A L AIDE !!!! virus impossible a suprimer

Question

Bonjour, 



Configuration: Windows Vista / Internet Explorer 7.0

J ai des virus qui sont detectés par avast mais impossible de les supprimer , 
pourriez vous m aider  pour trouver une solution 

merci beaucoup 

Chloé

Smart91 · Answer

Bonjour,

Est-ce que tu poster le rapport Avast.
Sinon on va faire un diagnostic de ton PC.

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

Chloé · Answer

Merci Smart pour ta réponse rapide

voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijXknUoHB.txt

Chloé

Smart91 · Answer

Tout d'abord yu as deux antivirus Avast5 et Norton. cela ne sert à rien sinon d'engendrer des conflits et ralentir ton PC.
Garde Avast5 qui est gratuit et qui est aussi bon que Norton qui lui est payant.
Déisnstalle Norton.
Ensuite tu as installé des barres d'outils infectées. lis le dossier ci-dessous pour éviter de faire les même erreurs:
Les Toolbars ce n'est pas obligatoires
Tu as également une infection EoRezo. Evite d'aller sur le d'EoRezo et de télécharger des logiciels gratuits ou même payants 

Ensuite tu vas faire ceci:

/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard : 
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

-  Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours 
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.  
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] . 
- Laisse travailler l'outil et ne touche à rien ... 
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log) 
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : 
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Puis ceci:

/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

-  Télécharge Malwarebytes
-  Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
-  Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation) 
-  Lance une analyse complète en cliquant sur "Exécuter un examen complet"
-  Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
-  L'analyse peut durer un bon moment.....
-  Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
-  Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
-  Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Cela fait deux rapports à poster

Smart

Chloé · Answer

Smart,

impossible de  terminer l analyse avec AD REMOVER , j ai essayé deux fois et l analyse s est bloquée a 35 %.

Je suis en train de faire l analyse avec malwarebyte et je posterais le rapport des la fin de celle ci ( ce soir ou demain matin )

Par contre , je ne comprends pas pourquoi j ai deux anti virus car j ai supprimer norton dans " ajouter/supprimer programmes " .

merci d avance pour ta prochaine réponse

Chloé

Smart91 · Answer

Pour supprimer complêtement Norton, va sur le lien ci-dessous:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

Smart

Chloé · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4862

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

19/10/2010 00:01:06
mbam-log-2010-10-19 (00-01-06).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 271250
Temps écoulé: 57 minute(s), 14 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



voici le rapport de malwarebyte.

Merci Smart pour ton aide , j attends , ta réponse

Chloé

Smart91 · Answer

Il est très génant que tu ne puisses pas lancer AD-R.
Relance AD-R et choisis "Désinstaller"
Ensuite tu le re-télécharge suivant la procédure que je t'ai donnée.
Tu refais un scan avec l'option "supprimer" et poste le rapport (si possible)

Smart

Chloé · Answer

bonsoir smart

voici le rapport apres avoir scanner avec ad-r

======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 19:30:57 le 19/10/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
sandrine@PC-DE-SANDRINE (PACKARD BELL BV IMEDIA X9233) 
 
============== RECHERCHE ==============


0,Dossier trouvé: C:\Users\sandrine\AppData\LocalLow\Search Settings
0,Dossier trouvé: C:\Program Files\Search Settings
3,Fichier trouvé: C:\Windows\Installer\12142e9.msi 
3,Fichier trouvé: C:\Windows\Installer\3d88ad75.msi

-- Fichier ouvert: C:\Users\sandrine\AppData\Roaming\Mozilla\FireFox\Profiles\7iq3wbkn.default\Prefs.js --
Ligne trouvée: user_pref("CT2452474.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER... 
Ligne trouvée: user_pref("CT2452474.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT245... 
-- Fichier Fermé --
 

1,Clé trouvée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé trouvée: HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé trouvée: HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
0,Clé trouvée: HKLM\Software\Classes\BHO.PSHelper
0,Clé trouvée: HKLM\Software\Classes\BHO.PSHelper.1
0,Clé trouvée: HKLM\Software\Classes\SearchSettings.BHO
0,Clé trouvée: HKLM\Software\Classes\SearchSettings.BHO.1
0,Clé trouvée: HKLM\Software\Search Settings
0,Clé trouvée: HKLM\Software\Winsudate
3,Clé trouvée: HKLM\Software\Classes\Installer\Products\79CAA1B036589D14EA74856E2A220F1E
3,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\79CAA1B036589D14EA74856E2A220F1E
3,Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{6AE3B151-2D5F-4c5e-94AC-1A2FEEED73F9}
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
0,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings

0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine
0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoweather
0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|FBSSA
0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
0,Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.8 (fr)] **

-- C:\Users\sandrine\AppData\Roaming\Mozilla\FireFox\Profiles\7iq3wbkn.default\Prefs.js --
browser.search.defaultenginename, Yahoo
browser.search.selectedEngine, Yahoo
browser.startup.homepage, hxxp://www.ustart.org
browser.search.selectedEngine, uStart
browser.startup.homepage, hxxp://www.ustart.org
browser.search.selectedEngine, uStart

========================================

** Internet Explorer Version [7.0.6002.18005] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Search_URL: hxxp://www.google.com/ie
Do404Search: 0x01000000
Local Page: C:\Windows\system32\blank.htm
SearchAssistant: 
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
Use Custom Search URL: 1
Use Search Asst: 

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=8&key=IESTART
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.ustart.org

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 0 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 19/10/2010 (4848 Octet(s)) 

Fin à: 19:33:14, 19/10/2010 
 
============== E.O.F ============== 


merci par avance

chloé

Smart91 · Answer

Relance AD-R et choisis l'option "Nettoyer" et poste le rapport

Smart

Chloé · Answer

l analyse se bloque encore a 35% ,  comme hier soir.  y a t il un autre moyen de faire l analyse

chloé

Smart91 · Answer

Réinstalle et recommnce (mais je t'avais dit dès le départ de cliquer "nettoyer et non recherche")

Smart

Chloé · Answer

je ne suis pas blonde mais je vais le devenir a force !!

je viens d installer et de désinstaller 3 fois ad-r   et a chaque fois je clique sur nettoyer.  tout se passe bien au départ mais l analyse se bloque toujours a 35 % . Je vais perdre patience ...
Auncun de mes logiciels ou mon anti virus ne pourrait bloquer ad-r ?

en tout cas , merci d avance pour ta patience smart

chloé

Smart91 · Answer

Est-ce qu'il y a un message d'erreur ? La pahse nettyage peut prendre du temps dans le cas d'un PC bien infecté, ce qui est un peu ton cas. 
 Bon on va le faire manuellement: 

 Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.itxassociates.com/OT-Tools/OTM.exe 
- Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.  
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :  

-------------------------------------------------------------- 
:reg 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks] 
"{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=- 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"EoEngine"=- 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"FBSSA"=- 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"SearchSettings"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks] 
"{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=- 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"FBSSA"=- 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"SearchSettings"=- 

:Files 
c:\program files\search settings\kb128\searchsettings.dll 
c:\program files\sgpsa\ie3sh.exe 
c:\program files\search settings\searchsettings.exe 

:commands  
[emptytemp]  
[Reboot] 
-------------------------------------------------------------- 

- Colle (Ctrl+V) le texte précédemment copié dans le cadre:  Paste Instructions for Items to be Moved.  

- Clique maintenant sur le bouton MoveIt!  

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\  
Le nom du rapport correspond au moment de sa création : date_heure.log 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Chloé · Answer

J ai bien suivi toutes tes instructions Smart
AU moment  ou je clique sur le bouton MoveIt!   ,    tout  se bloque   et je ne peux plus rien faire   je n' ai plus de barre windows en bas de l ecran et j ai été obligé de faire ctrl alt supp pour fermer ma session

Il y a bien un fichier rapport mais il est vide J ai donc recommencé une deuxieme fois  et rebelote , blocage et dossier vite


J attends d autres instructions

merci par avance smart

chloé

Chloé · Answer

Si tu veux smart , je peux te faire un imprime ecran 

Chloé

Smart91 · Answer

Oui tu peux le faire cela va me donner des infos

Smart

Chloé · Answer

Smart, 

je viens d essayer de faire un imprime ecran mais il ne marche pas vu que le pc se bloque.

Pour etre plus constructuf , je vais t expliquer en quelques mots :  une fois que je fais la manip et que je clique sur moveit , le rapport apparait bien sur la droite  mais ma barre windows  disparait ainsi que tous mes raccourcis presents sur le bureau et a partir de la je ne peux plus rien faire.
je suis obligé de faire ctrl alt supp pour fermer ma session. je peux la réouvrir et tout remarche mais quand je vais pour coller mon imprime ecran sous paint ,  je n ai rien a coller. 

Au pire des cas , je pourrais noter le rapport a la main et te le rettaper ce soir dans un message  car je ne vois pas d autres solutions.

merci d avance

Chloé

Smart91 · Answer

OK. Là je suis occupé par mon travail et on verra cela ce soir.
Mais par précaution:
- Sauvegarde tes données personnelles (Photos, fichiers texte...), sur CD ou DVD de préférence. 

Très important ne sauvegarde aucun fichier dont l'extension est .exe, .dll, .rar, .src, .dat, .zip, .htm, .html

Smart

Chloé · Answer

Bonsoir Smart, 

me voici de retour apres une journée de travail et j espere que la resolution de mon soucis pourra avancer grace a tes compétences.

Que dois je faire ?

merci d avance

chloé

Chloé · Answer

J ai réussi a faire un imprile ecran mais je ne crois pas qu il soit de bonne qualité , je laisse quand meme le lien

http://www.cijoint.fr/cjlink.php?file=cj201010/cijnG5QCpe.jpg

Chloé

Smart91 · Answer

1. Est-ce que tu as bien fait les sauvegardes demandés ici ==>
https://forums.commentcamarche.net/forum/affich-19525345-a-l-aide-virus-impossible-a-suprimer#18

2. La copie d'ecran de OTM est incomplête, je n'arrive pas à tous lire dans la partie de droite de plus es-ce que tu as bien copier dans OTM le script que je t'avais donné ICI ==>
https://forums.commentcamarche.net/forum/affich-19525345-a-l-aide-virus-impossible-a-suprimer#13

Smart

Chloé · Answer

Salut smart, 

j ai bien fais un copié collé de ce que tu m avais demandé ,   je peux essayer de refaire un imprime ecran pour que tu es la totalité du texte.

J ai bien sauvegardé sur cd mes fichiers. 
D ailleurs j ai remarqué que lorsque je voulais supprimé un element, la fenetre de suppression ne se fermée pas , j etais obligé d aller dans le panneau de configuration et de faire " fin de tache "

j attends tes prochaines instructions

chloé

Chloé · Answer

http://www.cijoint.fr/cjlink.php?file=cj201010/cijnyGG9ba.jpg 


voici le lien du nouvel imprime ecran que j ai réalisé

chloé

Smart91 · Answer

Est-ce que tu as le CD Windows Vista ?

Smart

Chloé · Answer

non , l ordinateur etait livré sans cd .

chloé

Smart91 · Answer

On verra cela demain en débuit de soirée, car demain j'ai un rv professionel

Smart

Chloé · Answer

merci pour ta patience, 

bonne soirée

chloé

Smart91 · Answer

Bonjour Chloé,

Désolé de revenir que maintenant, mais ton pb est particulier, j'ai demandé à d'autre helpers de voir le sujet.Je te demande d'être un peu patiente

Smart

chloé · Answer

merci pour ta réponse , je patiente et j attends ta prochaine reponse  pour la future marche a suivre

a bientot

chloé

Smart91 · Answer

La version que tu as utilisée pour AD-R est une ancienne version 
Relance AD-R et choisis désinstaller 
Va sur le site c-dessous: 
http://www.teamxscript.org/adremoverTelechargement.html 
Télécharge AD-R 
Lance le  et choisis "nettoyer" 
On va voir si tu as toujours le même pb 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Chloé · Answer

Bonsoir smart, 

j ai désinstallé et réinstallé la nouvelle version. je l ai executé en  tant qu administrateur et j ai toujours le meme probleme. l analyse se bloque a 35%.

si  tu as une solution pour formater le pc sans cd , je suis preneuse car je ne sais pas si on s en sortira

chloé

Chloé · Answer

bonjour Smart

j espere que tu ne m as pas oubliée.   J attends de tes nouvelles

chloé

Smart91 · Answer

Non je ne t'ai pas oubliée, mais hier je n'étais pas dispo.
J'ai eu des infos del part de developpeur d'AD-R.
Il me conseille que tu relances AD-R avec l'option nettoyer et et attendre^, même si il te semble que cela bloque à 35%.
En fait suivant le niveau d'infection du PC, le scan peut prendre entre 30 et 60 mn

Smart

Chloé · Answer

Bonjour Smart , 

apres deux tentatives ,  le scan a été effectué

je te copie ci dessous le rapport

merci par avance pour ton aide precieuse

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 21/10/10 à 21:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [3]) -> Lancé à 13:15:28 le 24/10/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
sandrine@PC-DE-SANDRINE (PACKARD BELL BV IMEDIA X9233) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\sandrine\AppData\Roaming\Mozilla\FireFox\Profiles\7iq3wbkn.default\Prefs.js --
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695}
Clé supprimée: HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
Clé supprimée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
Clé supprimée: HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
Clé supprimée: HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
Clé supprimée: HKLM\Software\Classes\BHO.PSHelper
Clé supprimée: HKLM\Software\Classes\BHO.PSHelper.1
Clé supprimée: HKLM\Software\Classes\SearchSettings.BHO
Clé supprimée: HKLM\Software\Classes\SearchSettings.BHO.1
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKLM\Software\Winsudate
Clé supprimée: HKLM\Software\Classes\Installer\Products\79CAA1B036589D14EA74856E2A220F1E
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\79CAA1B036589D14EA74856E2A220F1E
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{6AE3B151-2D5F-4c5e-94AC-1A2FEEED73F9}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoweather
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.8 (fr)] **

-- C:\Users\sandrine\AppData\Roaming\Mozilla\FireFox\Profiles\7iq3wbkn.default\Prefs.js --
browser.search.defaultenginename, Yahoo
browser.search.selectedEngine, Yahoo
browser.startup.homepage, hxxp://www.ustart.org
browser.search.selectedEngine, uStart
browser.startup.homepage, hxxp://www.ustart.org
browser.search.selectedEngine, uStart

========================================

** Internet Explorer Version [7.0.6002.18005] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 31 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 22/10/2010 (491 Octet(s)) 
C:\Ad-Report-CLEAN[2].txt - 24/10/2010 (597 Octet(s)) 
C:\Ad-Report-CLEAN[3].txt - 24/10/2010 (4076 Octet(s)) 

Fin à: 13:16:12, 24/10/2010 
 
============== E.O.F ==============

Smart91 · Answer

Super,

Est-ce que tu peux par cijoint pster le rapport:
C:\Ad-Report-CLEAN[1].txt
Je l'enverrai au développeur afin qu'il puisse voir ce qu s'est passé.
Ensuite tu refais un ZHPDiag et tu poste le rapport toujours via cijoint

Smart

Chloé · Answer

bonsoir smart

voici le ad report  :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijplkrOmN.txt

je t envoi le zhpdiag par la suite

chloé

Chloé · Answer

et voici le rapport zhdiag

http://www.cijoint.fr/cjlink.php?file=cj201010/cijtyPI9H5.txt 


merci par avance

chloé

Smart91 · Answer

OK. On a bien avancé.
Avant de passer à la phase finale: 
- les mises à jour prioritaires 
- l'optimisation du PC 
- la désinstallation des outils de désinfection 
- les conseills de prévention quand on surfe sur Internet 

Je voudrai m'assurer de qq chose. 
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : 

* Télécharge Defogger (de jpshortstuff) sur ton Bureau 
* Lance le 
* Une fenêtre apparait : clique sur "Disable" 
* Fais redémarrer l'ordinateur si l'outil te le demande 
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

Ensuite tu refais un scan ZHPDiag et tu postes le rapport 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Chloé · Answer

Bonjour et merci smart, 

J ai fais ce que tu m as dis avec defogger et j ai refais un scan avec zhpdiag

voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijEAD2RmA.txt 

chloé

Smart91 · Answer

OK. Je regarde le rapport. 
Mais tu m'as envoyé le rapport ADR CLEAN(3), j'aurais souhaité avoir le CLEAN(1). Il se trouve ici ==> C:\Ad-Report-CLEAN[1].txt

Smart

Smart91 · Answer

Il reste encore des traces:

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (.not file.)
O42 - Logiciel: Norton 360 - (.Symantec Corporation.) [HKLM] -- {63A6E9A9-A190-46D4-9430-2DB28654AFD8}
O43 - CFD:Common File Directory ----D- C:\Program Files\Norton 360
SS - | Auto 07/09/2010 0 | C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (CLTNetCnService) . (.Pas de propriétaire.) - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe    
M2 - MFEP: prefs.js [sandrine - 7iq3wbkn.default\{bc04b34e-5dd8-465a-a5e0-86f7c11bc009}] [] Games Bar 1 Toolbar 2.5.6.0 (.Conduit Ltd..)
[HKLM\Software\Symantec]  

----------------------------------------------------------
-  Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
-  Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
-  Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

Chloé · Answer

Bonsoir Smart, 

j ai fais les manipulations que tu m as demandé.

voici le rapport :

Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-26-10-2010-20-35-27.txt
Run by sandrine at 26/10/2010 20:35:27
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (.not file.)  => Clé absente
SS - | Auto 07/09/2010 0 | C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (CLTNetCnService) . (.Pas de propriétaire.) - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe  => Clé absente
HKLM\Software\Symantec  => Clé supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Norton 360  => Dossier absent
C:\Documents and Settings\sandrine\Application Data\Mozilla\Firefox\Profiles\7iq3wbkn.default\extensions\{bc04b34e-5dd8-465a-a5e0-86f7c11bc009}  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files\common files\symantec shared\ccsvchst.exe ()   => Fichier absent

========== Logiciel(s) ==========
O42 - Logiciel: Norton 360 - (.Symantec Corporation.) [HKLM] -- {63A6E9A9-A190-46D4-9430-2DB28654AFD8}  => Logiciel déjà supprimé


========== Récapitulatif ==========
3 : Clé(s) du Registre
2 : Dossier(s)
1 : Fichier(s)
1 : Logiciel(s)


End of the scan

merci beaucoup pour ta précieuse aide

chloé

Smart91 · Answer

Tu ne m'as toujours pas poster le fichier du rapport AD-R ==>
C:\Ad-Report-CLEAN[1].txt 

Smart

Chloé · Answer

Bonsoir Smart, 

j ai 3 rapports , je t ai posté le 3 eme et voici le premier

http://www.cijoint.fr/cjlink.php?file=cj201010/cijhmxYzou.txt 


si tu as besoin du deuxieme,  je te le transmettrais

chloé

Smart91 · Answer

Comment se comporte ton PC, ? 
As-tu toujours les alertes de Avast ? 
Refais maintenant un dernier ZHPDiag et poste le rapport et on va passer à la phase finale. il nous reste à faire: 
- les mises à jour prioritaires 
- l'optimisation du PC 
- la désinstallation des outils de désinfection 
- les conseills de prévention quand on surfe sur Internet 

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

chloé · Answer

Bonjour Smart, 

je ferais les manipulations ce soir une fois rentrée à la maison.
Le pc se comporte pas trop mal mais j ai quelques soucis . Par moment mes pages internet se bloquent et j ai aussi un soucis avec la suppression de fichiers dans mes documents. Je t 'explique :

Si je veux par exemple supprimer une photo d'un fichier , je la selectionne et clique sur supprimer. Une fenetre s'ouvre pour la suppression. La photo est bien supprimée mais la fenetre ne se ferme plus et reste bloquée . Je suis obligé de passer par " fin de tache " pour qu elle se ferme. J ai le même soucis lorsque je déplace une photo d un fichier a l autre , la fenetre s ouvre pour le deplacement mais ne se referme pas.

merci par avance

Chloé

Chloé · Answer

Bonsoir Smart

voici le lien  du diagnostic :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijA2PvTFK.txt

merci par avance

chloé

Smart91 · Answer

Bonjour Chloé, 

Je vais essayer de faire simple pour t'explque quel est mon soucis. 
Depuis le début de la discussion , le rapport montre ceci: 

------------------------------ 
---\ Recherche Master Boot Record Infection (MBRCheck)(O80) 
MBRCheck, version 1.2.3 by ad13, http://ad13.geekstog 
Run by sandrine at 27/10/2010 21:58:15 
232 GB  \.\PhysicalDrive0   MBR Code Faked!SHA1: 0E318824CA3BD0A07C65A899FF41A89E6DDB5367 
Found non-standard or infected MBR.   
Dump file Name : C:\Program Files\ZHPDiag\MBRDump_10-27-10_21-58-15_PhysicalDrive0.bin 
----------------------------------------------- 

Il y a donc une possible infection MBR. 
Le MBR (parfois aussi appelé "Zone amorce") est le nom donné au premier secteur adressable d'un disque dur  
Il contient également une routine d'amorçage dont le but est de charger le système d'exploitation (ou le boot loader/chargeur d'amorçage s'il existe) présent sur la partition active. 

J'ai dit infection possible, car ton PC est peut-être tatoué par le constructeur. Pour faire simple le constructeur modifie le MBR afin de n'utiliser que sa version (OEM) de Windows. Et ZHPDiag peut le voir comme un MBR infecté. 

Il existe des outils pour réparer le MBR, mais ces outils restaurent un MBR de base "non taouté". Donc il risque une possibilité, si on répare le MBR, que le Vista de ton PC ne puisse plus redémarrer. 
Et comme tu n'as pas de CD Vista, je n'ai jamais voulu prendre le risque.  

Bien sûr il a d'autres méthodes pour sauvegarder le MBR initial et le restaurer en cas de pb, mais ce n'est pas simple à faire, surtout via un forum à distance. 

Voilà mon dilemme :-( 

Serait-il possible d'obtenir un CD Vista depuis le vendeur du PC ? Il est fort possible que cela soit payant. 

J'aimerai également qur tu fasses ceci: 
    
Télécharge SEAF (de C_XX) sur ton Bureau.  
http://www.teamxscript.org/too/SEAF.exe- Lance SEAF  
- Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre"  
- C0pie colle la ligne en gras  ci dessous dans le champs de recherche, clique sur "Lancer la recherche" et patiente.  

w32k.sys 

* Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Chloé · Answer

Bonsoir Smart, 

le lien que tu m as fourni ne marche pas.

Pour le cd vista , j ai appelé le revendeur et ils ne peuvent pas m en procurer un
 Je vais demander a mon entourage pour voir si quelqu un peut me depanner

chloé

Smart91 · Answer

Pour le lien essaie celui ci-dessous: 
https://www.androidworld.fr/ 

Pour le CD Vista il est important d'avoir un CD Vista Pakard Bell (c'est bien la marque de ton PC) car je pense qu' un autre CD sera refusé. 

Il faudrait aller sur le site de Packard Bell et voir si il est posssible d'obtenir le CD. 
Souvent les revendeurs ne veulent pas se casser la la tête. 

PS: Je sais que la plupart des constructeurs PC livrent des PC pré installés et sans CD et de plus il est impossible d'utiliser un CD de base car il y a le tatouage. Je trouve cela inadmissible et il me semblait que le tatouage avait été interdit car anti-concurrentiel. Ce ne n'est que mon point de vue.

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Chloé · Answer

Bonsoir Smart

voici le rapport:

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 20:30:28 le 29/10/2010
4. 
5. Valeur(s) recherchée(s):
6. w32k.sys
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13. 
14. ====== Fichier(s) ======
15. 
16. Aucun fichier trouvé
17. 
18. 
19. ====== Entrée(s) du registre ======
20. 
21. Aucun élément dans le registre trouvé
22. 
23. =========================
24. 
25. Fin à: 20:35:45 le 29/10/2010
26. 571192 Éléments analysés
27. 
28. =========================
29. E.O.F


merci d avance

chloé

Smart91 · Answer

C'est de ma faute j'ai oublié de te dire qu'il fallait également cocher "Afficher également les dossiers" 

Peux-tu refaire SEAF 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Chloé · Answer

smart

voici le rapport si je ne me suis pas trompé
1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 14:27:38 le 30/10/2010
4. 
5. Valeur(s) recherchée(s):
6. w32k.sys
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des dossiers
13. (!) --- Recherche registre
14. 
15. ====== Fichier(s) ======
16. 
17. Aucun fichier trouvé
18. 
19. 
20. ====== Entrée(s) du registre ======
21. 
22. Aucun élément dans le registre trouvé
23. 
24. =========================
25. 
26. Fin à: 14:33:16 le 30/10/2010
27. 570732 Éléments analysés
28. 
29. =========================
30. E.O.F


chloé

Smart91 · Answer

Est-ce que tu as pu te renseigner pour avoir un CD Vista de packard bel ?

Comme je te l'ai dit:
"Il existe des outils pour réparer le MBR, mais ces outils restaurent un MBR de base "non taouté". Donc il risque une possibilité, si on répare le MBR, que le Vista de ton PC ne puisse plus redémarrer"
Et je ne voudrais pas que cela arrive.

Smart

Chloé · Answer

Smart,

dans l imm&diat je ne peux pas avoir de cd pour windows vista. Et  si je formate  mon pc ,  cela ne va pas effacer les problemes que nous rencontrons ???

chloé

Smart91 · Answer

"Et si je formate mon pc , cela ne va pas effacer les problemes que nous rencontrons ???" 

Surement que Oui, mais comment veux-tu formater puisque tu n'as pas de CD Vista et qu'il faut réinstaller Vista après avoir formaté. A moins que tu utilise la partion de recovery

Smart

Chloé · Answer

je voudrais si ça ne te derange pas que nous essayons de trouver une solution a mon probleme.  si nous ne trouvons pas , tu m expliquera comment faire avec cette partition

merci par avance

chloé

Smart91 · Answer

Je veux bien t'aider Chloé, 

Mais le soucis, je ne sais pas si tu as une partition recovery, et si tu en as une, la restauration dépend de chaque marque de PC. Il faudrait que j'ai une doc concernant ton PC ou alors que ke j'ai le PC sous la main :-) 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Chloé · Answer

Si j utilise la fonction smart restore ,   la restauration réinstallera t elle mon vista ???

chloé

Smart91 · Answer

Normalement Oui. Mais je ne connais pas bien Smart Restore. Va sur le lien ci-desous et le lis bien tout.
Et surtout n'oublie pas de faire une sauvegarde de tes données paersonnelles avant de lancer smart restore

==> https://www.commentcamarche.net/faq/1380-materiel-packard-bell-restauration-master

Smart

Smart91 · Answer

Je voulais egalement te demande qqq chose, si tu n'as pas fait smart restore 
Est-ce que tu peux me faire parvenir ces deux fichier via cijoint ces deux fichiers
C:\Program Files\ZHPDiag\MBRDump_10-26-10_07-29-06_PhysicalDrive0.bin
C:\Program Files\ZHPDiag\Mbrcheck.txt

C'est pour le développeur de MBRCheck

Merci

Smart

A L AIDE !!!! virus impossible a suprimer

61 réponses

Votre réponse

Discussions similaires

Newsletters