virus acronis toolbar helper et symantecRésolu/Fermé

Question

Bonjour,

voilà j'ai repéré 3 rundll32 dans mes processus. je suis allé voir dans msconfig et je les ai enlevées au démarrage.

je redémarre et hop elle sont revenues. :??: 

je fais un regedit et dans :
HKLM\software\microsoft\windows\currentversion\run ; je trouve ces 3 lignes:

Acronis Toolbar Helper : rundll32.exe "C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard\dskclnwiz.dll", StartProt

rqrropsys : rundll32.exe "ssrqro.dll",s

yaxutsaudio : rundll32.exe "nnonmn.dll",s

je les vire et paf elles reviennent :fou:  :fou:  :fou: 

starter me donne ça comme démarrage :

Elément,Valeur,Section,Enabled,Description,Company
"Acronis Toolbar Helper","rundll32.exe "C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard\dskclnwiz.dll", StartProt","Registre - Démarrage machine","1","",""
"Acronis Toolbar Helper","rundll32.exe "C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard\dskclnwiz.dll", StartProt","Registre - Démarrage machine","0","",""
"CTFMON.EXE","C:\WINDOWS\system32\ctfmon.exe","Registre - Démarrage utilisateur courant","1","CTF Loader (Microsoft® Windows® Operating System)","Microsoft Corporation"
"CTFMON.EXE","C:\WINDOWS\system32\CTFMON.EXE","Registre - Démarrage utilisateur par défaut","1","CTF Loader (Microsoft® Windows® Operating System)","Microsoft Corporation"
"Desktop Cleanup Wizard","rundll32.exe "C:\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard\dskclnwiz.dll", StartProt","Registre - Démarrage utilisateur courant","0","",""
"hgfgggsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage machine","0","foobar2000","foobar2000.org"
"khiigdsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage machine","0","foobar2000","foobar2000.org"
"Microsoft Office.lnk","C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l","Démarrage - Tous les utilisateurs","1","Microsoft Office XP component (Microsoft Office XP)","Microsoft Corporation"
"mligecaudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage utilisateur par défaut","1","RemoteCommand Module (Norton Ghost )","Symantec Corporation"
"mlkjigaudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage utilisateur courant","1","RemoteCommand Module (Norton Ghost )","Symantec Corporation"
"MSMSGS",""C:\Program Files\Messenger\msmsgs.exe" /background","Registre - Démarrage utilisateur courant","1","Windows Messenger (Messenger)","Microsoft Corporation"
"Realtime Monitor",""C:\Program Files\CA\eTrustITM\realmon.exe" -s","Registre - Démarrage machine","1"," (eTrust ITM)","CA"
"rqrropsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage machine","1","foobar2000","foobar2000.org"
"ssrstqsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage utilisateur par défaut","1","foobar2000","foobar2000.org"
"xxvttraudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage machine","0","RemoteCommand Module (Norton Ghost )","Symantec Corporation"
"xxxyabaudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage utilisateur courant","0","RemoteCommand Module (Norton Ghost )","Symantec Corporation"
"yaaabbsys","rundll32.exe "ssrqro.dll",s","Registre - Démarrage machine","0","foobar2000","foobar2000.org"
"yaxutsaudio","rundll32.exe "nnonmn.dll",s","Registre - Démarrage machine","1","RemoteCommand Module (Norton Ghost )","Symantec Corporation"

je précise que je ne peux plus lancer malewarebyte's.

comment puis-je virer ces virus? car je pense que c'est comme ça que celà doit s'appeler!!!

merci d'avance à ceux qui se pencheront sur mon problème

Fredalien



Configuration: Windows XP / Internet Explorer 7.0

Mstr · Answer

Salut,


Ça m'étonnerait que la toolbar d'Acronis soit infectieuse, Symantec aussi.

C'est donc, soit des fakes, soit tes problèmes sont liés a peut être un autre infection, ou encore pas d'infections du tout.

Quand tu lance MBAM, ça renvoie quoi comme erreur ?

BoulgiBoulga · Answer

Téléchargez déjà Ccleaner, cela réparera les erreurs du registre, ou Glary Utilities ( un peu plus difficile à utiliser ).   
Ensuite reportez-vous à la rubrique https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc 

Normalement votre problème devrait être réglé avec ça...normalement...

fredalien · Answer

re,

merci de répondre aussi vite!

@mstr : mbam ne se lance tout simplement pas (pas de message d'erreur) même en utilisant la commande!

@boulgiboulga : ccleaner est déjà passé, je passe registry mechanics et ces rundll32 restent!! je regarde ton lien.

précisions : avec IE 7, je suis envoyé sur des pages que je ne veux pas lors de mes recherches (dont des rogues). et également, il n'y a jamais eu norton sur ce pc donc que fait symantec ici?

une autre : foobar2000?? jamais installé ce lecteur et pourtant il est là!! ça sent quand même bien le trojan!!

Fredalien

Electricien 69 · Answer

bonjour, 
pour avancer Mstr  :-) 

* Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html  

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.  

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://www.cijoint.fr/ 

tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

fredalien · Answer

salut elec,

merci de ta réponse rapide, voici le zhpdiag : https://www.cjoint.com/?jDoarjTUv7 

les 2 dll sont dans system32 voici les scans

pour nnomn :  http://www.virustotal.com/file-sca [...] 1282544284 
et pour lautre : 
 http://www.virustotal.com/file-sca [...] 1282544423 

Fred

Electricien 69 · Answer

il vient d'ou ce pc ?

tu as 255 Mo de ram !

juste quelques petites infections visible, mais on verra ce que ça donne  :-)

est ce que tu utilises une adresse proxy ?

tu as des redirection vers ces adresses :

O17 - HKLM\System\CCS\Services\Tcpip\..\{54D09CF8-EEC9-40A7-8F69-E84CC3117564}: DhcpDomain = DIXNEUf
O17 - HKLM\System\CS1\Services\Tcpip\..\{54D09CF8-EEC9-40A7-8F69-E84CC3117564}: DhcpDomain = DIXNEUf
O17 - HKLM\System\CS3\Services\Tcpip\..\{54D09CF8-EEC9-40A7-8F69-E84CC3117564}: DhcpDomain = DIXNEUf




*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 

&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

fredalien · Answer

re,

lol, c'est celui du taf!!!
et oui c'est le proxy du boulot
je fais ce que tu m'as dit et je reposte, merci

fred

Electricien 69 · Answer

ok  :-)

fredalien · Answer

re, 

miracle ho grand elec, les rundll32 ont disparues!!
voici le rapport:https://www.cjoint.com/?jDpT3jYHdv

en tous cas pour moi c'est résolu, sauf si tu vois autre chose

MERCI!!

Fred

Electricien 69 · Answer

pas si vite  :-)

repasse un autre zhpdiag, enregistre le rappot sur ton bureau, héberge le sur cijoint ....

fredalien · Answer

oups pardon!!! :-)))

voici le rapport : https://www.cjoint.com/?jDqmhd8Ct4

Electricien 69 · Answer

du moment ou on y est, on fait le ménage comme il le faut  ;-)

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

ou ici : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

fredalien · Answer

re,

j'ai déjà mbam, je vais le faire tourner cette nuit et je re demain car je travaille pas la nuit!! mdr

je te dirais si y a qquechose

et encore merci

Fred

Electricien 69 · Answer

regarde la version de MBAM que tu as sur ton pc, fais une mise à jour avant l'utilisation, si je ne me trompe pas, le logiciel est à la version 1.46 et la base virale est à  4716  :-)

@++

fredalien · Answer

salut,

voici le rapport mbam:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/09/2010 08:31:43
mbam-log-2010-09-30 (08-31-43).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 219981
Temps écoulé: 1 heure(s), 10 minute(s), 17 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\STAGIAIRE\Bureau\pspv\pspv.exe (Password.Tool) -> No action taken.
C:\Documents and Settings\STAGIAIRE\Bureau\cle fred\Daemon tools pro advance\daemon.tools.pro.patch.exe (Trojan.Agent) -> No action taken.
C:\Program Files\DAEMON Tools Pro\daemon.tools.pro.patch.exe (Trojan.Agent) -> No action taken.

je l'ai enregistré avant de supprimer la sélection.
 au cas où je te remets un zhp fait après mbam :

https://www.cjoint.com/?jEiPcpX52H
dis moi si c'est ok
et encore merci
Fred

Electricien 69 · Answer

bonjour,
regrade ceci : 
Version de la base de données: 4052 


lis ce message :
https://forums.commentcamarche.net/forum/affich-19331752-virus-acronis-toolbar-helper-et-symantec#18

tu as tout simplement oublié de faire une mise à jour !

opération à recommencer  :-)

fredalien · Answer

re, pourtant je l'avais fait !!

je recommence.

merci, je te tiens au courant

Fred

Electricien 69 · Answer

oukiii  :-)

fredalien · Answer

re, 
ha bah voilà!!! tiens le mbam à jour et un zhp

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4722

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01/10/2010 08:39:55
mbam-log-2010-10-01 (08-39-55).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 241050
Temps écoulé: 1 heure(s), 6 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 18

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Amnesiac (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Documents and Settings\STAGIAIRE\drvxslek33k.exe.vir (Trojan.Siggen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Documents and Settings\STAGIAIRE\Application Data\drvxslek32k\drvxslek33k.exe.vir (Trojan.Siggen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Documents and Settings\STAGIAIRE\Local Settings\Application Data\Desktop Cleanup Wizard\dskclnwiz.dll.vir (Rogue.DiskCleanUp) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32
nonmn.dll.vir (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ssrqro.dll.vir (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\winamnc.dll.vir (Rogue.DiskCleanUp) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\winamnc_backup.dll.vir (Rogue.DiskCleanUp) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\winbudump.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D238FEDA-68B8-449A-B4E7-1D850CF6DB4C}\RP777\A0135458.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D238FEDA-68B8-449A-B4E7-1D850CF6DB4C}\RP811\A0161928.exe (Trojan.Siggen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D238FEDA-68B8-449A-B4E7-1D850CF6DB4C}\RP811\A0161929.exe (Trojan.Siggen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D238FEDA-68B8-449A-B4E7-1D850CF6DB4C}\RP811\A0161930.dll (Rogue.DiskCleanUp) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D238FEDA-68B8-449A-B4E7-1D850CF6DB4C}\RP811\A0161931.dll (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D238FEDA-68B8-449A-B4E7-1D850CF6DB4C}\RP811\A0161932.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D238FEDA-68B8-449A-B4E7-1D850CF6DB4C}\RP811\A0161933.dll (Rogue.DiskCleanUp) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D238FEDA-68B8-449A-B4E7-1D850CF6DB4C}\RP811\A0161934.dll (Rogue.DiskCleanUp) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D238FEDA-68B8-449A-B4E7-1D850CF6DB4C}\RP811\A0161942.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D238FEDA-68B8-449A-B4E7-1D850CF6DB4C}\RP811\A0161935.exe (Trojan.Agent) -> Quarantined and deleted successfully.

https://www.cjoint.com/?kbiXgbwnB8

tu me tiens au jus, et encore merci

Fredalien

Electricien 69 · Answer

bonjour,
relance MBAM, vide sa quarantaine seulement,

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché 
-> valide le motif ( "appliquer" puis "ok" ). 
( tu remettras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 


Rends-toi à cette adresse : 

https://www.bleepingcomputer.com/submit-malware.php?channel=12 

Remplis le formulaire ainsi : 

Link to topic where this file was requested: 
=> Copie-colle l'adresse de cette discussion : 

https://forums.commentcamarche.net/forum/affich-19331752-virus-acronis-toolbar-helper-et-symantec

Browse to the file you want to submit: 
=> Sélectionne ce fichier : 

C:\WINDOWS\System32\drivers\fpjifibx.sys


Leave any comments, further information about this file, or contact information: 
=> Copie-colle ceci : 

De la part de Electricien69 pour Trojan.Win32.Agent. Merci

fredalien · Answer

c fait!

désolé pour le temps de réponse, j'étais en réunion!!

Electricien 69 · Answer

super,
Merci :-)

Télécharge The Avenger par Swandog46 sur ton Bureau: 

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 

Click sur Avenger.zip pour ouvrir le fichier 
Extraire avenger.exe sur votre bureau 


. Maintenant, lance The Avenger en cliquant sur son icône du bureau

. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 

Drivers to disable: 
 fpjifibx
Drivers to delete: 
 fpjifibx
Files to delete: 
 C:\WINDOWS\System32\drivers\fpjifibx.sys 


. Colle ce texte (Ctrl+V) dans le cadre :Input script here 

. Appuie sur Execute 

. Le pc va redémarrer
Si le rapport ne s'affiche pas, il se trouve dans C:\ avenger
Tuto :
http://www.oxygenepc.com/forum/the-avenger-t594.html

fredalien · Answer

je l'ai passé, le pc a redémarré 
mais aucun rapport même sous c/avanger.

je te laisse jusqu'à lundi car week-end.
encore merci et à lundi


Fred

Electricien 69 · Answer

ok,
repasse un autre zhpdiag, 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/


@++

fredalien · Answer

salut,

passé un bon WE?

voici le zhp:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijasN5k7L.txt 

@ +

Fred

Electricien 69 · Answer

bonjour,
le week end, trop court !!!

tiens, un programme que je connais bien :
C:\Program Files\CODACOD

c'est la correspondance entre lancien et le nouveau code du travail !!!

tout le monde n'a pas ce programme sur son pc, je me demande si on travaille pas dans la même branche  :-)

tu as 255 MO de ram, il est totalement normal que ton pc rame !


*	Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

---------------------------------------------------------- 


[HKLM\Software\ImInstaller]  

---------------------------------------------------------- 

- Clique sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html

fredalien · Answer

re, 

bah ça se peut, je bosse en QSE dans une boîte de métallurgie. d'où le codacod!! et toi tu fais quoi pour utiliser ça?

entre autres choses le rapport :
Rapport de ZHPFix 1.12.32 par Nicolas Coolman, Update du 25/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-04-10-2010-15-38-28.txt
Run by STAGIAIRE at 04/10/2010 15:38:28
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKLM\Software\ImInstaller  => Clé supprimée avec succès


========== Récapitulatif ==========
1 : Clé(s) du Registre


End of the scan

@+

fred

Electricien 69 · Answer

je contribue à QSE  :-)

comment va ton pc avant de finaliser la désinfection?

fredalien · Answer

bah écoute, je revis 
beaucoup plus fluide malgré les255 lol
et en recherche net, même plus jeté sur des pages bizrres!!

c cool. merci à toi

Electricien 69 · Answer

on finalise  :-)

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.	

Tuto :
https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara



. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

.double-cliques sur le fichier pour lancer l'installation 

.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur suivant 
.lis la licence et j'accepte 
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer 
.double-cliques sur l'icône de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option et puis avancé 
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur 
.cliques sur windows et dans la colonne avancé 
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
.cliques sur analyse une fois l'analyse terminé 
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.cliques maintenant sur registre et puis sur rechercher les erreurs 
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
.il supprime et fermer tu vérifies en relançant rechercher les erreurs 
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
.tu peux fermer Ccleaner


*	pour supprimer les outils de désinfection :
Télecharge Delfix sur ton bureau :
http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

*lance le en option 2 et poste son rapport sur ton prochain message
**pour le désinstaller, il suffit de le relancer et choisir l'option 4

*	Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 
Pour XP :          https://www.commentcamarche.net/faq/5097-virus-system-volume-information

fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat  :-)

fredalien · Answer

salut,

j'ai passé etrust à jour,
il m'a trouvé et désinfecté 2 fichiers
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D238FEDA-68B8-449A-B4E7-1D850CF6DB4C}\RP813\A0163010.EXE 

C:\CLEANUP.EXE 

les 2 avec Win32/Crykee.A 

dis moi si c bon
merci

Electricien 69 · Answer

bonjour,
tu as du sauté les étapes de ce poste :

https://forums.commentcamarche.net/forum/affich-19331752-virus-acronis-toolbar-helper-et-symantec?page=2#34

ceci n'est autre que la restauration système, dont tu n'as pas du viré les anciens points pour purger ton système !

C:\SYSTEM VOLUME INFORMATION\_RESTORE{D238FEDA-68B8-449A-B4E7-1D850CF6DB4C}\RP813\A0163010.EXE 


ceci fait partie d'un tool, donc à virer :

C:\CLEANUP.EXE 



si ton antivirus ne trouve rien, crée un nouveau point de restauration système , ça peut servire  ;-)

il ne me reste plus qu'à te souhaiter un bon surf et une bonne journée  ;-)

fredalien · Answer

bien bah écoute, encore merci pour tout!!

des gens comme toi c cool de les connaître.

merci pour le temps passé et ptet à une prochaine

@+

fred

Virus acronis toolbar helper et symantec

33 réponses

Newsletters