Bonjour, le problème est dans le titre. J'ai pourtant essayé de limiter les programmes au démarrage.
Pas très malin en informatique, je sollicite votre concours pour l'examen du rapport "ZHPDIAG" que je viens d'obtenir. Je ne sais pas quelles autres options utiliser éventuellement avec cet outil.
Voici le Lien correspondant au rapport : http://cjoint.com/?BJqq2u5CX2d
Merci par avance à celle ou celui qui voudra bien s'y coller !

Bonjour Aldebaran, un peu bref ce rapport

Recommence la manip en cliquant sur le tounevis vert dans ZHPDiag et tous

Avant de faire quoi que soit on va commencer par un diagnostic de ton PC

Scan ZHPDiag


Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

Scan


Télécharge ZHPDiag (de Nicolas coolman)


• Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
  
• Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Lance ZHPDiag en double cliquant sur présent sur ton bureau
• Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
• Clique sur Options
• Clique sur
  
• Clique en haut à gauche sur la loupe
• Laisse le scan se dérouler.
  
  
  
• Le scan terminé, clique sur la disquette
• Enregistre le rapport sur le bureau.
• Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Pour poster le rapport en lien utilise cet hébergeur de fichiers :

Désolé : je ne sais pas comment supprimer ce post excédentaire !

Je te remercie beaucoup.
Je vais faire ce que tu m'indiques.
J'ai toutefois 2 problèmes.
Le premier est que je ne parviens pas à démarrer ce foutu ZHPDiag à partir du raccourci installé sur le bureau. Je récolte à chaque fois après démarrage du scan, un arrêt et un message indiquant "Impossible d'accéder au fichier .txt qui est utilisé par un autre processus". J'ai essayé plein de fois. J'ai désinstallé, nettoyé le registre et vérifié que plus rien ne subsistait du programme ; mais rien à faire, après ré-installation je suis tombé sur la même impossibilité. Sans y croire, j'ai lancé le programme depuis le dossier de "Program Files" et là, miracle cela a fonctionné.
Le second problème est ce que tu me dis sur le caractère incomplet du rapport, car J'AVAIS COChé les options que tu m'indiques.
PArdon pour la longueur du texte !
Je vais refaire un scan, on verra bien.

[quote="zaede"]Bonjour Aldebaran, un peu bref ce rapport

Recommence la manip en cliquant sur le tounevis vert dans ZHPDiag et tous


Je te remercie beaucoup.
Je vais faire ce que tu m'indiques.
J'ai toutefois 2 problèmes.
Le premier est que je ne parviens pas à démarrer ce foutu ZHPDiag à partir du raccourci installé sur le bureau. Je récolte à chaque fois après démarrage du scan, un arrêt et un message indiquant "Impossible d'accéder au fichier .txt qui est utilisé par un autre processus". J'ai essayé plein de fois. J'ai désinstallé, nettoyé le registre et vérifié que plus rien ne subsistait du programme ; mais rien à faire, après ré-installation je suis tombé sur la même impossibilité. Sans y croire, j'ai lancé le programme depuis le dossier de "Program Files" et là, miracle cela a fonctionné.
Le second problème est ce que tu me dis sur le caractère incomplet du rapport, car J'AVAIS COChé les options que tu m'indiques.
Pardon pour la longueur du texte !
Je vais refaire un scan, on verra bien.

Re bonjour,
J'ai désisnstallé, réinstallé, et voici le Lien du nouveau rapport obtenu : http://cjoint.com/?BJrmqbSpapF
Cette fois, cela a fonctionné à partir du raccourci sur le Bureau.
Merci par avance, j'espère que cette fois le rapport est complet ?

zaede a écrit:Bonjour Aldebaran, un peu bref ce rapport

Recommence la manip en cliquant sur le tounevis vert dans ZHPDiag et tous

Avant de faire quoi que soit on va commencer par un diagnostic de ton PC

Scan ZHPDiag


Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

Scan


Télécharge ZHPDiag (de Nicolas coolman)


• Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
  
• Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
• Lance ZHPDiag en double cliquant sur présent sur ton bureau
• Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
• Clique sur Options
• Clique sur
  
• Clique en haut à gauche sur la loupe
• Laisse le scan se dérouler.
  
  
  
• Le scan terminé, clique sur la disquette
• Enregistre le rapport sur le bureau.
• Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Pour poster le rapport en lien utilise cet hébergeur de fichiers :

Bonsoir aldebaran, oui c'est complet et tu as une belle infection sur cette machine
Ne met pas mes procédures en citation stp, ça va surchargé le post

Script ZHPFix


Le temps de téléchargement du script a été volontairement limité à 4 jours

• Clique sur Script ZHPFix
• Sur la page qui s'ouvre clic droit et Tout sélectionner
• Refais un clic droit et Copier
• Double clique sur qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
  
  • Clique en haut à gauche sur la deuxième icône (colller le presse papiers)
  • Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
    
    
    
  • Clique sur
  • Confirme le nettoyage des données si demandé
    
    
    
  • Patiente le temps du traitement
  • Un rapport nommé ZHPFix[R*].txt sera créé et sauvegardé sur le bureau poste son contenu en lien dans ta prochaine réponse
• Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R*].txt

Ensuite:

- Télécharge Roguekiller (par tigzy) sur le bureau

- Quitte tous tes programmes en cours

- Lance RogueKiller.exe.

- Sous Vista/Seven, clique droit et lancer en tant qu'administrateur

- Attendre que le Prescan ait fini ...

- Clique sur Scan.

- Clique sur Rapport et copier coller le contenu du notepad dans la prochaine réponse

Bonjour Zaede,
et merciS, bien sûr.
Mais tu m'inquiètes !
Je suis chez moi ce soir, mais un imprévu m'oblige à me déplacer en province, demain vendredi jusqu'à samedi soir très tard. Je te dis cela pour que tu ne penses pas que je suis indifférent au problème, s'il n'est pas règlé ce soir. A mon retour, la première chose que je ferai sera de voir si j'ai de tes nouvelles. Merci encore, beaucoup.

Alors voici le Lien pour ZHPFix : http://cjoint.com/?BJsplKrSsw4

Et voici le résultat pour RogueKiller :
RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : xp [Droits d'admin]
Mode : Recherche -- Date : 18/10/2012 15:19:18

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\61883 (system32\DRIVERS\61883.sys) -> TROUVÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet002\Services\61883 (system32\DRIVERS\61883.sys) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD3000GLFS-01F8U0 +++++
--- User ---
[MBR] 8b6d639d147babc7377bf59ed4ca44d5
[BSP] 3eefa28111080df69e5c2618c1c2fffd : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 149997 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 307194930 | Size: 136168 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: WDC WD6400AAKS-00A7B0 +++++
--- User ---
[MBR] b4c6f068fa1b325c696a384b033af526
[BSP] ba876e68135e4392cf6f2abf7110c88e : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 159998 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 327677805 | Size: 159998 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 655355610 | Size: 159998 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 983033415 | Size: 130481 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: WD My Book 1112 IEEE 1394 SBP2 Device +++++
--- User ---
[MBR] 267695d74570957f321fb4cc1eb2cc45
[BSP] db517ab58cb0282e045fab579a67cd94 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 953192 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Bonjour Aldebaran, on continuera quand tu seras disponible, pas de soucis

Le rapport Roguekiller montre une infection plutôt mécha,nte mais on a de quoi traiter
On fera ça en deux étapes

Premiere partie:

Relance Roguekiller
- Clique sur suppression
- Clique sur Rapport et copier coller le contenu du notepad dans la prochaine réponse



deuxième partie

Étape 1: TDSSKiller (de Kaspersky), installation
Téléchargez tdsskiller.zip depuis le lien ci-dessous:
http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip

Extrayez de l'archive téléchargée le fichier TDSSKiller.exe et placez-le sur le Bureau.


Étape 2: TDSSKiller (de Kaspersky), exécution
Faites un double clic sur TDSSKiller.exe pour le lancer.

L'écran de TDSSKiller s'affiche:


Cliquez sur Change parameters

L'écran Settings de TDSSKiller s'affiche:


Cochez la case située devant Loaded modules

Il y a immédiatement ouverture d'une petite fenêtre "Reboot is required".


Cliquez sur le bouton Reboot now, ce qui va provoquer un redémarrage du PC.

Le PC redémarre.

TDSSKiller va se lancer automatiquement après ce redémarrage, et votre PC peut alors sembler être très lent et inutilisable.

Soyez patient, et attendez que vos programmes se chargent.

L'écran de TDSSKiller s'affiche:


Cliquez sur Change parameters

L'écran Settings de TDSSKiller s'affiche.
Cochez toutes les cases, comme ceci:


puis cliquez sur le bouton OK.

Cliquez maintenant sur Start scan pour lancer l'analyse.

Déroulement de l'analyse:


Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes),

Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer:

*- soit Cure - option par défaut, ne la modifiez pas
*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.
*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip. Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laissez l'action à entreprendre sur Skip:


Ensuite cliquez sur le bouton Continue

Un redémarrage est nécessaire:


Cliquez sur Reboot computer


Étape 3: Résultats
Envoyez en réponse:
*- le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)
%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:

Bonjour Zaede,
Je prends connaissance de ton envoi avant de m'éloigner jusqu'à samedi soir. Je vois que tu travailles tard sur ce Site. Merci. Je m'y colle en rentrant.

Bonjour Zaede,
J'ai profité de mon départ retardé pour entreprendre l'ouvrage que tu veux bien me demander.


Première partie :
J'ai relancé Roguekiller, cliqué sur suppression. Tu m'as demandé de copier/coller le résultat dans ma réponse. Voici :

RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : xp [Droits d'admin]
Mode : Suppression -- Date : 19/10/2012 07:09:15

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\61883 (system32\DRIVERS\61883.sys) -> SUPPRIMÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet002\Services\61883 (system32\DRIVERS\61883.sys) -> SUPPRIMÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD3000GLFS-01F8U0 +++++
--- User ---
[MBR] 8b6d639d147babc7377bf59ed4ca44d5
[BSP] 3eefa28111080df69e5c2618c1c2fffd : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 149997 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 307194930 | Size: 136168 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: WDC WD6400AAKS-00A7B0 +++++
--- User ---
[MBR] b4c6f068fa1b325c696a384b033af526
[BSP] ba876e68135e4392cf6f2abf7110c88e : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 159998 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 327677805 | Size: 159998 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 655355610 | Size: 159998 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 983033415 | Size: 130481 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: WD My Book 1112 IEEE 1394 SBP2 Device +++++
--- User ---
[MBR] 267695d74570957f321fb4cc1eb2cc45
[BSP] db517ab58cb0282e045fab579a67cd94 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 953192 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt


Deuxième partie : J'ai un problème avec TDSSKILLER. J'ai suivi soigneusement les instructions, qui sont très clairement expliquées. Tout se passe comme indiqué, jusqu'à l'affichager des résultats.

Il n'y a pas d'objets nuisibles, mais une très grande suite d'objets suspects. Comme demandé, je laisse tout sur "Skip". Et je clique sur "continue".

A ce moment, je n'obtiens PAS le panneau indiqué "It is necessary to reboot for cure completion". Et donc ... je ne peux pas rebooter la machine.
Sur ce Lien, tu verras le panneau que j'obtiens à ce stade :
http://cjoint.com/?BJtlKJaa9sv

ET sur ces 2 Liens, tu verras les résultats obtenus, qui sont des "Copies d'écran" :
http://cjoint.com/?BJtlMFV9u7W
http://cjoint.com/?BJtlPaX16kl

Je te précise que j'ai refait une fois la manip, après avoir rebooté, évidemment, et que j'ai obtenu la même différence par rapport à ce qui est annoncé dans les instructions : pas de panneau invitant au reboot.

Merci. Je reste attentif à tes prochaines instructions. (Mais absent à partir de ce soir jusqu'à dimanche).

Re, l'outil a sans doute été modifié recemment
Un clic sur scan dans ce cas la

Tu as encore des soucis?

zaede a écrit:Re, l'outil a sans doute été modifié recemment
Un clic sur scan dans ce cas la

Tu as encore des soucis?

Salut Zaede,
Si je clique à nouveau sur "Scan", à ce stade, l'outil recommence gentiment, et sans s'énerver. Puis accouche des mêmes résultats... Je fais quoi maintenant ? Je mets en quarantaine ?

Re bonjour Zaede,
En parcourant le Forum, j'y ai vu ton intervention de cet après-midi, et ta préconisation sur un Post d'utiliser l'outil AdvCleaner.
J'ai pris l'initiative de le passer sur ma machine, en espérant n'avoir pas fait une bêtise !
Voici le Lien correspondant au rapport : http://cjoint.com/?BJvrwyNuN0E

Je vois que le bougre m'a supprimé ceci :
C:\Documents and Settings\xp\Application Data\Mozilla\Firefox\Profiles\6dfpn8hw.Profil_Essai\user.js ... Supprimé !
J'espère que c'est indolore ? J'avais 2 profils sur Firefox, et je crois bien que celui que j'utilise depuis plusieurs mois s'appelle "Essai"...
Merci pour ton aide.

Re, ok ça dégagera search scopes toujours ce qui n'est pas négligeable

Met le résultat trouvé par tdsskiller en quarantaine et redemarre le PC

tu as encore des soucis?

Bonjour Zaede,

Non, je n'ai pas l'impression d'avoir de souci.
Mais 2 questions encore :

1.- Concernant AdvCleaner que j'ai utilisé hier, que penses-tu du fait qu'il m'a supprimé ceci :
C:\Documents and Settings\xp\Application Data\Mozilla\Firefox\Profiles\6dfpn8hw.Profil_Essai\user.js ... Supprimé !
J'espère que c'est indolore ? J'avais 2 profils sur Firefox, et je crois bien que celui que j'utilise depuis plusieurs mois s'appelle "Essai"...

2.- Je peux vraiment sans risques, mettre en quarantaine tout ce que Tdsskiller me signale en "malicious" ?

A tout hasard, je te donne à nouveau le rapport obtenu : http://cjoint.com/?BJwlZbLGL1w
Merci beaucoup pour ton aide.

Re, si tu parles de ceci

C:\Documents and Settings\xp\Application Data\Mozilla\Firefox\Profiles\6dfpn8hw.Profil_Essai\user.js

User.js se recrée quand on ouvre la session et l'avantage est de savoir qu'il sera sain. C'est user.js qui est supprimé et non la session 6dfpn8hw.Profil_Essai\

L'avantage de mettre en quarantaine un fichier douteux est qu'on peut le remettre en place si necessaire
TDSSKiller est developpé par Kaspersky et en général a que peu de faux positif. Malheureusement le risque zero n'existe pas