Aide pour une désinfection Fermé

Question

Bonjour tout le monde !

Voilà, j'aimerais effectuer un nettoyage sur le  PC de mon père qui (je suppose) est infesté de déchets en tout genre. Et oui, il ne s'y connait malheureusement que très peu en informatique et donc clique sur n'importe quoi...

En tant que fils attentionné, mais n'y connaissant pas grand chose en désinfection, je m'en remets à vous pour m'aider à l'aider ! Lol !

Il est également à noter qu'il est infecté par lo.st. J'ai tenté d'utiliser Ad-Remover sans succès. La cause : le logiciel de nettoyage plante à 23% et en lançant un message d'erreur...

J'attends donc vos instructions et vous remercie d'avance pour votre précieuse aide !


Configuration: Windows XP

archet9 · Accepted Answer

Boujour,

fais ceci pour un diagnostic complet du PC : 

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " ) 

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint :? http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message

Julien · Answer

Merci beaucoup de m'aider !

Voici le fichier .txt :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijMxbTSOc.txt

archet9 · Answer

Effectivement.....

Ouvre Ad-Remover et choisis l'option :Désinstaller

*   Télécharge à nouveau  AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir: 

https://www.androidworld.fr/

/!\ Ferme toutes applications en cours /!\ 

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus (Avast) et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.  

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

Julien · Answer

J'ai suivi ce que tu m'as dit. J'avais déjà supprimé Ad-Remover.

J'ai réinstallé à partir du second lien que tu m'as fourni. Malheureusement, j'ai toujours le même message d'erreur qui s'affiche :

Autolt Error
Line 7345 "C:/Program Files/Ad-Remover/main.exe
Error : The requested action with this object has failed.

Que dois-je faire?

archet9 · Answer

On va faire autrement alors....et on y reviendra plus tard.

Fais un scan avec cet antispyware : 
Malwarebytes + tutoriel 
 
Tu l'installes; mets le a jour...(onglet mise a jour)
Click maintenant sur l'onglet recherche et coche la case :
 "Executer un examen rapide".
Puis click sur "rechercher". 
Laisses le scanner le pc...
A la fin du scan, clique sur Afficher les résultats 
Si des elements on ete trouvés : 
> click sur supprimer la selection.
si il t'es demandé de redemarrer > click sur "oui".
A la fin un rapport va s'ouvrir; 
sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
Copies et colles le rapport stp.

Julien · Answer

Voici le rapport de Malwarebytes' Anti-Malware :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4927

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

23/10/2010 18:23:45
mbam-log-2010-10-23 (18-23-45).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 174699
Temps écoulé: 22 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 16
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 6
Fichier(s) infecté(s): 60

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Program Files\EoRezo\EoRezoBHO.dll (Rogue.Eorezo) -> Delete on reboot.
C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (Rogue.Eorezo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\TypeLib\{18af7201-4f14-4bcf-93fe-45617cf259ff} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{df76e9b7-35ec-46fc-af56-5b79ded9d64f} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c10dc1f4-ccdf-4224-a24d-b23afc3573c8} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c10dc1f4-ccdf-4224-a24d-b23afc3573c8} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c10dc1f4-ccdf-4224-a24d-b23afc3573c8} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{b6acb3f1-6a83-432c-b854-3e1056f87f4e} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{819db72d-1c28-4387-9778-e2ff3dc86f74} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c7b76b90-3455-4ae6-a752-eac4d19689e5} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c7b76b90-3455-4ae6-a752-eac4d19689e5} (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.WebMedia) -> Quarantined and deleted successfully.

archet9 · Answer

"Le logiciel m'a indiqué que certains éléments n'avaient pas été supprimés."

==> Normal....



DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection) 

 Télécharge List_Kill'em et enregistre le sur ton bureau
 
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation 

une fois terminée , clic sur "terminer" et le programme se lancera seul 

choisis choisis l'option clean
ton PC va redemarrer, 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 
  


 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Julien · Answer

Voilà le rapport de List_Kill'em :

https://www.cjoint.com/?0kxtlnuxENH

Je te l'ai mis en fichier Cjoint car le rapprt est plutôt long.

archet9 · Answer

"Je te l'ai mis en fichier Cjoint car le rapprt est plutôt long."

==> Eh oui...J'espère que tu réussiras à faire comprendre à ton père qu'il est préférable de réfléchir avant de cliquer et non l'inverse...Lol !!!

Un nouveau ZHPdiag pour faire le point stp...

Julien · Answer

"Eh oui...J'espère que tu réussiras à faire comprendre à ton père qu'il est préférable de réfléchir avant de cliquer et non l'inverse...Lol !!!"

A qui le dis-tu ! Les nouvelles technologies et lui, ça fait trois... Puis il s'énerve pour un rien...

Voilà le rapport ZHPdiag :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijn2hQMVr.txt

archet9 · Answer

---> Télécharge OTM (OldTimer) sur ton Bureau :  
 http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/  


--->Clique sur "OTMoveIt3.exe"   

---> Copie (Ctrl+C) le texte suivant en gras ci-dessous :  




:files   
c:\documents and settings\all users\application data\badoo\badoo desktop\1.1.101.725\badoo.desktop.exe 




:reg 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"Badoo Desktop"=- 







:commands  
[purity]  
[emptytemp]  
[start explorer]  



---> Colle (Ctrl+V) le texte précédemment copié dans le cadre: 
 Paste Instructions for Items to be Moved.  

---> Clique maintenant sur le bouton MoveIt!  

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\  
Le nom du rapport correspond au moment de sa création : date_heure.log  



Ensuite: 

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)  
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
Copie/colle les lignes suivantes en gras et place les dans ZHPFix :  

O42 - Logiciel: EoRezo 10.3 - (.EoRezo.) [HKLM] -- EoRezo_is1      
O42 - Logiciel: Favorit (jgcxuqf) - (.Pas de propriÃ©taire.) [HKLM] -- jgcxuqf      
[HKCU\Software\WebMediaPlayer]      
O69 - SBI: prefs.js [diablo3005 - ezhdd615.default] user_pref("browser.startup.homepage", "http://y.lo.st");  


- Clique sur « Tous », puis sur « Nettoyer »  



Puis: 


Un ZHPdiag tout neuf stp..... 

....."contributeur sécurité".....o°ô"

Julien · Answer

Voici le rapport de OTM :

All processes killed
========== FILES ==========
c:\documents and settings\all users\application data\badoo\badoo desktop\1.1.101.725\Badoo.Desktop.exe moved successfully.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Badoo Desktop deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49152 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes
->Flash cache emptied: 41 bytes
 
User: diablo3005
->Temp folder emptied: 158933645 bytes
->Temporary Internet Files folder emptied: 25604957 bytes
->Java cache emptied: 27529009 bytes
->FireFox cache emptied: 34982470 bytes
->Google Chrome cache emptied: 7367891 bytes
->Flash cache emptied: 1642876 bytes
 
User: LocalService
->Temp folder emptied: 82255 bytes
->Temporary Internet Files folder emptied: 780755 bytes
->Flash cache emptied: 405 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 168236863 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 91290266 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 120057854 bytes
 
Total Files Cleaned = 607,00 mb
 
 
OTM by OldTimer - Version 3.1.17.0 log created on 10232010_201941

Files moved on Reboot...
File C:\WINDOWS	emp\_avast4_\Webshlock.txt not found!
C:\WINDOWS	emp\Perflib_Perfdata_c4.dat moved successfully.
C:\WINDOWS	emp\Perflib_Perfdata_c84.dat moved successfully.

Registry entries deleted on Reboot...


Le rapport de ZHPfix :

Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-23-10-2010-20-28-35.txt
Run by diablo3005 at 23/10/2010 20:28:35
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: EoRezo 10.3 - (.EoRezo.) [HKLM] -- EoRezo_is1  => Désinstallation logicielle annulée par l'utilisateur !
O42 - Logiciel: Favorit (jgcxuqf) - (.Pas de propriÃ©taire.) [HKLM] -- jgcxuqf  => Désinstallation logicielle annulée par l'utilisateur !
HKCU\Software\WebMediaPlayer  => Clé supprimée avec succès

========== Préférences navigateur ==========
/*user_pref("browser.startup.homepage", "http://y.lo.st");*/  => Valeur supprimée avec succès


========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Préférences navigateur


End of the scan


Le rapport de ZHPdiag :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijM2oPxRA.txt

archet9 · Answer

Relance AD-Remover maintenant stp.....

Julien · Answer

Euh, je veux bien, mais où dois-je télécharger le fix?

archet9 · Answer

Scuzes...j'ai changer 'avis.....
https://forums.commentcamarche.net/forum/affich-19571558-aide-pour-une-desinfection#15

Julien · Answer

Toujours le même message d'erreur... Et ça coince toujours à 23%...

Gogo · Answer

[url=https://www.youtube.com/index?desktop_uri=%2F%3Fgl%3DFR%26hl%3Dfr&hl=fr&gl=FR&app=desktop#/watch?xl=xl_blazer&v=EUD5HYhn_kI]clic ici   Pour voir la vidéo[/URL]
[url=https://www.youtube.com/index?desktop_uri=%2F%3Fgl%3DFR%26hl%3Dfr&hl=fr&gl=FR&app=desktop#/watch?xl=xl_blazer&v=EUD5HYhn_kI] clic ici [/url]

archet9 · Answer

J'ai envoyé un messageà l'auteur du fix concernant ton problème....
So wait & see....
On va donc continuer avac lz mes que j"avais supprimé....

Clique sur ce lien : 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
Clique sur navilog1.exe pour le télécharger 
Choisis Enregistrer 

et enregistre-le sur ton bureau. 

Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisse-toi guider. Au menu principal, choisis 2 et valide.

Julien · Answer

J'ai sélectionné 2 mais il me demande d'entrer un nom de fichier sans extension. Que dois-je faire?

archet9 · Answer

Oupss   ce log est ancien...choisis :1

Julien · Answer

Here is the report ! :-)

Fix Navipromo version 4.0.9 commencé le 23/10/2010 21:41:20,40

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 17.09.2010 à 16h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU         T5500  @ 1.66GHz )
BIOS : BIOS Version 2.00
USER : diablo3005 ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1335 [VPS 100525-1] 4.8.1335 (Activated)
Firewall  : Norton Internet Worm Protection 2006 (Not Activated)

C:\ (Local Disk) - NTFS - Total:92 Go (Free:26 Go)
D:\ (CD or DVD)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur




Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\diablo3005\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 23/10/2010 21:44:47,31 ***

archet9 · Answer

Bizarre pour "Favorit" 
.on lache la cavalerie....!!!!! 

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :  
http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\  

---> Double-clique sur Combofix.exe 

---> Installe la console de récupération si l'outil te le propose.   

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\  

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

Note : Le rapport se trouve également là : C:\ComboFix.txt 
....."contributeur sécurité".....o°ô"

Julien · Answer

Voilà le rapport de la cavallerie :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijRlwW5sU.txt

archet9 · Answer

Plutôt pas mal....
Comment se comporte le pc ?

Pour mettre Java à jour:

Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries. 

http://www.vista-xp.fr/forum/topic2490.html Décompresse le fichier sur ton bureau (clique droit > Extraire tout.) 

Double-clique sur le répertoire JavaRa obtenu. 
Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher) 
Clique sur Search For Updates. 
Sélectionne Update Using jucheck.exe puis clique sur Search. 
Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. 
Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions. 
Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. 
Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. 
Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log 
(c:\JavaRa.log) 
Ferme l'application.

Aide pour une désinfection

24 réponses

Discussions similaires