Supprimer Antivirus Studio 2010

Résolu
soca_09 -  
lilbudies Messages postés 3 Statut Membre -
Bonjour,

En navigant sur internet mon frère a eut la mauvaise surprise de voir apparaître Antivirus Studio 2010. Après quelques recherches, je suis tombée sur un post dans ce forum suggérant un scan avec ComboFix histoire de savoir exactement de quoi il retourne et comment supprimer complètement le programme.
Voici le résultat du scan et un grand merci d'avance pour votre aide !

ComboFix 10-10-30.04 - Mathieu 31/10/2010 9:34.1.2 - x86
Microsoft Windows 7 Édition Intégrale 6.1.7600.0.1252.33.1036.18.2047.1284 [GMT 1:00]
Lancé depuis: c:\users\Mathieu\Desktop\asdehi.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Mathieu\AppData\Local\VirtualStore\Program Files\Magic Workstation\Pics\WWK\WWK\AbyssalPersecutorfull.exe
c:\users\Mathieu\AppData\Roaming\AntiVirus 2010
c:\users\Mathieu\AppData\Roaming\AntiVirus 2010\AntiVirus_Studio_2010.exe
c:\users\Mathieu\AppData\Roaming\AntiVirus 2010\securitycenter.exe
c:\users\Mathieu\AppData\Roaming\AntiVirus 2010\securityhelper.exe
c:\users\Mathieu\AppData\Roaming\AntiVirus 2010\taskmgr.dll
c:\users\Mathieu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AntiVirus 2010
c:\users\Mathieu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AntiVirus 2010.lnk
c:\users\Mathieu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AntiVirus 2010\Activate AntiVirus 2010.lnk
c:\users\Mathieu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AntiVirus 2010\AntiVirus 2010.lnk
c:\users\Mathieu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AntiVirus 2010\Help AntiVirus 2010.lnk
c:\users\Mathieu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AntiVirus 2010\How to Activate AntiVirus 2010.lnk

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-09-28 au 2010-10-31 ))))))))))))))))))))))))))))))))))))
.

2010-10-31 08:43 . 2010-10-31 08:43 -------- d-----w- c:\users\Default\AppData\Local\temp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-10 03:15 . 2010-08-10 03:15 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2010-08-10 03:15 . 2010-08-10 03:15 69632 ----a-w- c:\windows\system32\QuickTime.qts
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2009-04-02 11:47 333192 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2009-04-02 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2009-04-02 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-11-25 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"RESTART_STICKY_NOTES"="c:\windows\System32\StikyNot.exe" [2009-07-14 354304]
"DeliveryManager"="c:\users\mathieu\appdata\roaming\delivery\logs\deliverymanager.exe" [2010-10-30 175616]
"DeliveryManager7995"="c:\users\mathieu\appdata\roaming\delivery\logs\managerdelivery.exe" [2010-10-30 175616]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"UserDictionary"="c:\users\mathieu\appdata\roaming\google\dictionaryuser10491.exe" [2010-10-30 175616]
"BeastsSinging"="c:\users\mathieu\desktop\musique\old\santana\abraxas [bonus tracks]\windscrying689.exe" [2010-10-30 13:53 175616]
"AttackC3Strat"="c:\users\mathieu\documents\ableton\library\samples\waveforms\components\attack\strat attack\stratattackc3.exe" [2010-10-30 175616]
"DeliveryManager"="c:\users\mathieu\appdata\roaming\delivery\logs\deliverymanager.exe" [2010-10-30 175616]
"GalerieSlicefeed"="c:\users\mathieu\appdata\local\microsoft\feeds\{5588acfd-6436-411b-a5ce-666ae6a92d3d}~\webslices~\slicefeedcomposants.exe" [2010-10-30 175616]
"MediaLibr"="c:\users\mathieu\appdata\roaming\divx\player\medialibr.exe" [2010-10-30 175616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\program files\Alwil Software\Avast4\ashDisp.exe" [2009-11-24 81000]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-11-25 122880]
"FIC HotKey"="c:\program files\Hotkey Utility\tray.exe" [2007-07-13 561152]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-19 13793824]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-12-02 198160]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2010-01-27 1312848]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-08-10 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-01 421160]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2010-01-29 21:17 64592 ----a-w- c:\program files\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux3"=wdmaud.drv

R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-23 136176]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-09-23 238960]
R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
S1 aswSP;avast! Self Protection; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 ASKService;ASKService;c:\program files\AskBarDis\bar\bin\AskService.exe [2009-04-02 464264]
S2 ASKUpgrade;ASKUpgrade;c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe [2009-04-02 234888]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-09-15 20560]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-09-15 53328]
S2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe [2009-07-14 20992]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-09-22 174592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HsfXAudioService REG_MULTI_SZ HsfXAudioService
.
Contenu du dossier 'Tâches planifiées'

2010-10-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-23 05:43]

2010-10-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-23 05:43]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
FF - ProfilePath - c:\users\Mathieu\AppData\Roaming\Mozilla\Firefox\Profiles\eifrj25d.default\
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-AbyssalPersecutorfull - c:\users\Mathieu\AppData\Local\VirtualStore\Program Files\Magic Workstation\Pics\WWK\WWK\AbyssalPersecutorfull.exe
HKCU-Run-AntiVirus 2010 - c:\users\Mathieu\AppData\Roaming\AntiVirus 2010\AntiVirus_Studio_2010.exe
HKCU-RunServices-0.5052684971077172 - c:\users\Mathieu\AppData\Local\Temp\0.5052684971077172.exe
HKCU-RunServices-SetupMSetup - c:\users\mathieu\appdata\local\temp\logitech\web\logitechmsetup.exe
HKCU-RunServices-AbyssalPersecutorfull - c:\users\Mathieu\AppData\Local\VirtualStore\Program Files\Magic Workstation\Pics\WWK\WWK\AbyssalPersecutorfull.exe

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2010-10-31 09:45:48
ComboFix-quarantined-files.txt 2010-10-31 08:45

Avant-CF: 36 181 385 216 octets libres
Après-CF: 36 252 020 736 octets libres

- - End Of File - - CD5C39FDE69666427D9927A140F65389

13 réponses

  1. sherred Messages postés 8605 Statut Membre 351
     
    on peu regarder si il reste quelque chose
    * Télécharge ZHPDiag (de Nicolas Coolman). https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Rend toi sur Cijoint http://www.cijoint.fr/
    et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
    Un lien sera généré, copie et colle-le dans ta prochaine réponse.

    sur vista Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
    Aller dans démarrer puis panneau de configuration
    Double Cliquer sur l'icône "Comptes d'utilisateurs"
    Cliquer ensuite sur désactiver et valider.
    puis
    clic droit sur le raccourci du programme d'analyse ou de desinfection et choisir démarrer en tant qu'administrateur
    2
    1. soca_09
       
      Merci pour ton aide.
      ça m'a pris un peu de temps, mon frère a windows 7 et moi XP, du coup j'ai un peu de mal avec les manips.

      Bref, voici le lien menant au rapport : http://www.cijoint.fr/cjlink.php?file=cj201010/cijBaPyoYd.txt
      0
    2. karine et sonpc
       
      manuellement je t'envoie aussi le lien menant au rapport:
      http://www.cijoint.fr/cjlink.php?file=cj201010/cijHAB1ebg.txt

      en esperant que cela fonctionne...
      0
    3. HELENE
       
      http://www.cijoint.fr/cjlink.php?file=cj201010/cijKqBOVUY.txt
      0
    4. karine et sonpc
       
      j'ai sauvé mon pc, ça ca marche:

      http://pages.videotron.com/g225/desinfection/antivirus_studio_2010.htm
      0
    5. karine et sonpc
       
      salut Sherred, je suis désolée mais je n'arrive pas a coller sur ce site.. et ça m'agace en tout cas il n'y a pas d'erreur, tape le directement dans la barre, moi ça a fonctionné

      bon courage a tous
      en fait il faut telecharger
      eXepllorer.exe et Malwarebytes suivre les instruction pour que se soit gratuit , il faut aller dans l'onglet "mise a jour" et "rechercher les mises a jour" l'analyse dure une bonne heure et apres c'est réglé, supprimer la sélection et désinstaller les log
      0
  2. clode13
     
    j'ai téléchargé et installé le logiciel Malwarebytes' Anti-Malware disponible gratuitement sur le net, lancé un scan rapide et Studio 2010 a été supprimé sans problème!!! Il a fallu quand même un redémarrage pour finaliser la suppression.
    1
    1. karine et sonpc
       
      c'est ce que j'ai essayer de dire il ya quelques jours... Pour moi aussi , Malwarebytes a supprimé Studio2010.
      0
    2. lilbudies Messages postés 3 Statut Membre
       
      j'ai essayé malwarebytes et c bn sa a tous supprimé merci
      0
  3. karine et sonpc
     
    Bonjour
    Je suis aussi victime de ce faux antivirus, antivirus studio 2010.
    J'ai donc fait ce que vous préconisez Sherred, et voici le rapport:

    QUE JE NE PEU PAS COLLER!
    pourquoi!!??? snif

    Suis sous windows XP

    Merci d'avance
    Karine
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
      Rend toi sur Cijoint http://www.cijoint.fr/
      et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
      Un lien sera généré, copie et colle-le dans ta prochaine réponse.
      0
  4. karine et sonpc
     
    C'est ce que j'ai pourtant fait mais le clic droit ne fonctionne plus..

    et ici non plus ça ne fonctionne pas
    http://www.cijoints.fr/cj201010/cijWnxvHU1.txt

    c'est tout ce que je peu faire...
    0
    1. karine et sonpc
       
      je le copie, mais ne parviens pas a le coller ici.. je ne comprend pas pourquoi, faut il que je m'inscrive en "membre"?
      0
    2. tyty
       
      bonjour,
      voici mon lien:http://www.cijoint.fr/cjlink.php?file=cj201011/cij7R5c1PU.txt
      merci de votre aide
      0
    3. Utilisateur anonyme
       
      Bonjour tyty

      Merci d'ouvrir ton propre sujet.

      @+
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sherred Messages postés 8605 Statut Membre 351
     
    houla il y a beaucoup de monde ici "merci Guillaume5188 ;)"

    donc pour soca_09 " exclusivement "

    Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
    http://dl.commentcamarche.net/www.commentcamarche.net/download/files/AD-R_2.0.0.2%2CB.exe

    /!\ Déconnectes toi et fermes toutes applications en cours

    ? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ? Double clique sur l'icône Ad-remover située sur ton bureau

    au menu principal choisi l'option "nettoyage" .

    --> le programme va travailler ...

    * Postes le rapport qui apparait à la fin
    ( le rapport est sauvegardé aussi sous C:\Ad-report.log ) adreport(clean)

    /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\

    sur vista Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
    Aller dans démarrer puis panneau de configuration
    Double Cliquer sur l'icône "Comptes d'utilisateurs"
    Cliquer ensuite sur désactiver et valider.
    puis
    clic droit sur le raccourci Ad-remover et choisi démarrer en tant qu'administrateur

    Quand les bornes sont franchies, il n'y a plus de limite
    Ce que j'ai écrit, je l'ai écrit
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      karine et sonpc ton fichier n'est pas accessible , ouvre ton propre poste et recommence
      merci
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      HELENE tu a toujours le Rogue.AntiMalwareDoctor
      ouvre egalement ton propre post et replace ce rapport

      de plus.. un petit bonjour et merci ca ne coute rien , on est pas des robots

      merci :)
      0
    3. soca_09 Messages postés 25 Statut Membre
       
      Ok, j'ai un problème avec ce programme, j'ai bien désactivé les comptes d'utilisateurs (c'est sous win7, mais je pense l'avoir fait correctement), mais quand je lance le programme j'ai un message d'erreur :
      C:\Users\Mathieu\Desktop\AD-R_2~2.EXE
      The NTVDM CPU has encountered an illegal instruction.
      CS/0568 IP:020a OP:65 63 68 61 72 Choose 'close' to terminate the application.

      En plus de ça, quand j'ai redémarrer l'ordi pour qu'il prenne en compte le changement pour les comptes d'utilisateurs, Avast m'a trouvé un rootkit. Je l'ai mis en quarantaine, mais c'est étrange...

      Je crois que j'ai encore besoin d'aide ! Au secours sherred !!!! lol
      0
    4. sherred Messages postés 8605 Statut Membre 351
       
      oui pour w7 c'est un peu different
      http://www.depannetonpc.net/fiches-pratiques/lire_62_1_desactiver-l-uac-sous-windows-7.html

      on va faire autrement

      tu a sur ton bureau

      ZHPFix

      * Copie le tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

      O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\AskBarDis\bar\bin\askBar.dll

      O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\AskBarDis\bar\bin\askBar.dll

      O23 - Service: ASKService (ASKService) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\AskBarDis\bar\bin\AskService.exe

      O23 - Service: ASKUpgrade (ASKUpgrade) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe

      [HKCU\Software\AppDataLow\AskBarDis]

      [HKCU\Software\AskBarDis]

      O43 - CFD:Common File Directory ----D- C:\Program Files\AskBarDis
      SR - | Auto 02/04/2009 464264 | C:\Program Files\AskBarDis\bar\bin\AskService.exe (ASKService) . (.Pas de propriétaire.) - C:\Program Files\AskBarDis\bar\bin\AskService.exe
      SR - | Auto 02/04/2009 234888 | C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe (ASKUpgrade) . (.Pas de propriétaire.) - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe



      O42 - Logiciel: Vuze Toolbar - (.Vuze, Inc..) [HKLM] -- Ask Toolbar_is1
      O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
      SR - | Auto 18/05/2010 345376 | C:\Program Files\Bonjour\mDNSResponder.exe (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
      O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OB\realsched.exe








      Puis Lance ZHPFix depuis le raccourci du bureau .

      * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

      * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

      Vérifie :
      - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
      - que les lignes soient disposées les unes en dessous des autres .

      * Puis clique sur le bouton [ OK ] .
      > à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

      Ne touche plus à rien !

      !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


      * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

      * Enfin clique sur le bouton [ Nettoyer ] .


      -> laisse travailler l'outil et ne touche à rien ...


      -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) !

      Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

      ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
      0
  7. soca_09 Messages postés 25 Statut Membre
     
    Merci. j'espère n'avoir rien oublié...
    Après le scan avec ZHPFix, voici le rapport généré :

    Rapport de ZHPFix 1.12.3213 par Nicolas Coolman, Update du 27/10/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-01-11-2010-11-51-15.txt
    Run by Mathieu at 01/11/2010 11:51:15
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== ==========
    O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\AskBarDis\bar\bin\askBar.dll => Clé absente
    O23 - Service: ASKService (ASKService) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\AskBarDis\bar\bin\AskService.exe => Clé absente
    O23 - Service: ASKUpgrade (ASKUpgrade) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe => Clé absente
    HKCU\Software\AppDataLow\AskBarDis => Clé absente
    HKCU\Software\AskBarDis => Clé absente
    O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe => Clé supprimée avec succès

    ========== ==========
    O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\AskBarDis\bar\bin\askBar.dll => Valeur absente
    O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OB\realsched.exe => Valeur supprimée avec succès

    ========== ==========
    C:\Program Files\AskBarDis => Dossier absent

    ========== ==========
    c:\program files\askbardis\bar\bin\askbar.dll => Supprimé et mis en quarantaine
    c:\program files\askbardis\bar\bin\askservice.exe => Supprimé et mis en quarantaine
    c:\program files\askbardis\bar\bin\askupgrade.exe => Supprimé et mis en quarantaine
    c:\program files\bonjour\mdnsresponder.exe => Supprimé et mis en quarantaine
    c:\program files\common files\real\update_ob\realsched.exe => Supprimé et mis en quarantaine

    ========== ==========
    O42 - Logiciel: Vuze Toolbar - (.Vuze, Inc..) [HKLM] -- Ask Toolbar_is1 => Logiciel supprimé avec succès

    ========== ==========
    6 :
    2 :
    1 :
    5 :
    1 :

    End of the scan
    0
    1. abdel60
       
      bonjour, j4ai egalement le même probleme que toi egalement, Merci Sherred, j'ai effectuer egalement cette manipulation, je suis egalement sous windows 7, voici le résultat que j'obtient :


      Rapport de ZHPFix 1.12.3213 par Nicolas Coolman, Update du 27/10/2010
      Fichier d'export Registre : C:\ZHPExportRegistry-01-11-2010-12-46-38.txt
      Run by alaaziouz at 01/11/2010 12:46:38
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      ========== Clé(s) du Registre ==========
      O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\AskBarDis\bar\bin\askBar.dll => Clé absente
      O23 - Service: ASKService (ASKService) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\AskBarDis\bar\bin\AskService.exe => Clé absente
      O23 - Service: ASKUpgrade (ASKUpgrade) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe => Clé absente
      HKCU\Software\AppDataLow\AskBarDis => Clé absente
      HKCU\Software\AskBarDis => Clé absente
      O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe => Clé supprimée avec succès

      ========== Valeur(s) du Registre ==========
      O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\AskBarDis\bar\bin\askBar.dll => Valeur absente
      O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OB\realsched.exe => Valeur absente

      ========== Dossier(s) ==========
      C:\Program Files\AskBarDis => Dossier absent

      ========== Fichier(s) ==========
      c:\program files\askbardis\bar\bin\askbar.dll () => Fichier absent
      c:\program files\askbardis\bar\bin\askservice.exe () => Fichier absent
      c:\program files\askbardis\bar\bin\askupgrade.exe () => Fichier absent
      c:\program files\bonjour\mdnsresponder.exe => Supprimé et mis en quarantaine
      c:\program files\common files\real\update_ob\realsched.exe () => Fichier absent

      ========== Logiciel(s) ==========
      O42 - Logiciel: Vuze Toolbar - (.Vuze, Inc..) [HKLM] -- Ask Toolbar_is1 => Logiciel déjà supprimé


      ========== Récapitulatif ==========
      6 : Clé(s) du Registre
      2 : Valeur(s) du Registre
      1 : Dossier(s)
      5 : Fichier(s)
      1 : Logiciel(s)


      End of the scan
      0
  8. sherred Messages postés 8605 Statut Membre 351
     
    soca_09 comment ce comporte ton pc ?
    0
    1. soca_09 Messages postés 25 Statut Membre
       
      Après avoir fait le scan, quand j'ai réactivé les comptes d'utilisateur et qu'il a fallu redémarrer l'ordi, j'ai à nouveau reçu des alertes d'Avast. c'est toujours des rootkits mais j'ai l'impression que ce n'est pas toujours le même chemin.
      J'hésitais à faire un nouveau scan mais je ne sais pas avec quel outil être la plus efficace.

      Je vais partir pour la soirée et l'ordi est à mon frère du coup il y a du délai entre tes messages et mes réponses, mais merci du coup de main.
      0
  9. makeu
     
    bonjour j'ai le meme probleme que vous et j'ai tout essayer vous etes ma derniere chance j'ai suivit vos instructions et mon lien est le suivant est il possible de m'aider s'il vous plait d'avance merci http://www.cijoint.fr/cjlink.php?file=cj201011/cij32zUb0S.txt
    0
  10. makeu
     
    bonjour j'ai le meme probleme que vous et j'ai tout essayer vous etes ma derniere chance j'ai suivit vos instructions et mon lien est le suivant est il possible de m'aider s'il vous plait d'avance merci http://www.cijoint.fr/cjlink.php?file=cj201011/cij32zUb0S.txt

    desole pour la repetition je ne c'est pas si le message est passe !
    0
  11. sherred Messages postés 8605 Statut Membre 351
     
    makeu fait ton propre poste merci , je ne peu pas m'occuper de plusieur personne sur le meme

    soca_09
    Télécharge UsbFix (de Chiquitine29) sur ton bureau
    http://www.teamxscript.org/usbfixTelechargement.html

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

    --> Double clic sur UsbFix

    clic sur le bouton Recherche

    et ne touche plus a rien pendant le scan

    Une fois l'analyse terminée, un rapport de scan est proposé... appuie sur une touche pour ouvrir ce rapport.
    copier/coller ce rapport dans ta prochaine réponse
    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
    0
  12. soca_09 Messages postés 25 Statut Membre
     
    Bonjour,

    Je ne crois pas que mon frère utilise de clé USD et je sais qu'il n'a pas de disque externe.
    voici le résultat du scan :

    ############################## | UsbFix 7.034 | [Recherche]

    Utilisateur: Mathieu (Administrateur) # MATHIEU-PC [FUJITSU SIEMENS AMILO Pa 2548]
    Mis à jour le 25/10/10 par El Desaparecido / C_XX
    Lancé à 11:30:21 | 02/11/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: AMD Athlon(tm) 64 X2 Dual-Core Processor TK-53
    CPU 2: AMD Athlon(tm) 64 X2 Dual-Core Processor TK-53
    Microsoft Windows 7 Édition Intégrale (6.1.7600 32-Bit) #
    Internet Explorer 8.0.7600.16385

    Pare-feu Windows: Activé
    RAM -> 2047 Mo
    C:\ (%systemdrive%) -> Disque fixe # 92 Go (33 Go libre(s) - 36%) [] # NTFS
    D:\ -> CD-ROM

    ################## | Éléments infectieux |

    ################## | Registre |

    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

    ################## | Mountpoints2 |

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      relance usbfix
      et cette fois fait l'option suppression

      --> Le pc va redémarer

      -->Après redémarrage poste le rapport UsbFix.txt

      Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
      Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!
      ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
      0
    2. soca_09 Messages postés 25 Statut Membre
       
      Voilà le résultat, mais je reçois très régulièrement des alerte Avast cette fois pour un trojan "fake alert RV" chaque fois dans un dossier différent.

      ############################## | UsbFix 7.034 | [Suppression]

      Utilisateur: Mathieu (Administrateur) # MATHIEU-PC [FUJITSU SIEMENS AMILO Pa 2548]
      Mis à jour le 25/10/10 par El Desaparecido / C_XX
      Lancé à 13:37:24 | 02/11/2010
      Site Web: http://www.teamxscript.org
      Contact: eldesaparecido@teamxscript.org

      CPU: AMD Athlon(tm) 64 X2 Dual-Core Processor TK-53
      CPU 2: AMD Athlon(tm) 64 X2 Dual-Core Processor TK-53
      Microsoft Windows 7 Édition Intégrale (6.1.7600 32-Bit) #
      Internet Explorer 8.0.7600.16385

      Pare-feu Windows: Activé
      RAM -> 2047 Mo
      C:\ (%systemdrive%) -> Disque fixe # 92 Go (33 Go libre(s) - 36%) [] # NTFS
      D:\ -> CD-ROM

      ################## | Éléments infectieux |


      Supprimé! C:\$RECYCLE.BIN\S-1-5-21-75912917-852866495-3824434219-1001

      ################## | Registre |

      Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
      Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
      Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

      ################## | Mountpoints2 |


      ################## | Listing |

      [02/11/2010 - 13:41:48 | SHD ] C:\$RECYCLE.BIN
      [31/10/2010 - 09:45:53 | D ] C:\asdehi
      [10/06/2009 - 22:42:20 | N | 24] C:\autoexec.bat
      [25/11/2009 - 21:25:52 | D ] C:\Boot
      [25/11/2009 - 19:31:15 | N | 199] C:\Boot.BAK
      [25/11/2009 - 21:25:51 | N | 343] C:\Boot.ini.saved
      [30/08/2002 - 12:00:00 | N | 4952] C:\Bootfont.bin
      [14/07/2009 - 02:38:58 | RASH | 383562] C:\bootmgr
      [25/11/2009 - 21:25:53 | N | 8192] C:\BOOTSECT.BAK
      [31/10/2010 - 09:45:49 | N | 9439] C:\ComboFix.txt
      [10/06/2009 - 22:42:20 | N | 10] C:\config.sys
      [14/07/2009 - 05:53:55 | SHD ] C:\Documents and Settings
      [02/11/2010 - 13:28:51 | ASH | 1609764864] C:\hiberfil.sys
      [25/11/2009 - 19:34:59 | N | 0] C:\IO.SYS
      [25/11/2009 - 21:50:23 | N | 312384] C:\MEHYL
      [25/11/2009 - 19:34:59 | N | 0] C:\MSDOS.SYS
      [30/08/2002 - 12:00:00 | N | 47580] C:\NTDETECT.COM
      [30/08/2002 - 12:00:00 | N | 235824] C:\ntldr
      [25/11/2009 - 23:45:32 | D ] C:\NVIDIA
      [02/11/2010 - 13:28:59 | ASH | 2146357248] C:\pagefile.sys
      [14/07/2009 - 03:37:05 | D ] C:\PerfLogs
      [01/11/2010 - 11:51:07 | D ] C:\Program Files
      [08/09/2010 - 11:56:31 | D ] C:\ProgramData
      [31/10/2010 - 09:45:52 | D ] C:\Qoobox
      [25/11/2009 - 21:36:16 | D ] C:\Recovery
      [31/10/2010 - 09:29:59 | SHD ] C:\System Volume Information
      [10/09/2010 - 07:11:11 | D ] C:\Temp
      [02/11/2010 - 13:41:48 | D ] C:\UsbFix
      [02/11/2010 - 13:37:28 | A | 2521] C:\UsbFix.txt
      [25/11/2009 - 21:36:35 | D ] C:\Users
      [31/10/2010 - 10:44:41 | D ] C:\Windows
      [25/11/2009 - 21:17:17 | D ] C:\Windows.old
      [25/11/2009 - 21:50:23 | N | 20] C:\winx.ld
      [01/11/2010 - 11:51:15 | N | 5962] C:\ZHPExportRegistry-01-11-2010-11-51-15.txt

      ################## | Vaccin |

      C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

      ################## | Upload |

      Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_MATHIEU-PC.zip
      http://www.teamxscript.org/Sample/Upload.php
      Merci de votre contribution.

      ################## | E.O.F |
      0
  13. sherred Messages postés 8605 Statut Membre 351
     
    comment ce comporte ton pc ?
    0
    1. soca_09 Messages postés 25 Statut Membre
       
      J'ai allumé l'ordi, redémarré, arrêté et aucun problème, ça a l'air d'aller mieux.
      Merci beaucoup.
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      bien , je te conseil de supprimer les restaurations et dans créer une nouvelle
      elle est surement verollée
      par contre je n'ai pas la procedure pour windows 7 en tete

      mais ca doit être un truc comme ca

      Clique droit sur Ordinateur puis Propriétés puis Informations système générales,enfin sur Protection du système

      clique une fois sur le disque où Windows est installé, donc souvent c'est le C:
      clique sur le bouton Configurer

      Pour désactiver la restauration du système, cochez "Désactiver la protection du système" puis cliquez sur "Appliquer". normalement ca doit supprimer tout
      il suffit ensuite de redémarrer et de réactiver la restauration
      Si vous voulez simplement supprimer les points de restauration, cliquez sur "Supprimer" puis validez en cliquant sur "Oui"
      0
    3. soca_09 Messages postés 25 Statut Membre
       
      ça marche, je vais m'en occuper.
      Merci beaucoup pour ton aide, je n'étais encore jamais tombé sur un truc aussi résistant...
      0