[Résolu 6/03/14] PC fixe probablement infecté

Image Postez dans cette section tous les problèmes liés à Windows XP

[Résolu 6/03/14] PC fixe probablement infecté

Messagede Titi31 » 05 Mar 2014 12:45

Hello,

suite à la désinfection de mon pc portable et sur les bons conseilles de Maxou 45, je souhaiterais une désinfection de mon pc fixe tournant sous windows xp.

Merci pour votre aide,

Titi31
Titi31
Nouveau membre
Nouveau membre
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 90
Inscription: 04 Mar 2014 15:10
Sexe: Non spécifié
Firefox 27.0 Firefox 27.0
Windows XP Windows XP
Résolution d’écran: 1280 x 1024 1280 x 1024

PC fixe probablement infecté

Messagede maxou45 » 05 Mar 2014 12:51

Salut

Image Utilise ce logiciel de diagnostic :

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
Sous Vista/Win7 et Win8, lancer l'installation par clic droit et "Exécuter en tant qu'administrateur"
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Si le programme ne se lance pas automatiquement, clique sur cette icône présente sur ton bureau (pour Vista/7 : clic droit et "exécuter en tant qu'administrateur") Image
• La fenêtre du programme va s'ouvrir
• Clique sur le gros bouton "Configurer"

Image

• Clique ensuite en bas à gauche sur la loupe qui ne contient ni signe "+" ni signe "-"

Image

• Une boîte de dialogue va s'ouvrir "voulez-vous un rapport full options ?" : cliquer sur "oui"

Image

• Patiente durant l'analyse
NB : Il est possible qu'à un certain moment, tu aies l'impression que l'outil est "bloqué" : patiente...
• Une fois l'analyse terminée, un rapport s'ouvrira dans le bloc-notes. Ferme le
• Il faut héberger ce rapport qui se trouve sur le bureau, celui-ci étant trop long pour être posté sur le forum
• Si tu ne sais pas comment héberger le rapport, clique sur le bouton "Afficher" ci-après. La procédure y est détaillée

[bLe rapport étant trop long pour être posté sur le forum, il faut l' héberger[/b].
  • Rend toi sur ce site : Up2Share
  • Faites glisser votre fichier à héberger ou cliquez pour aller le chercher sur votre disque :

    Image


    L'hébergement se fait automatiquement
  • Cliquez sur le nom du fichier héberger pour l'ouvrir et récupérer le lien dans la barre d'adresse :

    Image

    Image





/!\Information relative à Internet Explorer 10 :/!\

Si ZHPDiag est téléchargé à partir d'Internet Explorer 10 et que le filtre Smart Screen est activé, un message de ce type apparaître en bas de page :

Image

Naturellement, ZHPDiag est totalement fiable et a été téléchargé plusieurs centaines de milliers de fois. Il s'agit simplement du filtre SmartScreen qui n'inclut pas encore la totalité des logiciels (cela se produira également sans doute avec les autres outils qui seront téléchargés durant la désinfection).

Il faut donc cliquer sur le bouton "actions" et choisir "exécuter quand même"

Image
Helper-diplômé de Image

Aujourd'hui, je ne fais rien et si ce soir je n'ai pas fini...Je continuerai demain !
Avatar de l’utilisateur
maxou45
Admininistrateur
Admininistrateur
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 25901
Âge: 65
Inscription: 11 Nov 2011 19:42
Localisation: France - Loiret
Sexe: Homme
Google Chrome 33.0.175 Google Chrome 33.0.175
Windows 8.1 64 bits Windows 8.1 64 bits
Résolution d’écran: 1600 x 900 1600 x 900

PC fixe probablement infecté

Messagede Titi31 » 05 Mar 2014 13:12

Titi31
Nouveau membre
Nouveau membre
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 90
Inscription: 04 Mar 2014 15:10
Sexe: Non spécifié
Firefox 27.0 Firefox 27.0
Windows XP Windows XP
Résolution d’écran: 1280 x 1024 1280 x 1024

PC fixe probablement infecté

Messagede maxou45 » 05 Mar 2014 13:18

Pas grand chose a dire sur ce PC, juste un trojan

Sélectionne et copie les lignes ci-dessous sans oublier la première ligne "Script ZHPFix"


Code: Tout sélectionner
Script ZHPFix
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} . (.Microsoft Corporation - GrooveShellExtensions Module.) -- C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}] 
O17 - HKLM\System\CCS\Services\Tcpip\..\{94E09AB6-5280-44D6-81A8-820373E398F6}: NameServer = 208.67.222.222,208.67.220.220   
O17 - HKLM\System\CS1\Services\Tcpip\..\{94E09AB6-5280-44D6-81A8-820373E398F6}: NameServer = 208.67.222.222,208.67.220.220   
O17 - HKLM\System\CS3\Services\Tcpip\..\{94E09AB6-5280-44D6-81A8-820373E398F6}: NameServer = 208.67.222.222,208.67.220.220   
Sysrestore
EmptyTemp
FirewallRaz
ProxyFix
Emptyflash
EmptyCLSID
EmptyPrefetch




• Lance ZHPFix à partir du raccourci sur ton Bureau ou sur ModernUI si Windows 8 (si tu es sous Windows Vista, Windows 7 ou Windows 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur)

Image ou Image

• Clique sur le bouton Importer

Image

• Les lignes précédemment copiées vont se coller d'elles-mêmes dans la fenêtre de ZHPFix (si ce n'est pas le cas, clic droit dans la fenêtre et Coller)
NB (W8) : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".


• Clique sur le bouton GO pour lancer le nettoyage

Image

• Clique sur Oui à la demande de confirmation de nettoyage des données

Image

• Une boîte de dialogue va te demander si tu souhaites vider la corbeille : clique sur oui ou non selon ton choix. Si tu cliques sur Oui, le temps de nettoyage sera plus ou moins allongé

Image

• Copie/colle la totalité du rapport qui s'ouvre dans le bloc-notes à la fin du nettoyage et colle-le dans ta prochaine réponse
• Le rapport se trouve aussi sous C:\ZHP\ZHPFix[RX].txt
Helper-diplômé de Image

Aujourd'hui, je ne fais rien et si ce soir je n'ai pas fini...Je continuerai demain !
Avatar de l’utilisateur
maxou45
Admininistrateur
Admininistrateur
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 25901
Âge: 65
Inscription: 11 Nov 2011 19:42
Localisation: France - Loiret
Sexe: Homme
Google Chrome 33.0.175 Google Chrome 33.0.175
Windows 8.1 64 bits Windows 8.1 64 bits
Résolution d’écran: 1600 x 900 1600 x 900

PC fixe probablement infecté

Messagede Titi31 » 05 Mar 2014 13:49

voici le rapport :

Rapport de ZHPFix 2014.2.16.5 par Nicolas Coolman, Update du 16/02/2014
Fichier d'export Registre :
Run by Rocky at 05/03/2014 13:31:59
High Elevated Privileges : OK
Windows XP Home Edition Service Pack 3 (Build 2600)

Corbeille vidée (00mn 01s)
Dossier Prefetcher vidé

========== Clés du Registre ==========
SUPPRIMÉ: CLSID BHO: {72853161-30C5-4D22-B7F9-0BBC1D38A37E}
SUPPRIMÉ: [HKLM\SOFTWARE\Classes\CLSID\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]

========== Valeurs du Registre ==========
SUPPRIMÉ: FirewallRaz (SP) : C:\Program Files\Messenger\msmsgs.exe
SUPPRIMÉ: FirewallRaz (SP) : C:\Program Files\FreeMi UPnP Media Server\FreeMi UPnP Media Server.exe
SUPPRIMÉ: FirewallRaz (SP) : C:\Program Files\ma-config.com\maconfservice.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIMÉ ProxyServer Value
SUPPRIMÉ ProxyEnable Value
SUPPRIMÉ EnableHttp1_1 Value
SUPPRIMÉ ProxyHttp1.1 Value
SUPPRIMÉ ProxyOverride Value

========== Eléments de donnée du Registre ==========
SUPPRIMÉ TCPIP: NameServer = 208.67.222.222,208.67.220.220

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichiers ==========
SUPPRIMÉ Redémarrage: c:\program files\microsoft office\office12\grooveshellextensions.dll
SUPPRIMÉS Temporaires Windows (33) (10 365 494 octets)
SUPPRIMÉS Flash Cookies (9) (1 800 octets)

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
2 : Clés du Registre
10 : Valeurs du Registre
1 : Eléments de donnée du Registre
1 : Dossiers
3 : Fichiers
1 : Restauration Système


End of clean in 00mn 07s

========== Chemin de fichier rapport ==========
C:\Documents and Settings\Rocky\Application Data\ZHP\ZHPFix[R1].txt - 03/02/2014 14:26:55 [593]
C:\Documents and Settings\Rocky\Application Data\ZHP\ZHPFix[R2].txt - 05/02/2014 18:45:41 [1365]
C:\Documents and Settings\Rocky\Application Data\ZHP\ZHPFix[R3].txt - 05/03/2014 13:32:01 [2001]
Titi31
Nouveau membre
Nouveau membre
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 90
Inscription: 04 Mar 2014 15:10
Sexe: Non spécifié
Firefox 27.0 Firefox 27.0
Windows XP Windows XP
Résolution d’écran: 1280 x 1024 1280 x 1024

PC fixe probablement infecté

Messagede maxou45 » 05 Mar 2014 18:18

OK

============  Suppression des fichiers temporaires  ============
  • Télécharge ImageTFC (de OldTimer) sur ton Bureau.
  •  Ferme tous tes programmes.
  •  Lance TFC (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
  •  Clique sur le bouton Start pour lancer le nettoyage.
  • Redémarre ton ordinateur.




=========== Suppression des outils utilisés et activation de l'UAC et Purge de la restauration  ==============
   
       
  • Télécharge ImageDelFix (de Xplode ) sur ton bureau.
       
  • Exécute-le
       
  • Coche toutes les cases sauf "Effectuer une sauvegarde du registre"

       Image

       
  • Clique sur "Exécuter"
       
  • Patiente...
       
  • Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau

       
  • Un rapport est sauvegardé ici   C:\DelFix.txt
    • Ouvre le
    • Clic droit===>Tout selectionner
    • Clic droit ===>Copier


  • Coller dans ta prochaine réponse pour me poster le rapport




============= MISE A JOUR DE TON SYSTEME ===============

Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitées par un programme malveillant.
Pour combler les failles de sécurité, il est important de mettre régulièrement à jour tous les logiciels installés sur ton ordinateur.
Tu peux lire ce très bon article de Neo ICI
Helper-diplômé de Image

Aujourd'hui, je ne fais rien et si ce soir je n'ai pas fini...Je continuerai demain !
Avatar de l’utilisateur
maxou45
Admininistrateur
Admininistrateur
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 25901
Âge: 65
Inscription: 11 Nov 2011 19:42
Localisation: France - Loiret
Sexe: Homme
Google Chrome 33.0.175 Google Chrome 33.0.175
Windows 8.1 64 bits Windows 8.1 64 bits
Résolution d’écran: 1600 x 900 1600 x 900

PC fixe probablement infecté

Messagede Titi31 » 05 Mar 2014 21:51

Voici le rapport :
# DelFix v10.6 - Rapport créé le 05/03/2014 à 21:50:35
# Mis à jour le 11/11/2013 par Xplode
# Nom d'utilisateur : Rocky - THIERRY
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\Documents and Settings\Rocky\Application Data\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Documents and Settings\Rocky\Bureau\TFC.exe
Supprimé : C:\Documents and Settings\Rocky\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\Rocky\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Rocky\Bureau\zhpdiag20.exe
Supprimé : C:\Documents and Settings\Rocky\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\Rocky\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\Rocky\Bureau\ZHPFix[R3].txt
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #2056 [ZHPFix Restore System Point | 03/05/2014 12:31:58]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########
Titi31
Nouveau membre
Nouveau membre
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 90
Inscription: 04 Mar 2014 15:10
Sexe: Non spécifié
Firefox 27.0 Firefox 27.0
Windows XP Windows XP
Résolution d’écran: 1280 x 1024 1280 x 1024

PC fixe probablement infecté

Messagede maxou45 » 06 Mar 2014 08:35

Salut
Je passe le sujet en résolu
Bye
Helper-diplômé de Image

Aujourd'hui, je ne fais rien et si ce soir je n'ai pas fini...Je continuerai demain !
Avatar de l’utilisateur
maxou45
Admininistrateur
Admininistrateur
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 25901
Âge: 65
Inscription: 11 Nov 2011 19:42
Localisation: France - Loiret
Sexe: Homme
Google Chrome 33.0.175 Google Chrome 33.0.175
Windows 8.1 64 bits Windows 8.1 64 bits
Résolution d’écran: 1600 x 900 1600 x 900

PC fixe probablement infecté

Messagede Titi31 » 09 Mar 2014 09:10

Bonjour,

je poursuis le post car je viens d'avoir un écran bleu sur mon pc "erreur sérieuse et win 32" (désolé je n'ai pas eu le temps de noter d'avantage d'informations). En suite le pc a redémarré automatiquement.
Est-ce grave docteur ?

Merci pour ton aide,
Titi31
Nouveau membre
Nouveau membre
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 90
Inscription: 04 Mar 2014 15:10
Sexe: Non spécifié
Firefox 27.0 Firefox 27.0
Windows XP Windows XP
Résolution d’écran: 1280 x 1024 1280 x 1024

PC fixe probablement infecté

Messagede maxou45 » 09 Mar 2014 09:24

salut


Nous allons lire les fichiers d'erreur

  • Télécharge Image WhoCrashed

    C'est un utilitaire qui analyse les écrans bleus et qui devrait nous dire quel driver a provoqué le plantum.

  • Pour l'installer, Double-clique sur whocrashedSetup.exe (Clique droit -> "lancer en tant qu'administrateur" si vous êtes sous Vista ou Windows 7).

    S'il te propose de télécharger un module manquant, accepte.

  • WhoCrashed selance automatiquement a la fin de l'installation, sinon lance le par cette icône qui se trouve sur ton bureau Image

    Clique droit -> "lancer en tant qu'administrateur" si vous êtes sous Vista ou Windows 7
  • Clique sur le boutonAnalyze.
  • Copie-colle dans ta prochaine réponse ce qu'il y a sous les rubriques Crash Dump Analysis et Conclusion:

    Image
Helper-diplômé de Image

Aujourd'hui, je ne fais rien et si ce soir je n'ai pas fini...Je continuerai demain !
Avatar de l’utilisateur
maxou45
Admininistrateur
Admininistrateur
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 25901
Âge: 65
Inscription: 11 Nov 2011 19:42
Localisation: France - Loiret
Sexe: Homme
Google Chrome 33.0.175 Google Chrome 33.0.175
Windows 8.1 64 bits Windows 8.1 64 bits
Résolution d’écran: 1600 x 900 1600 x 900

PC fixe probablement infecté

Messagede Titi31 » 09 Mar 2014 19:19

voici le rapport :
Crash Dump Analysis
--------------------------------------------------------------------------------

Crash dump directory: C:\WINDOWS\Minidump

Crash dumps are enabled on your computer.

On Sun 09/03/2014 08:04:02 GMT your computer crashed
crash dump file: C:\WINDOWS\Minidump\Mini030914-01.dmp
This was probably caused by the following module: win32k.sys (win32k+0x5A82F)
Bugcheck code: 0x1000008E (0xFFFFFFFFC0000005, 0xFFFFFFFFBF85A82F, 0xFFFFFFFFA3BD1AE4, 0x0)
Error: KERNEL_MODE_EXCEPTION_NOT_HANDLED_M
file path: C:\WINDOWS\system32\win32k.sys
product: Système d'exploitation Microsoft® Windows®
company: Microsoft Corporation
description: Pilote Win32 multi-utilisateurs
Bug check description: This indicates that a kernel-mode program generated an exception which the error handler did not catch.
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.
The crash took place in a standard Microsoft module. Your system configuration may be incorrect. Possibly this problem is caused by another driver on your system that cannot be identified at this time.



On Sun 09/03/2014 08:04:02 GMT your computer crashed
crash dump file: C:\WINDOWS\memory.dmp
This was probably caused by the following module: win32k.sys (win32k!FONTOBJ_pxoGetXform+0x34DA)
Bugcheck code: 0x8E (0xFFFFFFFFC0000005, 0xFFFFFFFFBF85A82F, 0xFFFFFFFFA3BD1AE4, 0x0)
Error: KERNEL_MODE_EXCEPTION_NOT_HANDLED
file path: C:\WINDOWS\system32\win32k.sys
product: Système d'exploitation Microsoft® Windows®
company: Microsoft Corporation
description: Pilote Win32 multi-utilisateurs
Bug check description: This bug check indicates that a kernel-mode application generated an exception that the error handler did not catch.
The crash took place in a standard Microsoft module. Your system configuration may be incorrect. Possibly this problem is caused by another driver on your system that cannot be identified at this time.




--------------------------------------------------------------------------------
Conclusion
--------------------------------------------------------------------------------

2 crash dumps have been found and analyzed. No offending third party drivers have been found. Consider using WhoCrashed Professional which offers more detailed analysis using symbol resolution. Also configuring your system to produce a full memory dump may help you.


Read the topic general suggestions for troubleshooting system crashes for more information.

Note that it's not always possible to state with certainty whether a reported driver is actually responsible for crashing your system or that the root cause is in another module. Nonetheless it's suggested you look for updates for the products that these drivers belong to and regularly visit Windows update or enable automatic updates for Windows. In case a piece of malfunctioning hardware is causing trouble, a search with Google on the bug check errors together with the model name and brand of your computer may help you investigate this further.
Titi31
Nouveau membre
Nouveau membre
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 90
Inscription: 04 Mar 2014 15:10
Sexe: Non spécifié
Firefox 27.0 Firefox 27.0
Windows XP Windows XP
Résolution d’écran: 1280 x 1024 1280 x 1024

PC fixe probablement infecté

Messagede maxou45 » 09 Mar 2014 19:30

Faire ceci:
  • Télécharger Image GSI de Kaspersky : et l'enregistrer sur le bureau.
  • Double-cliquer sur GetSystemInfo puis cliquer sur I agree pour accepter la "licence agreement."
  • Cliquer sur Create Report et laisser l'outil travailler. Patienter le temps nécessaire.
  • L'outil va alors envoyer le rapport et ouvrir une page Web où un lien apparaîtra.


    Image
  • Copier le lien par clic droit/Tout sélectionner/copier.
  • Le coller dans la réponse sur le forum.
Helper-diplômé de Image

Aujourd'hui, je ne fais rien et si ce soir je n'ai pas fini...Je continuerai demain !
Avatar de l’utilisateur
maxou45
Admininistrateur
Admininistrateur
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 25901
Âge: 65
Inscription: 11 Nov 2011 19:42
Localisation: France - Loiret
Sexe: Homme
Google Chrome 33.0.175 Google Chrome 33.0.175
Windows 8.1 64 bits Windows 8.1 64 bits
Résolution d’écran: 1600 x 900 1600 x 900

PC fixe probablement infecté

Messagede Titi31 » 09 Mar 2014 19:38

Titi31
Nouveau membre
Nouveau membre
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 90
Inscription: 04 Mar 2014 15:10
Sexe: Non spécifié
Firefox 27.0 Firefox 27.0
Windows XP Windows XP
Résolution d’écran: 1280 x 1024 1280 x 1024

Suivante

Retourner vers Windows XP

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité