antivir scan proven antivirus protectionRésolu/Fermé

Question

Bonjour, 
Comme demandé je vous poste le compte rendu du rapport AdRemover. 


======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 22/12/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:17:34 le 23/12/2010, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X86) 
polocop@PC-DE-POLOCOP (Acer, inc. Aspire 5920G) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Users\Public\MyWebTattoo.exe
Fichier supprimé: C:\Users\polocop\AppData\Roaming\Mozilla\FireFox\Profiles
kb44zgp.default\searchplugins\askcom.xml
Dossier supprimé: C:\Program Files\Fast Browser Search
Dossier supprimé: C:\Program Files\Search Guard Plus
Dossier supprimé: C:\Program Files\Search Guard PlusU
Dossier supprimé: C:\Program Files\SGPSA

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
Clé supprimée: HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
Clé supprimée: HKLM\Software\Classes\CLSID\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
Clé supprimée: HKLM\Software\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}
Clé supprimée: HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Clé supprimée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
Clé supprimée: HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
Clé supprimée: HKLM\Software\Classes\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}
Clé supprimée: HKLM\Software\Classes\BHO.PSHelper
Clé supprimée: HKLM\Software\Classes\BHO.PSHelper.1
Clé supprimée: HKCU\Software\FBSearch
Clé supprimée: HKCU\Software\SGPUpdater
Clé supprimée: HKCU\Software\Trymedia Systems
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{18ACE457-375D-4536-B04C-7A7988DA0023}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{35CE9C88-790D-4d2a-B9C2-63E8E770FBE3}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus Updater

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|FBSSA
Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|RTHDBPL
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{91C18ED5-5E1C-4AE5-A148-A861DE8C8E16}
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.0.2 (fr)] **

-- C:\Users\polocop\AppData\Roaming\Mozilla\FireFox\Profiles
kb44zgp.default\Prefs.js --
browser.download.dir, C:\Users\polocop\Downloads
browser.startup.homepage, hxxp://www.search.ch/index.fr.html
browser.startup.homepage_override.mstone, rv:1.9.0.2

========================================

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: no
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 71 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 23/12/2010 (5483 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 23/12/2010 (5402 Octet(s)) 

Fin à: 21:20:02, 23/12/2010 
 
============== E.O.F ============== >

CCMclaude · Answer

Bonsoir polocop !
Te rappelles-tu qui t'a demandé d'exécuter ce nettoyage AD-REMOVER ?

polocop · Answer

Hello CCMclaude ! Je n'ai eu de contact avec personne.......je me suis seulement basé sur l'appel au secours posté le 17.10.2010 par Claauu à gen-hackmann. J'ai également transmis comme stipulé dans sa réponse les fichiers OTL.txt et Extra.txt sous l'adresse www.cijoint.fr.  
Je travaille sous la cession de mon épouse sous le même PC portable. Je ne peux plus utiliser ma cession toutes les applications ne voulant plus s'ouvrir, une alerte virus me signalant à chaque fois un fichier .exe infecté. Je viens de remettre à jour mon antivirus Antivir Premium. Je restes à dispo et te remercie vivement de ton aide. Te souhaite encore d'excellentes Fêtes de Noël. Salutations de la Suisse !!

CCMclaude · Answer

Je ne trouve pas le topic de claauu.
Donne son URL pour qu'on puisse y comprendre quelque chose !

polocop · Answer

voici le lien : 

https://forums.commentcamarche.net/forum/affich-19516531-proven-anti-virus-protection-aidez-moi-s

CCMclaude · Answer

Re,  
En fait, tu as utilisé une procédure proposée par Gen-Hackman dans le topic de claauu du 17 oct 2010.  
Dans ce topic-ci, le tien, les rapports précédents celui de AD-Remover, càd OTL.txt et Info.txt que tu mentionnes ne sont pas parvenus jusqu'ici !  
Tu devrais dire aussi comment tu as paramétré et lancé OTL pour obtenir ces deux rapports que tu aurais déjà logés chez cijoint.fr.  
Si OTL.txt et Info.txt ont vraiment été logés par toi chez cijoint.fr, fournis-nous leurs URL que t'a communiquées cijoint.fr.  

Tu devrais donc réessayer de poster sur ce topic-ci, les deux liens que t'a fournis ci-joint, afin qu'un helper (je ne suis pas helper en V/S) aie de quoi t'aider.  
Sinon, tu risques de ne voir personne venir !  

A+

polocop · Answer

Ok, il est mentionné expressément dans le texte de Gen-Hackmann de ne pas poster les deux fichiers OTL et info sur ce forum voilà la raison pour laquelle comme indiqué je l'ai envoyé à l'adresse de cijoint.fr : 

C'est Gen-Hackmann que indique ceci : pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

J'ai paramétré OTL et Extra.txt selon ses indications aussi. 

Faut-il donc que je relances toute la procédure sur ce forum ou dois-je m'adresser directement à Gen-Hackmann ???

Merci a+

CCMclaude · Answer

Re,   
Tu as mal compris ce que Gen-Hackmann demandait.  
Il demandait de ne pas faire un copier-coller de ces rapports directement dans le forum mais de les déposer chez l'hébergeur cijoint.fr et ensuite de communiquer sur le topic le lien-url de chacun des deux rapports !  
Si tu es abonné chez cijoint.fr, tu dois être capable de retrouver les deux liens sous lesquels sont enregistrés les OTL.txt et Extra.txt que tu y as déposés.

polocop · Answer

J'ai ces deux liens ci-après : 

http://www.cijoint.fr/cjlink.php?file=cj201012/cijUoHAGdo.txt 
http://www.cijoint.fr/cjlink.php?file=cj201012/cijG1DEHBS.txt

Je penses que cela doit etre ce dont tu parles.

CCMclaude · Answer

Cela a bien l'air d'être les deux rapports en question.
Maintenant, il te faut espérer que gen-hackman "tombe" sur ton topic... ou une autre "pointure".
En attendant, tu devrais déjà faire un topo de ce qui t'a amené à poster ton sujet, une sorte d'anamnèse quoi !

CCMclaude · Answer

Désinfection ? Liens à connaître :
1. Procédure de demande d'aide et désinfection nettoyage
2. Rédaction des topics : conseils

flo-91 · Answer

Bonsoir,

Je vais te prendre en charge, commence par faire ceci :


-Démarre en mode sans échec en tapotant F5 ou F7 au démarrage du pc selon les machines.


Puis :


On va commencer par analyser ton pc, :

Télécharges Zhpdiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, dézippes le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme.

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

Rends toi sur http://www.cijoint.fr clic sur Parcourir, choisis le rapport sur ton bureau et clic sur Créer le lien,
Un lien te sera généré, postes le dans ta prochaine réponse .

polocop · Answer

polocop · Answer

Voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj201012/cij2XfPw3n.txt

ouf compliqué tout ça !!!

Pour info mon internet explorer ne fonctionne plus......je dois travailler avec firefox ceci seulement sur ma session, sur celle de ma femme sur mon meme ordi c'est ok !!!

flo-91 · Answer

Ok, fait ceci toujours en mode sans echec :


* Lance ZHPFix (via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :

M2 - MFEP: prefs.js [polocop - nkb44zgp.default\{dea16437-11eb-464e-8166-ad89fd937d1a}] [xul] XUL Cache v1.0 (.Canonical Ltd..) 
O2 - BHO: (no name) - {0236A5DB-596B-4A6F-8AF5-83BCE0E4E02e} . (.Borland Software Corporation - Borland MIDAS Component Package.) -- C:\Windows\system32\api-ms-win-core-fibers-l1-1-032.dll  
O2 - BHO: Search Assistant - {F0626A63-410B-45E2-99A1-3F2475B2D695} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\SGPSA\BHO.dll  
O4 - HKCU\..\Run: [epwtrxyy] C:\Users\polocop\AppData\Local\Temp\ibhxoisnw\epbtsqplajb.exe (.not file.)
O4 - HKCU\..\Run: [brwjchkg] . (.Pas de propriétaire - Pas de description.) -- C:\Users\polocop\AppData\Local\Temp	rsqgoecx\xkrplvklajb.exe
O4 - HKUS\S-1-5-21-2776907389-1331063986-3432005425-1000\..\Run: [epwtrxyy] C:\Users\polocop\AppData\Local\Temp\ibhxoisnw\epbtsqplajb.exe (.not file.)
O4 - HKUS\S-1-5-21-2776907389-1331063986-3432005425-1000\..\Run: [brwjchkg] . (.Pas de propriétaire - Pas de description.) -- C:\Users\polocop\AppData\Local\Temp	rsqgoecx\xkrplvklajb.exe
O42 - Logiciel: Fast Browser Search (My Tattoons) - (.Make The Web Better, LLC.) [HKLM] -- TBSB07183.TBSB07183Toolbar   
O44 - LFC:[MD5.85BF69905300C8EAFEA1CD51E946F722] - 21.12.2010 - 13:54:39 ---A- . (.Borland Software Corporation - Borland MIDAS Component Package.) -- C:\Windows\System32\api-ms-win-core-fibers-l1-1-032.dll   [434688]   
O2 - BHO: Search Assistant - {F0626A63-410B-45E2-99A1-3F2475B2D695} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\SGPSA\BHO.dll
O42 - Logiciel: Fast Browser Search (My Tattoons) - (.Make The Web Better, LLC.) [HKLM] -- TBSB07183.TBSB07183Toolbar
[HKCU\Software\?? ?? ???? ????? ??? ?? ????]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8074 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>

* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse


Puis, :


>Telecharge malwarebytes ici :


https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
/!\Utilisateur de Vista : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

polocop · Answer

Si j'ai bien fait juste ......copie rapport ZHPFix : 

Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : 
Run by polocop at 26.12.2010 14:23:35
Windows 7 Home Premium Edition, 32-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Logiciel(s) ==========
O63 - Logiciel: Ad-Remover By C_XX - (.C_XX.) [HKLM] -- Ad-Remover  => Logiciel supprimé avec succès
O63 - Logiciel: ZHPDiag 1.27 - (.Nicolas Coolman.) [HKLM] -- ZHPDiag_is1  => Logiciel supprimé avec succès


========== Récapitulatif ==========
2 : Logiciel(s)


End of the scan

polocop · Answer

OK voici deja le rapport de malwarebytes :

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5396

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

26.12.2010 15:11:39
mbam-log-2010-12-26 (15-11-39).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 305388
Temps écoulé: 37 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{0236A5DB-596B-4A6F-8AF5-83BCE0E4E02e} (Trojan.Tracur.S) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0236A5DB-596B-4A6F-8AF5-83BCE0E4E02E} (Trojan.Tracur.S) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0236A5DB-596B-4A6F-8AF5-83BCE0E4E02E} (Trojan.Tracur.S) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0236A5DB-596B-4A6F-8AF5-83BCE0E4E02E} (Trojan.Tracur.S) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.fsharproj (Trojan.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brwjchkg (Trojan.FakeAlert) -> Value: brwjchkg -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\epwtrxyy (Trojan.FakeAlert.Gen) -> Value: epwtrxyy -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\Users\polocop\AppData\Roaming\SysWin (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\Users\polocop\AppData\Local\Temp	rsqgoecx\xkrplvklajb.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Windows\System32\api-ms-win-core-fibers-l1-1-032.dll (Trojan.Tracur.S) -> Quarantined and deleted successfully.
c:\Users\polocop\AppData\Local\microsoft\Windows	emporary internet files\Content.IE5\65QXWTHL\jmboapcqaojrcvgp[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\polocop\AppData\Roaming\SysWin\lsass.exe (Trojan.Tracur.S) -> Quarantined and deleted successfully.

polocop · Answer

Rapport de ZHPFix 1.12.3229 par Nicolas Coolman, Update du 21/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-26.12.2010-15-35-50.txt
Run by polocop at 26.12.2010 15:35:50
Windows 7 Home Premium Edition, 32-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

==========  ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TBSB07183.TBSB07183Toolbar]  => Clé supprimée avec succès
O2 - BHO: (no name) - {0236A5DB-596B-4A6F-8AF5-83BCE0E4E02e} . (.Borland Software Corporation - Borland MIDAS Component Package.) -- C:\Windows\system32\api-ms-win-core-fibers-l1-1-032.dll  => Clé absente
O2 - BHO: Search Assistant - {F0626A63-410B-45E2-99A1-3F2475B2D695} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\SGPSA\BHO.dll  => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}]  => Clé supprimée avec succès
[HKCR\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}]  => Clé supprimée avec succès
HKCU\Software\?? ?? ???? ????? ??? ?? ????  => Clé absente

==========  ==========
O4 - HKCU\..\Run: [epwtrxyy] C:\Users\polocop\AppData\Local\Temp\ibhxoisnw\epbtsqplajb.exe (.not file.)  => Valeur absente
O4 - HKCU\..\Run: [brwjchkg] . (.Pas de propriétaire - Pas de description.) -- C:\Users\polocop\AppData\Local\Temp	rsqgoecx\xkrplvklajb.exe  => Valeur absente
O4 - HKUS\S-1-5-21-2776907389-1331063986-3432005425-1000\..\Run: [epwtrxyy] C:\Users\polocop\AppData\Local\Temp\ibhxoisnw\epbtsqplajb.exe (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-21-2776907389-1331063986-3432005425-1000\..\Run: [brwjchkg] . (.Pas de propriétaire - Pas de description.) -- C:\Users\polocop\AppData\Local\Temp	rsqgoecx\xkrplvklajb.exe  => Valeur absente

==========  ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8074  => Donnée supprimée avec succès
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>  => Donnée supprimée avec succès

==========  ==========
C:\Documents and Settings\polocop\Application Data\Mozilla\Firefox\Profiles
kb44zgp.default\extensions\{dea16437-11eb-464e-8166-ad89fd937d1a}  => Supprimé et mis en quarantaine

==========  ==========
c:\windows\system32\api-ms-win-core-fibers-l1-1-032.dll  => Supprimé et mis en quarantaine
c:\program files\sgpsa\bho.dll  => Supprimé et mis en quarantaine
c:\users\polocop\appdata\local	emp\ibhxoisnw\epbtsqplajb.exe  => Supprimé et mis en quarantaine
c:\users\polocop\appdata\local	emp	rsqgoecx\xkrplvklajb.exe  => Supprimé et mis en quarantaine

==========  ==========
O42 - Logiciel: Fast Browser Search (My Tattoons) - (.Make The Web Better, LLC.) [HKLM] -- TBSB07183.TBSB07183Toolbar  => Logiciel supprimé avec succès


==========  ==========
6 : 
4 : 
2 : 
1 : 
4 : 
1 : 


End of the scan

polocop · Answer

j'espère que c'est juste cette fois....
Au fait faut-il que je redémarre mon ordi comme mentionné en mode échec ou autre ????

polocop · Answer

Hello ! oui Merci plus de messages de virus mes applications s'ouvrent sans problèmes particuliers. Je crois que c'est bon mais je vais attendre un peu avant de trop me réjouir.....

Toutefois, il me reste encore un petit problème je dois aller sur internet avec Firefox car impossible de me loguer depuis mes problèmes avec internet Explorer !!! pourtant j'y arrive sous la session de mon épouse ?

Si j 'utilise le diagnostic d'Explorer il me laisse le message suivant : 

le périphérique ou la ressource distant n'accepte pas la connexion !

Et d'autre part dans ma messagerie, les photos , images des mails ne s'affichent plus...????

Tu peux faire un petit quelque chose à ces sujets ?

flo-91 · Answer

Ok, reposte un nouveau rapport ZHPDIAG stp. :)

polocop · Answer

polocop · Answer

Eh voila qu'antivir me détecte ce nouveau virus !!!!

Lors de l'accès aux données du URL "http://static.careerjet.net/js/ajax2.13.min.js",
 un virus ou un programme indésirable 'HTML/Crypted.Gen' [virus] a été détecté.
Action exécutée : L'accès au fichier a été bloqué

polocop · Answer

Je comprend pas ce que veux dire ton dernier message ????? tu peux en  préciser le sens stp et ce que je dois faire exactement.

polocop · Answer

Voici le lien du rapport comme demandé : http://www.cijoint.fr/cjlink.php?file=cj201012/cijSDM6xYT.txt De plus je reçois une vingtaine de messages de clients d'un hôtel Gabriella en Italie où j'ai passé mes vacances en début d'année...........@libero.it ???? Il doit y avoir là aussi un gros problème mais je ne sais pas si c'est moi qui génère ce phénomène suite à mes petits ennuis de virus. En voici un exemple : Stessa cosa per me, vorrei essere tolto dalla lista di distribuzione. Grazie Cordiali saluti Luca Bechini -------------------------------------------------------------------------------- Da: contacts-bounces@hotelgabriella.com A: contacts@hotelgabriella.com Inviato: Mon Dec 27 22:38:29 2010 Oggetto: I: tr: Voeux = errore d'invio Buonasera, Sono Vostra cliente e da diversi giorni ricevo delle mails che non mi sono destinate ma sono destinate al Vostro Hotel. Se é possibile desidererei non riceve piu' le mails dei Vostri clienti. Vi ringrazio anticipamente. Teresa --- Lun 27/12/10, @orange.fr> ha scritto: Da: sf@orange.fr> Oggetto: tr: Voeux A: "gabriella hotelgabriella" Data: Lunedì 27 dicembre 2010, 23:12 > Message du 27/12/10 12:10 > De : "Fernand " > A : Contacts@hotelgabriella.com > Copie à : > Objet : Voeux > > Chère famille, Un grand merci pour vos voeux de bonne année. Nous avons à nouveau eu un grand plaisir à venir dans votre établissement cette année et nous vous recontacterons en début 2011 pour nos réservations, c'est sûr ! En attendant, nous vous souhaitons à tous de très belles fêtes de Noël et nos voeux de santé, de beau temps et de bonnes affaires pour 2011! Cordialmente, > Fernand ___________________________________________________ Veuillez prendre note de ma nouvelle adresse e-mail suivante: @gmail.com > Da: "Françoise@netplus.ch> Aggiungi mittente alla Rubrica A: contacts@hotelgabriella.com Bonjour, Un grand merci pour vos bons voeux. Nous avons eu beaucoup de plaisir à séjourner dans votre hôtel au mois de septembre et espérons avoir le plaisir de revenir prochainement. Nous vous souhaitons une belle année 2011. Cordiales salutations. Françoise > -----Segue allegato----- _______________________________________________ Contacts mailing list Contacts@hotelgabriella.com http://lists.hotelgabriella.com/mailman/listinfo/contacts -------------------------------------------------------------------------------- IMPORTANT NOTICE. The information in this email (and any attachments) which is proprietary to American Life Insurance Company (ALICO) is confidential. If you are not the intended recipient, you must not use or disseminate the information. If you have received this email in error, please immediately notify me by "Reply" command and permanently delete the original and any copies or printouts thereof. Although this email and any attachments are believed to be free of any virus or other defect that might affect any computer system into which it is received and opened, it is the responsibility of the recipient to ensure that it is virus free and no responsibility is accepted by American Life Insurance Company for any loss or damage arising in any way from its use. -------------------------------------------------------------------------------- _______________________________________________ Contacts mailing list Contacts@hotelgabriella.com http://lists.hotelgabriella.com/mailman/listinfo/contacts Par souci de discrétion j'ai effacé les noms des adresses ! Encore un énorme MERCI pour ton aide.

flo-91 · Answer

Bien, on va redonner un coup de ZHPFIX :


* Lance ZHPFix (via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :

[MD5.00000000000000000000000000000000] [APT] [SearchGuardPlusUpdater] (.Pas de propriétaire.) -- C:\Program Files\Search Guard PlusU\sgpupdaters.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [SearchGuardPlus] (.Pas de propriétaire.) -- C:\Program Files\Search Guard Plus\SearchGuardPlus.exe (.not file.) 
M0 - MFSP: prefs.js [polocop - nkb44zgp.default] https://www.search.ch/index.fr.html
[HKCU\Software\Qedokyieju]
[HKCU\Software\furnplan-huelsta-now]
[HKCU\Software\qni8hj710fdl]
[HKCU\Software\?? ?? ???? ????? ??? ?? ????]
O4 - Global Startup: C:\Users\polocop\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Apple Safari.lnk . (.Pas de propriétaire.)  -- C:\Windows\Installer\{6B9B0C6F-E5FA-4633-A640-AB98A272ECCA}\SafariIco.exe



* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse



Puis, j'aimerai que tu fasses ceci :


Téléchargez MyHosts  et enregistrez le sur le Bureau. : 

https://www.sfr.fr/fermeture-des-pages-perso.html 

Pour le lancer, faite un double-clic sur l'icône < inclued picture > 

Le rapport MyHosts.txt s'ouvre quelques secondes après,copiez son contenu et postez le sur le forum. 

Si par erreur vous avez fermé le rapport MyHosts.txt avant de le copier,vous pouvez le retrouver à la racine de votre disque système 
( par exemple c:\MyHosts.txt ) 

MyHosts doit être lancé sur un session ayant des droits administrateurs,toute exécution sur un compte limité entrainera l'apparition d'une fenêtre DOS vous demandant de le relancer à partir d'un compte administrateur.


Ensuite tu me dit comment va le pc :)

polocop · Answer

J ai lancé ZHPfix.....en collant tes lignes !!!
L'ordi n'a jamais sorti de rapport, une belle page bleue remplie d'un beau texte en anglais m'est apparue et l'ordi s'est complètement planté. J'ai du enlever sa batterie pour le faire redémarrer !!!

Impossible de copier ce texte désolé !

Toutes ces manipulations doivent elles se faire en mode échec ???

Je n'ai pas oser effectuer ta deuxième manoeuvre attendant ton feu vert 

A+

polocop · Answer

rapport ZHPfix : 

Rapport de ZHPFix 1.12.3231 par Nicolas Coolman, Update du 27/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-28.12.2010-14-19-20.txt
Run by polocop at 28.12.2010 14:19:20
Windows 7 Home Premium Edition, 32-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\Qedokyieju  => Clé supprimée avec succès
HKCU\Software\furnplan-huelsta-now  => Clé supprimée avec succès
HKCU\Software\qni8hj710fdl  => Clé supprimée avec succès
HKCU\Software\?? ?? ???? ????? ??? ?? ????  => Clé absente

========== Préférences navigateur ==========
M0 - MFSP: prefs.js [polocop - nkb44zgp.default] https://www.search.ch/index.fr.html  => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\program files\search guard plusu\sgpupdaters.exe (.not file.)  => Fichier absent
c:\program files\search guard plus\searchguardplus.exe (.not file.)  => Fichier absent
c:\users\polocop\appdata\roaming\microsoft\internet explorer\quick launch\apple safari.lnk  => Supprimé et mis en quarantaine
c:\windows\installer\{6b9b0c6f-e5fa-4633-a640-ab98a272ecca}\safariico.exe  => Supprimé et mis en quarantaine

========== Tache planifiée ==========
Task : SearchGuardPlusUpdater  => Tache absente
Task : SearchGuardPlus  => Tache absente


========== Récapitulatif ==========
4 : Clé(s) du Registre
4 : Fichier(s)
1 : Préférences navigateur
2 : Tache planifiée


End of the scan

polocop · Answer

** Rapport MyHosts.txt **

MyHosts V.1.0.0.2 de jeanmimigab

Merci à la team MH, W-T ,C_XX, Laddy et à Batch_man pour leurs aides
 
Résultat de l'opération:restauration du fichier hosts réussi...

 ** Fin du rapport **

polocop · Answer

J'ai redémarré mon ordi et explorer ne fonctionne toujours pas.

polocop · Answer

Impossible d'installer par ce lien. Windows m'indique dans une fenêtre qu'il y a un problème et refuse l'installation, puis ferme automatiquement la fenêtre après un cours diagnostic mais sans en donner la raison......

flo-91 · Answer

On va essayer ceci en mode sans echec :

*/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac­er-l-uac
Télécharge OtmoveIT (de Old_Timer) sur ton Bureau
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
https://www.androidworld.fr/
(c est le numéro 7 en bas de la page) :

* Double-clique sur OTMoveIt.exe pour le lancer.
/!\Utilisateur de Vista : Clique droit sur le logo de OtmoveIT, « exécuter en tant qu'Administrateur »
* Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.


:processes
explorer.exe

:reg
[-HKCU\Software\?? ?? ???? ????? ??? ?? ????]
[HKCU\Software\?? ?? ???? ????? ??? ?? ????]

:files 
c:\program files\search guard plusu\sgpupdaters.exe (.not file.) 
c:\program files\search guard plus\searchguardplus.exe (.not file.)


:commands
[emptytemp]
[start explorer]
[reboot]



# clique sur MoveIt! pour lancer la suppression.
# Le résultat apparaitra dans le cadre "Results".
# Clique sur Exit pour fermer.
# Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
# Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

polocop · Answer

resultat négatif ! et windows ne trouve pas le rapport MovedFiles, je ne sais pas par quel chemin il faut aller le chercher ce rapport ???

polocop · Answer

Hello Flo-91 !

J'ai réussi à résoudre le problème d'explorer !!! en modifiant les paramètres réseau. 

Je crois que tout mes problèmes sont dorénavant résolus et ce avant la fin de l'année 2010. 

Grâce à toi je vais pouvoir commencer l'année 2011 avec un PC nettoyé. 
Si je devais avoir de nouveaux petits problèmes, j'espère que je pourrais compter sur toi une nouvelle fois. 

Encore MERCI, je te souhaite, un excellent passage à l'an 2011.

Au fait, Flo c'est Florent ou Florence ??? :))))

flo-91 · Answer

Re !

J'ai réussi à résoudre le problème d'explorer !!! en modifiant les paramètres réseau.

Je crois que tout mes problèmes sont dorénavant résolus et ce avant la fin de l'année 2010. 

Ok, mais avant, il va falloir terminer la désinfection en supprimant quelques petites traces et les logiciels qui on servi à la désinfection ;)

Pour cela, il me faut un nouveau rapport ZHPDIAG :)

Au fait, Flo c'est Florent ou Florence ??? :))))

Si tu regardes mon profil, je suis un homme...
Florian ;)

polocop · Answer

OK Florian

voici l'adresse du rapport comme demandé : 

http://www.cijoint.fr/cjlink.php?file=cj201012/cij2KHvO91.txt 

j'attends vos instructions a+

flo-91 · Answer

Ok, on termine si tu veux bien : Tu vas utiliser le logiciel CCleaner pour faire un petit peu de nettoyage : ATTENTION : Ce n'est en aucun cas un logiciel de désinfection, ccleaner va nettoyer le pc des fichiers temporaires inutiles ( certains sont infectieux quelquefois ) et autres cookies internet et accessoirement, il répare le registre pour optimiser le pc, mais il ne désinfecte pas le pc. => Famille outils d'optimisation Tu peux garder l'outil sur ton pc pour un nettoyage de temps en temps ( environ 1 fois/mois ) >Telecharge et installe le Logiciel Ccleaner ici : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ >Lances le programme et paramètre-le ainsi : >Onglet "option" clique sur "avancé" décoche la case "effacer les fichiers temporaires de windows datant de plus de 48 heures". >Nettoyage< >Onglet "Nettoyeur" clique sur "analyser" puis sur "nettoyer", tu refait l'opération jusqu'à ce qu'il n'y ai plus rien a supprimer >Onglet "registre" clique sur "rechercher les erreurs" puis "corriger les erreurs sélectionnées", tu refait l'opération jusqu'à ce qu'il n'y ai plus rien a réparer. >Il est conseillé de garder l'outil sur son pc et de faire quotidiennement un nettoyage. Ce logiciel est utilisé pour nettoyer les outils qui ont servi à la désinfection : N'oublie pas de réactiver l'UAC si tu as eu besoin de la desactiver [list] [*] Téléchargez [url=http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe] DelFix /url [color=#40BF00][b]d'Xplode/b/color [*] Lancez puis puis cliquez sur le bouton [b][Suppression]/b [*] Après quelques secondes, un rapport s'ouvrira. [*] Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSearch.txt ) /list Les infections se logent souvent dans la restauration du systeme sans que ne l'on puisse le voir, il est donc important de la purger si tu ne veux pas être réinfecter à la prochaine restauration si tu as besoin : Cet outil va permettre une purge de ta restauration et la création d'un nouveau point sain de restauration : Télécharge OneClick2RP de Laddy sur ton Bureau Fait ceci : Mirroirs si non accessible : OneClick2RP.exe (Mirroir 1) [list] [*] Double clic dessus pour l'exécuter (Sous Vista/Seven, fais un clic droit et choisir Exécuter en tant qu'administrateur) [*] Entre la description suivante : Libre à l'helper [*] Clic sur le bouton Créer, puis sur le bouton OK. [*] Clic sur le bouton quitter pour fermer l'application /list Purger les points de restauration système: [list] [*] Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven) [*] Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir [*] Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan... [*] Rends toi dans l'onglet "Autres options" [*] Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer. [*] Les points de restauration système seront purgés sauf le dernier créé. /list Il est important de garder un systeme et ses logiciels à jours, les logiciels évoluent constamment pour s'améliorer et combler les failles de sécurité. Un pc non à jour est donc plus vulnérable aux infections. Ta version de Java n'est pas à jour, utilise le logiciel Javara pour la mettre à jour : Met a jour ta console Java >Telecharge et installe Javara ici : http://raproducts.org/click/click.php?id=1 >Dézippe le fichier avec "extraire ici" >Double-clique sur JavaRa.exe pour lancer le programme >Sélectionne la langue Français >Clique sur "recherche de mises a jour" >Choisi l'option "Mettre a jour via jucheck.exe" puis clique sur recherche >Accepte l'installation de la nouvelle mise a jour >N'accepte surtout pas la toolbar yahoo qui est source de malwares >Retourne à l'interface principale et clique sur Effacer les anciennes versions >On te demande une confirmation, accepte Un tuto pour t'aider : http://www.libellules.ch/tuto_javara.php Ta version de Adobe reader ,n'est pas à jour, désinstalle ton ancienne version et télécharge la derniere version 10 ici : https://get2.adobe.com/fr/reader/otherversions/ Enfin : Améliorer sa sécurité Conseils pour protéger son pc : Un bon antivirus : En gratuit : Avira Antivir ou Avast. En payant : Kaspersky ou Eset NOD32 Un pare-feu : Le pare-feu de windows est suffisant pour une utilisation classique du pc. Cependant, pour les utilisateurs plus rigoureux et recherchant une meilleure protection, je conseille des pare-feu professionnels gratuits : [url=https://www.commentcamarche.net/telecharger/securite/6291-comodo-firewall-free-windows/] Comodo /url ( désonseillé pour les novices et débutants car plutot complexe ) [url=https://www.commentcamarche.net/telecharger/securite/13291-kerio/] Kerio /url [url=https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/] Zone Alarm /url Désinstaller celui de windows si on choisi un de ci-dessus. Pour désactiver le pare-feu windows : > Cliquer sur "Démarrer" puis "panneau de configuration" > Cliquer sur "centre de sécurité" puis "pare-feu windows" > Cocher la case "désactiver" et cliquer sur "ok" Pour COMODO, voici un petit tuto pour le configurer : https://www.malekal.com/tutorial-comodo-firewall/ Un anti malware en plus : Malwarebytes : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/ Je te conseille de naviguer avec Firefox si ce n'est déja fait, télécharge la derniere version ici : http://www.mozilla-europe.org/fr/firefox/ Couplée avec de bons modules complémentaires, on améliore vraiment sa sécurité, tu le couple avec : - Noscript: https://addons.mozilla.org/fr/firefox/addon/noscript/ >Tuto pour configurer noscript : https://www.commentcamarche.net/faq/15677-noscript-un-bon-bouclier-et-obeissant -Wot : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ -Adblock plus : https://addons.mozilla.org/fr/firefox/addon/adblock-plus/ Tuto> http://www.6ma.fr/tuto/adblock-plus-bloquer-les-publicites-sur-firefox/ Evite les crack et le téléchargements avec des P2P (emule...) vecteurs de malwares : https://forum.malekal.com/viewtopic.php?t=893&start= https://forum.malekal.com/viewtopic.php?t=3208&start= A consulter : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf https://www.commentcamarche.net/faq/7752-logiciels-gratuits-pour-assurer-une-bonne-securite-de-base *>flo-91<*® N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ), il y a peut être déjà la solution à votre problème =)

polocop · Answer

Encore un grand MERCI pour ton super coup de main flo-91 !  

Je te souhaites encore une excellente année 2011

Ma connexion internet par wi-fi n'est pas sécurisée et je ne sais pas trop comment m'y prendre ..... est-ce que tu peux m'aider à résoudre ce problème à distance ????

flo-91 · Answer

Salut !

Bonne et Heureuse Année a toi aussi ;)


Plutot que de longs discours, je te conseille de consulter ces astuces :

http://www.depannetonpc.net/dossiers/lire_5_1_securiser-votre-reseau-sans-fil.html

et

http://www.linternaute.com/hightech/wifi/05-wifi/securite.shtml


Bon courage ;-)

Antivir scan proven antivirus protection

38 réponses

Discussions similaires

Newsletters