problème pop up & ralentissement PC Résolu

Question

Bonjour,   

Je pense que je suis infecté de pas mal de virus. J'ai 2 problèmes qui sont peut être liés.  

J'ai de nombreux pop up des que j'allume mon ordi (1 à 2 par minute) et un rallentissement important de mon PC, et depuis environ 1 mois quand je vais sur intenet j'ai des problèmes de connexions, problème de recherche d'hôte.  

J'ai vu qu'il fallait envoyé un rapport pour que vous puissez m'aider mais je ne sais pas trop comment m'y prendre, si quelqu'un peut m'aider..  

Merci d'avance.

JoYs0031 · Answer

En plus de cela, j'ai de nombreux processus qui tourne et qui me font ralentir l'ordi, quand je lai ferme il revienne.
Donc les pop up +cela, mon ordi est devenu une vrai charette...

Smart91 · Answer

Bonjour, 

On va faire une analyse de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

JoYs0031 · Answer

Ca commence pas très bien pour moi, j'ai suivi ce que vous m'indiquez, mais quand je clic sur la loupe pour lancer l'analyse, ZHPDIAG se ferme tout seul, il plante et ne me crée pas de ficher .txt

Je ne sais pas trop comment faire, je les désinstaller puis refait, mais toujours pareil....

JoYs0031 · Answer

J'ai finalement réussi à obtenir un fichier *.txt, je ne sais pas si il est complet par contre..
Voila ce que j'ai, dites moi la suite des instructions si cela est bon, merci!

http://www.cijoint.fr/cjlink.php?file=cj201101/cijbzRhDyI.txt

Smart91 · Answer

Non ce n'est pas le bon fichier.

Relance ZHPDiag en mode sans echec:

==> Comment redémarrer en mode sans échec ?

Smart

JoYs0031 · Answer

Désolée mais meme en mode sans echec ca marche pas... ca plante pendant le scan, et quad j'essaie d'ouvrir ZHPDiag il ne l'ouvre pas, j'ai un message d'erreur

Smart91 · Answer

Bon on va faire autrement
Lance ZHPDiag clique sur le tournevis et décoche cette ligne et refais un scan
Derniers fichiers modifiés ou crées sous Windows ou system32 (044)

Smart

JoYs0031 · Answer

Ca marche toujours pas, ca plante...
Je vois pas comment faire, je peux essayer avec HijackThis peut etre??

Smart91 · Answer

Est-ce que tu peux me dire à quel % cela plante
Sinon on essaiera un autre outil

Smart

JoYs0031 · Answer

environ vers 20-30%, mais je m'aperçois que même Hijackthis je ne peux meme plus l'ouvrir..

J'ai le message suivant pour les 2 programmes : "Windows ne parvient pas à acceder au périphérique, au chemin d'accés ou au fichier specifié. Vous ne disposez peut-etre pas des autorisations appropriées pour avoir accés à l'élement."

Smart91 · Answer

Si tu es sous Vista ou W7, il faut le lancer en tant qu'administrateur

Smart

JoYs0031 · Answer

je suis sous XP

Smart91 · Answer

Tu es bien administrateur de ton PC ?

Smart

JoYs0031 · Answer

Oui sur il y a que moi, j'ai bien vérifié meme en ode sans echec

Smart91 · Answer

Bon je vais demandé au developpeur de ZHPDiag de jeter un oeil.

En attendant on va essayer ceci:
- Télécharge OTL sur ton bureau.
- Fais un double-clic sur l'icône d'OTL pour le lancer/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
- Assure toi d'avoir fermé toutes les applications en court de fonctionnement.
- Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.
- Copie et colle les lignes en gras ci-dessous dans la partie inférieure d'OTL "Personnalisation"

----------------------------------------------------------------------------------
netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
CREATERESTOREPOINT  
------------------------------------------------------------------------------------
- Clique sur l'icône "Analyse" (en haut à gauche) .
- Laisse le scan aller à son terme sans te servir du PC
- A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
- Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Smart

JoYs0031 · Answer

Mauvaise nouvelle, quand je lance l'analyse, ca plante des le debut aussi :(
Je peux rien faire....

Smart91 · Answer

Bon. Cela veut dire qu'il ya un processus chargé qui nous empèche de lancer ces logiciels. Peut-être un rogue 
On va essyer ceci: 

- Télécharge sur le bureau RogueKiller 
- Quitte tous tes programmes en cours 
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur 
- Sinon lance simplement RogueKiller.exe 
- Lorsque demandé, tape 1 [SCAN] et valide 
- Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le. 

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

JoYs0031 · Answer

Cela a bien fonctionner je pense, voila le rapport : RogueKiller V3.6.1 by Tigzy contact at www.sur-la-toile.com mail: tigzy44hotmailfr Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits Mode: Scan -- Time : 04/01/2011 00:14:02 Bad processes: Killed c:\docume~1\julien01\locals~1 emp\bwm.exe Killed c:\documents and settings\julien01\local settings\application data\lexar media\lxrautorun.exe Killed c:\windows\system32\config\systemprofile\local settings\application data\windows internet name service\wins.exe Killed c:\docume~1\julien01\locals~1 emp\bwl.exe Killed SERVICE SSHNAS : C:\WINDOWS\system32\svchost.exe -k netsvcs Found: HKCU\...\RUN\ LxrAutorun : C:\Documents and Settings\Julien01\Local Settings\Application Data\Lexar Media\LxrAutorun.exe HKCU\...\RUN\ JP595IR86O : C:\DOCUME~1\Julien01\LOCALS~1\Temp\Bwl.exe HKLM\SYSTEM\ControlSet001\services\SSHNAS -> LocalSystem HKLM\SYSTEM\ControlSet001\services\userinit -> \.\globalroot\systemroot\system32\us?rinit.exe HKLM\SYSTEM\ControlSet001\services\vbma2aef -> HKLM\SYSTEM\ControlSet003\services\SSHNAS -> LocalSystem HKLM\SYSTEM\ControlSet003\services\userinit -> \.\globalroot\systemroot\system32\us?rinit.exe HKLM\SYSTEM\ControlSet003\services\vbma2aef -> HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS -> HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_USERINIT -> Task -> {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : C:\DOCUME~1\Julien01\LOCALS~1\Temp\Bwm.exe Task -> {22116563-108C-42c0-A7CE-60161B75E508}.job : C:\DOCUME~1\Julien01\LOCALS~1\Temp\Bwl.exe Fichier HOSTS: 127.0.0.1 localhost Finished

Smart91 · Answer

- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 2 [DELETE] et valide
- Poste le rapport RKreport.txt présent sur le bureau.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

JoYs0031 · Answer

Voila le rapport : RogueKiller V3.6.1 by Tigzy contact at www.sur-la-toile.com mail: tigzy44hotmailfr Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits Mode: Scan -- Time : 04/01/2011 00:14:02 Bad processes: Killed c:\docume~1\julien01\locals~1 emp\bwm.exe Killed c:\documents and settings\julien01\local settings\application data\lexar media\lxrautorun.exe Killed c:\windows\system32\config\systemprofile\local settings\application data\windows internet name service\wins.exe Killed c:\docume~1\julien01\locals~1 emp\bwl.exe Killed SERVICE SSHNAS : C:\WINDOWS\system32\svchost.exe -k netsvcs Found: HKCU\...\RUN\ LxrAutorun : C:\Documents and Settings\Julien01\Local Settings\Application Data\Lexar Media\LxrAutorun.exe HKCU\...\RUN\ JP595IR86O : C:\DOCUME~1\Julien01\LOCALS~1\Temp\Bwl.exe HKLM\SYSTEM\ControlSet001\services\SSHNAS -> LocalSystem HKLM\SYSTEM\ControlSet001\services\userinit -> \.\globalroot\systemroot\system32\us?rinit.exe HKLM\SYSTEM\ControlSet001\services\vbma2aef -> HKLM\SYSTEM\ControlSet003\services\SSHNAS -> LocalSystem HKLM\SYSTEM\ControlSet003\services\userinit -> \.\globalroot\systemroot\system32\us?rinit.exe HKLM\SYSTEM\ControlSet003\services\vbma2aef -> HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS -> HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_USERINIT -> Task -> {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : C:\DOCUME~1\Julien01\LOCALS~1\Temp\Bwm.exe Task -> {22116563-108C-42c0-A7CE-60161B75E508}.job : C:\DOCUME~1\Julien01\LOCALS~1\Temp\Bwl.exe Fichier HOSTS: 127.0.0.1 localhost Finished

Smart91 · Answer

Tu n'as pas choisi l'option 2 "DELETE"
Tu as posté le même rapport.

Recommence at choisis bien l'option 2

Smart

"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

JoYs0031 · Answer

j'ai bien fait 2 : RogueKiller V3.6.1 by Tigzy contact at www.sur-la-toile.com mail: tigzy44hotmailfr Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits Mode: Remove -- Time : 04/01/2011 12:30:29 Bad processes: Killed c:\windows\system32\config\systemprofile\local settings\application data\windows internet name service\wins.exe Deregistred: HKLM\SYSTEM\ControlSet001\services\vbma2aef -> HKLM\SYSTEM\ControlSet003\services\vbma2aef -> Fichier HOSTS: 127.0.0.1 localhost Finished

Smart91 · Answer

Maintenant fais ceci:

-  Télécharge Malwarebytes
-  Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
-  Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation) 
-  Lance une analyse complète en cliquant sur "Exécuter un examen complet"
-  Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
-  L'analyse peut durer un bon moment.....
-  Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
-  Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
-  Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart

JoYs0031 · Answer

Toujours pareil, ca plante au bout de quelques secondes ...

Tigzy · Answer

Hello

En attendant Smart, 
je vais l'avancer

Telecharge:

The avenger

* dezippe le , Lance le , executer en tant qu'administrateur sous vista 

capture

Dans le cadre , sous Input Script here , copie_colle ce qui est en gras ci dessous et clic execute:



Drivers to delete:
vbma2aef
Files to delete:
C:\WINDOWS\system32\drivers\vbma2aef.sys


* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

JoYs0031 · Answer

voila le fichier log :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\vbma2aef" not found!
Deletion of driver "vbma2aef" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\system32\drivers\vbma2aef.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Tigzy · Answer

redémarre et refait un rogueKiller en mode 1 pour vérif

JoYs0031 · Answer

voila le rapport rogueKiller mode 1 : RogueKiller V3.6.1 by Tigzy contact at www.sur-la-toile.com mail: tigzy44hotmailfr Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits Mode: Scan -- Time : 04/01/2011 13:41:24 Bad processes: Killed c:\windows\system32\config\systemprofile\local settings\application data\windows internet name service\wins.exe Killed SERVICE vbma2aef : ... NOT KILLED! Found: HKLM\SYSTEM\ControlSet001\services\vbma2aef -> HKLM\SYSTEM\ControlSet003\services\vbma2aef -> Fichier HOSTS: 127.0.0.1 localhost Finished

gen-hackman · Answer

il est pris dans le root.....

JoYs0031 · Answer

c'est à dire ??

Smart91 · Answer

J'avais également pensé à The avenger; mais comme cela donne rien on va passer Gmer

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

- Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
- Lance Gmer (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
- Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
- A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau au format .txt
- Héberge le rapport sur http://www.cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Smart

JoYs0031 · Answer

ca plante toujours quand je lance le scan

Smart91 · Answer

Es-ce que tu as le CD Windows ? On va essyer de supprimer le drivers avec la console de récupération

Smart

JoYs0031 · Answer

Oui j'ai le CD Windows.
Comment faut-il que je m'y prenne ?

Tigzy · Answer

Salut

Avec Gmer, il faut uniquement virer la ligne rouge

* Lancer Gmer
* Clique droit sur la ligne rouge => Delete
* valider

redémarrer et refaire un RogueKiller en mode 1

JoYs0031 · Answer

toujours pareil :( RogueKiller V3.6.1 by Tigzy contact at www.sur-la-toile.com mail: tigzy44hotmailfr Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits Mode: Scan -- Time : 04/01/2011 17:12:42 Bad processes: Killed c:\windows\system32\config\systemprofile\local settings\application data\windows internet name service\wins.exe Killed SERVICE vbma2aef : ... NOT KILLED! Found: HKLM\SYSTEM\ControlSet001\services\vbma2aef -> HKLM\SYSTEM\ControlSet003\services\vbma2aef -> Fichier HOSTS: 127.0.0.1 localhost Finished

Tigzy · Answer

Attend, la manip va arriver :)

Smart91 · Answer

@ JoYs0031

Tigzy et gen-Hackman sont les développeurs respectivement des outils RogueKiller et List&Kill'em qui doivent prendre en charge cette infection. C'est la raison pour laquelle, ils sont tès motivés par ton problème et planchent dur pour trouver une solution. Et de plus ils sont très compétents.

Il faut leur laisser du temps. Mais si toi tu n'as ce temps, on peut passer à une solution plus radicale et comme tu as le CD Windows, on reformate et on réinstalle Windows

Mais je te demande de patienter encore un peu

Smart

JoYs0031 · Answer

Pas de problème, j'attends!
Puis j'aimerai éviter de reformater tout..
En tout cas merci beaucoup pour votre aide.

Smart91 · Answer

OK. Je sais qu'ils bossent dessus.
Cependant je te conseille de faire une sauvegarde de tes dossiers personnels. Evite de sauvegarder les fichiers avec les extensions .exe, .bat, .zip, .rar, .dll, .sys, .htm, .html

Smart

Tigzy · Answer

Salut

C'est ok

Tu peux supprimer ta version actuelle de RogueKiller, et retélécharger la nouvelle.
Tu la lance en mode 2 direct

JoYs0031 · Answer

Je pense que c bon cette fois!! J'ai refait un scan apres et plus de trace.. : RogueKiller V3.7.0 by Tigzy contact at www.sur-la-toile.com mail: tigzy44hotmailfr Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits Mode: Scan -- Time : 05/01/2011 08:55:19 Bad processes: Killed c:\windows\system32\config\systemprofile\local settings\application data\windows internet name service\wins.exe Found: Fichier HOSTS: 127.0.0.1 localhost Finished

Tigzy · Answer

tu peux me filer le rapport complet?

JoYs0031 · Answer

Je l'avais posté, mais ca n'as pas marché, et j'ai supprimé entre temps le rapport :( ...

JoYs0031 · Answer

Malheureusement non, j avais supprimé et vider ma corbeille....

Tigzy · Answer

Ok, donc là tu mets à jour Malwarebytes et tu fais un scan complet
ça devrait remarcher

JoYs0031 · Answer

Par contre je pense que j'ai une bonne nouvelle, je redemarer mon ordi et Malwarebytes marche :)))

Smart91 · Answer

@ JoYs0031

Hé bien cela valait le coup d'attendre :-)
On va pouvoir faire un diagnostic de ton PC

Smart

JoYs0031 · Answer

Voila deja le rapport DIAG :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijX2qsJXn.txt

Smart91 · Answer

Mais tu n'as posté le rapport MBAM avant comme l'avait demandé Tigzy 
Si tu ne l'as pas fait  fais la mise jour de MBAM , lance un scan complet et poste le rapport

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

JoYs0031 · Answer

Voila le rapport MBAM :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijraJ5esc.txt

Smart91 · Answer

OK. Relance MBAM et vide uniquement la quarantaine 
Ensuite lance ZHPDiag , clique sue la flêche verte vers le bas pour la mise à jour, refais un scan ZHPDiag et poste le rapport via cijoint 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

JoYs0031 · Answer

Vous voulais que je poste un rapport ZHPDiag maintenant ?

Smart91 · Answer

Oui mais il faut d'abord mettre à jour ZHPDiag et refaire un scan.
Cela ne prend pas beucoup de temps, c'est pour vérifier qu'il nya pas d'autres infections

Smart

JoYs0031 · Answer

Voila le rapport ZHPDiag :
d'autres infections?

http://www.cijoint.fr/cjlink.php?file=cj201101/cijuMAoW4m.txt

Tigzy · Answer

c:\program files\rkfree\rkfree.exe (Keylogger.Logixoft) -> 336 -> Unloaded process successfully.

mmmh...

Smart91 · Answer

En effet tu des barres d'outlis infectées et peut-être une infection Bagle mais je n'y crois pas
Lis bien le dossier ci-dessous:
Les Toolbars ce n'est pas obligatoires

On va utiliser un outils pour les supprimer et reste on le fear avec script

-  Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours 
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.  
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] . 
- Laisse travailler l'outil et ne touche à rien ... 
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log) 
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Smart

JoYs0031 · Answer

et voila le rapport :

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 03/01/11 à 14:20
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:38:29 le 05/01/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Julien01@JULIEN ( ) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Program Files\Mozilla FireFox\searchplugins\SearchquWebSearch.xml
Dossier supprimé: C:\Program Files\Windows Searchqu Toolbar
Fichier supprimé: C:\Documents and Settings\Julien01\Application Data\Mozilla\FireFox\Profiles\lucg0csz.default\prefs.js.ask.bak
Fichier supprimé: C:\Documents and Settings\Julien01\Application Data\Mozilla\FireFox\Profiles\lucg0csz.default\searchplugins\askcom.xml
Fichier supprimé: C:\Documents and Settings\Julien01\Application Data\Mozilla\FireFox\Profiles\lucg0csz.default\searchplugins\SearchquWebSearch.xml
Dossier supprimé: C:\Documents and Settings\Julien01\Application Data\Mozilla\FireFox\Profiles\lucg0csz.default\conduit
Fichier supprimé: C:\Documents and Settings\Julien01\Application Data\Mozilla\FireFox\Profiles\lucg0csz.default\searchplugins\conduit.xml
Dossier supprimé: C:\Program Files\Ask.com
Dossier supprimé: C:\Documents and Settings\Julien01\Local Settings\Application Data\Conduit
Dossier supprimé: C:\Documents and Settings\Julien01\Application Data\PriceGong
Dossier supprimé: C:\Documents and Settings\Julien01\Application Data\AGI
Dossier supprimé: C:\Documents and Settings\All Users.WINDOWS\Application Data\AGI
Dossier supprimé: C:\Program Files\AGI

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Julien01\Application Data\Mozilla\FireFox\Profiles\lucg0csz.default\Prefs.js --
Ligne supprimée:  
Ligne supprimée:  
Ligne supprimée: user_pref("CT2567681.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_... 
Ligne supprimée: user_pref("CT2567681.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT256... 
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com"); 
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2567681&Sea... 
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.searchqu.com/web?src=ffb&systemid=403&q="); 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
Clé supprimée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore.1
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2567681
Clé supprimée: HKLM\Software\Classes\AppID\BandooCore.EXE
Clé supprimée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
Clé supprimée: HKLM\Software\bandoo
Clé supprimée: HKLM\Software\AGI
Clé supprimée: HKCU\Software\AGI
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\PriceGong
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7403}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{66886C4D-B307-4ECA-A228-52CA9B9851A4}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Documents and Settings\Julien01\Application Data\Mozilla\FireFox\Profiles\lucg0csz.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Julien01\Bureau
browser.search.defaultenginename, Web Search
browser.search.selectedEngine, Google
browser.startup.homepage, www.free.fr
browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 9282 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 05/01/2011 (5697 Octet(s)) 

Fin à: 20:41:45, 05/01/2011 
 
============== E.O.F ==============

Smart91 · Answer

Relance AD-Remover et choisis "Désinstaller"
Refais un scan ZHPDiag et poste le rapport via cijoint.
Ensuite on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseills de prévention quand on surfe sur Internet

Smart

JoYs0031 · Answer

Désinstallation faite et voila le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijWCkOaSQ.txt


On est presque au bout :))

Smart91 · Answer

Il reste ncore des traces tu vas faire ceci:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKLM\SOFTWARE\Microsoft\Security Center] AntiSpywareOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKCU\Software\Official-eMule]
[HKCU\Software\Official-eMule]
[HKLM\Software\Official-eMule]
[HKLM\Software\Official-eMule]
O43 - CFD: 01/11/2007 - 19:53:12 ----D- C:\Program Files\Drivers
O43 - CFD: 01/11/2007 - 19:53:12 ----D- C:\Program Files\Drivers
O43 - CFD: 05/01/2011 - 17:10:12 ----D- C:\Program Files\rkfree
O43 - CFD: 05/01/2011 - 17:10:12 ----D- C:\Program Files\rkfree
O47 - AAKE:Key Export SP - "C:\Program Files\HomePlayer1.5\HomePlayer.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O64 - Services: CurCS - (.not file.) - dcab (dcab)  .(.Pas de propriétaire - Pas de description.) - LEGACY_DCAB
O64 - Services: CurCS - (.not file.) - uxtdypod (uxtdypod)  .(.Pas de propriétaire - Pas de description.) - LEGACY_UXTDYPOD
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- <gras>Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » <

Smart

JoYs0031 · Answer

ca y est et voila le rapport afficher après le nettoyage : 

Rapport de ZHPFix 1.12.3235 par Nicolas Coolman, Update du 03/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-05-01-2011-22-07-09.txt
Run by Julien01 at 05/01/2011 22:07:09
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\Official-eMule  => Clé supprimée avec succès
HKLM\Software\Official-eMule  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - dcab (dcab) .(.Pas de propriétaire - Pas de description.) - LEGACY_DCAB  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - uxtdypod (uxtdypod) .(.Pas de propriétaire - Pas de description.) - LEGACY_UXTDYPOD  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\Program Files\HomePlayer1.5\HomePlayer.exe" [Enabled] .(.) (.not file.) --  => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiSpywareOverride: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Drivers  => Supprimé et mis en quarantaine
C:\Program Files\rkfree  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Valeur(s) du Registre
3 : Elément(s) de donnée du Registre
2 : Dossier(s)


End of the scan

Smart91 · Answer

OK. Refais un scan ZHPDiag et poste le rapport via cijoint. 
Ensuite on va passer à la phase finale.

Désolé pour toute ces manip, mais il faut s'assurer que tout est OK

Smart

JoYs0031 · Answer

Voila le rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201101/cijRS1LwR4.txt

Smart91 · Answer

Tout est OK

Fais les mise à jour suivantes:

Mise à jour Java 6 update 23 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 23

Mise à jour Adobe
Désinstalle Adobe 8
Installer Adobe 9.4.1

Mise à jour flashplayer vers la version 10.1.102.64
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe ActiveX] (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour 

Optimisation:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKLM\..\Run: [nwiz] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32
wiz.exe
OPT:O4 - HKLM\..\Run: [NeroFilterCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-854245398-1993962763-725345543-1004\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 07/10/2010 345376 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse 

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer » 
Tutoriel pour t'aide 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
Dans la barre des tâches de Windows, clique sur Démarrer. 
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
Clique sur Appliquer. 
Ensuite décoche "Désactiver la restauration du systeme" 
Clique sur appliquer puis ok 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

- Par rapport au P2P : http://www.libellules.ch/... 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

JoYs0031 · Answer

OK, merci pour tout, 

par contre petit problème lors de l'installation de java, ca plante à la fin de l'installation :

"Echec de la décompression des fichiers core"

Smart91 · Answer

Essaie ceci:

Télécharge JavaRa.zip de Paul McLain et Fred de Vries. 

http://raproducts.org/click/click.php?id=1 

- Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
- Double-clique sur le répertoire JavaRa. 
- Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
- Choisis Français puis clique sur Select. 
- Clique sur Recherche de mises à jour. 
- Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
- Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
- L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
- Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
- Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
- Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

Smart

JoYs0031 · Answer

Au moment de cliquer sur rechercher rien ne se passe...

Smart91 · Answer

Il y a de grande chance que la dernière version de Java est installée.

Refais un scan ZhpDiag on va vérifier

Smart

JoYs0031 · Answer

voila le scan 

http://www.cijoint.fr/cjlink.php?file=cj201101/cij2SJi5w2.txt

Smart91 · Answer

C'est bon elle est instalée:
"O42 - Logiciel: Java SE Development Kit 6 Update 23 - (.Oracle.) [HKLM] -- {32A3A4F4-B792-11D6-A78A-00B0D0160230} "

Fais la suite

Smart

JoYs0031 · Answer

le rapport apres ZHPfix :
C'est bon?



Rapport de ZHPFix 1.12.3235 par Nicolas Coolman, Update du 03/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-06-01-2011-00-02-29.txt
Run by Julien01 at 06/01/2011 00:02:29
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe  => Valeur absente
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [nwiz] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32
wiz.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [NeroFilterCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-854245398-1993962763-725345543-1004\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur absente


========== Récapitulatif ==========
1 : Clé(s) du Registre
11 : Valeur(s) du Registre

Smart91 · Answer

OK. Fais la suite.

Smart

JoYs0031 · Answer

Le rapport après la désinstallation des outils :
(me reste plus qu a faire CCcleaner et desactiver la restauration)

Rapport de ZHPFix 1.12.3235 par Nicolas Coolman, Update du 03/01/2011
Fichier d'export Registre : 
Run by Julien01 at 06/01/2011 00:10:51
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Fichier(s) ==========
c:\documents and settings\julien01\bureau\otl.exe  => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O63 - Logiciel: ZHPDiag 1.27 - (.Nicolas Coolman.) [HKLM] -- ZHPDiag_is1  => Logiciel supprimé avec succès
O63 - Logiciel: OTL - (OldTimer)  => Logiciel supprimé avec succès


========== Récapitulatif ==========
1 : Fichier(s)
2 : Logiciel(s)


End of the scan

Smart91 · Answer

C'est bon. Continue

Smart

JoYs0031 · Answer

Ca y est j ai tout fait, seul petit prroblème, j'arrive pas a supprimer une icone HijachThis.exe alors que je l'ai désinstaller ainisi w7pon3874.exe

Smart91 · Answer

Pas grave pour Hijackthis mais pour 
"w7pon3874.exe" 

Qu'est-ce que c'est ?  ce n'est pas bon signe 

Tu vas faire ceci: 
- Télécharge SEAF (de C_XX) sur ton Bureau.  
http://www.teamxscript.org/too/SEAF.exe 
- Lance SEAF  
- Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre"  
- C0pie colle la ligne ci dessous dans le champs de recherche, clique sur "Lancer la recherche" et patiente.  

w7pon3874.exe 

* Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche. 
Pour info cet outil va me permettre de connaitre la clé de registre utilisé par le programme.  

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

JoYs0031 · Answer

En fait c'est fichier la c'est Gmer qui se mettait sous un nom aléatoire, j'aurai du te préciser. J'ai 3 fichiers comme celui la + HijackThis.exe.
Y a pas moyen de tous les supprimer quand même?

Je vais faire ta manip maintenant quand meme.

JoYs0031 · Answer

Voila le rapport quand meme :

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 08:51:54 le 06/01/2011
4. 
5. Valeur(s) recherchée(s):
6. w7pon384.exe
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13. 
14. ====== Fichier(s) ======
15. 
16. 
17. "C:\Documents and Settings\Julien01\Mes documents\Téléchargements\w7pon384.exe" [ ARCHIVE | 296 Ko ]
18. TC: 04/01/2011,13:52:57 | TM: 04/01/2011,13:52:57 | DA: 04/01/2011,13:53:05
19. 
20. Hash MD5: [Impossible à obtenir]
21. 
22. 
23. =========================
24. 
25. 
26. 
27. ====== Entrée(s) du registre ======
28. 
29. 
30. [HKU\S-1-5-21-854245398-1993962763-725345543-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
31. "C:\Documents and Settings\Julien01\Mes documents\Téléchargements\w7pon384.exe"="w7pon384" (REG_SZ)
32. 
33. =========================
34. 
35. Fin à: 08:58:28 le 06/01/2011
36. 440242 Éléments analysés
37. 
38. =========================
39. E.O.F

JoYs0031 · Answer

Bon, ben je pense que tout est bon maintenant :)

Smart91 · Answer

On va faire autrement

- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le puis sélectionne Suppression
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur (C:\DelFixSuppr.txt )

Smart

JoYs0031 · Answer

le rapport :

########## DelFix - Nettoyeur d'outils de désinfection ##########
#
# DelFix v6.9 - Rapport créé le 06/01/2011 à 13:14
# Mis à jour le 19/12/10 à 16h40 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Julien01 - JULIEN (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Julien01\Mes documents\Téléchargements\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\SEAF

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Documents and Settings\Julien01\Bureau\SEAF.exe
Supprimé : C:\Documents and Settings\Julien01\Mes documents\Téléchargements\SEAF.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\TrendMicro
Clé Supprimée : HKLM\Software\Soeperman Enterprises Ltd.
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSuppr.txt" - [1200 octets] ##########

JoYs0031 · Answer

C'est bon, il n'y a plus de trace là.
Fini fini?

Smart91 · Answer

C'est fini. Ton PC est clean.

Un conseil :
WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

Ci-dessus un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

Smart

JoYs0031 · Answer

Parfait, merci à tous!

JoYs0031 · Answer

Dernière question :)

Au niveau des logiciels que j'ai utilisé, je garde uniquement CCcleaner et Malwerbyte, le reste je peux tout virer?
Ou d'autre truc peuvent m etre utile?

Smart91 · Answer

Normalement ils ont dû tous être Virés. Quels outils restent-ils ?

Smart

JoYs0031 · Answer

Oui, tout a été viré,
il ne reste que les 2 logiciels cité ce dessus.

Tigzy · Answer

tu peux garder Malwarebytes et ccleaner pour 'respectivement' un scan et un nettoyage de temps à autre 
Contributeur SECURITE 
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil

Smart91 · Answer

En effet tu peux les garder et passe de temps en temps MBAM mais n'oublie pas de faire la mise à jour avant de lancer le scan

Smart

Problème pop up & ralentissement PC

90 réponses

Discussions similaires

Newsletters