Virus Security tool : impossible à supprimer Résolu

Question

Bonjour, 

Il y a quelques heures, en ouvrant une photo dans "images google", une fenêtre mozilla s'est ouverte, m'a proposé de faire des mises à jour pour amélioration, j'ai accepté, j'ai cliqué sur un  logiciel, avec le petit logo de mozilla, j'ai pas réfléchi !!

Et security tool est arrivé, avec ses fautes d'orthographe, je n'y ai pas cru.. Seulement voilà, j'ai voulu suivre les manips à effectuer pour le supprimer mais : On me demande, au démarrage en mode sans échec de "décocher la ligne avec une suite de chiffre" qui n'existe pas dans mon cas. Quant à RKill et Mawarebytes... Impossible de les exécuter !

Je suis bloquée avec ce virus de m****. Depuis qqes jours, des pop up s'ouvraient.. Je devais déjà avoir un virus (je suis sous avast gratos)

Merci de sauver mon dimanche !!



Configuration: Windows Vista / Firefox 3.6.8

crapoulou · Accepted Answer

Bonsoir,

L'infection étant installée, il faut agir avec une réelle procédure de désinfection.
Ton intention d'aider est la bienvenue Dante, mais ici, je pense qu'il vaut mieux laisser Guillaume5188 ou Smart91 agir, contributeurs sécurité et dignes de confiance dans ce domaine.
Tout cela non pas pour pénaliser quiconque (premier à poster ou pas), on est là pour l'utilisateur et son PC avant tout.

Merci de votre compréhension à tous et bonne continuation dans la désinfection.

Crapoulou.

Dante57570 · Answer

Essaye de renommer le .exe de malwarebytes en changeant son nom tu devrais pouvoir le lancer

Smart91 · Answer

Bonjour,

Tu as installé un rogue un faux antivirus.
On va faire une analyse de ton PC:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

mel1004 · Answer

J'ai mis du temps car je dois redémarrer mon ordi tout le temps... Via Explorer, ça plante moins qu'avec Mozilla... MAis impossible de télécharger ZEBULON... Security tool bloque tout...

mel1004 · Answer

Bonsoir, 

J'ai répondu aux deux helpers... qui ont d'ailleurs du répondre en même temps... Maintenant personne ne veut plus prendre la parole ???

S'il vous plait, j'ai peur de devoir utiliser la solution du lancer de pc par la fernêtre !!

Utilisateur anonyme · Answer

Bonsoir


Pour avancer Smart91,que je salue au passage. 

1)Démarre ton PC en mode sans echec avec prise en charge reseau. 

* 1/ Redémarrez l'ordinateur. L'ordinateur commence le traitement d'instructions connues sous le nom Basic Input/Output System (BIOS). L'affichage dépend du fabricant du BIOS. Certains ordinateurs affichent une barre de progression faisant référence à BIOS, d'autres peuvent ne pas indiquer le processus en cours de réalisation.  
* 2/ À la fin du chargement du BIOS, commencez à appuyer sur la touche  F8  de votre clavier ( ou F5  si F8 ne fonctionne pas). Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaisse. Si vous commencez à appuyer sur la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "Erreur clavier". Pour résoudre ce problème, redémarrez l'ordinateur et réessayez de nouveau.  
* 3/ En utilisant les flèches de votre clavier, sélectionnez  "Mode sans échec avec prise en charge réseau"  dans le menu puis appuyez sur Entrée.  



2)Télécharge Rkill sur le bureau ; à partir d'un de ces liens : 
https://download.bleepingcomputer.com/grinler/rkill.exe 

Si le premier lien ne fonctionne pas ; passe au suivant  et ainsi de suite. 
http://download.bleepingcomputer.com/grinler/rkill.pif 
https://download.bleepingcomputer.com/grinler/rkill.scr 
https://download.bleepingcomputer.com/grinler/rkill.com 

Double clic pour le lancer. 
Une fenêtre (très rapide) indiquera que tout s'est bien déroulé. 
Pour Vista ou Seven, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.  
Rkill désactive les processus de Windows et ceux lié aux infections afin de commencer un nettoyage 

3)Télécharge Malwaresbytes anti malware ici   
http://www.malwarebytes.org/mbam.php 
  
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .    

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/  

* Potasse le tuto pour te familiariser avec le prg :  

https://forum.pcastuces.com/sujet.asp?f=31&s=3  

(cela dis, il est très simple d'utilisation).  

relance Malwaresbytes en suivant scrupuleusement ces consignes :  

! Déconnecte toi et ferme toutes applications en cours !  

* Lance Malwarebyte's.  

Fais un examen dit "Complet" 

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).  
--> à la fin tu cliques sur  "Afficher les résultats" "   .  
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   .  

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le !  


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date) 



@+ 
---------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

Dante57570 · Answer

Euh t'es gentil mais j'ai répondu le premier alors merci laisse le tester mon idée, pour qui tu te prend pour supprimer mes posts ??!!!

Dante57570 · Answer

Déjà avant de lui dire de télécharger Malwarebyte's tu as lu qu'il ne pouvait pas le lancer ??

Dante57570 · Answer

Bon OK je m'incline mais je reste sur le fait que c'était impoli de supprimer mes posts....

Mel1004 · Answer

Merci pour les explications de tout le monde... J'ai suivi les indication de Guillaume5188 et voilà le rapport (pas de security tool au redémarrage) :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4375

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.18928

01/08/2010 01:08:17
mbam-log-2010-08-01 (01-08-17).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 272249
Temps écoulé: 1 heure(s), 3 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\03237 (Rogue.SecurityTool) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\mel\AppData\Local\03237.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Users\mel\Downloads\ff-update(2).exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Users\mel\Downloads\ff-update.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Users\mel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Re

Pour vérification;fait ceci:

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

Mel1004 · Answer

Voilà c'est fait.. Un peu long, j'avais oublié d'enregistrer le lien :

http://www.cijoint.fr/cjlink.php?file=cj201008/cij5Tx03BY.txt

Utilisateur anonyme · Answer

Re

1)Affiche les fichiers cachés:
Comment faire:https://www.micro-astuce.com/Forum/afficher-les-fichiers-caches-t1607.html


2)Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

 Clique sur " parcourir ", cherche ce fichier : 

C:\Windows\system32\44F6B0E951.sys

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

 Attends la fin. Il doit comprendre la taille du fichier envoyé. 

 Sauvegarde le rapport avec le bloc-notes. 

 Copie le dans ta réponse. 

(!) Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyser le fichier maintenant



3)* Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7)  sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut. 

* Double-clique ou clic droit (exécuter en tant que admin...sur Vista et Windows 7) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option  "Nettoyer"
  et sur [entrée]  .

* Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/ad_remover.html images (Recherche):    http://pagesperso-orange.fr/NosTools/tuto_adr_2.html


Poste les rapports au fur et à mesure;merci.
@+

Mel1004 · Answer

Je ne sais pas si j'ai fait la bonne manip.. Je n'arrive pas à sauvegarder avec le bloc notes, je tente un copier-coller :

Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2010.08.01.00	2010.07.31	-
AntiVir	8.2.4.32	2010.07.30	-
Antiy-AVL	2.0.3.7	2010.07.30	-
Authentium	5.2.0.5	2010.07.31	-
Avast	4.8.1351.0	2010.07.31	-
Avast5	5.0.332.0	2010.07.31	-
AVG	9.0.0.851	2010.07.31	-
BitDefender	7.2	2010.08.01	-
CAT-QuickHeal	11.00	2010.07.31	-
ClamAV	0.96.0.3-git	2010.08.01	-
Comodo	5602	2010.07.31	-
DrWeb	5.0.2.03300	2010.07.31	-
Emsisoft	5.0.0.34	2010.07.30	-
eSafe	7.0.17.0	2010.07.29	-
eTrust-Vet	36.1.7753	2010.07.31	-
F-Prot	4.6.1.107	2010.07.31	-
F-Secure	9.0.15370.0	2010.07.31	-
Fortinet	4.1.143.0	2010.07.31	-
GData	21	2010.08.01	-
Ikarus	T3.1.1.84.0	2010.07.31	-
Jiangmin	13.0.900	2010.07.29	-
Kaspersky	7.0.0.125	2010.08.01	-
McAfee	5.400.0.1158	2010.08.01	-
McAfee-GW-Edition	2010.1	2010.07.30	-
Microsoft	1.6004	2010.08.01	-
NOD32	5329	2010.08.01	-
Norman	6.05.11	2010.07.31	-
nProtect	2010-07-31.01	2010.07.31	-
Panda	10.0.2.7	2010.07.31	-
PCTools	7.0.3.5	2010.08.01	-
Prevx	3.0	2010.08.01	-
Rising	22.58.05.04	2010.07.31	-
Sophos	4.56.0	2010.07.31	-
Sunbelt	6669	2010.08.01	-
SUPERAntiSpyware	4.40.0.1006	2010.07.31	-
Symantec	20101.1.1.7	2010.08.01	-
TheHacker	6.5.2.1.328	2010.07.30	-
TrendMicro	9.120.0.1004	2010.07.31	-
TrendMicro-HouseCall	9.120.0.1004	2010.08.01	-
VBA32	3.12.12.7	2010.07.30	-
ViRobot	2010.7.31.3965	2010.07.31	-
VirusBuster	5.0.27.0	2010.07.31	-
Information additionnelle
File size: 168 bytes
MD5...: 5027101df61936637172524ef8aab643
SHA1..: 3c1d6a8e5160411a4589ec1053a9b546aad6f10c
SHA256: 51847daa40485d4d64fbbe78a362869b69f3b6573def3969141bb39a4ad22323
ssdeep: 3:hl/hdYfZh9iY2F:9dohu
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: MS Flight Simulator Aircraft Performance Info (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Mel1004 · Answer

dernier rapport après nettoyage :

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 02:18:17 le 01/08/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
mel@PC-DE-MEL (ASUSTeK Computer Inc. F7L) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\Program Files\AskBarDis
0,Dossier supprimé: C:\Users\mel\AppData\LocalLow\AskSBar

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\mel\AppData\Roaming\Mozilla\FireFox\Profiles\hnwy48u2.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultthis.engineName", "Mininova Customized Web Search"); 
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1396957&Sea... 
Ligne supprimée: user_pref("browser.search.selectedEngine", "Mininova Customized Web Search"); 
-- Fichier Fermé --
 

0,Clé supprimée: HKLM\Software\Live-Player
0,Clé supprimée: HKCU\Software\Live-Player

0,Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo jimddp
0,Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo hpfanicgkffmccehnpkikogcffaepkfp
0,Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo dgnckdmmolaijpbbakmplfhlfpdhglgc


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Users\mel\AppData\Roaming\Mozilla\FireFox\Profiles\hnwy48u2.default\Prefs.js --
browser.download.dir, C:\Users\mel\Downloads
browser.download.lastDir, C:\Users\mel\Desktop\BLOND
browser.search.defaultenginename, Live Search
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [8.0.6001.18928] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: no
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 11 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 01/08/2010 (3459 Octet(s)) 

Fin à: 02:26:38, 01/08/2010 
 
============== E.O.F ==============

Mel1004 · Answer

Je ne sais pas si c'est fini.. Je pense, non ?
En tout cas merci pour ta patience en cette heure tardive...

Tout a l'air de fonctionner !! MERCI !!

Smart91 · Answer

Salut à vous deux,,

Merci à Guillaume d'avoir pris la suite.

@Mel1004. Ce n'est pas terminé. Je laiise cependant Guillaume continuer car c'est lui qui a rééllement commencé la désinfection

Utilisateur anonyme · Answer

Bonjour Smart91;)

Ok;je continue;merci.

@Mel1004

Passons aux mises à jour:

1)Pour java utilises javaRa https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara    

 et un autre tutoriel javaRa http://www.libellules.ch/dotclear/index.php?post/2008/07/13/2689-javara

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-cliques ou clic droit sous Vista  sur le répertoire JavaRa. 
* Puis double-cliques sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis cliques sur Select. 
* Cliques sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorises le processus à se connecter s'il le demande, cliques sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et cliques sur Effacer les anciennes versions. 
* Cliques sur Oui pour confirmer. Laisses travailler et cliques ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Postes-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

2)Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.

3)Fait de la place sur ton disque:System drive C: has 6 GB (7%) free of 75 GB 
Il faut un minimum de 10% de libre pour que Windows tourne à l'aise.

@+

Smart91 · Answer

Salut guillaume,

Je serais de toi je vérifierais quand même si cette ligne est toujours présente dans un rapport ZHPDiag:
O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} . (.Secure Digital Services Limited - OfferBox.) -- C:\Program Files\OfferBox\OfferBoxBHO.dll

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Mel1004 · Answer

Bonjour,

J'en suis à "mettre à jour via jucheck.exe" mais rien ne se passe quand je clique sur "rechercher"....

Utilisateur anonyme · Answer

Re

1)Supprime les anciennes versions;et ensuite rends toi sur ce site pour télécharger la dernière version ici:
https://www.java.com/fr/

@+

Mel1004 · Answer

Ok. Toutes les mises à jour ont été faites.
JAVA + les mises à jour des autres lgiciels... Mais du coup je n'ai aucun rapport à poster !?

Utilisateur anonyme · Answer

Re

Poste un nouveau rapport ZHPDiag;merci

@+

Mel1004 · Answer

Voilà :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijSmCQ1Te.txt

Utilisateur anonyme · Answer

Re

Lance  ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe  
 « Exécuter en tant qu'administrateur »

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal (qui est vierge), copie/colle tout le texte qui se trouve ci-dessous  (et rien d'autre !) : 

[HKCU\Software\AppDataLow\Software\AskSBar]
[HKCU\Software\AskSBarVZ]
[HKCU\Software\pdfforge.org]    
[HKCU\Software\*ÎÄÃ ÀÀ¿ë ÇÁ*Î±×*¥ ¸¹ý»ç¿¡¼ »ý¼ºµÈ ÀÀ¿ë ÇÁ*Î±×*¥]
[HKLM\Software\AskSBar]
[HKLM\Software\pdfforge.org]    



Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

* Puis clique sur le bouton [ OK] . 
> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide.  Ne touche plus à rien !  

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées. 

* Enfin clique sur le bouton [ Nettoyer]. 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 

Pense à réactiver tes défenses !...

A+

Mel1004 · Answer

Re,



RAPPORT :



Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\AppDataLow\Software\AskSBar]

[HKEY_CURRENT_USER\Software\AppDataLow\Software\AskSBar\bar]
"CacheDir"="C:\Users\mel\AppData\LocalLow\AskSBar\bar\Cache\"
"HistoryDir"="C:\Users\mel\AppData\LocalLow\AskSBar\bar\History\"
"Visible"="1"
"Maximized"="0"
"SettingsDir"="C:\Users\mel\AppData\LocalLow\AskSBar\bar\Settings\"
"ConfigRevision"="11"
"ConfigRevisionURL"="http://ccbar.ask.com/cfg/askbarcfg.jsp?s=as&p=AD"
"ConfigDateStamp"="2008111314"
"NextConfigRequest"="IOED8zSKyQE-"
"LastConfigRequest"="IKm2zRuKyQE-"

[HKEY_CURRENT_USER\Software\AppDataLow\Software\AskSBar\SearchAssistant]
"ConfigDateStamp"="2008111314"
"ABS"="http://ask.askredir.com/search/cfg_redir3.jhtml?id=AD&psa=B87E03B2-EA8C-4C29-82CE-1984DDA733C1&url=http://www.ask.com/web&l=dis&o=1644&ind=2008111314&q="
"DES"="http://ask.askredir.com/search/cfg_redir3.jhtml?id=AD&psa=B87E03B2-EA8C-4C29-82CE-1984DDA733C1&url=http://www.ask.com/web&l=dis&o=1643&gc=1&gct=dns&ind=2008111314&q="
"sscEnabled"="1"
"eintl"="1"
"NextRequest"=hex:d0,48,95,a3,7b,8a,c9,01
"LastRequest"=hex:50,50,c2,80,f9,89,c9,01
"fs"="0"

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\AskSBarVZ]
"VuzeExePath"="C:\Program Files\Azureus\azureus.exe"

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\pdfforge.org]

[HKEY_CURRENT_USER\Software\pdfforge.org\Barre d'outils PDFCreator]
"SList"=dword:00000026
"IsInstaller"=dword:00000001

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\AskSBar]

[HKEY_LOCAL_MACHINE\Software\AskSBar\bar]
"pid"="AD"

Utilisateur anonyme · Answer

Re

Ce n'est pas le bon rapport;
regarde ici:C:\Program files\ZHPDiag\ ZHPFixReport.txt 

@+

Mel1004 · Answer

Désolée.. J'avais un doute...


Rapport de ZHPFix v1.12.3129 par Nicolas Coolman, Update du 27/07/2010
Fichier d'export Registre : 
Run by mel at 01/08/2010 14:35:32
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\AppDataLow\Software\AskSBar  => Clé supprimée avec succès
HKCU\Software\AskSBarVZ  => Clé supprimée avec succès
HKCU\Software\pdfforge.org  => Clé supprimée avec succès
HKCU\Software\*ÎÄÃ ÀÀ¿ë ÇÁ*Î±×*¥ ¸¹ý»ç¿¡¼ »ý¼ºµÈ ÀÀ¿ë ÇÁ*Î±×*¥  => Clé absente
HKLM\Software\AskSBar  => Clé supprimée avec succès
HKLM\Software\pdfforge.org  => Clé supprimée avec succès


========== Récapitulatif ==========
6 : Clé(s) du Registre


End of the scan

Utilisateur anonyme · Answer

Re

Passons au nettoyage:

1)Télécharges Toolscleaner afin de supprimer les logiciels de désinfection inutiles 

 ---> Télécharge Toolscleaner  sur ton Bureau.
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
* Double-clique sur ToolsCleaner2.exe(ou clic droit « exécuter en tant que administrateur » pour Vista et Seven)pour le lancer. 
* Clique sur Recherche et laisse le scan agir. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives. 
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Supprime le ensuite( Le .exe et le  .txt)


2)C - Ccleaner :   

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau  
.double-cliques sur le fichier pour lancer l'installation  
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur <gras>suivant  
.lis la licence et j'accepte  
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau  et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer  
.double-cliques sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm


3)Purge la restauration sur Vista.
Comment faire :

https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections

@+

Mel1004 · Answer

Toolscleaner ne répond pas....

Utilisateur anonyme · Answer

Re

L'as tu lancé avec un clic droit "exécuter en tant que..."?

Mel1004 · Answer

Oui...

Utilisateur anonyme · Answer

Re

Supprime le  et télécharge le à nouveau:
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

@+

Mel1004 · Answer

Non... Rien n'y fait...

Utilisateur anonyme · Answer

Re

Ok;procédons autrement:
Tu lances ZHPFix;
Il y a un grand "A" tu cliques dessus.

@+

Mel1004 · Answer

Rapport de ZHPFix v1.12.3129 par Nicolas Coolman, Update du 27/07/2010
Fichier d'export Registre : 
Run by mel at 01/08/2010 16:18:32
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Dossier(s) ==========
C:\Program Files\Ad-remover  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\users\mel\desktop\javara.exe  => Supprimé et mis en quarantaine
c:\users\mel\desktop\gpl-2.0.txt  => Supprimé et mis en quarantaine
c:\users\mel\desktop\javara.def  => Supprimé et mis en quarantaine
c:\users\mel\desktop\oad.exe  => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O63 - Logiciel: ZHPDiag 1.26  => Logiciel supprimé avec succès
O63 - Logiciel: JavaRa - (Paul McLain)  => Logiciel supprimé avec succès
O63 - Logiciel: OAD - (!aur3n7)  => Logiciel supprimé avec succès
O63 - Logiciel: Ad-Remover By C_XX  => Logiciel supprimé avec succès


========== Récapitulatif ==========
1 : Dossier(s)
4 : Fichier(s)
4 : Logiciel(s)


End of the scan

Utilisateur anonyme · Answer

Re

Supprime à la main rkill

Passe à Ccleaner.

Mel1004 · Answer

Re,

Ok tout est fait... La purge VISTA aussi...

Utilisateur anonyme · Answer

Re

Bien ;je te propose donc de clore ce post.

@+

Mel1004 · Answer

PARFAIT !!!

Merci beaucoup !! J'ai récupéré plein de place et mon ordi roule tout seul...
Ce fut long mais passionnant ! Faudrait pas que je prenne gout à choper des virus juste pour le plaisir de les exterminer !!

Bonne fin de week-end. Et merci encore !

mordu42 · Answer

Salut tout le monde, j'ai le virus aussi, je voudrais savoir si un formatage du pc l'élimine totalement. Car ca ne me fait rien de perdre mes donées et de reformater.
Merci d'avance
Stef

Virus Security tool : impossible à supprimer

41 réponses

Votre réponse

Discussions similaires

Newsletters