| [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" | |
|
|
|
Auteur | Message |
---|
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Sam 11 Sep 2010 - 18:46 | |
| Bonjour à tous, Il y a bien longtemps depuis ma dernière visite, que je n'avais pas de problème. Aujourd'hui 11 Septembre, au démarrage du PC antivir m'a révélé un résultat positif pour ce virus TR/Opachki.D.24
je vous joins les rapports, en sachant que MALWAREBYTES ne veut pas démarrer le scan.
1er rapport zgp diag http://cjoint.com/?jlsIKZboWC
2ème rapport rsit log.txt http://cjoint.com/?jlsKugAGvB
3ème rapport rsit info.txt http://cjoint.com/?jlsLHRwPoY
Vous remerciant par avance
Cordialement
| |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Sam 11 Sep 2010 - 21:01 | |
| Bonsoir, Il y a plusieurs infections sur ton PC. Fais ceci : Désactiver le Tea-Timer de Spybot S&D s'il est installé sur le PC car il risque de gêner la désinfectionDémarrez Spybot, cliquez sur " Mode", cochez " Mode avancé". A gauche, cliquez sur " Outils", puis sur " Résident". Décochez la case devant Résident "TeaTimer" puis quittez SpybotPuis : - Télécharge Ad Remover (de C_XX) ici ou ici sur ton bureau
/!\ Déconnecte toi et ferme toutes les applications ouvertes/!\- Double-cliquer sur l'icône Ad Remover
- Au menu principal du programme, cliquer sur Scanner
- Confirmer le démarrage de l'analyse
- Laisser l'outil travailler le temps nécessaire
- Un rapport va s'ouvrir à la fin de l'analyse
- Copie (Ctrl+C)/Colle (Ctrl+V) le rapport dans ta prochaine réponse
(le rapport est également sauvegardé sous C:\Ad-Scan-.txt)
Elowen | |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: virus au démarrage de l'ordinateur "TR/Opachki.D.24" Sam 11 Sep 2010 - 22:04 | |
| Bonsoir Elowen,
Merci pour votre réponse, je suis sur un autre PC, j'ai imprimé la réponse;
Mon souci , j'ai une autre erreur au démarrage maintenant à savoir :
svchost.exe erreur d'application instruction à "0x001 a 61 bb" emploie l'adresse mémoire "0x00000000" La mémoire ne peut pas être "wittren" OK pour quitter - annuler pour déboguer. En faisant OK l'ordi est bloqué; Donc en annulant je peux encore démarrer; Par contre je n'arrive plus à me connecter à internet en wifi.
Si vous avez une réponse, ou alors demain je regarderai en mettant le câble Ethernet.
J'ai imprimé votre réponse pour pouvoir réparer demain.
Merci encore
Cordialement Capmatifou | |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Sam 11 Sep 2010 - 22:18 | |
| As-tu essayé de démarrer en mode sans échec pour voir si l'erreur se produit ? Tente un mode sans échec avec prise en charge réseau. Voici comment faire : Démarrer en mode sans échec :
- Redémarrer le PC et tapoter la touche F8 (ou F5 selon les modèles) dès l'affichage du logo constructeur (attention, le laps de temps accordé pour le faire est très court)
- Dans le menu d'options avancées de démarrage, choisir Mode sans échec avec prise en charge réseau
- Presser deux fois la touche Entrée
- A l'écran de choix, sélectionner le système d'exploitation à démarrer en mode sans échec
- Saisir, le cas échéant, le nom d'utilisateur et le mot de passe administrateur
- Une fois sous Windows, cliquer sur "oui" à la question posée
Windows est en mode sans échec Il n'y aura plus le papier peint du bureau, c'est tout fait normal.Dis moi si ça fonctionne sinon, on ira voir du côté des processus pour essayer d'alléger. Sinon, pour la connexion internet, essaie effectivement une connexion via éthernet....en espérant que ça marche... | |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 12:25 | |
| Bonjour Elowen,
J'ai pu me connecter avec le câble Ethernet.
Voici le rapport que tu m'as demandé Ad remover
======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par C_XX le 06/09/10 à 15:20 Contact: AdRemover.contact[AT]gmail.com Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 12:05:38 le 12/09/2010, Mode normal
Microsoft Windows XP Professionnel Service Pack 3 (X86) moi@YOUR-A289DD5720 ( ) ============== RECHERCHE ==============
0,Dossier trouvé: C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\extensions\{486E390A-7713-433F-A882-8B52263E595A} 0,Fichier trouvé: C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\searchplugins\fast-browser-search.xml 0,Dossier trouvé: C:\Documents and Settings\moi\Local Settings\Application Data\Conduit 0,Dossier trouvé: C:\Program Files\GeneaBarre 0,Dossier trouvé: C:\Documents and Settings\All Users\Application Data\Trymedia
-- Fichier ouvert: C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\Prefs.js -- Ligne trouvée: user_pref("CT2542115.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_... Ligne trouvée: user_pref("CT2542115.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT254... Ligne trouvée: user_pref("browser.search.defaultenginename", "Fast Browser Search"); Ligne trouvée: user_pref("browser.search.defaultthis.engineName", "Fast Browser Search"); Ligne trouvée: user_pref("browser.search.defaulturl", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&... Ligne trouvée: user_pref("browser.search.order.1", "Fast Browser Search"); Ligne trouvée: user_pref("browser.search.selectedEngine", "Fast Browser Search"); Ligne trouvée: user_pref("keyword.URL", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=4&tid={C478... -- Fichier Fermé --
0,Clé trouvée: HKLM\Software\Classes\Toolbar.CT2542115 0,Clé trouvée: HKLM\Software\Trymedia Systems 0,Clé trouvée: HKCU\Software\Conduit 0,Clé trouvée: HKCU\Software\pacificpoker 0,Clé trouvée: HKCU\Software\pokerinstaller 3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} 3,Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
0,Valeur trouvée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{66886C4D-B307-4ECA-A228-52CA9B9851A4}
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.9 (fr)] **
-- C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\User.js -- keyword.URL, hxxp://redirecterror.sfr.fr/?q=
-- C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\Prefs.js -- browser.download.dir, C:\\Documents and Settings\\moi\\Bureau\\TOUS LES TELECHARGMENTS browser.search.defaultenginename, Fast Browser Search browser.search.defaulturl, hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=4&q= browser.search.selectedEngine, Fast Browser Search browser.startup.homepage, hxxp://www.sfr.fr/fr/adsl.jsp browser.startup.homepage_override.mstone, rv:1.9.2.9 keyword.URL, hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=4&tid={C47834DA-49BA-C3DD-FD52-8534B8D92211}...
-- C:\Documents and Settings\chevalier DULYS\Application Data\Mozilla\FireFox\Profiles\qut8owxc.default\Prefs.js -- browser.startup.homepage, hxxp://www.sfr.fr/fr/adsl.jsp browser.startup.homepage_override.mstone, rv:1.9.2.9 privacy.popups.showBrowserMessage, false
========================================
** Internet Explorer Version [8.0.6001.18702] **
[HKCU\Software\Microsoft\Internet Explorer\Main] Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Do404Search: 0x01000000 Enable Browser Extensions: yes Local Page: C:\WINDOWS\system32\blank.htm SearchAssistant: Search bar: hxxp://g.msn.fr/0SEFRFR/SAOS02 Search Page: hxxp://home.microsoft.com/access/allinone.asp Show_ToolBar: yes Start Page: hxxp://www.sfr.fr/kit/adsl/ Use Custom Search URL: 1 Use Search Asst: no
[HKLM\Software\Microsoft\Internet Explorer\Main] Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157 Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Delete_Temp_Files_On_Exit: yes Local Page: C:\WINDOWS\system32\blank.htm SearchAssistant: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm Search bar: hxxp://search.msn.com/spbasic.htm Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896 Start Page: hxxp://www.tropal.net/ Use Custom Search URL: 0 Use Search Asst: no
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] Tabs: res://ieframe.dll/tabswelcome.htm Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s) C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)
C:\Ad-Report-SCAN[1].txt - 12/09/2010 (2729 Octet(s))
Fin à: 12:15:01, 12/09/2010 ============== E.O.F ==============
merci d'avance
bon dimanche
cordialement
| |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 12:30 | |
| Bonjour, Tu as bien désactivé le tea-timer ? Laisse-le désactivé et fais ceci : - Télécharge Ad Remover (de C_XX) ici ou ici sur ton bureau
/!\ Déconnecte toi et ferme toutes les applications ouvertes/!\- Double-cliquer sur l'icône Ad Remover
- Au menu principal du programme, cliquer sur Nettoyer
- Confirmer le démarrage de l'analyse
- Laisser l'outil travailler le temps nécessaire
- Un rapport va s'ouvrir à la fin de l'analyse
- Copie (Ctrl+C)/Colle (Ctrl+V) le rapport dans ta prochaine réponse
(le rapport est également sauvegardé sous C:\Ad-Report-CLEAN.txt)
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 13:20 | |
| Re,
je vous joint le rapport demandé,
mais avant, une chose lorsque l'ordinateur a redémarré, il y a 2 programmes qui ceux sont affichés, GENERIC HOST PROCESS FOR WIN 32 SERVICE et NTDEVICE.EXE motif a rencontré un problème et doit fermer. choisir débogage - envoyer le rapport d'erreur - ne pas envoyer - je n'ai rien fait de peur que tout se bloque,
et j'ai pu faire le rapport que voici
======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par C_XX le 06/09/10 à 15:20 Contact: AdRemover.contact[AT]gmail.com Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 12:47:36 le 12/09/2010, Mode normal
Microsoft Windows XP Professionnel Service Pack 3 (X86) moi@YOUR-A289DD5720 ( ) ============== ACTION(S) ==============
0,Dossier supprimé: C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\extensions\{486E390A-7713-433F-A882-8B52263E595A} 0,Fichier supprimé: C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\searchplugins\fast-browser-search.xml 0,Dossier supprimé: C:\Documents and Settings\moi\Local Settings\Application Data\Conduit 0,Dossier supprimé: C:\Program Files\GeneaBarre 0,Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Trymedia
(!) -- Fichiers temporaires supprimés.
-- Fichier ouvert: C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\Prefs.js -- Ligne supprimée: user_pref("CT2542115.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_... Ligne supprimée: user_pref("CT2542115.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT254... Ligne supprimée: user_pref("browser.search.defaultenginename", "Fast Browser Search"); Ligne supprimée: user_pref("browser.search.defaultthis.engineName", "Fast Browser Search"); Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&... Ligne supprimée: user_pref("browser.search.order.1", "Fast Browser Search"); Ligne supprimée: user_pref("browser.search.selectedEngine", "Fast Browser Search"); Ligne supprimée: user_pref("keyword.URL", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=4&tid={C478... -- Fichier Fermé --
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115 0,Clé supprimée: HKLM\Software\Trymedia Systems 0,Clé supprimée: HKCU\Software\Conduit 0,Clé supprimée: HKCU\Software\pacificpoker 0,Clé supprimée: HKCU\Software\pokerinstaller 3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} 3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{66886C4D-B307-4ECA-A228-52CA9B9851A4}
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.9 (fr)] **
-- C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\User.js -- keyword.URL, hxxp://redirecterror.sfr.fr/?q=
-- C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\Prefs.js -- browser.download.dir, C:\\Documents and Settings\\moi\\Bureau\\TOUS LES TELECHARGMENTS browser.startup.homepage, hxxp://www.sfr.fr/fr/adsl.jsp browser.startup.homepage_override.mstone, rv:1.9.2.9
-- C:\Documents and Settings\chevalier DULYS\Application Data\Mozilla\FireFox\Profiles\qut8owxc.default\Prefs.js -- browser.startup.homepage, hxxp://www.sfr.fr/fr/adsl.jsp browser.startup.homepage_override.mstone, rv:1.9.2.9 privacy.popups.showBrowserMessage, false
========================================
** Internet Explorer Version [8.0.6001.18702] **
[HKCU\Software\Microsoft\Internet Explorer\Main] Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Do404Search: 0x01000000 Enable Browser Extensions: yes Local Page: C:\WINDOWS\system32\blank.htm SearchAssistant: Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896 Show_ToolBar: yes Start Page: hxxp://fr.msn.com/ Use Custom Search URL: 1 Use Search Asst: no
[HKLM\Software\Microsoft\Internet Explorer\Main] Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896 Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Delete_Temp_Files_On_Exit: yes Local Page: C:\WINDOWS\system32\blank.htm Search bar: hxxp://search.msn.com/spbasic.htm Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Start Page: hxxp://fr.msn.com/ Use Custom Search URL: 0 Use Search Asst: no
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] Tabs: res://ieframe.dll/tabswelcome.htm Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 8 Fichier(s) C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 12/09/2010 (2566 Octet(s)) C:\Ad-Report-SCAN[1].txt - 12/09/2010 (5235 Octet(s))
Fin à: 12:55:00, 12/09/2010 ============== E.O.F ==============
| |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 14:12 | |
| Il faut essayer de stopper le processus infectieux qui génère ce message au démarrage :
Étape 1: rkill (de Grinler), téléchargement Télécharger rkill depuis l'un des liens ci-dessous:
Lien 1 Lien 2 Lien 3 Lien 4 http://download.bleepingcomputer.com/grinler/eXplorer.exe http://download.bleepingcomputer.com/grinler/iExplore.exe
Enregistrer le fichier sur le Bureau.
2: Désactiver le module résident de l'antivirus et celui de l'antispyware.
3: rkill (de Grinler), exécution Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
Ne pas redémarrer l'ordinateur après l'exécution de rkill car le processus malveillant se réactivera. Poste le rapport se situant en %SystemDrive%\rkill.log
Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des liens ci-dessus et faire une nouvelle tentative d'exécution.
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 14:43 | |
| voici :
This log file is located at C:\rkill.log. Please post this only if requested to by the person helping you. Otherwise you can close this log when you wish. Ran as moi on 12/09/2010 at 14:40:45.
Services Stopped:
Processes terminated by Rkill or while it was running:
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE C:\Documents and Settings\moi\Bureau\eXplorer.exe
Rkill completed on 12/09/2010 at 14:40:57.
| |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 15:12 | |
| => Télécharge WORT de Dj QUIOU et la Team sécurité MicroHebdo
=> enregistre le fichier sur ton bureau.
=> double-clique sur le fichier WORT.exe pour lancer l'installation. /!\ sélectionnes uniquement le bureau comme emplacement d'installation.
=> lance le programme en double- cliquant sur le fichier Wareout_removal_tool.bat et sélectionnes l'option n°1
=> patiente durant la sauvegarde du registre puis lis bien les instructions à l'écran et laisse le programme analyser ton ordinateur.
=> parfois il te faudra cliquer sur une touche pour continuer l'analyse
=>à la fin de l'analyse (qui peut durer jusqu'a 10 minutes) un rapport apparait, si ce n'est pas le cas il se situe dans C:\WORT\WORT_report.txt. Poste le contenu de ce rapport.fermes ensuite WORT.
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 15:49 | |
| merci de me dire si je ferme wareout par la croix, car il ne s'est pas refermé après le rapport
que voici :
===== Rapport WareOut Removal Tool ===== version 3.6.2 analyse effectuée le 12/09/2010 à 15:40:10,38 Résultats de l'analyse : ======================== ~~~~ Recherche d'infections dans C:\ ~~~~ ~~~~ Recherche d'infections dans C:\Program Files\ ~~~~ ~~~~ Recherche d'infections dans C:\WINDOWS\system\ ~~~~ ~~~~ Recherche d'infections dans C:\WINDOWS\system32\ ~~~~ ~~~~ Recherche d'infections dans C:\WINDOWS\system32\drivers\ ~~~~ ~~~~ Recherche d'infections dans C:\Documents and Settings\moi\Application Data\ ~~~~ ~~~~ Recherche d'infections dans C:\Documents and Settings\moi\Bureau\ ~~~~ ~~~~ Recherche de détournement de DNS ~~~~ ~~~~ Recherche de Rootkits ~~~~ _______________________________________________________________________ catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-09-12 15:41:22 Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden files ...
scan completed successfully hidden files: 0
_______________________________________________________________________
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon System REG_SZ
~~~~ Recherche d'infections dans C:\DOCUME~1\moi\LOCALS~1\Temp\ ~~~~ ~~~~ Recherche d'infections dans C:\Documents and Settings\moi\Start Menu\Programs\ ~~~~ ~~~~ Nettoyage du registre ~~~~ ~~~~ Tentative de réparation des entrées suivantes: ~~~~ [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System" [HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service] [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service] ~~~~ Vérification: ~~~~
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon System REG_SZ
_________________________________ développé par http://pc-system.fr _________________________________
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 15:51 | |
| tout s'est refermé quand j'ai pris le rapport que tu viens d'avoir, excuse moi je suis novice | |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 16:05 | |
| Refais une analyse avec ZHPDiag et poste moi le lien du rapport hébergé.
Merci.
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 16:32 | |
| voici les liens
C'est ce même lien que vous devrez transmettre à vos correspondants http://www.cijoint.fr/cjlink.php?file=cj201009/cijB8OYmhq.txt
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 16:57 | |
| Elowen,
j'ai été regardé dans les rapports d'antivir, cette chose est arrivée hier 11/09/2010 à 11h00 je t'ai regroupé les rapports, la journée du 11 (j'ai fait cour) et du 12 09 10, si cela peut t'aider :
Le nom du fichier est « pizda_ntload.dll »
GUARD Logiciel malveillant détecté 11/09/10, 11h06 :22 Dans le fichier 'C:\Documents and Settings\chevalier DULYS\pizda_ntload.dll' un virus ou un programme indésirable 'TR/Opachki.D.24' [trojan] a été détecté. Action exécutée : Refuser l'accès
GUARD Logiciel malveillant détecté 12/09/10, 14h39 :32 Dans le fichier 'C:\Documents and Settings\moi\pizda_ntload.dll' un virus ou un programme indésirable 'TR/Opachki.D.24' [trojan] a été détecté. Action exécutée : Refuser l'accès
GUARD Logiciel malveillant détecté 12/09/10, 15h28 :24 Dans le fichier 'C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP161\A0079214.dll' un virus ou un programme indésirable 'TR/Opachki.D.24' [trojan] a été détecté. Action exécutée : Déplacer le fichier en quarantaine
| |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 17:33 | |
| Merci pour les détails donnés par Antivir.
Applique cette procédure, en respectant l'ordre des étapes :
• Lance ZHPFix (soit par le raccourci sur ton Bureau, soit via ZHPDiag (si tu ne l'as pas fermé depuis) en cliquant sur le bouclier vert situé en haut à droite) • Copie toutes les lignes en gras ci-après (les sélectionner puis clic droit puis "copier") :
---------------------------------------------------------- F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\ntdevice.exe [MD5.B68B362B39B0B81B0E12689B47F56AC9] - (.lhbbc - Pas de description.) -- C:\WINDOWS\system32\ntdevice.exe [46592] O42 - Logiciel: Search Settings 1.1 - (.Pas de propriétaire.) [HKLM] -- {32AD1A7A-25F1-44B9-A396-EA8A4A6605B0} O42 - Logiciel: Search Settings 1.1 - (.Pas de propriétaire.) [HKLM] -- {32AD1A7A-25F1-44B9-A396-EA8A4A6605B0} O17 - HKLM\System\CCS\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CCS\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS3\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS3\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 [HKCU\Software\?? ?? ???? ????? ??? ?? ????] R3 - URLSearchHook: Microsoft Url Search Hook - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.) R3 - URLSearchHook: Microsoft Url Search Hook - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) (4, 5, 188, 6) -- C:\Program Files\Mininova-Vuze\tbMini.dll R3 - URLSearchHook: Microsoft Url Search Hook - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.) O2 - BHO: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll O3 - Toolbar: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll [HKCU\Software\Mininova-Vuze] O43 - CFD:Common File Directory ----D- C:\Program Files\Mininova-Vuze OPT:O4 - HKLM\..\Run: [Cpqset] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe OPT:O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe OPT:O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe OPT:O4 - HKUS\S-1-5-21-2024237385-2792745136-3025052520-1005\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe OPT:O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab OPT:O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab OPT:O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab OPT:O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.girafoto.fr/uploaders/aurigm ... oader4.cab
----------------------------------------------------------
• Clique ensuite sur l'icône représentant la lettre H (« coller les lignes Helper ») • Clique sur "OK" puis « Tous », puis sur « Nettoyer » • Copie/colle la totalité du rapport dans ta prochaine réponse
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 18:14 | |
| Lance ZHPFix (soit par le raccourci sur ton Bureau, soit via ZHPDiag (si tu ne l'as pas fermé depuis) en cliquant sur le bouclier vert situé en haut à droite)
dans le ZHPFIX j'ai le rapport de 16 h 23, et autrement sur ZHP DIAG je n'ai pas de bouclier, à droite mais une fleche verte et un tournevis,
est ce que tu parles de la fléche verte | |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 18:19 | |
| Ne passe pas par ZHPDiag (tu as du fermer la dernière fenêtre d'analyse et c'est pour cela que tu ne vois pas le bouclier). Ce n'est pas un problème : double-clique sur l'icône ZhpFix qui se trouve sur ton bureau : | |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 18:39 | |
| Clique sur "OK" puis « Tous », puis sur « Nettoyer » j'y suis arrivée, mais il me demande de :
Windows Installer pose la question ; voulez vous vraiment désinstaller ce produit ?
dois je le faire | |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 19:00 | |
|
Copie ces lignes dans "h" à la place de celles de tout à l'heure et recommence.
[MD5.B68B362B39B0B81B0E12689B47F56AC9] - (.lhbbc - Pas de description.) -- C:\WINDOWS\system32\ntdevice.exe [46592] O42 - Logiciel: Search Settings 1.1 - (.Pas de propriétaire.) [HKLM] -- {32AD1A7A-25F1-44B9-A396-EA8A4A6605B0} O42 - Logiciel: Search Settings 1.1 - (.Pas de propriétaire.) [HKLM] -- {32AD1A7A-25F1-44B9-A396-EA8A4A6605B0} O17 - HKLM\System\CCS\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CCS\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS3\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS3\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 [HKCU\Software\?? ?? ???? ????? ??? ?? ????] R3 - URLSearchHook: Microsoft Url Search Hook - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.) R3 - URLSearchHook: Microsoft Url Search Hook - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) (4, 5, 188, 6) -- C:\Program Files\Mininova-Vuze\tbMini.dll R3 - URLSearchHook: Microsoft Url Search Hook - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.) O2 - BHO: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll O3 - Toolbar: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll [HKCU\Software\Mininova-Vuze] O43 - CFD:Common File Directory ----D- C:\Program Files\Mininova-Vuze OPT:O4 - HKLM\..\Run: [Cpqset] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe OPT:O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe OPT:O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe OPT:O4 - HKUS\S-1-5-21-2024237385-2792745136-3025052520-1005\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe OPT:O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab OPT:O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab OPT:O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab OPT:O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.girafoto.fr/uploaders/aurigm ... oader4.cab
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 19:51 | |
| quand je veux copier dans H cela ne fonctionne pas, par contre cela ressort une sorte de rapport ou entre autre je retrouve les ligne que tu me donnes à copier, et après
avoir fait tous et nettoyer il me pose toujours la même question
Windows Installer pose la question ; voulez vous vraiment désinstaller ce produit ?
dois je le faire,
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 19:57 | |
| désolée Elowen, on vient de contrôler toutes les lignes avec mon époux, les tiennent correspondent à celle du H, le même nombre de lignes et textes, peut être qu'il ne faut pas faire de copier coller, et Windows installer demande la confirmation de désinstaller ces lignes ? je n'ose pas n'étant pas très douée en informatique ?
| |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 20:43 | |
| Il ne faut pas "coller".
Une fois les lignes copiées, elles se collent d'elles-même lorsque l'on clique sur "H"
Il faut répondre par oui aux questions de Windows Installer.
Si on ne va pas plus loin, on ne peut pas désinfecter l'ordinateur.
Donc :
- copiez les lignes citées (je vous les remets une autre fois) :
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\ntdevice.exe [MD5.B68B362B39B0B81B0E12689B47F56AC9] - (.lhbbc - Pas de description.) -- C:\WINDOWS\system32\ntdevice.exe [46592] O42 - Logiciel: Search Settings 1.1 - (.Pas de propriétaire.) [HKLM] -- {32AD1A7A-25F1-44B9-A396-EA8A4A6605B0} O42 - Logiciel: Search Settings 1.1 - (.Pas de propriétaire.) [HKLM] -- {32AD1A7A-25F1-44B9-A396-EA8A4A6605B0} O17 - HKLM\System\CCS\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CCS\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS3\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS3\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 [HKCU\Software\?? ?? ???? ????? ??? ?? ????] R3 - URLSearchHook: Microsoft Url Search Hook - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.) R3 - URLSearchHook: Microsoft Url Search Hook - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) (4, 5, 188, 6) -- C:\Program Files\Mininova-Vuze\tbMini.dll R3 - URLSearchHook: Microsoft Url Search Hook - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.) O2 - BHO: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll O3 - Toolbar: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll [HKCU\Software\Mininova-Vuze] O43 - CFD:Common File Directory ----D- C:\Program Files\Mininova-Vuze OPT:O4 - HKLM\..\Run: [Cpqset] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe OPT:O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe OPT:O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe OPT:O4 - HKUS\S-1-5-21-2024237385-2792745136-3025052520-1005\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe OPT:O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab OPT:O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab OPT:O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab OPT:O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.girafoto.fr/uploaders/aurigm ... oader4.cab
Suivez la procédure que je vous ai indiquée avec ZHPDiag et répondez oui aux messages de Windows Installer.
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 21:08 | |
| Désolée, je ne parle pas anglais et ne comprend pas
Voici trois cadres qui se présentent une fois que j'ai fait ok pour désinstaller ce produit
Le 2ème je clique OK et le 3ème cadre apparaît, je clique OK, et je Reviens au 2ème
Windows installer Préparing to remove Cancel
Windows installer The feature you are trying to use is on a network resource OK That is unavailable. Cancel
Click OK to try again, or enter an alternate path to a folder Containing the insstallatation package “Search Settings.msi” in the box below
Use source : C/\DOCUME 1\moi\LOCALS 1\Temp\_is\77 Browse …
Windows installer C/\DOCUME 1\moi\LOCALS 1\Temp\_is\77\searchSettings.msi Cannot be found. Vérify that you have access to this location and Try again, or try to find the installation package “SearchSetting.msi” In a folder from which you can install the product Search Settings 1.1. OK
| |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 21:19 | |
| Je retire du script les deux lignes concernant SearchSettings qui provoquent ce blocage. On les traitera ultérieurement.
Voici le nouveau script, en espérant que l'ordinateur ne résistera pas cette fois :
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\ntdevice.exe [MD5.B68B362B39B0B81B0E12689B47F56AC9] - (.lhbbc - Pas de description.) -- C:\WINDOWS\system32\ntdevice.exe [46592] O17 - HKLM\System\CCS\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CCS\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS1\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS3\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CS3\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 [HKCU\Software\?? ?? ???? ????? ??? ?? ????] R3 - URLSearchHook: Microsoft Url Search Hook - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.) R3 - URLSearchHook: Microsoft Url Search Hook - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) (4, 5, 188, 6) -- C:\Program Files\Mininova-Vuze\tbMini.dll R3 - URLSearchHook: Microsoft Url Search Hook - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.) O2 - BHO: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll O3 - Toolbar: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll [HKCU\Software\Mininova-Vuze] O43 - CFD:Common File Directory ----D- C:\Program Files\Mininova-Vuze OPT:O4 - HKLM\..\Run: [Cpqset] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe OPT:O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe OPT:O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe OPT:O4 - HKUS\S-1-5-21-2024237385-2792745136-3025052520-1005\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe OPT:O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab OPT:O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab OPT:O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab OPT:O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.girafoto.fr/uploaders/aurigm ... oader4.cab
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 21:26 | |
| voici le rapport
Rapport de ZHPFix v1.12.3148 par Nicolas Coolman, Update du 09/09/2010 Fichier d'export Registre : C:\ZHPExportRegistry-12-09-2010-21-23-30.txt Run by moi at 12/09/2010 21:23:30 Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html Contact : nicolascoolman@yahoo.fr
========== Processus mémoire ========== C:\WINDOWS\system32\ntdevice.exe [46592] => Supprimé et mis en quarantaine
========== Clé(s) du Registre ========== HKCU\Software\?? ?? ???? ????? ??? ?? ???? => Clé absente [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}] => Clé supprimée avec succès [HKCR\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}] => Clé supprimée avec succès [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{d51d388b-f5dc-471a-a1ce-5e2d671091c0}] => Clé supprimée avec succès [HKCR\CLSID\{d51d388b-f5dc-471a-a1ce-5e2d671091c0}] => Clé supprimée avec succès O2 - BHO: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll => Clé supprimée avec succès HKCU\Software\Mininova-Vuze => Clé supprimée avec succès O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab => Clé supprimée avec succès O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab => Clé supprimée avec succès [HKLM\SOFTWARE\Classes\CLSID\{BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}] => Clé supprimée avec succès [HKCR\CLSID\{BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}] => Clé supprimée avec succès O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab => Clé supprimée avec succès [HKLM\SOFTWARE\Classes\CLSID\{CE69F98F-2AF3-4306-BAC6-A79070EDA1B4}] => Clé supprimée avec succès [HKCR\CLSID\{CE69F98F-2AF3-4306-BAC6-A79070EDA1B4}] => Clé supprimée avec succès O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.girafoto.fr/uploaders/aurigm ... oader4.cab => Clé supprimée avec succès [HKLM\SOFTWARE\Classes\CLSID\{EDFCB7CB-942C-4822-AF14-F0B687409848}] => Clé supprimée avec succès [HKCR\CLSID\{EDFCB7CB-942C-4822-AF14-F0B687409848}] => Clé supprimée avec succès
========== Valeur(s) du Registre ========== R3 - URLSearchHook: Microsoft Url Search Hook - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.) => Valeur supprimée avec succès R3 - URLSearchHook: Microsoft Url Search Hook - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) (4, 5, 188, 6) -- C:\Program Files\Mininova-Vuze\tbMini.dll => Valeur supprimée avec succès R3 - URLSearchHook: Microsoft Url Search Hook - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.) => Valeur supprimée avec succès O3 - Toolbar: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll => Valeur supprimée avec succès O4 - HKLM\..\Run: [Cpqset] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe => Valeur supprimée avec succès O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe => Valeur supprimée avec succès O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe => Valeur supprimée avec succès O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect => Valeur supprimée avec succès O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur supprimée avec succès O4 - HKUS\S-1-5-21-2024237385-2792745136-3025052520-1005\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur supprimée avec succès
========== Elément(s) de donnée du Registre ========== F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\ntdevice.exe => Donnée supprimée avec succès O17 - HKLM\System\CCS\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès O17 - HKLM\System\CCS\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès O17 - HKLM\System\CS1\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès O17 - HKLM\System\CS1\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès O17 - HKLM\System\CS3\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès O17 - HKLM\System\CS3\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès
========== Dossier(s) ========== C:\Program Files\Mininova-Vuze => Supprimé et mis en quarantaine
========== Fichier(s) ========== c:\program files\mininova-vuze\tbmini.dll => Supprimé et mis en quarantaine
========== Récapitulatif ========== 1 : Processus mémoire 17 : Clé(s) du Registre 10 : Valeur(s) du Registre 11 : Elément(s) de donnée du Registre 1 : Dossier(s) 1 : Fichier(s)
End of the scan | |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 21:51 | |
| C'est bien 1/ Je vais vous redemander un rapport ZHPDiag pour vérification. 2/ Essayez de relancer un scan avec Malwarebytes'antimalware : [*]Lancer Malwarebytes en double-cliquant sur son icône située sur le bureau [*]Clique sur Recherche de mises à jour[*]Fais une analyse complète en cliquant sur Exécuter un examen complet[*]Sélectionne les lecteurs à analyser et clique sur Lancer l'examen[*]L'analyse peut durer un certain temps [*]Lorsque l'analyse est terminée, clique sur OK puis sur Afficher les résultats[*]Assure-toi que tout est coché et clique sur Supprimer la sélection puis sur OK[*]Le bloc-note va s'ouvrir qui contiendra un rapport [*]Copie (Ctrl+C)/Colle (Ctrl+V) le rapport dans ta prochaine réponse[/list] /!\ Il est possible que certains fichiers devront être supprimés au redémarrage du PC. Il faut le faire en cliquant sur Oui à la question posée 3/ Si ça ne fonctionne toujours pas, on va désinstaller Malwarebytes' antimalware puis le re-télécharger pour le réinstaller ensuite. Pour désinstaller proprement celui existant :Télécharge mbam-clean.exe et l'enregistrer sur le bureau. Double-clique sur l'icône ainsi créée sur le bureau pour exécuter le programme Suis les instructions Un redémarrage du PC sera demandé : redémarrer le PC Voici le lien de téléchargement de Malwarebytes'Antimalware en cas de besoin : Malwarebytes'AntimalwaresAvant de passer à l'étape 3, j'attends vos réponses sur les points 1 et 2. | |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 22:06 | |
| rapport ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201009/cijziisHR6.txt
| |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 22:14 | |
| C'est beaucoup mieux Malwarebytes fonctionne ? | |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 22:19 | |
| non tout a été bloqué, j'ai été obligée de faire un arrêt forcé (j'ai enlevé la prise) et je ne peux pas le désinstaller, avec votre manip,
en redémarrant le pc a mis deux nouvelle problèmes
1/ toujour Generic Host process for win 32 services
2/ userinit.exe
je n'ai pas débogué, afin de pouvoir rester connecté autrement tout est bloqué
je vais réessayé malwarebytes | |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 22:22 | |
| message erreur pour malwarebytes
SHGetvalue failed with erreur code 0 | |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 22:23 | |
| Je vais le désinstaller avec revo uninstaller | |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 22:34 | |
| Une désinstallation par ajout/suppression de programme aurait été préférable plutôt qu'avec Revo Uninstaller....
Je vais me déconnecter pour ce soir et ne me reconnecterai que demain en fin d'après-midi.
Voyez tranquillement d'ici là ce que donne la réinstallation de Malwarebytes.
Ensuite, il y aura encore des choses néfastes à nettoyer.
Bonne soirée.
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 22:42 | |
| Bonsoir Elowen, je viens de remettre en route car tout se bloque il y a toujours 1/ Generic Host process for win 32 services et un nouveau 2/ ntdevice.exe plus toujours les 2 rappels de TR/Opachki.D.24 que je remets toujours en quarantaine
ok pour demain mais vers 18 h 30 merci encore pour votre dévouement et bonne fin de soirée cordialement
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Dim 12 Sep 2010 - 22:51 | |
| j'ai installé Malwarebytes, et malheureusement il ne veut pas démarrer
on verra demain
bonne soirée
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Lun 13 Sep 2010 - 8:34 | |
| bonjour Elowen,
ce matin idem, impossible de démarrer Malwarebytes, toujours les alertes d'antivir et en cherchant sur le site il n'y a pas de correspondance pour ce virus TR/Opachki.D.24, donc je leur ai envoyé un mail, peut être nous aurons une réponse.
autrement toujours généric host process for win 32 qui a un problème, je vous ai fait Un copier coller du message
Signature de l’erreur : szAppName : svchost.exe szAppVer : 5.1.2600.5512 szModName : unknown szModVer : 0.0.0.0 offset : 001a61bb
contenu du rapport d’erreurs C:\DOCUME~1\moi\LOCALS~1\Temp\WER736c.dir00\svchost.exe.mdmp C:\DOCUME~1\moi\LOCALS~1\Temp\WER736c.dir00\appcompat.txt
sachez que si je demande le débogage ou envoyer ou annuler, l'ordinateur se bloque.
voilà bonne journée je pars au travail à ce soir cordialement | |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Lun 13 Sep 2010 - 19:05 | |
| Bonsoir, Laissons de côté Malwarebytes pour le moment. Continuons à nettoyer : - Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
- Ne fais pas la suppression tant que je ne te l'ai pas demandé
- Branche toutes tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés, sans les ouvrir
- Double-clique sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
- Cliques sur le bouton Recherche
- Laisse travailler l'outil
- Ensuite post le rapport UsbFix.txt qui apparaîtra
- Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus | |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Lun 13 Sep 2010 - 20:40 | |
| bonsoir Elowen,
Excusez moi pour le retard, je suis les instructions que vous m'avez donné | |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Lun 13 Sep 2010 - 21:11 | |
| voici le rapport
############################## | UsbFix 7.024 | [Recherche]
Utilisateur: moi (Administrateur) # YOUR-A289DD5720 [ ] Mis à jour le 09/09/10 par El Desaparecido / C_XX Lancé à 20:57:50 | 13/09/2010 Site Web: http://www.teamxscript.org Contact: FindyKill.Contact@gmail.com
CPU: Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz CPU 2: Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3 Internet Explorer 8.0.6001.18702
Pare-feu Windows: Activé Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated] Antivirus: avast! antivirus 4.7.1098 [VPS 071229-0] 4.7.1098 [Enabled | Updated] RAM -> 1022 Mo C:\ (%systemdrive%) -> Disque fixe # 103 Go (51 Go libre(s) - 50%) [] # NTFS D:\ -> Disque fixe # 8 Go (1 Go libre(s) - 15%) [HP_RECOVERY] # FAT32 E:\ -> CD-ROM F:\ -> Disque amovible # 7 Go (1 Go libre(s) - 18%) [CLÉ JIMMY] # FAT32 G:\ -> Disque amovible # 4 Go (3 Go libre(s) - 73%) [UDISK 2.0] # FAT32
################## | Éléments infectieux |
Présent! C:\Documents and Settings\moi\Bureau\explorer.exe Présent! D:\Autorun.inf Présent! C:\log.txt Présent! C:\Photocite Collection 4.exe
################## | Registre |
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{0577f83b-e9ab-11dc-9f14-001636afa839} Shell\Auto\Command = cmd /C launch.bat Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat
HKCU\.\.\.\.\Explorer\MountPoints2\{1dcc641a-86a7-11db-9c9c-001636afa839} Shell\AutoRun\Command = F:\setupSNK.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{32bb1ffa-4ff6-11dd-9ff7-001636afa839} Shell\AutoRun\Command = F:\hkn6k.bat Shell\open\Command = F:\hkn6k.bat
HKCU\.\.\.\.\Explorer\MountPoints2\{86588004-3dba-11df-a51e-001636afa839} Shell\AutoRun\Command = F:\LaunchU3.exe -a
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
| |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Lun 13 Sep 2010 - 22:04 | |
| Cliquez sur "Poste de travail" sur le bureau (ou par le menu démarrer) Choisir le lecteur C, clic droit et "ouvrir" Cliquez ensuite sur le dossier "Windows" Passez en affichage sous forme de "détails" (pour cela, cliquer sur l'icône carrée avec un contour bleu dans la barre d'outils de l'explorateur et choisir "détails") Voyez-vous, dans la liste une application du nom de" Explorer" comme sur la capture ci-dessous ? | |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Lun 13 Sep 2010 - 22:15 | |
| | |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| |
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Lun 13 Sep 2010 - 22:49 | |
| Je vais me déconnecter pour ce soir car travail demain...
Postez le rapport. J'en prendrai connaissance vers 18h00 ou avant si je peux.
Nous utiliserons demain un autre outil pour continuer le nettoyage.
Il nous faudra un peu de temps.
Bonne fin de soirée.
Elowen
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Lun 13 Sep 2010 - 23:13 | |
| Elowen,
je t'écris, d'un autre PC, avec celui du virus je suis bloquée à 10 %
le travail est peut être long, donc je laisse l'ordinateur tourné et je verrais demain matin.
Je suppose que toi comme moi tu travailles demain
Alors une bonne soirée
Chantal | |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Mar 14 Sep 2010 - 7:49 | |
| bonjour Elowen,
le pc est resté allumé toute la nuit, et cela n'a pas bougé des 10 % suite au travail que tu m'a demandé (# Double clique sur le raccourci UsbFix présent sur ton bureau - # Clique sur le bouton Suppression). effectivement tout a disparu du bureau et ne dépasse pas les 10 % ne voulant pas s'éteindre j'ai retiré la prise. Si tu as une réponse je peux consulter sur mon lieu de travail éventuellement
Bonne journée à toi, je vais bosser chantal
| |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Mar 14 Sep 2010 - 18:47 | |
| Bonsoir,
Double-cliquez sur Usbfix pour l'ouvrir et cliquer sur "Désinstaller"
Télécharger de nouveau Usbfix sur ce lien (il est renommé en "toto.exe", c'est normal) : usbfix Double-cliquez sur l'icône ainsi créée sur le bureau portant le nom "toto.exe" Une fois Usbfix ouvert, cliquez sur le bouton "Suppression"
En espérant que cette fois, elle va se faire correctement....
| |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Mar 14 Sep 2010 - 19:31 | |
| bonjour Elowen,
je viens de lire ton message, je pars de mon travail j'ai à peu près 3/4 de route, je grignote sur le pouce et je reprend contact, désolée pour ce contretemps
a tout de suite | |
|
| |
capmatifou Bibouactif
Nombre de messages : 97 Age : 70 Localisation : idf Date d'inscription : 26/12/2007
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Mar 14 Sep 2010 - 20:49 | |
| coucou,
bloqué à 10 %, donc j'ai retiré la prise pour relancé,
j'ai toujours les 3 alertes d'antivir -
plus généric host process for win 32 services qui a un problème :
signature de l'erreur szAppName : svchost.exe szAppVer : 5.1.2600.5512 szModName : unknown szModVer : 0.0.0.0 offset : 001a61bb C:\DOCUME~1\moi\LOCALS~1\Temp\WER80ed.dir00\svchost.exe.mdmp C:\DOCUME~1\moi\LOCALS~1\Temp\WER80ed.dir00\appcompat.txt
et
ntdevice.exe signature de l'erreur AppName: ntdevice.exe AppVer: 24.55.35.58 ModName: shlwapi.dll ModVer: 6.0.2900.5912 Offset: 0001a9f8
C:\DOCUME~1\moi\LOCALS~1\Temp\109d_appcompat.txt
si cela peut aider pour retrouver
| |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Mar 14 Sep 2010 - 21:18 | |
| Bonsoir,
Ok.
On va tenter un dernier essai et si ça ne fonctionne pas, on va faire autrement pour supprimer à la fois les infections USB et ce que détecte Antivir.
Démarre ton PC en mode sans échec (je t'ai donné la procédure au début du sujet) :
- redémarrer le PC - à l'affichage du logo constructeur, tapoter la touche F8 (ou F5 selon le modèle) pour afficher les options de démarrage avancé - dans les options de démarrage avancé, choisir "mode sans échec" - ton écran sera bizarre, c'est tout à fait normal
Relance ensuite USBFix et clique sur le bouton "Suppression"
Une fois la suppression faite, redémarre le PC (il redémarrera normalement) et poste le rapport.
J'ai ces coupures internet ce soir.....si je disparaissais, ce sera lié à des soucis de connexion.....
| |
|
| |
Elowen Helpers HF
Nombre de messages : 762 Age : 52 Localisation : IDF Humeur : Toujours bonne Date d'inscription : 21/08/2010
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" Mar 14 Sep 2010 - 21:47 | |
| Tant que ma connexion est stable, j'en profite pour vous donner la marche à suivre pour la suite :
Que Usbfix ait fonctionné ou pas (si oui, postez quand même le rapport), faites ce qui suit :
/!\ Attention /!\ Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.
/!\ Désactive tous tes logiciels de protection /!\
• Télécharge ComboFix (de sUBs) sur ton Bureau. • Double-clique sur ComboFix.exe afin de le lancer. • Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter. • Ne touche à rien pendant le scan. • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
| |
|
| |
Contenu sponsorisé
| Sujet: Re: [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" | |
| |
|
| |
| [ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24" | |
|