terminé là ?

Gabriel.

[GetPerrier]

Bonjour Gabriel!

Je suis sincèrement désolée pour les délais de réponses mais le PC est vraiment très lent et je suis au travail en même temps (comme toi peut-être...).

Le nettoyage lancé hier quand je t'ai envoyé le message n'a pas aboutit, l'ordi a surchauffé et c'est éteint à 80% du nettoyage, il était environ 19h!!!
Je l'ai laissé refroidir, à 21h j'en ai relancé un en démarrant en mode sans echec (j'ai réussi c'est F8 mais il faut rester appuyer sur la touche...).
A 1h du matin ce n'était pas fini, il en était à 65%, il s'est éteint...

De plus, pendant le nettoyage j'ai eu des centaines de messages d'erreur, toujours le même, qui me disait que "Mes Vidéos est un fichier windows... bla bla on ne peut pas le déplacer....bla bla" à chaque fois que je fermais la boite de dialogue en cliquant sur ok, ça rajoutait un fichiers dans l'onglet du logiciel "fichiers infectés"...

Je n'en ai pas relancé depuis...

[2011N2]

Bonjour,

OK laisse tomber alors, mais il devrait avoir un rapport dans C:, tu peux le poster STP ?

Merci,

Gabriel.

[GetPerrier]

voici le dernier rapport...
= http://cjoint.com/?3GypwTpNCY2

[g3n-h@ckm@n]

salut le programme a eu un beug hier , ca n'a pas été supprimé mais ca bloquait dessus , tu peux le retélécharger , il est stable depuis ce matin

[GetPerrier]

Bonjour nouvel Helper et merci d'avance de ton aide

Donc redémarrage de mon ordi dès que j'ai vu votre message vers 10h30 et téléchargement de Shortcut, nouvelle version.

3 choses:
1)- au démarrage, j'ai une fenêtre qui s'ouvre de suite:


2)- avant l'installation de Shortcut, une petite fenêtre avec le message suivant:
[/img]

3) - lancement du nettoyage, message d'erreur mais pas le même que la dernière fois :
[/img]

Et bien sûr disparition du bureau (sauf le wallpaper! cool! ça me fais un cadre photo original!), impossibilité de faire quoique ce soit mais, heureusement!, le gestionnaire de tâche est opé!

Question: Qu'est-ce qu'on fait? On le jette à la poubelle cet ordi??   

Merci!

[2011N2]

Re,

Bon d'accord, fais un nouveau rapport ZHPDiag on va voir si on peut arranger les choses.

Gabriel.

[GetPerrier]

Salut Gabriel!

OK! je lance ça ;-)

[2011N2]

[GetPerrier]

Re

voici le rapport =
ça semble déjà plus propre, non?rapport ZHPDiag

Sinon, c'est possible d'avoir une petite explication concrête de qui fait quoi parmis tout les outils utilisés? A savoir AdwCleaner, JRG, MBAM, ZHPdiag, shortcut...?? qu'est-ce qui les différencient?
De plus, pourquoi un bon formatage du disque dur n'est pas conseillé?
Et puis, peut-être que je ne suis pas dans la bonne rubrique pour poser ces questions mais qu'est-ce que des PUP, des PROXY, des clés de registre, des clés orphelines??

D'avance, merci de vos lumières!

[2011N2]

Re,

Tu peux refaire ZHPDiag en cliquant sur Complet STP ?

Toutes les fonctions des outils sont expliquées dans les tutoriel, je t'invite à aller voir. Je vais te faire un court résumé tout de même si tu le souhaites :
AdwCleaner, Shortcut_Module, JRT : contre les adwares, LPIs, barre d'outils indésirables
MBAM : scanner généraliste permettant d'éradiquer un grand nombre de malwares.
ZHPDiag : logiciel de diagnostic pour voir l'état du PC et les infections qu'il y a.

PUP (Potentially Unwanted Programm) : LPI en français, Logiciel potentiellement indésirable. Plus d'infos dans le tutoriel AdwCleaner par exemple.
Proxy : voici une explication : https://fr.wikipedia.org/wiki/Proxy
Clés de registre, ce sont donc les données de la base de registre : https://fr.wikipedia.org/wiki/Base_de_registre
Clés orphelines : clés inutiles, souvent des restes de programmes désinstallés.

Gabriel.

[GetPerrier]

Bonjoir!

Merci pour ces précisions, c'est vraiment très aimable à toi/vous (je sais pas ce que je dois employer...)   

Voici le rapport ZHPD complet

A+
Co

[2011N2]

Bonjour,

Tu peux me tutoyer.

1/ Désinstalle Spybot, il est obsolète.

2/ On va vérifier une potentielle infection USB.
Passe UsbFix en Recherche et poste le rapport : http://www.forum-entraide-informatique. ... o-tutoriel

Gabriel.

[GetPerrier]

bonjour bonjour!!

voici le rapport:
############################## | UsbFix V 7.176 | [Recherche]

Utilisateur: colinebio (Administrateur) # BLACKPEARL
Mis à jour le 18/07/2014 par El Desaparecido - SosVirus
Lancé à 09:14:19 | 26/07/2014

Site Web : http://www.usbfix.net/
Changelog : http://www.usbfix.net/maj/
Assistance : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

################## | System information |

CPU: Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
RAM - [Total : 1022 Mo | Free : 296 Mo]
Boot: Normal boot

OS: Microsoft Windows XP (5.1.2600 32-Bit) Service Pack 3
WB: Internet Explorer : 6.00.2900.5512
WB: Mozilla Firefox : 31.0

################## | Security Information |

FW: Windows Firewall [Actif]
SC: Security Center [Actif]
WU: Windows Update [Actif]

################## | Disk Information |

C:\ (%SystemDrive%) - Disque fixe # 93 Go (59 Go libre(s) - 64%) [] # NTFS
D:\ - Disque fixe # 279 Go (21 Go libre(s) - 8%) [KG-DO300GB] # FAT32
E:\ - Disque amovible # 250 Mo (248 Mo libre(s) - 99%) [] # FAT
G:\ - Disque amovible # 7 Go (388 Mo libre(s) - 5%) [PERRIERCL] # NTFS
H:\ - Disque amovible # 7 Go (6 Go libre(s) - 78%) [] # FAT32

################## | Processus Actif |

C:\WINDOWS\system32\smss.exe (ID: 748|ParentID: 4|SYSTEM)
C:\WINDOWS\system32\winlogon.exe (ID: 828|ParentID: 748|SYSTEM)
C:\WINDOWS\system32\services.exe (ID: 872|ParentID: 828|SYSTEM)
C:\WINDOWS\system32\lsass.exe (ID: 884|ParentID: 828|SYSTEM)
C:\WINDOWS\system32\svchost.exe (ID: 1096|ParentID: 872|SYSTEM)
C:\WINDOWS\system32\svchost.exe (ID: 1200|ParentID: 872|SYSTEM)
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe (ID: 1256|ParentID: 872|SYSTEM)
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe (ID: 1344|ParentID: 872|SYSTEM)
C:\WINDOWS\system32\spoolsv.exe (ID: 1792|ParentID: 872|SYSTEM)
C:\Program Files\Toshiba\ConfigFree\CFSvcs.exe (ID: 1900|ParentID: 872|SYSTEM)
C:\WINDOWS\ehome\ehrecvr.exe (ID: 1936|ParentID: 872|SYSTEM)
C:\WINDOWS\ehome\ehSched.exe (ID: 1952|ParentID: 872|SYSTEM)
C:\Program Files\Java\jre7\bin\jqs.exe (ID: 2024|ParentID: 872|SYSTEM)
C:\WINDOWS\system32\nvsvc32.exe (ID: 232|ParentID: 872|SYSTEM)
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe (ID: 296|ParentID: 872|SYSTEM)
C:\WINDOWS\system32\svchost.exe (ID: 608|ParentID: 872|SYSTEM)
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe (ID: 632|ParentID: 872|SYSTEM)
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe (ID: 652|ParentID: 872|SYSTEM)
C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe (ID: 692|ParentID: 872|SYSTEM)
C:\WINDOWS\system32\msiexec.exe (ID: 1724|ParentID: 872|SYSTEM)
C:\WINDOWS\explorer.exe (ID: 2864|ParentID: 2728|colinebio)
C:\WINDOWS\ehome\ehtray.exe (ID: 3104|ParentID: 2864|colinebio)
C:\WINDOWS\ehome\ehmsas.exe (ID: 3164|ParentID: 1096|colinebio)
C:\WINDOWS\system32\rundll32.exe (ID: 3188|ParentID: 2864|colinebio)
C:\WINDOWS\system32\rundll32.exe (ID: 3196|ParentID: 3180|colinebio)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (ID: 3204|ParentID: 2864|colinebio)
C:\WINDOWS\RTHDCPL.exe (ID: 3224|ParentID: 2864|colinebio)
C:\Program Files\Synaptics\SynTP\Toshiba.exe (ID: 3232|ParentID: 3204|colinebio)
C:\WINDOWS\agrsmmsg.exe (ID: 3272|ParentID: 2864|colinebio)
C:\Program Files\Toshiba\TOSHIBA Applet\THotkey.exe (ID: 3300|ParentID: 2864|colinebio)
C:\WINDOWS\system32\TPSMain.exe (ID: 3308|ParentID: 2864|colinebio)
C:\Program Files\Toshiba\ConfigFree\NDSTray.exe (ID: 3464|ParentID: 2864|colinebio)
C:\Program Files\Toshiba\Tvs\TvsTray.exe (ID: 3480|ParentID: 2864|colinebio)
C:\Program Files\Toshiba\Utilitaire de zoom TOSHIBA\SmoothView.exe (ID: 3492|ParentID: 2864|colinebio)
C:\WINDOWS\system32\TPSBattM.exe (ID: 3504|ParentID: 3308|colinebio)
C:\Program Files\Toshiba\Commandes TOSHIBA\TFncKy.exe (ID: 3536|ParentID: 2864|colinebio)
C:\WINDOWS\system32\DLA\DLACTRLW.EXE (ID: 3552|ParentID: 2864|colinebio)
C:\Program Files\Intel\Wireless\Bin\ZCfgSvc.exe (ID: 3560|ParentID: 2864|colinebio)
C:\Program Files\Intel\Wireless\Bin\iFrmewrk.exe (ID: 3628|ParentID: 2864|colinebio)
C:\Program Files\DAEMON Tools\daemon.exe (ID: 3660|ParentID: 2864|colinebio)
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (ID: 3760|ParentID: 2864|colinebio)
C:\WINDOWS\system32\ctfmon.exe (ID: 3868|ParentID: 2864|colinebio)
C:\Program Files\Toshiba\TOSCDSPD\TOSCDSPD.exe (ID: 3888|ParentID: 2864|colinebio)
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe (ID: 2768|ParentID: 1096|colinebio)
C:\Program Files\Mozilla Firefox\firefox.exe (ID: 3088|ParentID: 2864|colinebio)
C:\WINDOWS\system32\wuauclt.exe (ID: 2548|ParentID: 1200|colinebio)
C:\Program Files\Fichiers communs\Java\Java Update\jucheck.exe (ID: 2472|ParentID: 3760|colinebio)
C:\UsbFix\UsbFix.exe (ID: 3212|ParentID: 2376|colinebio)

################## | Autorun |


################## | Regedit Run |

F2 - HKLM\..\Winlogon : [Shell] Explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,
F3 - HKCU\..\Winlogon : [Shell] Explorer.exe
04 - HKCU\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
04 - HKCU\..\Run : [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
04 - HKLM\..\Run : [ehTray] C:\WINDOWS\ehome\ehtray.exe
04 - HKLM\..\Run : [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
04 - HKLM\..\Run : [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
04 - HKLM\..\Run : [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
04 - HKLM\..\Run : [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
04 - HKLM\..\Run : [RTHDCPL] RTHDCPL.EXE
04 - HKLM\..\Run : [Alcmtr] ALCMTR.EXE
04 - HKLM\..\Run : [AGRSMMSG] AGRSMMSG.exe
04 - HKLM\..\Run : [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
04 - HKLM\..\Run : [TPSMain] TPSMain.exe
04 - HKLM\..\Run : [NDSTray.exe] NDSTray.exe
04 - HKLM\..\Run : [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
04 - HKLM\..\Run : [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
04 - HKLM\..\Run : [TFncKy] TFncKy.exe
04 - HKLM\..\Run : [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
04 - HKLM\..\Run : [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
04 - HKLM\..\Run : [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
04 - HKLM\..\Run : [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
04 - HKLM\..\Run : [CFSServ.exe] CFSServ.exe -NoClient
04 - HKLM\..\Run : [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
04 - HKLM\..\Run : [Ulead Quick-Drop] "C:\Program Files\Ulead Systems\Ulead DVD MovieFactory 5\Ulead DVD MovieFactory 5\Quick-Drop.exe" WINDOWCALL
04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
04 - HKU\S-1-5-19\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
04 - HKU\S-1-5-20\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
04 - HKU\S-1-5-21-3329346852-2869397574-2443377332-1005\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
04 - HKU\S-1-5-21-3329346852-2869397574-2443377332-1005\..\Run : [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
04 - HKU\S-1-5-18\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

################## | Recherche générique |

Présent! C:\RECYCLER\S-1-5-21-4371220185-5097117163-079012875-6601\Desktop.ini
Présent! C:\RECYCLER\S-1-5-21-4371220185-5097117163-079012875-6601\djwi2kcew.exe
Présent! C:\RECYCLER\S-1-5-21-4371220185-5097117163-079012875-6601
Présent! D:\t.com

################## | Registre |


################## | E.O.F | http://www.sosvirus.net/ | http://www.usbfix.net/ |

A+
Co

[2011N2]

Re,

OK, passe-le en Suppression et poste le rapport.

Ensuite tu pourras faire un nouveau rapport ZHPDiag.

Gabriel.

[GetPerrier]

Re.

voici:
USBFix en mode Nettoyage

ZHPDiag en mode Recherche et dans le doute, j'ai ensuite fais en mode Complet   
Co

[2011N2]

Re,

Super.

Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.

Gabriel.

[GetPerrier]

Voici => http://cjoint.com/?3GAlhnoTcPS

Alors docteur?

[2011N2]

Re,

Ça doit être propre, comment se comporte le PC ?

Il nous reste encore à finaliser.

Gabriel.

[GetPerrier]

Il semble aller plutôt bien...

Ok pour finalisation c'est toi qui décide ;-)

tu me diras ce qu'il faut que je fasse, je le ferais dès mon retour.

Merci beaucoup!!
bonne journée!!

Co

[2011N2]

Re,

Voici la finalisation : http://www.forum-entraide-informatique. ... nalisation
Tiens-moi au courant de ton avancée au fur et à mesure.

Gabriel.

[GetPerrier]

bonjour! j'espère que le WE a été bon.

J'ai voulu commencer la finalisation mais dès le premier programme, message d'erreur lors de l'installation   :


Sinon, je ne sais pas si c'est en rapport avec cette rubrique, mon PC est toujours aussi lent... Il m'avait envoyé un message d'avertissement concernant la mémoire virtuelle qui n'avait plus assez d'espace... J'irais voir dans un autre tutoriel après la finalisation?

A+
merci

Co

[2011N2]

Salut,

Quel programme ?

Tu as 1 Go de RAM c'est ça ?

Gabriel.

[GetPerrier]

Pardon, c'est pour PSI.
Et oui j'ai 1Go de RAM...

[2011N2]

Re,

Alors utilise Update Checker à la place de Secunia : http://www.forum-entraide-informatique. ... r-tutoriel

On verra si après la finalisation c'est toujours aussi lent.

Gabriel.

[GetPerrier]

Ok pour Update Checker. Pendant le téléchargement de ces MAJ, MBAM a détecté un site web malveillant et un non-malveillant fichiers détecté (un PUP...).
Que dois-je faire?