Bloqué par Malware/virus/trojan

meldireen -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour, je suis chez des amis qui ont un pc infecté par plusieurs saloperies dont :
- heur.html/malware
- TR/Crypt.ZPACK.Gen.

Leur antivirus est Antivir (Avira). Je ne peux pas les supprimer même quand avira me le propose à chaque fois ils reviennent. Pour heur.html je bloque l'accès et rien ne change et quand au second, lorsque je clique sur supprimer ou mise en quarantaine rien ne change non plus. Je ne peux même pas chercher de solutions sur le net. A chaque requete de scan en ligne (Kaspersky, trendmicro ou autre) je suis soit renvoyé vers une page IE disant que la page est inaccessible ou bien alors la page ne se charge pas du tout. Problème identique lorsque je veux me rendre sur des pages ou telecharger des outils pour les eradiquer tels que malwarebyte, hijackthis ou autre... Il me renvoi sans cesse soit vers d'autres sites (bnp, orange etc...) soit toujours ce même message IE (page non accessible). Je ne peux pas non plus faire les mises a jour avira, ni celle Microsoft. J'ai voulu installer Spybot, il me bloque l'acces à leur serveur au moment de l'installation. Une vraie plaie. Pourriez vous m'aider s'il vous plait.
Dans l'attente de vous lire.

PS ils ont un pc portable Samsung R60 plus et tourne sous Vista SP1. J'ai essaye de rebooter le machine, mais il n'y pas de menu "mode sans echec avec ou sans reseau". Je ne peux que demarrer "normalement" ou bien utiliser "Startup restore" (qui ne corrige rien, j'ai déjà essayé)

45 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une machine portable sous Vista SP1 est infectée par heur.html et TR/Crypt.ZPACK.Gen, et les tentatives de suppression avec Avira échouent, entraînant des redémarrages répétés et des blocages. Des outils de diagnostic et de nettoyage sont proposés, notamment ZHPDiag et ZHPFix, avec des instructions pour créer un rapport, le transmettre et exécuter les scans en mode administrateur. Par la suite, il est recommandé CCleaner, des rapports Navilog, puis des outils supplémentaires comme ComboFix, UsbFix et Ad-remover, tout en abordant les mises à jour et les droits d’administrateur. Une nuance utile est que les échanges insistent sur la poursuite des scans et l’envoi des rapports pour analyse afin d’ajuster les mesures ultérieures.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    infection sérieuse ....

    /!\ Pour le bon déroulement de la désinfection :
    * Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
    * N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
    * Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
    * Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    ===========================

    Commence par ceci pour avoir un diagnostique précis de la situation :

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

    > double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

    > Lance ZHPDiag depuis le raccourci du bureau .

    > Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
    ( celui avec le tournevis )

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

    > clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

    > Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    Laisses travailler l'outil ... ( cela peut-être relativement long )

    > Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

    Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    ( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

    Puis ferme le programme ...

    > Pour me faire parvenir ce rapport, rends toi sur ce site :
    http://www.cijoint.fr/

    Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
    Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
    Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

    0
  2. Utilisateur anonyme
     
    Hello et merci...
    Voici le lien
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijmyvdKxz.txt
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      re,


      petite erreur de ma part ... ^^

      recommence la manipe stp , mais cette fois fait clique droit/"executer en tant qu'admin..." sur le raccourci de ZHPdiag pour lancer l'outil ... ( car il me manque des informations imporatantes du coup )

      poste moi le nouveau rapport obtenu via Cijoint ...
      0
    2. Utilisateur anonyme
       
      C'est fait
      0
  3. Utilisateur anonyme
     
    No prob.
    voici donc le second lien...
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijZhBlJn3.txt
    0
  4. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    et bien ....

    y a du boulot ! ....

    commence par ceci dans l'ordre :

    1- protocole à suivre pour Windows Vista :

    *Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :

    Aller dans "démarrer" puis "panneau de configuration" :
    --->Sur la droite de la fenêtre , cliques sur " affichage classique "
    --->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
    --->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
    --->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
    --->Redémarrer le PC !

    Tutos :
    http://pagesperso-orange.fr/NosTools/uac_vista.html
    https://forum.malekal.com/viewtopic.php?f=59&t=6517

    * Important :
    Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
    clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
    Fais ceci systématiquement ! ...

    une fois ceci fait et pris en compte , enchaine ...

    ===========================

    2- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    C:\Windows\system32\drivers\oko6.sys 
    O23 - Service:  (webserver) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\webserver\webserver.exe
    O41 - Driver: oko6 (oko6) . (.Jungo - Total Applet Proxy Diskeeper Hex Control.) - C:\Windows\system32\drivers\oko6.sys
    O43 - CFD:Common File Directory ----D- C:\Program Files\webserver 
    O58 - SDL:[MD5.5A4F638BCD8AD1DA870B9653275CB7F4] - 19/02/2010 - 16:07:28 ---A- . (.Jungo - Total Applet Proxy Diskeeper Hex Control.) -- C:\Windows\system32\drivers\oko6.sys
    O64 - Services: CurCS - C:\Windows\system32\drivers\oko6.sys - oko6 (oko6)  .(.Jungo - Total Applet Proxy Diskeeper Hex Control.) - LEGACY_OKO6


    Puis Lance ZHPFix ( 'en tant qu'admin...' ) depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres .

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

    Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

    Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

    Pense à réactiver tes défenses !...

    =======================

    3- Infecté par Navipromo .

    -------------------------------------

    Pour info,
    Les programmes suivants installent cette infection :
    - Funky Emoticons
    - Games-Attack
    - Original-Solitaire
    - Go-Astro
    - GoRecord
    - HotTVPlayer
    - Live-Player
    - MailSkinner
    - Messenger Skinner
    - Instant Access
    - InternetGameBox
    - Sudoplanet
    - WebMediaPlayer

    ---------------------------------------

    Télécharge Navilog1 sur ton bureau :

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

    Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil .

    Laisse-toi guider. Au menu principal, choisis 1 et valide .
    (ne fais pas le choix 2 notre avis/accord) .

    Patiente le temps du scan ...

    > Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
    laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) .

    Note :
    Si l'outil te demande d'effectuer la manipe en mode sans echec, fais le ( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).

    Patiente jusqu'au message :
    *** Scan Terminé le ..... ***

    Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
    Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

    (Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" )

    ===========================

    4- Refais un scan ZHPDiag ( "en tant qu'admin... ").

    * coche bien toutes les options ( sauf la 045 et 061 ),

    * au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    rapport ZHPFIX

    ZHPFix v1.12.3092 by Nicolas Coolman - Rapport de suppression du 22/04/2010 13:32:47
    Fichier Registre :
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    Processus mémoire :
    C:\Windows\system32\drivers\oko6.sys => Supprimé et mis en quarantaine

    Module mémoire :
    (Néant)

    Clé du Registre :
    O23 - Service: (webserver) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\webserver\webserver.exe => Clé supprimée avec succès
    O41 - Driver: oko6 (oko6) . (.Jungo - Total Applet Proxy Diskeeper Hex Control.) - C:\Windows\system32\drivers\oko6.sys => Clé supprimée avec succès
    O64 - Services: CurCS - C:\Windows\system32\drivers\oko6.sys - oko6 (oko6) .(.Jungo - Total Applet Proxy Diskeeper Hex Control.) - LEGACY_OKO6 => Clé non supprimée

    Valeur du Registre :
    (Néant)

    Elément de données du Registre :
    (Néant)

    Dossier :
    C:\Program Files\webserver => Supprimé et mis en quarantaine

    Fichier :
    c:\program files\webserver\webserver.exe => Fichier absent
    c:\windows\system32\drivers\oko6.sys => Fichier absent

    Logiciel :
    (Néant)

    Script Registre :
    (Néant)

    Master Boot Record :
    (Néant)

    Autre :
    (Néant)

    Récapitulatif :
    Processus mémoire : 1
    Module mémoire : 0
    Clé du Registre : 3
    Valeur du Registre : 0
    Elément de données du Registre : 0
    Dossier : 1
    Fichier : 2
    Logiciel : 0
    Master Boot Record : 1
    Autre : 0

    End of the scan
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      vu ....


      continue ... ;)
      0
  7. Utilisateur anonyme
     
    Rapport Navilog

    Fix Navipromo version 4.0.8 commencé le 22/04/2010 13:47:52,66

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exécuté depuis C:\navilog1

    Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

    Microsoft® Windows Vista(TM) Édition Familiale Premium ( v6.0.6000 ) Service Pack 1
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz )
    BIOS : Ver 1.00PARTTBL#
    USER : utilisateur ( Not Administrator ! )
    BOOT : Normal boot

    C:\ (Local Disk) - NTFS - Total:144 Go (Free:101 Go)
    D:\ (Local Disk) - NTFS - Total:143 Go (Free:143 Go)
    E:\ (CD or DVD)
    0
  8. Utilisateur anonyme
     
    Nouveau rapport ZHPDIAG.TXT

    http://www.cijoint.fr/cjlink.php?file=cj201004/cij62Mz0Ja.txt
    0
  9. Utilisateur anonyme
     
    En attendant ta réponse, je viens de me rendre compte que les mises a jour automatiques de microsoft refonctionnent... Dois les laisser ou les stopper en attendant la suite ?
    0
  10. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    Dois les laisser ou les stopper en attendant la suite ?

    > stop tout ! ... on fera cela une fois le PC clean, pas avant !

    Dans l'ordre :

    1- Il y a eu un prb ...

    recommence la manipe de Navilog1 et lance le bien en tant qu'admin ! ....

    désactive bien tes défences également ....

    poste le nouveau rapports obtenu ....

    ===================

    2- Télécharge et installe la dernière version de CCleaner :
    https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
    ou https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    ---> Utilisation:
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

    =====================

    3- Télécharges Malwarebytes' :
    ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
    ou ici : http://www.malwarebytes.org/mbam.php
    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour ( onglet "mise à jour" ).

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

    * Potasse le tuto pour te familiariser avec le prg :
    https://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebytes' .

    Fais un examen dit "RAPIDE" .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

    ============================

    4- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
    ou ici https://www.ionos.fr/?affiliate_id=77097

    ! Déconnecte toi d'internet et ferme toutes applications en cours !

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Choisis l' option 1 ( Recherche )

    # Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

    "Baby, I'm going on an airplane, And I don't know if I'll be back again"
    IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
    vous l'a pas dit !
    0
  11. Utilisateur anonyme
     
    Autant pour moi, j'avais oublié de me déconnecter... voici donc le nouveau rapport navilog1

    En attendant je continue avec ccleaner

    Fix Navipromo version 4.0.8 commencé le 22/04/2010 14:08:42,67

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exécuté depuis C:\navilog1

    Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

    Microsoft® Windows Vista(TM) Édition Familiale Premium ( v6.0.6000 ) Service Pack 1
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz )
    BIOS : Ver 1.00PARTTBL#
    USER : utilisateur ( Not Administrator ! )
    BOOT : Normal boot

    C:\ (Local Disk) - NTFS - Total:144 Go (Free:99 Go)
    D:\ (Local Disk) - NTFS - Total:143 Go (Free:143 Go)
    E:\ (CD or DVD)

    Recherche executée en mode normal

    Nettoyage exécuté au redémarrage de l'ordinateur

    C:\Users\utilisateur\AppData\Local\wxihir.exe supprimé !
    C:\Users\utilisateur\AppData\Local\wxihir.dat supprimé !
    C:\Users\utilisateur\AppData\Local\wxihir_nav.dat supprimé !
    C:\Users\utilisateur\AppData\Local\wxihir_navps.dat supprimé !

    Nettoyage contenu C:\Windows\Temp effectué !
    Nettoyage contenu C:\Users\UTILIS~1\AppData\Local\Temp effectué !

    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    *** Scan terminé 22/04/2010 14:15:01,85 ***
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      vu ....


      c'est beaucoup mieux ! ... ^^


      la suite donc ...
      0
  12. Utilisateur anonyme
     
    J'ai lancé ccleaner et fais comme ennoncé, mais malgrès ma persévérance, il demeure une seule et même erreur après le nettoyage du registre qui se nomme :
    Extension de fichiers inutilisée {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
    0
  13. Utilisateur anonyme
     
    Voici le rapport Malwarebytes

    Je continue avec USBFIX

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 4021

    Windows 6.0.6000 Service Pack 1
    Internet Explorer 7.0.6000.16982

    22/04/2010 14:37:26
    mbam-log-2010-04-22 (14-37-26).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 111459
    Temps écoulé: 3 minute(s), 59 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 4
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 33

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\okosrv (Worm.KoobFace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oko6 (Worm.KoobFace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OKO6 (Worm.KoobFace) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\currentversion (Trojan.Inject) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Trojan.Agent.M) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\okogrp (Worm.KoobFace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-0324232222-888888379-781133308-1995\recyclebin.exe,explorer.exe,C:\RECYCLER\S-1-5-21-6435041206-5089708960-216430673-1268\recycle.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    C:\RECYCLER\S-1-5-21-0324232222-888888379-781133308-1995 (Trojan.Agent.M) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\RECYCLER\S-1-5-21-0324232222-888888379-781133308-1995\recyclebin.exe (Trojan.Inject) -> Quarantined and deleted successfully.
    C:\Program Files\captcha.dll (Worm.KoobFace) -> Quarantined and deleted successfully.
    C:\RECYCLER\S-1-5-21-6435041206-5089708960-216430673-1268\recycle.exe (Trojan.Inject) -> Delete on reboot.
    C:\Windows\System32\oko6.dll (Worm.KoobFace) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266245230.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266246091.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266251390.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266262182.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266299281.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266313115.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266389590.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266389959.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266420222.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266560668.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266604162.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\RECYCLER\S-1-5-21-0324232222-888888379-781133308-1995\Desktop.ini (Trojan.Agent.M) -> Quarantined and deleted successfully.
    C:\Windows\010112010146111103.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
    C:\Windows\010112010146114101.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
    C:\Windows\01011201014650115.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
    C:\Windows\bk20856.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
    C:\Windows\bk23567.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
    C:\Windows\fdgg34353edfgdfdf (KoobFace.Trace) -> Quarantined and deleted successfully.
    C:\Windows\fs1235.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266252760.exe (Worm.Koobface) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266252769.exe (Worm.Koobface) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266252771.exe (Worm.Koobface) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266252774.exe (Worm.Koobface) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266252780.exe (Worm.Koobface) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266478002.exe (Worm.Koobface) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266478005.exe (Worm.Koobface) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266478006.exe (Worm.Koobface) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266478007.exe (Worm.Koobface) -> Quarantined and deleted successfully.
    C:\Windows\rdr_1266478012.exe (Worm.Koobface) -> Quarantined and deleted successfully.
    0
  14. Utilisateur anonyme
     
    Et voici le rapport USBFIX (et au moment ou je tape ce post, j'ai encore une alerte Antivir pour le TR/Crypt.ZPACK.Gen)

    ############################## | UsbFix V6.107 |

    User : utilisateur (Administrateurs) # PC-DE-UTILISATE
    Update on 21/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 14:53:02 | 22/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) # Service Pack 1
    Internet Explorer 7.0.6000.16982
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 144,09 Go (99,96 Go free) # NTFS
    D:\ -> Disque fixe local # 144 Go (143,81 Go free) # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible # 7,45 Go (6,73 Go free) [USB 8 GO] # FAT32

    ################## | Elements infectieux |

    F:\autorun.inf
    F:\U3ROM\desktop.ini
    F:\U3ROM\flyhigh.exe
    F:\U3ROM

    ################## | Registre |

    [HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\G
    shell\AutoRun\command =G:\LaunchU3.exe -a

    HKCU\..\..\Explorer\MountPoints2\{2142766b-1609-11df-a722-0013776cc8ac}
    shell\AutoRun\command =F:\U3ROM/flyhigh.exe
    shell\Explore\Command =F:\U3ROM/flyhigh.exe
    shell\opeN\commanD =F:\U3ROM/flyhigh.exe

    HKCU\..\..\Explorer\MountPoints2\{916a2fcf-eed1-11de-bae8-0013776cc8ac}
    shell\AutoRun\command =F:\U3ROM/flyhigh.exe
    shell\Explore\Command =F:\U3ROM/flyhigh.exe
    shell\opeN\commanD =F:\U3ROM/flyhigh.exe

    HKCU\..\..\Explorer\MountPoints2\{d86f00da-6b97-11de-b00d-0013776cc8ac}
    shell\AutoRun\command =F:\InstallTomTomHOME.exe

    ################## | Vaccin |

    ################## | ! Fin du rapport # UsbFix V6.107 ! |
    0
  15. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    (et au moment ou je tape ce post, j'ai encore une alerte Antivir pour le TR/Crypt.ZPACK.Gen

    > cela ne m'étonne pas ... on a encore du travail ! ... ^^

    la suite dans l'ordre :

    1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Clique droit / "executer en tant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu choisis l' option 2 ( Suppression ) .

    > Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .

    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    /!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\

    =========================

    2- Toujours tes unité externes branchées au PC !

    Relance de nouveau UsbFix "en tant qu'admin..." et choisis cette fois l'option 5 5 listing ).

    laisse travailler l'outil et poste moi le nouveau rapport obtenu pour analyse ...

    =========================

    3- Refais un scan ZHPDiag .

    * coche bien toutes les options ( sauf la 045 et 061 ),

    * au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    "Baby, I'm going on an airplane, And I don't know if I'll be back again"
    IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
    vous l'a pas dit !
    0
  16. Utilisateur anonyme
     
    Après une petite pose... voici le rapport USBFIX choix 2

    et je continue...

    ############################## | UsbFix V6.107 |

    User : utilisateur (Administrateurs) # PC-DE-UTILISATE
    Update on 21/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 17:35:47 | 22/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) # Service Pack 1
    Internet Explorer 7.0.6000.16982
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 144,09 Go (99,88 Go free) # NTFS
    D:\ -> Disque fixe local # 144 Go (143,81 Go free) # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible # 7,45 Go (6,73 Go free) [USB 8 GO] # FAT32

    ################## | Elements infectieux |

    Supprimé ! C:\$Recycle.Bin\S-1-5-21-2517832360-3847001405-4034661461-1003
    Supprimé ! C:\Recycler\S-1-5-21-0259447055-9052461727-393745204-4198
    Supprimé ! C:\Recycler\S-1-5-21-0414086824-3892400223-688750714-0492
    Supprimé ! C:\Recycler\S-1-5-21-0694477267-6220413158-723567908-5128
    Supprimé ! C:\Recycler\S-1-5-21-0790502253-6135648217-697539560-6678
    Supprimé ! C:\Recycler\S-1-5-21-1484939701-8745989757-556905770-9481
    Supprimé ! C:\Recycler\S-1-5-21-1660505988-5599254721-537292596-2671
    Supprimé ! C:\Recycler\S-1-5-21-1893022965-4224669292-553304778-4669
    Supprimé ! C:\Recycler\S-1-5-21-1910506892-0824082193-183825161-0515
    Supprimé ! C:\Recycler\S-1-5-21-2453906857-3757194385-344762478-9246
    Supprimé ! C:\Recycler\S-1-5-21-2893716131-0783289976-449855383-9996
    Supprimé ! C:\Recycler\S-1-5-21-3196076147-2668734892-897332838-7352
    Supprimé ! C:\Recycler\S-1-5-21-3865730238-9668552967-776578793-7644
    Supprimé ! C:\Recycler\S-1-5-21-3989094334-8054254082-833101146-4996
    Supprimé ! C:\Recycler\S-1-5-21-4097028361-0881631303-526150849-6176
    Supprimé ! C:\Recycler\S-1-5-21-4811080446-0309128073-905631505-2884
    Supprimé ! C:\Recycler\S-1-5-21-5069975286-4171177308-541582655-2584
    Supprimé ! C:\Recycler\S-1-5-21-5230310847-1207817581-184258520-0804
    Supprimé ! C:\Recycler\S-1-5-21-5461433695-8137554213-636427938-9055
    Supprimé ! C:\Recycler\S-1-5-21-6435041206-5089708960-216430673-1268
    Supprimé ! C:\Recycler\S-1-5-21-6599527177-6811408745-911119091-1872
    Supprimé ! C:\Recycler\S-1-5-21-6720627375-2456889883-729508046-3383
    Supprimé ! C:\Recycler\S-1-5-21-6962213832-5005930894-198689075-0648
    Supprimé ! C:\Recycler\S-1-5-21-6990684349-1072581237-077389150-4322
    Supprimé ! C:\Recycler\S-1-5-21-7133270060-1466268117-912766654-1862
    Supprimé ! C:\Recycler\S-1-5-21-7282451168-6687637546-956519754-9274
    Supprimé ! C:\Recycler\S-1-5-21-8362603693-7231597876-173738147-1973
    Supprimé ! C:\Recycler\S-1-5-21-8849954269-8401942450-586937849-9339
    Supprimé ! C:\Recycler\S-1-5-21-9297797661-0116576508-312855603-5600
    Supprimé ! C:\Recycler\S-1-5-21-9421601334-5428285899-053198363-4067
    Supprimé ! D:\$Recycle.Bin\S-1-5-21-2517832360-3847001405-4034661461-1003
    Supprimé ! D:\$Recycle.Bin\S-1-5-21-2517832360-3847001405-4034661461-501
    F:\autorun.inf -> fichier appelé : "F:\U3ROM/flyhigh.exe" ( Présent ! )
    (!) Non supprimé ! F:\U3ROM/flyhigh.exe
    F:\autorun.inf -> fichier appelé : "F:\U3ROM/flyhigh.exe" ( Présent ! )
    (!) Non supprimé ! F:\U3ROM/flyhigh.exe
    Supprimé ! F:\autorun.inf
    Supprimé ! F:\U3ROM\desktop.ini
    Supprimé ! F:\U3ROM\flyhigh.exe
    Supprimé ! F:\U3ROM

    ################## | Registre |

    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{2142766b-1609-11df-a722-0013776cc8ac}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{916a2fcf-eed1-11de-bae8-0013776cc8ac}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{d86f00da-6b97-11de-b00d-0013776cc8ac}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [18/09/2006 23:43|--a------|24] C:\autoexec.bat
    [19/01/2008 09:45|-rahs----|333203] C:\bootmgr
    [16/11/2006 12:39|-ra-s----|8192] C:\BOOTSECT.BAK
    [22/04/2010 14:15|--a------|1362] C:\cleannavi.txt
    [18/09/2006 23:43|--a------|10] C:\config.sys
    [?|?|?] C:\hiberfil.sys
    [23/05/2008 15:28|-rahs----|0] C:\IO.SYS
    [23/05/2008 15:28|-rahs----|0] C:\MSDOS.SYS
    [?|?|?] C:\pagefile.sys
    [25/04/2007 16:45|--a------|631] C:\PDVD.iss
    [10/05/2008 03:10|--a------|360] C:\RHDSetup.log
    [18/02/2010 13:44|--a------|6996] C:\rollback.ini
    [13/10/2008 20:04|--a------|90] C:\Setup.log
    [22/04/2010 17:41|--a------|4512] C:\UsbFix.txt
    [22/04/2010 13:32|--a------|4680] C:\ZHPExportRegistry-22-04-2010-13-32-47.txt
    [11/10/2009 20:27|--a------|16046] D:\0x040c.ini
    [11/10/2009 20:28|--a------|111104] D:\1036.MST
    [18/11/2008 23:05|--a------|556366] D:\animaul 003.JPG
    [11/10/2009 20:29|--a------|97979392] D:\Samsung New PC Studio.msi
    [09/04/2010 08:34|--a------|338774] F:\dossier sur les perroquet.odt
    [24/03/2010 05:38|--a------|771934188] F:\LA BRIGADE DES FEUILLES - Les Chevaliers du fiel (DvB-Rip) [XviD-Fr] par PapyJack.avi

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-utilisate.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.107 ! |
    0
  17. Utilisateur anonyme
     
    Et maintenant le rapport USBFIX choix 5

    ############################## | UsbFix V6.107 |

    User : utilisateur (Administrateurs) # PC-DE-UTILISATE
    Update on 21/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 17:46:42 | 22/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) # Service Pack 1
    Internet Explorer 7.0.6000.16982
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 144,09 Go (99,78 Go free) # NTFS
    D:\ -> Disque fixe local # 144 Go (143,81 Go free) # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible # 7,45 Go (6,73 Go free) [USB 8 GO] # FAT32

    ###################### | Listing des fichiers présents C:\ |

    [18/09/2006 23:43|--a------|24] - C:\autoexec.bat
    [19/01/2008 09:45|-rahs----|333203] - C:\bootmgr
    [16/11/2006 12:39|-ra-s----|8192] - C:\BOOTSECT.BAK
    [22/04/2010 14:15|--a------|1362] - C:\cleannavi.txt
    [18/09/2006 23:43|--a------|10] - C:\config.sys
    [?|?|?] - C:\hiberfil.sys
    [23/05/2008 15:28|-rahs----|0] - C:\IO.SYS
    [23/05/2008 15:28|-rahs----|0] - C:\MSDOS.SYS
    [?|?|?] - C:\pagefile.sys
    [25/04/2007 16:45|--a------|631] - C:\PDVD.iss
    [10/05/2008 03:10|--a------|360] - C:\RHDSetup.log
    [18/02/2010 13:44|--a------|6996] - C:\rollback.ini
    [13/10/2008 20:04|--a------|90] - C:\Setup.log
    [22/04/2010 17:46|--a------|1383] - C:\UsbFix.txt
    [22/04/2010 17:41|--a------|215395] - C:\UsbFix_Upload_Me_PC-de-utilisate.zip
    [22/04/2010 13:32|--a------|4680] - C:\ZHPExportRegistry-22-04-2010-13-32-47.txt

    ###################### | Listing des dossiers présents C:\ |

    [22/04/2010 17:39|d--hs----|4096] - C:\$Recycle.Bin
    [22/04/2010 07:43|d--------|4096] - C:\90e5b598006a050b0e
    [22/04/2010 17:41|drahs----|0] - C:\autorun.inf
    [10/05/2008 07:08|d--------|0] - C:\avs contents
    [21/04/2010 18:42|d--hs----|4096] - C:\Boot
    [02/11/2006 15:02|d--hs---l|0] - C:\Documents and Settings
    [10/05/2008 06:49|dr-h-----|0] - C:\MSOCache
    [10/05/2008 03:21|d--------|0] - C:\MyWorks
    [22/04/2010 14:15|d-a------|4096] - C:\Navilog1
    [21/04/2010 18:29|d--------|0] - C:\PerfLogs
    [22/04/2010 14:37|dr-------|28672] - C:\Program Files
    [22/04/2010 14:30|d--h-----|8192] - C:\ProgramData
    [22/04/2010 17:37|dr-hs----|12288] - C:\RECYCLER
    [31/01/2010 19:45|d--------|0] - C:\Samsung
    [21/04/2010 23:15|d--hs----|20480] - C:\System Volume Information
    [22/04/2010 17:46|d--------|4096] - C:\UsbFix
    [22/04/2010 07:43|dr-------|4096] - C:\Users
    [22/04/2010 14:42|d--------|36864] - C:\Windows

    ###################### | Listing des fichiers présents D:\ |

    [11/10/2009 20:27|--a------|16046] - D:\0x040c.ini
    [11/10/2009 20:28|--a------|111104] - D:\1036.MST
    [18/11/2008 23:05|--a------|556366] - D:\animaul 003.JPG
    [11/10/2009 20:29|--a------|97979392] - D:\Samsung New PC Studio.msi

    ###################### | Listing des dossiers présents D:\ |

    [22/04/2010 17:41|d--hs----|0] - D:\$RECYCLE.BIN
    [22/04/2010 17:41|drahs----|0] - D:\autorun.inf
    [18/09/2009 22:00|d--------|0] - D:\EMULE
    [11/07/2008 21:56|d--hs----|0] - D:\System Volume Information

    ###################### | Listing des fichiers présents F:\ |

    [09/04/2010 08:34|--a------|338774] - F:\dossier sur les perroquet.odt
    [24/03/2010 05:38|--a------|771934188] - F:\LA BRIGADE DES FEUILLES - Les Chevaliers du fiel (DvB-Rip) [XviD-Fr] par PapyJack.avi

    ###################### | Listing des dossiers présents F:\ |

    [09/04/2010 06:58|d--------|0] - F:\Nouveau dossier
    [22/04/2010 17:41|drahs----|0] - F:\autorun.inf

    ################## | ! Fin du rapport # UsbFix V6.107 ! |
    0
  18. Utilisateur anonyme
     
    et voici le rapport ZHPDIAG

    http://www.cijoint.fr/cjlink.php?file=cj201004/cijJMpDlxZ.txt
    0
  19. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ...

    on avance ... ^^

    la suite dans l'ordre :

    1- Si ce n'est pas déjà fait , Rends sur cette page :
    > https://www.ionos.fr/?affiliate_id=77097

    * clique sur "parcourir" et va jusqu'au fichier C:\UsbFix_Upload_Me_PC-de-utilisate.zip

    * En dessous de "Sélectionnez l'outil que vous venez d'utiliser" , choisis UsbFix .

    * puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

    * Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_PC-de-utilisate.zip

    merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... ^^

    ===========================

    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici https://www.androidworld.fr/

    ! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) !

    * Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    * Une fois l'outil ouvert, clique sur le bouton [Scanner] .

    * Laisse travailler l'outil et ne touche à rien ...

    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
  20. Utilisateur anonyme
     
    Rapport AD-R

    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 22/04/10 à 19:00
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 19:06:32 le 22/04/2010 | Mode normal | Option: SCAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows Vista(TM) HomePremium Service Pack 1 - X86
    Nom du PC: PC-DE-UTILISATE (SAMSUNG ELECTRONICS CO., LTD. R59P/R60P/R61P)
    Utilisateur actuel: utilisateur (Administrateur)
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .
    .
    C:\Program Files\Kiwee Toolbar
    C:\ProgramData\Kiwee Toolbar
    C:\Users\Invité\AppData\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\C\Users\Invité\AppData\Roaming\agi
    C:\Users\Invité\AppData\LocalLow\Kiwee Toolbar
    C:\Users\Invité\AppData\Roaming\EoRezo
    C:\Users\utilisateur\AppData\Local\ljpglrh.bat
    C:\Users\utilisateur\AppData\LocalLow\Kiwee Toolbar
    C:\Users\utilisateur\AppData\Roaming\AGI
    C:\Users\utilisateur\AppData\Roaming\EoRezo
    .
    HKCU\Software\AGI
    HKCU\Software\EoRezo
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
    HKLM\Software\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
    HKU\.DEFAULT\Software\AGI
    HKU\S-1-5-18\Software\AGI
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version Impossible d'obtenir la version *
    .
    .
    .
    * Internet Explorer Version 7.0.6000.16982 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp:\\www.samsungcomputer.com
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Show_ToolBar: yes
    Start Page: hxxp://www.google.fr/
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp:\\www.samsungcomputer.com
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Users\UTILIS~1\AppData\Local\Temp: 4 Fichier(s), 4 Dossier(s)
    C:\Windows\temp: 0 Fichier(s), 2 Dossier(s)
    C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Cookies: 30 Fichier(s), 2 Dossier(s)
    Temporary Internet Files: 38 Fichier(s), 11 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Ad-Remover\Backup: 1 Fichier(s)
    .
    C:\Ad-Report-SCAN[1].txt - 2844 Octet(s)
    .
    Fin à: 19:11:57, 22/04/2010
    .
    ============== E.O.F - SCAN[1] ==============
    0
  21. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Bien ....

    dans l'ordre :

    1- On va réutiliser Navilog1 encore une fois mais de cette manière :

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

    Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil .

    Laisse-toi guider. Au menu principal, choisis 2 et valide .

    > L'outil va te demander de saisir un nom de fichier. Saisis ce qui est en gras ci-dessous et rien d'autre :

    ljpglrh

    --->puis valide .

    L'outil va te demander de le re-saisir encore une fois. Fais le et valide.

    Laisse faire le nettoyage et laisse toi guider ...

    > Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
    laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuelement (c'est important !) .

    Note :
    Si l'outil te demande d'effectuer la manipe en mode sans echec, fais le ( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).

    Patiente jusqu'au message :
    *** Scan Terminé le ..... ***

    Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
    Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

    (Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" )

    =========================

    2- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    * droit / "éxecuter entant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    * Clique cette fois sur [Nettoyer] .

    * Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log)
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    ========================

    3- Refais un scan ZHPDiag ( "en tant qu'admin..." ) .

    * coche bien toutes les options ( sauf la 045 et 061 ),

    * au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    "Baby, I'm going on an airplane, And I don't know if I'll be back again"
    IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
    vous l'a pas dit !
    0
  • 1
  • 2
  • 3