MDG pour Shoujo

Question

Bonjour, 

je t'invite à t'inscrire pour mieux suivre ton sujet

ZHP  :http://www.cijoint.fr/cjlink.php?file=cj201101/cijFYILPty.txt

ok

fais ceci stp

1)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

________________

2)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

____________

3)

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Shoujo · Answer

Rapport de AD-Remover

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/01/11 à 19:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 06:56:14 le 14/01/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium   (X86) 
shorty@PC-DE-JEANI (Packard Bell BV EasyNote_MX51) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Users\shorty\AppData\Roaming\OfferBox

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Users\shorty\AppData\Roaming\Mozilla\FireFox\Profiles\uzj6tek8.default\Prefs.js --
browser.download.lastDir, C:\Users\shorty\Pictures
browser.search.defaultenginename, MyStart Search
browser.search.selectedEngine, MyStart Search
browser.startup.homepage, hxxp://www.google.com/
browser.startup.homepage_override.mstone, rv:1.9.2.13
keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar_im2_test_v2&search=

========================================

** Internet Explorer Version [7.0.6000.16982] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 3 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 14/01/2011 (2670 Octet(s)) 

Fin à: 06:59:38, 14/01/2011 
 
============== E.O.F ==============

Shoujo · Answer

Rapport de Malwarebytes : 


Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5518

Windows 6.0.6000
Internet Explorer 7.0.6000.16982

14/01/2011 09:06:20
mbam-log-2011-01-14 (09-06-20).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 257480
Temps écoulé: 1 heure(s), 50 minute(s), 15 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\shorty\documents\downloads\vlc.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\shorty\documents\downloads\xvid_setup1.2.2-win32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Shoujo · Answer

Et enfin le rapport ZHPdiag : 

http://www.cijoint.fr/cjlink.php?file=cj201101/cijPuL1C8d.txt

moment de grace · Answer

ok

vide la quarantaine de MBAM

puis

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[MD5.D3702E067D5B11237FF2FFCF5D6BD53E] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Local\Temp\cacaonewa7182e.exe   [347888]    
[MD5.36F12C38B33AAF1B72DD10B6D2FD883C] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Local\Temp\cacaonewf6cae2.exe   [347888] 
[MD5.36F12C38B33AAF1B72DD10B6D2FD883C] - (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe   [347888]    
O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe    
O4 - HKUS\S-1-5-21-2836588960-3566010448-3788914312-1002\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe    
[HKCU\Software\cacaoweb]    => Infection Diverse (Mal/TinyDL-T)
O43 - CFD: 03/01/2011 - 03:51:14 ----D- C:\Users\shorty\AppData\Roaming\cacaoweb    

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message 

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport 


puis apres redemarrage du pc, dis moi si tu as encore des soucis

Shoujo · Answer

Bah, j'vois pas de différence.
Et Form1 est toujours là en tout cas, bien ancré !


Bon j'avais écris le rapport, mais il est parti, donc j'la refais :



Rapport de ZHPFix 1.12.3237 par Nicolas Coolman, Update du 12/01/2011
Fichier d'export Registre : 
Run by shorty at 14/01/2011 09:55:50
Windows Vista Home Premium Edition, 32-bit  (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Users\shorty\AppData\Local\Temp\cacaonewa7182e.exe [347888]  => Supprimé et mis en quarantaine
C:\Users\shorty\AppData\Local\Temp\cacaonewf6cae2.exe [347888]  => Supprimé et mis en quarantaine
C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe [347888]  => Supprimé et mis en quarantaine

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2836588960-3566010448-3788914312-1002\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe  => Valeur absente

========== Dossier(s) ==========
C:\Users\shorty\AppData\Roaming\cacaoweb  => Supprimé et mis en quarantaine

========== Fichier(s) ==========


========== Récapitulatif ==========
3 : Processus mémoire
2 : Valeur(s) du Registre
1 : Dossier(s)


End of the scan

moment de grace · Answer

as tu redemarré le pc avant de me répondre?

________________


* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qui est en gras ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32drivers\*.sys /lockedfiles
%systemroot%\System32config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT


* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

Shoujo · Answer

Oui j'avais redémarré le pc :/

Bon j'vais installer ça et te poster le rapport.

Shoujo · Answer

Le rapport OTL : http://www.cijoint.fr/cjlink.php?file=cj201101/cij1nNL55q.txt


Le rapport Extra : http://www.cijoint.fr/cjlink.php?file=cj201101/cijR0ufe3U.txt

moment de grace · Answer

je vois rien..

Télécharger Eset Nod32 : 
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe 
* Lancer le fichier 
* Accepter les conditions 
* Autoriser le programme à accéder à Internet 
* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement) 
* Téléchargement des signatures 


Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte ! 

* Le scan débute dés la fin du téléchargement 
* Générer le rapport 
* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte... 



Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum. 
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt 

Pour vous aider voici un tuto rédigé par dorgane : 
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

Shoujo · Answer

C'est en train d'se faire là.
Mais ça me stresse quand même que tu trouves pas le pourquoi de Form1 qui est toujours là !
Il est aussi coriace que ça ce virus ?

Shoujo · Answer

C:\Utilisateurs_Restauré\Shoujo\AppData\Local\Temp\Update_9225.exe	une variante de Win32/Adware.CiDHelp application	nettoyé par suppression - mis en quarantaine



Voilà.
J'dois le supprimer ou pas ?

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs  sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets  internet)

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Shoujo · Answer

Bah sachant que j'ai pas d'imprimante j'vais l'écrire sur une feuille hein !
J'ai tout gagné si mon pc plante moi .. v_v


Ca fait quoi s'il me propose pas la console de récupération ?

moment de grace · Answer

tu connais ca ?

c:\program files\ExitReality\WebSpace\System\ExitRealityHelper.dll

Shoujo · Answer

Non ça me dit pas franchement grand chose.
Faut que j'regarde c'que c'est ?

moment de grace · Answer

pardon

http://www.teamxscript.org/SEAFTelechargement.html

Shoujo · Answer

C'est bon j'ai trouvé le même lien, la recherche est en cours

Shoujo · Answer

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 16:12:49 le 14/01/2011
4. 
5. Valeur(s) recherchée(s):
6. Form1
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Recherche registre
14. 
15. ====== Fichier(s) ======
16. 
17. 
18. "C:\Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk" [ ARCHIVE | 518 o ]
19. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:58:36 | DA: 14/01/2011,15:58:36
20. 
21. Hash MD5: 2DF1A289B71C9726DE18DCF82A61A4D9
22. 
23. 
24. =========================
25. 
26. 
27. "C:\Users\shorty\Pictures\Form1.jpg" [ NOT_CONTENT_INDEXED|ARCHIVE | 104 Ko ]
28. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:57:52 | DA: 14/01/2011,15:57:52
29. 
30. Hash MD5: DD6287DF692ADD4E5843A880F7DB4BF4
31. 
32. 
33. =========================
34. 
35. 
36. 
37. ====== Entrée(s) du registre ======
38. 
39. 
40. [HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List]
41. "File1"="C:\Users\shorty\Pictures\Form1.jpg" (REG_SZ)
42. 
43. [HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs]
44. "40"="Form1.jpg" (REG_BINARY)
45. 
46. [HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg]
47. "6"="Form1.jpg" (REG_BINARY)
48. 
49. =========================
50. 
51. Fin à: 16:22:55 le 14/01/2011
52. 403734 Éléments analysés
53. 
54. =========================
55. E.O.F

moment de grace · Answer

? Télécharge OTM (OldTimer) sur ton Bureau : 
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ 
? Double-clique sur OTM.exe afin de le lancer. 
? Copie (Ctrl+C) le texte suivant ci-dessous : 


:Reg 
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List] 
"File1"=-
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs] 
"40"=-
 HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg] 
"6"=- 

:files 

C:\Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk
C:\Users\shorty\Pictures\Form1.jpg

:commands 
[emptytemp] 
[start explorer] 
[reboot] 


? Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 
? Clique maintenant sur le bouton MoveIt! puis ferme OTM 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

? Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\ 

*Le nom du rapport correspond au moment de sa création : date_heure.log

Shoujo · Answer

Bon ça m'a fait planté le pc, je vais recommencer après.

Shoujo · Answer

Bon j'ai réessayé, quand je clique sur moveit, OTM ne répond plus, et il bloque le reste de mon pc. Tout sur mon bureau disparaît donc j'dois éteindre le pc.

Je fais comment dans ce cas-là ? :/

moment de grace · Answer

ok

même manip avec ce terxte pour voir

:Reg 
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List] 
"File1"="" 
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs] 
"40"="" 
HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg] 
"6"=""

:files 

C:\Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk 
C:\Users\shorty\Pictures\Form1.jpg 

:commands 
[emptytemp] 
[start explorer] 
[reboot]

Shoujo · Answer

All processes killed
========== REGISTRY ==========
HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List\"File1"|"" /E : value set successfully!
HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\"40"|""HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg] /E : value set successfully!
HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\"6"|"" /E : value set successfully!
========== FILES ==========
C:\Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk moved successfully.
C:\Users\shorty\Pictures\Form1.jpg moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: shorty
->Temp folder emptied: 49596 bytes
->Temporary Internet Files folder emptied: 4164530 bytes
->FireFox cache emptied: 56776410 bytes
->Flash cache emptied: 2842294 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 83800 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 6349694 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 67,00 mb
 
 
OTM by OldTimer - Version 3.1.17.2 log created on 01152011_091812

Files moved on Reboot...

Registry entries deleted on Reboot...










Voilà le rapport que j'ai eu après qu'le pc ait redémarré, Form1 est toujours visible dans mon gestionnaire des taches en tout cas :/

moment de grace · Answer

refait SEAF stp

https://forums.commentcamarche.net/forum/affich-20520567-mdg-pour-shoujo#32

Shoujo · Answer

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 10:06:24 le 15/01/2011
4. 
5. Valeur(s) recherchée(s):
6. Form1
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Recherche registre
14. 
15. ====== Fichier(s) ======
16. 
17. 
18. "C:\_OTM\MovedFiles\01152011_091812\C_Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk" [ ARCHIVE | 518 o ]
19. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:58:36 | DA: 14/01/2011,15:58:36
20. 
21. Hash MD5: 2DF1A289B71C9726DE18DCF82A61A4D9
22. 
23. 
24. =========================
25. 
26. 
27. "C:\_OTM\MovedFiles\01152011_091812\C_Users\shorty\Pictures\Form1.jpg" [ NOT_CONTENT_INDEXED|ARCHIVE | 104 Ko ]
28. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:57:52 | DA: 14/01/2011,15:57:52
29. 
30. Hash MD5: DD6287DF692ADD4E5843A880F7DB4BF4
31. 
32. 
33. =========================
34. 
35. 
36. 
37. ====== Entrée(s) du registre ======
38. 
39. 
40. [HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg]
41. "6"="Form1.jpg" (REG_BINARY)
42. 
43. =========================
44. 
45. Fin à: 10:15:04 le 15/01/2011
46. 402978 Éléments analysés
47. 
48. =========================
49. E.O.F

moment de grace · Answer

Télécharge :ATF Cleaner par Atribune 
http://www.atribune.org/ccount/click.php?id=1

Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. 
Sous l'onglet Main, choisis : Select All .
Clique sur le bouton Empty Selected 
Si tu utilises le navigateur Firefox : 
Clique Firefox au haut et choisis : Select All 
Clique le bouton Empty Selected a 
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. 
Si tu utilises le navigateur Opera : 
Clique Opera au haut et choisis : Select All 
Clique le bouton Empty Selected 
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. 
Clique Exit, du menu prinicipal, afin de fermer le programme. 
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

Shoujo · Answer

Voilà !

moment de grace · Answer

toujours là ?

Shoujo · Answer

J'ai fais ce que tu m'as demandé au dessus.
Par contre la page plante beaucoup avec Mozilla, elle ne veut plus s'afficher correctement. Là je dois passer par internet explorer.

moment de grace · Answer

ton form 1 est il toujours là et pour firefox redemarre le pc voire réinstalle le

Shoujo · Answer

Mon Form1 est encore et toujours là grr. C'est bon la page remarche enfin sur Mozilla.

moment de grace · Answer

? Double-clique sur OTM.exe afin de le lancer. 
? Copie (Ctrl+C) le texte suivant ci-dessous : 



:Reg 
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg] 
"6"=-



:commands 
[emptytemp] 
[start explorer] 
[reboot] 


? Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 
? Clique maintenant sur le bouton MoveIt! puis ferme OTM 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

? Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\ 

*Le nom du rapport correspond au moment de sa création : date_heure.log

Shoujo · Answer

All processes killed
========== REGISTRY ==========
Registry value HKEY_USERS\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg\6 deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: shorty
->Temp folder emptied: 682433 bytes
->Temporary Internet Files folder emptied: 3933748 bytes
->FireFox cache emptied: 82499538 bytes
->Flash cache emptied: 686 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 23856 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 83,00 mb
 
 
OTM by OldTimer - Version 3.1.17.2 log created on 01152011_184811

Shoujo · Answer

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 08:50:38 le 17/01/2011
4. 
5. Valeur(s) recherchée(s):
6. Form1
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Recherche registre
14. 
15. ====== Fichier(s) ======
16. 
17. 
18. "C:\_OTM\MovedFiles\01152011_091812\C_Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk" [ ARCHIVE | 518 o ]
19. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:58:36 | DA: 14/01/2011,15:58:36
20. 
21. Hash MD5: 2DF1A289B71C9726DE18DCF82A61A4D9
22. 
23. 
24. =========================
25. 
26. 
27. "C:\_OTM\MovedFiles\01152011_091812\C_Users\shorty\Pictures\Form1.jpg" [ NOT_CONTENT_INDEXED|ARCHIVE | 104 Ko ]
28. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:57:52 | DA: 14/01/2011,15:57:52
29. 
30. Hash MD5: DD6287DF692ADD4E5843A880F7DB4BF4
31. 
32. 
33. =========================
34. 
35. 
36. 
37. ====== Entrée(s) du registre ======
38. 
39. Aucun élément dans le registre trouvé
40. 
41. =========================
42. 
43. Fin à: 09:00:31 le 17/01/2011
44. 404173 Éléments analysés
45. 
46. =========================
47. E.O.F

moment de grace · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus.

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

Shoujo · Answer

1er rapport : http://www.cijoint.fr/cjlink.php?file=cj201101/cijzcsVBvd.txt

2e rapport : http://www.cijoint.fr/cjlink.php?file=cj201101/cij05cfA6n.txt

moment de grace · Answer

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

Shoujo · Answer

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.2 ¤¤¤¤¤¤¤¤¤¤ 
 
User : shorty (Administrateurs) 
Update on 15/01/2011 by g3n-h@ckm@n ::::: 10.20
Start at: 09:50:19 | 17/01/2011

AMD Turion(tm) 64 X2 Mobile Technology TL-56
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6000 32-bit) # 
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Enabled
AV : AntiVir Desktop 10.0.1.56 [ Enabled | Updated ]

C:\ -> Disque fixe local | 178,3 Go (130,3 Go free) [HDD] | NTFS
D:\ -> Disque CD-ROM
 
Killed : PID 852 'Firefox.exe'
Killed : PID 2816 'Msnmsgr.exe'
Killed : PID 2816 'Msnmsgr.exe'
Killed : PID 1708 'explorer.exe'
Killed : PID 1708 'explorer.exe'
Killed : PID 1708 'explorer.exe'
Killed : PID 1708 'explorer.exe'
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\Users\shorty\AppData\Local\fusioncache.dat   
Quarantined & Deleted !! : C:\Users\shorty\AppData\Local\GDIPFONTCACHEV1.DAT   
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives   
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives   

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Search Page	=         	http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
cval	=      	1 (0x1) 
FirewallDisableNotify	=      	0 (0x0) 
AntiVirusDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
FirstRunDisabled	=      	1 (0x1) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Wlansvc : Start = 2   
 SharedAccess : Start = 2   
 windefend : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   
 
 ¤¤¤¤¤¤¤¤¤¤ Winlogon
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 AutoRestartShell	=      	1 (0x1) 
 Shell	=         	explorer.exe 
 Userinit	=         	C:\Windows\System32\userinit.exe, 
 System	=         	 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6000 Disk: ST920042 rev.3.AA -> Harddisk0\DR0 -> \Device\00000055 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll storport.sys nvstor32.sys 
C:\Windows\system32\drivers
vstor32.sys NVIDIA Corporation NVIDIA nForce(TM) SATA Driver
1 ntkrnlpa!IofCallDriver[0x81C27F3B] -> \Device\Harddisk0\DR0[0x84D28200]
3 nt[0x81CB07E2] -> ntkrnlpa!IofCallDriver[0x81C27F3B] -> [0x839A4928]
5 acpi[0x8023232A] -> ntkrnlpa!IofCallDriver[0x81C27F3B] -> \Device\00000055[0x843A99D0]
kernel: MBR read successfully
user & kernel MBR OK 


End of Scan :  9:50:56

 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

moment de grace · Answer

Double-clique sur OTM.exe afin de le lancer. 
? Copie (Ctrl+C) le texte suivant ci-dessous : 


:Reg 
[-HKEY_CURRENT_USER\software\cacaoweb]    



:commands 
[emptytemp] 
[start explorer] 
[reboot] 


? Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 
? Clique maintenant sur le bouton MoveIt! puis ferme OTM 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

? Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\ 

*Le nom du rapport correspond au moment de sa création : date_heure.log

moment de grace · Answer

Double-clique sur OTM.exe afin de le lancer. 
? Copie (Ctrl+C) le texte suivant ci-dessous : 


:Reg 
[-HKEY_CURRENT_USER\software\cacaoweb]    



:commands 
[emptytemp] 
[start explorer] 
[reboot] 


? Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 
? Clique maintenant sur le bouton MoveIt! puis ferme OTM 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

? Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\ 

*Le nom du rapport correspond au moment de sa création : date_heure.log

Shoujo · Answer

Il est toujours là !! C'est pas possible ce truc -_-

moment de grace · Answer

* Lance OTL
* Sous Peronnalisation, copie-colle ce qui est en gras ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32drivers\*.sys /lockedfiles
%systemroot%\System32config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT


* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

Shoujo · Answer

OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj201101/cij22h3nPd.txt


Extra.txt : J'le trouve pas, j'trouve que l'autre que j'avais fais y'a 3 jours :/

moment de grace · Answer

arf

peux tu me faire olt ainsi stp

Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer. 

? Coche les 2 cases Lop et Purity 

? Coche la case devant tous les utilisateurs 

? règle age du fichier sur "60 jours" 

? dans la moitié gauche , mets tout sur "tous" 

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

?Clic sur Analyse. 

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). 

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt) 

??? NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

? Clique sur Parcourir et cherche le fichier ci-dessus. 

? Clique sur Ouvrir. 

? Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 

est ajouté dans la page. 

? Copie ce lien dans ta réponse. 

?? Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Shoujo · Answer

Salut.

Désolé je n'étais pas chez moi.
J'ai fais le rapport, le soucis étant que j'arrive pas à le retrouver, et quand je cherche dans mon pc, tout c'qu'il me dit, c'est que je n'ai pas accès au dossier, je ne peux donc pas poster le rapport ..

Shoujo · Answer

Tu es encore là ?

gen-hackman · Answer

salut pour avancer essaie ceci :

ouvre le gestionnaire des taches , mets-toi dessus puis clic droit "ouvrir l'emplacement du fichier"

puis indique nous le chemin de ce fichier

Shoujo · Answer

J'peux pas il m'propose pas d'l'ouvrir l'emplacement du fichier ^^

gen-hackman · Answer

le nom du processus c'est Form1.exe ?

Shoujo · Answer

Non, c'est EULALauncher.exe

gen-hackman · Answer

tu es sur que ca appartient à Form1 ?

Shoujo · Answer

Bah quand je clique sur Form1, ensuite aller dans le processus, ça me donne ça.
Donc ça doit lui appartenir oui :/

gen-hackman · Answer

mais tu cliques où.... sur form1 ?

Shoujo · Answer

Bah oui oui :/
J'peux faire un imprim écran pour te montrer, si tu veux.

gen-hackman · Answer

fais en sorte que le processus tourne puis execute ceci et poste le rapport

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/tmp/Eula.exe

Shoujo · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cij0BCpTgo.txt

gen-hackman · Answer

mais tu cliques à quel endroit sur Form1 ? sur ton bureau ?

Shoujo · Answer

Il est pas présent sur mon bureau, seulement dans mon gestionnaire des taches.
Comme j'ai expliqué, il m'empêche d'installer des logiciels sur mon pc (driver d'imprimantes, etc), la fenêtre s'ouvre à chaque fermeture de mon pc, bref.

gen-hackman · Answer

refais un zhpdiag please ?

Shoujo · Answer

Voilà !

http://www.cijoint.fr/cjlink.php?file=cj201101/cijPmRu0c1.txt

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

Shoujo · Answer

http://www.virustotal.com/file-scan/report.html?id=72a0c5f21777f09f2234c156b54f420e2a2f77d18c699bb837f5c58dfc90424b-1295800623

gen-hackman · Answer

sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

OPT:O4 - HKLM\..\Run: [MSPService] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe 
OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OBealsched.exe   
OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  
OPT:O4 - HKCU\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe 
O4 - Global Startup: C:\Users\shorty\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ExitReality.lnk - Clé orpheline 
O8 - Extra context menu item: Visit in &3D using ExitReality - (.not file.) - http:\3d.exitreality.com\TransmogrifyPage.htm 
O23 - Service:  (CLTNetCnService) - Clé orpheline    => Orphean Key not necessary  
[MD5.00000000000000000000000000000000] [APT] [Launch ccApp] (.Pas de propriétaire.) -- C:\Program Files\Common Files\Symantec Shared\ccApp.exe (.not file.)
[HKLM\Software\mcafeeupdater]    => McAfee Updater  
O43 - CFD: 10/05/2008 - 23:19:52 ----D- C:\Program Files\Alwil Software  
O43 - CFD: 05/10/2010 - 22:09:42 ----D- C:\Program Files\Norton 360 
O43 - CFD: 06/12/2008 - 13:30:10 ----D- C:\Program Files\Spybot - Search & Destroy 
O43 - CFD: 05/10/2010 - 22:09:58 ----D- C:\Program Files\Common Files\Symantec Shared  
O43 - CFD: 06/08/2010 - 15:32:12 ----D- C:\ProgramData\McAfee  
O43 - CFD: 06/12/2008 - 13:34:36 ----D- C:\ProgramData\Spybot - Search & Destroy  
O43 - CFD: 05/10/2010 - 22:45:48 ----D- C:\ProgramData\Symantec   
O64 - Services: CurCS - (.not file.) - SymEvent (SymEvent)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMEVENT 
O64 - Services: CurCS - (.not file.) - SYMREDRV (SYMREDRV)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMREDRV 
O64 - Services: CurCS - (.not file.) - SYMTDI (SYMTDI)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMTDI  



Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

Shoujo · Answer

Rapport de ZHPFix 1.12.3237 par Nicolas Coolman, Update du 12/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-23-01-2011-18-08-24.txt
Run by shorty at 23/01/2011 18:08:11
Windows Vista Home Premium Edition, 32-bit  (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O8 - Extra context menu item: Visit in &3D using ExitReality - (.not file.) - http:\3d.exitreality.com\TransmogrifyPage.htm  => Clé supprimée avec succès
O23 - Service: (CLTNetCnService) - Clé orpheline => Orphean Key not necessary  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SymEvent (SymEvent) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMEVENT  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMREDRV (SYMREDRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMREDRV  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMTDI (SYMTDI) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMTDI  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [MSPService] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OBealsched.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe  => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Alwil Software  => Supprimé et mis en quarantaine
C:\Program Files\Norton 360  => Supprimé et mis en quarantaine
C:\Program Files\Spybot - Search & Destroy  => Supprimé et mis en quarantaine
C:\Program Files\Common Files\Symantec Shared  => Fichier supprimé au reboot
C:\ProgramData\McAfee  => Supprimé et mis en quarantaine
C:\ProgramData\Spybot - Search & Destroy  => Supprimé et mis en quarantaine
C:\ProgramData\Symantec  => Fichier supprimé au reboot

========== Fichier(s) ==========
c:\users\shorty\appdataoaming\microsoft\internet explorer\quick launch\exitreality.lnk  => Supprimé et mis en quarantaine
p:\3d.exitreality.com  => Supprimé et mis en quarantaine
c:\program files\common files\symantec shared\ccapp.exe (.not file.)  => Fichier absent

========== Tache planifiée ==========
Task : Launch ccApp  => Tâche supprimée avec succès


========== Récapitulatif ==========
5 : Clé(s) du Registre
4 : Valeur(s) du Registre
7 : Dossier(s)
3 : Fichier(s)
1 : Tache planifiée


End of the scan







Voilà le rapport, maintenant je redémarre le pc

gen-hackman · Answer

ok:)

Shoujo · Answer

Voilà, pc redémarré ?
Et maintenant ? ^^

gen-hackman · Answer

toujours là Form1 ?

Shoujo · Answer

Malheureusement oui, encore là, toujours aussi coriace là -_-'

gen-hackman · Answer

sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

OPT:O4 - HKLM\..\Run: [toolbar_eula_launcher] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe 
OPT:O4 - HKCU\..\Run: [ehTray.exe] . (.Microsoft Corporation - Media Center Tray Applet.) -- C:\Windows\ehome\ehTray.exe 
OPT:O4 - Global Startup: C:\Users\shorty\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\eBay.lnk . (.Mozilla Corporation.)  -- C:\Program Files\Mozilla Firefox\firefox.exe
O4 - Global Startup: C:\Users\shorty\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ExitReality.lnk - Clé orpheline
O42 - Logiciel: GearDrvs - (.Symantec Corporation.) [HKLM] -- {206FD69B-F9FE-4164-81BD-D52552BC9C23}


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

Shoujo · Answer

Rapport de ZHPFix 1.12.3237 par Nicolas Coolman, Update du 12/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-23-01-2011-18-56-11.txt
Run by shorty at 23/01/2011 18:56:11
Windows Vista Home Premium Edition, 32-bit  (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: GearDrvs - (.Symantec Corporation.) [HKLM] -- {206FD69B-F9FE-4164-81BD-D52552BC9C23}  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [toolbar_eula_launcher] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [ehTray.exe] . (.Microsoft Corporation - Media Center Tray Applet.) -- C:\Windows\ehome\ehTray.exe  => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\users\shorty\appdata\roaming\microsoft\internet explorer\quick launch\ebay.lnk  => Supprimé et mis en quarantaine
c:\users\shorty\appdata\roaming\microsoft\internet explorer\quick launch\exitreality.lnk  => Fichier absent


========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
2 : Fichier(s)


End of the scan

gen-hackman · Answer

apres redemarrage ca dit quoi ?

Shoujo · Answer

Form1 est parti !!
Merci beaucoup, ça fait plaisir :)
Par contre, tout les programmes que j'ai installé, les multiples dossiers qui se sont créés, ou mes propres dossiers qui se sont multipliés, j'en fais quoi ? :/

Merci !

gen-hackman · Answer

lol on va s'en debarasser comme ca (c'est à la fin du menage :) Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Ferme tous tes navigateurs Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels nettoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :) :

MDG pour Shoujo

73 réponses

Votre réponse

Discussions similaires

Newsletters