Ordinateur Infecté

Votre ordinateur est infecté? vous avez un doute ? c'est ici
Répondre
yogui35
Novice
Novice
Messages : 6
Enregistré le : 09 nov. 2010, 12:15
Configuration matérielle : Windows Vista

Ordinateur Infecté

Message par yogui35 »

Bonjour,

Je fais appel à votre aide, car mon ordinateur est semble t-il infecté.
Il peut démarrer normalement, mais au bout de quelques minutes il se fige.

J'ai donc décidé de faire un petit diagnostique système grâce à ZHDiag, OTL et Hijackthis, je ne sais pas analyser ces rapports, mais à la dernière ligne du rapport ZHDiag, on trouve:
"Infection MagicControl/Navipromo (Possible)".

Je vous joint les rapports:

1/ le rapport ZHDiag
http://www.cijoint.fr/cjlink.php?file=c ... BEMm7O.txt

2/ le rapport OTL
http://www.cijoint.fr/cjlink.php?file=c ... 4qv1aC.txt

3/ HijackThis
http://www.cijoint.fr/cjlink.php?file=c ... 1XeGbK.txt

Chose à savoir, je suis à l'étranger, en Ouzbékistan exactement et mon PC portable infecté n'est pas connectable à internet ici.
Je ne dispose que du PC de mon bureau avec une très très très mauvaise connexion internet (hier j'ai mis tout l'après-midi pour télécharger un PDF de 2.2MB).

Pouvez-vous m'aider s'il vous plait, est-ce possible de le réparer? Si oui ce serait génial.

Merci d'avance pour votre aide

Yogui
Avatar du membre
bernard53
Support
Support
Messages : 3516
Enregistré le : 25 avr. 2008, 22:05
Configuration matérielle : Processeur intel 2 duo CPU E6750 2.66GHz
3GO mémoire vive

disque dur samsung 160Go

Re: Ordinateur Infecté

Message par bernard53 »

Bonsoir

fait ceci s.t.p mais normalement l'infection m'as l'air caduc.


*se mettre hors ligne

*désactiver absolument tous les programmes de sécurité.

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)
O2 - BHO: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll
O3 - Toolbar: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll
O4 - HKCU\..\Run: [wooes] c:\users\yogui\appdata\local\wooes.exe (.not file.) @MaCo
O4 - HKUS\S-1-5-21-1630038177-3741301881-925920103-1000\..\Run: [wooes] c:\users\yogui\appdata\local\wooes.exe (.not file.) @MaCo
O18 - Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll
[HKCU\Software\Zugo]
O43 - CFD:Common File Directory ----D- C:\Program Files\exe



Puis Lance ZHPFix depuis le raccourci du bureau.

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [H] ("coller les lignes Helper").

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment qui apparaitront.

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres.

* Puis clique sur le bouton [OK].
> À ce moment là, il apparaitra au début de chaque ligne une petite case vide. Ne touche plus à rien !

!! Déconnecte toi d'internet, désactive tes défenses (anti-virus, anti-spyware) et ferme bien toutes autres applications (navigateurs compris) !!


* Clique sur le bouton [Tous]. Vérifies que toutes les lignes soient bien cochées.

* Enfin clique sur le bouton [Nettoyer].


-> laisse travailler l'outil et ne touche à rien ...


Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)


Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !


Puis:


Installe Malewarebytes' Antimalware,
Téléchargement



*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.
*** il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.
Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) → cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.
:coucou:
Bonne visite sur: http://tuto-b.comli.com/
yogui35
Novice
Novice
Messages : 6
Enregistré le : 09 nov. 2010, 12:15
Configuration matérielle : Windows Vista

Re: Ordinateur Infecté

Message par yogui35 »

Bonjour,

Merci beaucoup pour votre aide, j ai effectue les taches conseillees.

Voici le rapport ZHPfix

Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-11-11-2010-23-36-01.txt
Run by YOGUI at 11/11/2010 23:36:01
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O2 - BHO: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll => Clé absente
HKCU\Software\Zugo => Clé absente

========== Valeur(s) du Registre ==========
O3 - Toolbar: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll => Valeur absente
O4 - HKCU\..\Run: [wooes] c:\users\yogui\appdata\local\wooes.exe (.not file.) @MaCo => Valeur absente
O4 - HKUS\S-1-5-21-1630038177-3741301881-925920103-1000\..\Run: [wooes] c:\users\yogui\appdata\local\wooes.exe (.not file.) @MaCo => Valeur absente

========== Elément(s) de donnée du Registre ==========
O18 - Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\vShare\vshare_toolbar.dll => Donnée non supprimée

========== Dossier(s) ==========
C:\Program Files\exe => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files\vshare\vshare_toolbar.dll () => Fichier absent
c:\users\yogui\appdata\local\wooes.exe () => Fichier absent


========== Récapitulatif ==========
2 : Clé(s) du Registre
3 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
2 : Fichier(s)


End of the scan

Pour le rapport de malware, je l ai oublie chez moi dans mon PC portable infecte. De mémoire, une seule erreur a été trouvée, 1 clé Ad-aware il me semble.

Mon PC peut maintenant redémarrer en mode normal, mais reste cependant très très lent, il a une très faible vitesse de réaction alors qu en mode sans échec il tourne bien.

J aimerais remédier a ce problème, mais je ne sais comment ...?

Peut-être ai-je trop de logiciel dans le dossier démarrage...?
Comment reduire le nombre de logiciel du menu demarrer ? exemple MSN dont je n ai pas besion.

Aussi, on me dit que mon anti-virus avast est périme mais je ne peux me connecter a internet avec mon PC portable, ici en ouzbekistan.

J ai aussi le logiciel TunesUp Utilities qui est cense accelerer et maintenir mon systeme... cela a t-il uneincidence ?

Bref, je ne sais pas comment agir pour recuperer mon ordi avec ses performances d avant.

Pouvez vous m aider s il vous plait?

Merci beaucoup

Yogui35
Avatar du membre
bernard53
Support
Support
Messages : 3516
Enregistré le : 25 avr. 2008, 22:05
Configuration matérielle : Processeur intel 2 duo CPU E6750 2.66GHz
3GO mémoire vive

disque dur samsung 160Go

Re: Ordinateur Infecté

Message par bernard53 »

J ai aussi le logiciel TunesUp Utilities qui est cense accelerer et maintenir mon systeme... cela a t-il uneincidence ?
Attention pour moi ce genre de logiciel, même si certains en sont content fait quelques fois plus de mal que d'amélioration.

Maintenant pour ton démarrage.


Démarrer >> Exécuter >> tapes msconfig puis rends toi a l'onglet démarrage et décoches tout cela.
O4 - HKLM..\Run: [dscactivate] C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe ( )
O4 - HKLM..\Run: [ECenter] c:\DELL\E-Center\EULALauncher.exe ( )
O4 - HKLM..\Run: [ISUSPM Startup] c:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe (Macrovision Corporation)
O4 - HKLM..\Run: [ISUSScheduler] C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe (Macrovision Corporation)
O4 - HKLM..\Run: [PCMService] C:\Program Files\Dell\MediaDirect\PCMService.exe (CyberLink Corp.)
O4 - HKLM..\Run: [QuickTime Task] C:\Program Files\QuickTime\QTTask.exe (Apple Inc.)
O4 - HKLM..\Run: [RoxWatchTray] C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe (Sonic Solutions)
O4 - HKLM..\Run: [SigmatelSysTrayApp] C:\Windows\sttray.exe (SigmaTel, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [VX1000] C:\Windows\vVX1000.exe (Microsoft Corporation)
O4 - HKCU..\Run: [ehTray.exe] C:\Windows\ehome\ehtray.exe (Microsoft Corporation)
O4 - HKCU..\Run: [msnmsgr] C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe (Microsoft Corporation)
O4 - HKCU..\Run: [wooes] c:\users\yogui\appdata\local\wooes.exe File not found
O4 - Startup: C:\Users\YOGUI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
Redémarre le pc.
Bonne visite sur: http://tuto-b.comli.com/
yogui35
Novice
Novice
Messages : 6
Enregistré le : 09 nov. 2010, 12:15
Configuration matérielle : Windows Vista

Re: Ordinateur Infecté

Message par yogui35 »

Bonjour,

Merci pour cette reponse rapide.
J'essaye ca ce soir chez moi.

Penses-tu que la demarche que tu me proposes permettra a mon ordi de fonctionner aussi rapidement qu'avant ?

j'espere que oui. Sinon ou agir ? Que pourrais-tu me conseiller?

Merci, j essaye de trouver internet demain pour te faire part de bonnes nouvelles je l espere.

Yogui35
Avatar du membre
bernard53
Support
Support
Messages : 3516
Enregistré le : 25 avr. 2008, 22:05
Configuration matérielle : Processeur intel 2 duo CPU E6750 2.66GHz
3GO mémoire vive

disque dur samsung 160Go

Re: Ordinateur Infecté

Message par bernard53 »

donne moi de tes nouvelles :wink:
Bonne visite sur: http://tuto-b.comli.com/
yogui35
Novice
Novice
Messages : 6
Enregistré le : 09 nov. 2010, 12:15
Configuration matérielle : Windows Vista

Re: Ordinateur Infecté

Message par yogui35 »

Bonjour;

Merci pour ton aide, j ai fais les modifications pour le demarrage.
Mon PC peut desormais redemarrer en mode normal cependant, il reste lent et trop souvent l explorateur windows ne repond pas.

En gros c est un peu mieux mais il rame... l explorateur window m enerve.

Vois-tu une solution ou traitement ... ou vais je devoir tout reinstaller en mode sortie d usine ?

Merci

Yogui35
Avatar du membre
bernard53
Support
Support
Messages : 3516
Enregistré le : 25 avr. 2008, 22:05
Configuration matérielle : Processeur intel 2 duo CPU E6750 2.66GHz
3GO mémoire vive

disque dur samsung 160Go

Re: Ordinateur Infecté

Message par bernard53 »

alors teste ceci.


1. Ciquer sur Démarrer
2. Cliquer sur Tout les Programmes
3. Cliquer sur Accessoires
4. Clique-droit sur " Invité de commandes "
5. Cliquer sur " exécuter en tant qu'administrateur "
6. Coller cette commande dans la fenêtre de prompt :
bcdedit.exe /set {current} nx AlwaysOff
7.Presser entrer, la phrase suivante devrait s'afficher "Opération réussie"
8. Redémarrer. La fonction DEP est à présent désactivée

** Si vous changez d'avis et que vous souhaitiez réactiver la fonction DEP il vous suffira de procéder de la même manière mais en collant ceci dans la fenêtre de prompt :
bcdedit.exe /set {current} nx AlwaysOn

Sinon ceci aussi.


Image


Puis dans la fenêtre qui s’affiche.
SFC*/SCANNOW

*pour un espace

Si des erreurs sont détectées et non réparées fait ceci pour faire apparaître le rapport des ces erreurs.

tapes cmd dans la recherche de Vista<ensuite clique droit sur la petite fenêtre noire nommée cmd.exe et choisis "Exécuter en tant qu'administrateur".

Nous restons dans l'invite de commandes en mode admin.
Tu y fais un copier-coller de :
findstr /C:"[SR] Cannot repair" %windir%\logs\cbs\cbs.log >sfcdetails2.txt
Valides par Entrer
Ensuite tu vas dans ce dossier :
C:\Windows\System32\ et tu postes par copier-coller le rapport sfcdetails2.txt
Bonne visite sur: http://tuto-b.comli.com/
yogui35
Novice
Novice
Messages : 6
Enregistré le : 09 nov. 2010, 12:15
Configuration matérielle : Windows Vista

Re: Ordinateur Infecté

Message par yogui35 »

Bonjour,

Merci pour ton aide, je fais ça ce soir chez moi.

Par contre je pars demain en déplacement pour 2 semaines, donc probablement pas internet.
Rendez-vous donc dans 2 semaines, à moins qu'internet ce glisse sur ma route...

Merci, on week-end

Yogui35
Avatar du membre
bernard53
Support
Support
Messages : 3516
Enregistré le : 25 avr. 2008, 22:05
Configuration matérielle : Processeur intel 2 duo CPU E6750 2.66GHz
3GO mémoire vive

disque dur samsung 160Go

Re: Ordinateur Infecté

Message par bernard53 »

Pas de soucis répond quand tu sera prêt.
:coucou:
Bonne visite sur: http://tuto-b.comli.com/
yogui35
Novice
Novice
Messages : 6
Enregistré le : 09 nov. 2010, 12:15
Configuration matérielle : Windows Vista

Re: Ordinateur Infecté

Message par yogui35 »

Bonjour ou bonsoir,

J ai retrouve le net... j ai effecue l operation, voila mon rapport:


2010-11-20 13:16:52, Info CSI 00000109 [SR] Cannot repair member file [l:20{10}]"tcpmon.ini" of Microsoft-Windows-Printing-StandardPortMonitor-TCPMonINI, Version = 6.0.6000.16386, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2010-11-20 13:17:09, Info CSI 0000010b [SR] Cannot repair member file [l:20{10}]"tcpmon.ini" of Microsoft-Windows-Printing-StandardPortMonitor-TCPMonINI, Version = 6.0.6000.16386, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2010-11-20 13:34:54, Info CSI 00000173 [SR] Cannot repair member file [l:20{10}]"tcpmon.ini" of Microsoft-Windows-Printing-StandardPortMonitor-TCPMonINI, Version = 6.0.6000.16386, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2010-11-20 13:34:54, Info CSI 00000175 [SR] Cannot repair member file [l:20{10}]"tcpmon.ini" of Microsoft-Windows-Printing-StandardPortMonitor-TCPMonINI, Version = 6.0.6000.16386, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2010-11-26 18:07:57, Info CSI 00000109 [SR] Cannot repair member file [l:20{10}]"tcpmon.ini" of Microsoft-Windows-Printing-StandardPortMonitor-TCPMonINI, Version = 6.0.6000.16386, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2010-11-26 18:08:14, Info CSI 0000010b [SR] Cannot repair member file [l:20{10}]"tcpmon.ini" of Microsoft-Windows-Printing-StandardPortMonitor-TCPMonINI, Version = 6.0.6000.16386, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2010-11-26 18:22:04, Info CSI 00000173 [SR] Cannot repair member file [l:20{10}]"tcpmon.ini" of Microsoft-Windows-Printing-StandardPortMonitor-TCPMonINI, Version = 6.0.6000.16386, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
2010-11-26 18:22:04, Info CSI 00000175 [SR] Cannot repair member file [l:20{10}]"tcpmon.ini" of Microsoft-Windows-Printing-StandardPortMonitor-TCPMonINI, Version = 6.0.6000.16386, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

Apparement il y a des erreurs non resolues....

Je ne sais pas, j ai aussi l impression que le ventilo de mon PC ne marche pas... est ce une piste ??

Si tu as des solutions ??

Merci pour ton aide

Yogui35
Avatar du membre
bernard53
Support
Support
Messages : 3516
Enregistré le : 25 avr. 2008, 22:05
Configuration matérielle : Processeur intel 2 duo CPU E6750 2.66GHz
3GO mémoire vive

disque dur samsung 160Go

Re: Ordinateur Infecté

Message par bernard53 »

Je ne sais pas, j ai aussi l impression que le ventilo de mon PC ne marche pas... est ce une piste ??
C'est une énorme piste car si ton pc chauffe il se mets automatiquement en sécurité.

donc en premier vérifies ta tour et fait lui un bon nettoyage anti poussière :mrgreen: .

Sinon le rapport indique plutot un soucis avec ton monitor et possible que tu eest besoin de mettre a jour ta carte graphique.
a vérifier ici.

http://www.touslesdrivers.com/index.php?v_page=29
Bonne visite sur: http://tuto-b.comli.com/
Répondre