virus Winnex Résolu/Fermé

Question

Bonjour,  

Un de mes contacts sur MSN (il est du Pérou) m'a envoyé un lien me demander de voir une photo. Le lien apparement s'agissait d'une page de facebook, en cliquant dessus, j'ai téléchargé un programme et je l'ai  exécuté. 

Le soucis c'est que suite à celà mon ordinateur s'est mi à ramer. A l'extinction de Pc, il y a  une fenêtre qui s'ouvre me demandant de patienter le temps que Winnew.exe se ferme, puis une autre qui me demande la même chose pour le programme Apix.exe 

Premier reflexe, je suis parti sur msconfig, et j'ai désactivé winnew, mais je n'ai pas trouvé apix. Par contre, j'ai noté qu'il y avait un programme du nom de ranga.exe, je l'ai désactivé aussi.  

Svp que me conseillez vous de faire car je me dis que le virus c'est peut être propager  un peu partout dans mon ordinateur 

Merci par avance à ceux qui voudront bien m'aider  

Configuration: Windows XP / Firefox 3.6.13

Utilisateur anonyme · Answer

Excusez moi j'ai noté par ailleur aussi que ma page de demarrage a changé en iniciorapido.info. Malgrès que je l'ai remplacé par mon moteur de recherche habituel, cette page revient encore en page de demarrage.
Je suis pas trés doué en informatique, y a t'il une solution ? merci

moment de grace · Answer

bonjour 

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

________________

en cas de blocage sur ci joint. fr tenter ici  https://www.cjoint.com/



CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

moment de grace · Answer

https://forums.commentcamarche.net/forum/affich-20728292-virus-winnex#2

Utilisateur anonyme · Answer

j'ai fait exactement ce que tu m'as demandé
voici le lien: 

https://www.cjoint.com/?0ccgQTRirco

moment de grace · Answer

ok

on a un peu de tout

1)

Lances ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7),
Cliques sur le bouton 'ProxyFix' situé dans la partie droite de l'écran,
Cliques sur 'Non' au message qui s'affiche à l'écran,
Laisses travailler l'outil,
A la fin du traitement, un rapport s'affiche
Copie ce rapport 
Redémarre le pc pour prendre en compte les modifications. 

__________

2)

même manip avec le bouton HOSTFIX

_____________

3)

Téléchargez USBFIX de El Desaparecido, C_xx

http://www.teamxscript.org/usbfixTelechargement.html

ou

http://teamxscript.changelog.fr/UsbFix.html

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

Double clic sur le raccourci UsbFix présent sur le bureau . 

 Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel). 
 Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

 Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

 
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 




UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. 


____________

4)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long) 
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

Utilisateur anonyme · Answer

j'ai suivi l'étape 1 et  2, voici les rapports:

Rapport de ZHPFix 1.12.3244 par Nicolas Coolman, Update du 27/01/2011
Fichier d'export Registre : 
Run by Propriétaire at 02/02/2011 08:08:24
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
ProxyFix : Configuration proxy supprimée avec succès


========== Récapitulatif ==========
1 : Valeur(s) du Registre


End of the scan

Rapport de ZHPFix 1.12.3244 par Nicolas Coolman, Update du 27/01/2011
Fichier d'export Registre : 
Run by Propriétaire at 02/02/2011 08:17:56
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Fichier HOSTS ==========
Le fichier Hosts est sain


========== Récapitulatif ==========
1 : Fichier HOSTS


End of the scan

Utilisateur anonyme · Answer

Utilisateur anonyme · Answer

donc j'ai refait l'opération numéro 3, sans aucun disque  dur externes branchés, voici son rapport: 

############################## | UsbFix 7.038 | [Suppression]

Utilisateur: Propriétaire (Administrateur) # ME10 [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 09:43:16 | 02/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU:  Intel(R) Pentium(R) 4 CPU 2.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: avast! antivirus 4.8.1229 [VPS 110201-1] 4.8.1229 [Enabled | Updated]
RAM -> 767 Mo 
C:\ (%systemdrive%) -> Disque fixe # 53 Go (37 Go libre(s) - 70%) [HP_PAVILION] # NTFS
D:\ -> Disque fixe # 4 Go (1 Go libre(s) - 32%) [HP_RECOVERY] # FAT32
E:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\Recycler\S-1-5-21-1292286586-1411071275-118950172-1003

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[18/04/2010 - 14:32:35 | N | 36508] 	C:\aaw7boot.log
[10/05/2002 - 04:15:54 | N | 0] 	C:\AUTOEXEC.BAT
[01/02/2011 - 19:35:28 | N | 200] 	C:\BOOT.INI
[28/08/2001 - 20:00:00 | N | 4952] 	C:\Bootfont.bin
[10/05/2002 - 04:15:54 | N | 0] 	C:\CONFIG.SYS
[24/12/2010 - 06:26:24 | D ] 	C:\cygwin
[02/09/2010 - 04:46:33 | D ] 	C:\Documents and Settings
[12/05/2010 - 00:15:16 | D ] 	C:\found.000
[02/02/2011 - 09:39:54 | ASH | 804839424] 	C:\hiberfil.sys
[22/05/2002 - 20:16:28 | D ] 	C:\hp
[08/01/2010 - 22:09:57 | D ] 	C:\I386
[01/02/2011 - 06:55:54 | N | 44132218] 	C:\immudebug.log
[10/05/2002 - 04:15:54 | N | 0] 	C:\IO.SYS
[19/03/2010 - 02:41:35 | N | 125] 	C:\ioSpecial.ini
[10/05/2002 - 04:15:54 | N | 0] 	C:\MSDOS.SYS
[08/01/2010 - 19:53:38 | N | 47564] 	C:\NTDETECT.COM
[12/01/2010 - 07:07:31 | N | 252240] 	C:
tldr
[26/06/2010 - 08:40:31 | D ] 	C:\NVIDIA
[02/02/2011 - 09:39:52 | ASH | 1207959552] 	C:\pagefile.sys
[24/09/2010 - 12:01:59 | N | 0] 	C:\palsound.txt
[02/02/2011 - 05:47:42 | D ] 	C:\Program Files
[02/02/2011 - 09:57:27 | SHD ] 	C:\RECYCLER
[24/12/2010 - 06:31:26 | D ] 	C:\squid
[08/01/2010 - 21:51:55 | SHD ] 	C:\System Volume Information
[29/10/2010 - 13:06:19 | D ] 	C:\Temp
[02/02/2011 - 09:57:27 | D ] 	C:\UsbFix
[02/02/2011 - 09:06:07 | N | 4834] 	C:\UsbFix (2).txt
[02/02/2011 - 09:57:27 | A | 891] 	C:\UsbFix.txt
[02/02/2011 - 05:44:44 | D ] 	C:\WINDOWS
[27/07/2001 - 21:07:38 | N | 0] 	D:\AUTOEXEC.BAT
[09/01/2002 - 10:52:30 | N | 244] 	D:\BOOT.INI
[09/05/2002 - 05:10:06 | D ] 	D:\cmdcons
[17/08/2001 - 00:26:26 | N | 237728] 	D:\CMLDR
[27/07/2001 - 21:07:38 | N | 0] 	D:\CONFIG.SYS
[14/12/2001 - 09:51:06 | N | 266] 	D:\Desktop.ini
[01/03/2002 - 20:07:36 | N | 7802] 	D:\Folder.htt
[30/04/2001 - 11:16:46 | N | 14] 	D:\GRAPH
[25/01/2002 - 09:21:24 | N | 0] 	D:\GRAPH16
[09/05/2002 - 05:11:16 | D ] 	D:\hp
[27/07/2001 - 21:07:38 | N | 0] 	D:\IO.SYS
[09/05/2002 - 05:06:04 | D ] 	D:\MiniNT
[27/07/2001 - 21:07:38 | N | 0] 	D:\MSDOS.SYS
[25/07/2001 - 13:00:00 | N | 45124] 	D:\NTDETECT.COM
[17/08/2001 - 06:32:24 | N | 0] 	D:\NTFS
[25/07/2001 - 13:00:00 | N | 222880] 	D:\NTLDR
[24/05/2002 - 18:06:28 | D ] 	D:\PRELOAD
[30/04/2001 - 11:16:46 | N | 14] 	D:\SVGA
[08/02/2002 - 15:44:24 | N | 88038] 	D:\Warning.bmp
[24/05/2002 - 11:06:28 | N | 6] 	D:\BLOCK.RIN
[08/01/2010 - 13:13:52 | D ] 	D:\I386
[24/05/2002 - 11:09:26 | N | 346] 	D:\MASTER.LOG
[18/08/2001 - 06:00:00 | N | 10] 	D:\WIN51
[22/01/2001 - 06:00:00 | N | 11] 	D:\WIN51.B2
[25/07/2001 - 06:00:00 | N | 11] 	D:\WIN51.RC1
[25/07/2001 - 11:47:04 | N | 11] 	D:\WIN51.RC2
[18/08/2001 - 06:00:00 | N | 10] 	D:\WIN51IC
[20/03/2001 - 06:00:00 | N | 11] 	D:\WIN51IC.B2
[25/07/2001 - 06:00:00 | N | 11] 	D:\WIN51IC.RC1
[25/07/2001 - 06:00:00 | N | 11] 	D:\WIN51IC.RC2
[17/08/2001 - 06:00:00 | N | 10] 	D:\WIN51IP
[22/01/2001 - 06:00:00 | N | 11] 	D:\WIN51IP.B2
[25/07/2001 - 11:47:04 | N | 11] 	D:\WIN51IP.RC2
[17/08/2001 - 04:17:02 | N | 184] 	D:\WINBOM.INI
[08/06/2002 - 04:27:04 | N | 0] 	D:\23FRheWSb4.txt
[08/01/2010 - 13:56:28 | N | 18] 	D:\USER
[08/01/2010 - 13:24:56 | SHD ] 	D:\Recycled
[08/01/2010 - 13:24:56 | SHD ] 	D:\System Volume Information
[13/04/2008 - 19:34:30 | N | 28672] 	D:\setupSNK.exe

################## | Vaccin |

Utilisateur anonyme · Answer

j'ai oublié de dire que pour le 2eme rapport lorsque je n'ai branché aucun disques, il n'y avait plus d'icones ni de barre de tâches (comme tu me l'as expliqué) mais par contre la fenetre de USBfix a disparu, il ne restait que la souris à l'écran. 

je suis un peu perdu, est ce que c'est vraiment utile de brancher les disques durs externes pour l'étape 3 ? 

est ce que je suis obligé de procéder à cette étape ou je peux passer à la 4?

moment de grace · Answer

pour usbfix

fais le en mode sans echec

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

et tu branches surtout celui nommé F qui est infecté

Utilisateur anonyme · Answer

donc j'ai refait l'étape 1 et 2 exactement de la même manière en redemarrant, j'ai obtenus les même rapport, puis je suis passé en mode sans echec pour l'étape 3, le rapport est:

############################## | UsbFix 7.038 | [Suppression]

Utilisateur: Propriétaire (Administrateur) # ME10 [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 16:35:59 | 02/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU:  Intel(R) Pentium(R) 4 CPU 2.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Antivirus: avast! antivirus 4.8.1229 [VPS 110202-0] 4.8.1229 [Enabled | Updated]
RAM -> 767 Mo 
C:\ (%systemdrive%) -> Disque fixe # 53 Go (42 Go libre(s) - 79%) [HP_PAVILION] # NTFS
D:\ -> Disque fixe # 4 Go (1 Go libre(s) - 32%) [HP_RECOVERY] # FAT32
E:\ -> CD-ROM
F:\ -> Disque fixe # 153 Go (16 Go libre(s) - 10%) [] # NTFS
G:\ -> Disque fixe # 149 Go (103 Go libre(s) - 69%) [IOMEGA HDD] # FAT32

################## | Éléments infectieux |


Supprimé! C:\Recycler\S-1-5-21-1292286586-1411071275-118950172-1003
Supprimé! F:\$RECYCLE.BIN\S-1-5-21-2023879594-1514533362-1841004724-1003
Non supprimé ! F:\Recycler\S-1-5-21-1292286586-1411071275-118950172-1003
Supprimé! F:\Recycler\S-1-5-21-1417001333-1390067357-839522115-1003
Non supprimé ! F:\abc

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[18/04/2010 - 14:32:35 | N | 36508] 	C:\aaw7boot.log
[10/05/2002 - 04:15:54 | N | 0] 	C:\AUTOEXEC.BAT
[01/02/2011 - 19:35:28 | N | 200] 	C:\BOOT.INI
[28/08/2001 - 20:00:00 | N | 4952] 	C:\Bootfont.bin
[10/05/2002 - 04:15:54 | N | 0] 	C:\CONFIG.SYS
[02/09/2010 - 04:46:33 | D ] 	C:\Documents and Settings
[12/05/2010 - 00:15:16 | D ] 	C:\found.000
[22/05/2002 - 20:16:28 | D ] 	C:\hp
[08/01/2010 - 22:09:57 | D ] 	C:\I386
[01/02/2011 - 06:55:54 | N | 44132218] 	C:\immudebug.log
[10/05/2002 - 04:15:54 | N | 0] 	C:\IO.SYS
[19/03/2010 - 02:41:35 | N | 125] 	C:\ioSpecial.ini
[10/05/2002 - 04:15:54 | N | 0] 	C:\MSDOS.SYS
[08/01/2010 - 19:53:38 | N | 47564] 	C:\NTDETECT.COM
[12/01/2010 - 07:07:31 | N | 252240] 	C:
tldr
[26/06/2010 - 08:40:31 | D ] 	C:\NVIDIA
[02/02/2011 - 16:31:54 | ASH | 1207959552] 	C:\pagefile.sys
[24/09/2010 - 12:01:59 | N | 0] 	C:\palsound.txt
[02/02/2011 - 12:15:28 | D ] 	C:\Program Files
[02/02/2011 - 16:50:56 | SHD ] 	C:\RECYCLER
[08/01/2010 - 21:51:55 | SHD ] 	C:\System Volume Information
[29/10/2010 - 13:06:19 | D ] 	C:\Temp
[02/02/2011 - 16:50:56 | D ] 	C:\UsbFix
[02/02/2011 - 09:06:07 | N | 4834] 	C:\UsbFix (2).txt
[02/02/2011 - 16:50:57 | A | 1241] 	C:\UsbFix.txt
[02/02/2011 - 16:32:06 | D ] 	C:\WINDOWS
[27/07/2001 - 21:07:38 | N | 0] 	D:\AUTOEXEC.BAT
[09/01/2002 - 10:52:30 | N | 244] 	D:\BOOT.INI
[09/05/2002 - 05:10:06 | D ] 	D:\cmdcons
[17/08/2001 - 00:26:26 | N | 237728] 	D:\CMLDR
[27/07/2001 - 21:07:38 | N | 0] 	D:\CONFIG.SYS
[14/12/2001 - 09:51:06 | N | 266] 	D:\Desktop.ini
[01/03/2002 - 20:07:36 | N | 7802] 	D:\Folder.htt
[30/04/2001 - 11:16:46 | N | 14] 	D:\GRAPH
[25/01/2002 - 09:21:24 | N | 0] 	D:\GRAPH16
[09/05/2002 - 05:11:16 | D ] 	D:\hp
[27/07/2001 - 21:07:38 | N | 0] 	D:\IO.SYS
[09/05/2002 - 05:06:04 | D ] 	D:\MiniNT
[27/07/2001 - 21:07:38 | N | 0] 	D:\MSDOS.SYS
[25/07/2001 - 13:00:00 | N | 45124] 	D:\NTDETECT.COM
[17/08/2001 - 06:32:24 | N | 0] 	D:\NTFS
[25/07/2001 - 13:00:00 | N | 222880] 	D:\NTLDR
[24/05/2002 - 18:06:28 | D ] 	D:\PRELOAD
[30/04/2001 - 11:16:46 | N | 14] 	D:\SVGA
[08/02/2002 - 15:44:24 | N | 88038] 	D:\Warning.bmp
[24/05/2002 - 11:06:28 | N | 6] 	D:\BLOCK.RIN
[08/01/2010 - 13:13:52 | D ] 	D:\I386
[24/05/2002 - 11:09:26 | N | 346] 	D:\MASTER.LOG
[18/08/2001 - 06:00:00 | N | 10] 	D:\WIN51
[22/01/2001 - 06:00:00 | N | 11] 	D:\WIN51.B2
[25/07/2001 - 06:00:00 | N | 11] 	D:\WIN51.RC1
[25/07/2001 - 11:47:04 | N | 11] 	D:\WIN51.RC2
[18/08/2001 - 06:00:00 | N | 10] 	D:\WIN51IC
[20/03/2001 - 06:00:00 | N | 11] 	D:\WIN51IC.B2
[25/07/2001 - 06:00:00 | N | 11] 	D:\WIN51IC.RC1
[25/07/2001 - 06:00:00 | N | 11] 	D:\WIN51IC.RC2
[17/08/2001 - 06:00:00 | N | 10] 	D:\WIN51IP
[22/01/2001 - 06:00:00 | N | 11] 	D:\WIN51IP.B2
[25/07/2001 - 11:47:04 | N | 11] 	D:\WIN51IP.RC2
[17/08/2001 - 04:17:02 | N | 184] 	D:\WINBOM.INI
[08/06/2002 - 04:27:04 | N | 0] 	D:\23FRheWSb4.txt
[08/01/2010 - 13:56:28 | N | 18] 	D:\USER
[08/01/2010 - 13:24:56 | SHD ] 	D:\Recycled
[08/01/2010 - 13:24:56 | SHD ] 	D:\System Volume Information
[13/04/2008 - 19:34:30 | N | 28672] 	D:\setupSNK.exe
[12/01/2011 - 20:29:17 | SHD ] 	F:\$RECYCLE.BIN
[24/07/2008 - 12:33:52 | N | 734976000] 	F:\27 Robes.avi
[25/04/2007 - 14:10:52 | N | 730138624] 	F:\300.avi
[17/01/2009 - 00:52:04 | N | 718434304] 	F:\40 Jours 40 Nuits.avi
[04/05/2008 - 17:56:48 | N | 728670208] 	F:\99 Francs.avi
[01/02/2011 - 19:05:30 | D ] 	F:\abc
[07/02/2008 - 03:09:08 | N | 734011392] 	F:\American Gangster.avi
[01/12/2008 - 04:50:24 | N | 734363146] 	F:\Arsène Lupin.avi
[14/01/2011 - 16:17:32 | D ] 	F:\Art martiaux et combats
[09/08/2006 - 21:36:10 | N | 733339648] 	F:\Birdy.avi
[24/12/2007 - 09:49:28 | N | 730118144] 	F:\Boogeyman.avi
[13/01/2011 - 19:51:44 | D ] 	F:\Bruce Willis
[15/01/2011 - 11:43:06 | D ] 	F:\compacts non vu
[14/01/2011 - 16:17:11 | D ] 	F:\Comédies
[01/09/2007 - 01:37:04 | N | 734224384] 	F:\Dead or Alive.avi
[27/09/2010 - 20:27:46 | N | 734545624] 	F:\Death Bell 2010.avi
[06/10/2008 - 04:52:50 | N | 729217024] 	F:\Death Race.avi
[06/10/2008 - 08:23:52 | N | 733673472] 	F:\Disco.avi
[24/01/2007 - 12:28:16 | N | 735846678] 	F:\Dobermann.AVI
[19/09/2010 - 23:26:10 | N | 732764160] 	F:\Dog Pound.avi
[03/12/2006 - 14:02:20 | N | 730429440] 	F:\Dumb and Dumber.avi
[27/08/2008 - 20:25:00 | N | 734697472] 	F:\Enfin veuve.avi
[11/06/2008 - 11:39:14 | N | 731992064] 	F:\Eurotrip.avi
[14/01/2011 - 00:03:15 | D ] 	F:\Films d'histoire
[14/01/2011 - 16:17:03 | D ] 	F:\Films de street gang
[23/12/2002 - 07:59:54 | N | 728614912] 	F:\Flashdance.avi
[25/01/2009 - 01:11:08 | N | 735395840] 	F:\Good Bye Lenin.avi
[26/08/2008 - 16:20:46 | N | 734779392] 	F:\Goodchuck.avi
[10/01/2010 - 20:49:36 | N | 735789056] 	F:\Gran Torino.avi
[05/08/2008 - 12:51:40 | N | 736768000] 	F:\Harold et Kumar s'evadent de Guantanamo.avi
[27/05/2006 - 14:28:30 | N | 733896704] 	F:\Hitch.avi
[08/12/2008 - 18:36:08 | N | 732753920] 	F:\hitcher.avi
[02/02/2009 - 16:18:10 | N | 733970432] 	F:\Hooligans.avi
[15/01/2011 - 11:43:36 | D ] 	F:\Horreurs
[14/01/2011 - 01:44:19 | D ] 	F:\Jap
[14/01/2011 - 02:25:53 | D ] 	F:\Jason Statham
[13/11/2008 - 19:40:54 | N | 734445568] 	F:\Jumper.avi
[23/01/2009 - 19:15:20 | N | 730491968] 	F:\Las Vegas 21.avi
[25/05/2008 - 16:05:08 | N | 725966820] 	F:\Little Nicky.AVI
[02/04/2006 - 13:56:26 | N | 544555008] 	F:\Lost in Translation.avi
[22/01/2009 - 21:34:38 | N | 731654144] 	F:\Madagascar II.avi
[02/11/2009 - 03:15:58 | N | 732381184] 	F:\Midnight.Express.avi
[30/01/2009 - 14:20:56 | N | 730535282] 	F:\Million dollar baby.avi
[23/01/2009 - 21:25:18 | N | 731856896] 	F:\MR 73.avi
[02/06/2007 - 21:59:32 | N | 732344320] 	F:\Ne le dit a Personne.avi
[12/09/2007 - 02:09:26 | N | 734679040] 	F:\Next.avi
[04/02/2009 - 15:23:00 | N | 730761216] 	F:\Nikita.avi
[01/02/2011 - 18:24:01 | D ] 	F:\ok
[02/02/2009 - 15:27:38 | N | 734119424] 	F:\Orange mecanique.avi
[04/12/2006 - 14:17:04 | N | 730652672] 	F:\Oss 117.avi
[30/10/2008 - 05:46:20 | N | 734617600] 	F:\Pledge This.avi
[28/01/2009 - 12:26:58 | N | 731842560] 	F:\Pride And Glory.avi
[30/01/2009 - 20:01:58 | N | 734142464] 	F:\Rainman.avi
[02/02/2011 - 16:50:56 | SHD ] 	F:\RECYCLER
[19/11/2008 - 01:44:06 | N | 734013440] 	F:\Restraint.avi
[05/07/2008 - 02:27:08 | N | 734169088] 	F:\Rise Blood Hunter.avi
[03/11/2005 - 03:28:42 | N | 734576640] 	F:\Robots.avi
[15/10/2006 - 00:22:38 | N | 731549696] 	F:\Rollerball.avi
[02/02/2009 - 15:40:58 | N | 733796352] 	F:\Skate or Die.avi
[29/10/2008 - 16:36:04 | N | 732968960] 	F:\Sleuth.avi
[16/10/2005 - 03:24:34 | N | 727556096] 	F:\Spoof Movie.avi
[21/12/2008 - 00:19:12 | N | 720785408] 	F:\Street Dancers.avi
[11/01/2011 - 13:33:33 | SHD ] 	F:\System Volume Information
[17/01/2009 - 04:38:16 | N | 736122758] 	F:\The Orders.avi
[16/01/2009 - 07:34:46 | N | 734849024] 	F:\The Women.avi
[18/11/2008 - 22:37:12 | N | 734447616] 	F:\Things we Lost in the Fire.avi
[24/01/2011 - 07:19:42 | D ] 	F:	itres français
[31/01/2011 - 08:25:55 | D ] 	F:\vu
[10/12/2008 - 18:48:00 | SHD ] 	G:\System Volume Information
[10/12/2008 - 21:06:38 | D ] 	G:\Recycled
[10/12/2008 - 21:25:00 | D ] 	G:\Pictures
[10/12/2008 - 20:54:50 | D ] 	G:\Videos
[06/01/2009 - 18:16:56 | D ] 	G:\Ziks
[21/01/2009 - 16:22:58 | SHD ] 	G:\$RECYCLE.BIN
[06/09/2009 - 09:35:10 | D ] 	G:\8645262dddb16e76170d09e16497d2
[17/09/2009 - 07:20:22 | D ] 	G:\Programmes
[17/09/2009 - 07:27:12 | D ] 	G:\Jeux
[16/03/2010 - 05:17:34 | D ] 	G:\z
[23/09/2010 - 16:54:50 | ASH | 152064] 	G:\Thumbs.db
[21/12/2010 - 17:58:42 | D ] 	G:\USB

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

Utilisateur anonyme · Answer

la question que je me pose est pour l'étape 4 (déjà que ça dure longtemps), est ce que je dois scanner seulement les disques internes, ou tous les disques y compris les externes ? 

car je pense le laisser travailler la nuit

moment de grace · Answer

que le disque C

Utilisateur anonyme · Answer

d'accord merci
j'ai pas eu le temps cette nuit, je pense que ça sera bon pour demain

Utilisateur anonyme · Answer

l'analyse s'est terminé plutot rapidement, pourtant c'était analyse complete
je poste mon rapport, et je redemarre:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5658

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03/02/2011 15:05:14
mbam-log-2011-02-03 (15-05-14).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 204272
Temps écoulé: 1 heure(s), 53 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\32 Vegas Casino (Adware.21Nova) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\32 Vegas Casino (Adware.21Nova) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\HomePage (Hijack.Homepage) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS
ewbin.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

ce que je me demande, cest concernant mes deux autres disques durs externes, qu'en est il ? 

le F était infecté apparemment, il doit l'être encore je pense, non ? 
dois je lui passer un coup de malwarebytes ? 

car si je le rebranche il risque de contaminer a nouveau, enfin je pense comme ça mais j'en sais pas grand chose

Utilisateur anonyme · Answer

mais je comprends pas, la page de demarrage de mon firefox est toujours bloqué sur iniciorapido.info au lieu de google.fr

moment de grace · Answer

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Utilisateur anonyme · Answer

d'accord, j'ai branché mes deux disques durs pour  faire ce test (cetait pas précisé donc j'ai préféré le faire), voici le lien 

http://www.cijoint.fr/cjlink.php?file=cj201102/cijua0Z8cX.txt

moment de grace · Answer

c'était pas utile 

avant que j'oublie et apres la manip ZHPfix, tu peux désinstaller Spybot inutile et freine le pc 

__________ 

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

O44 - LFC:[MD5.2F43958CDC29571D9E1C9BC2E698F504] - 01/02/2011 - 19:30:45 ---A- . (.ORANGE - Pas de description.) -- C:\WINDOWS\apix.exe   [106496]     
O44 - LFC:[MD5.2F43958CDC29571D9E1C9BC2E698F504] - 01/02/2011 - 19:30:45 ---A- . (.ORANGE - Pas de description.) -- C:\WINDOWS\winnew.exe   [106496]     
O44 - LFC:[MD5.7561FF7ED750042157867E823E008A86] - 01/02/2011 - 17:53:03 RSH-- . (.ORANGE - Pas de description.) -- C:\WINDOWS\ranga.exe   [114688]     
O47 - AAKE:Key Export SP - "C:\WINDOWS\ranga.exe" [Enabled] .(.ORANGE - Pas de description.) -- C:\WINDOWS\ranga.exe    => Infection Diverse (Trojan.Agent) 
O53 - SMSR:HKLM\...\startupreg\badoversion707001000lux.exe  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Propriétaire\Application Data\7F3ABC176BACCC523BF03EF5B7368A40\badoversion707001000lux.exe     
O53 - SMSR:HKLM\...\startupreg\binternet  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Propriétaire\binternet.exe     
O53 - SMSR:HKLM\...\startupreg\Load  [Key] . (.ORANGE - Pas de description.) -- C:\WINDOWS\winnew.exe  
O53 - SMSR:HKLM\...\startupreg\enmwocarsx.tmp  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\enmwocarsx.tmp"  
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Yahoo! Inc. - Yahoo! Toolbar.) -- C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\Symantec NetDetect.job   
[HKLM\Software\Eset]    
[HKLM\Software\Panda Software]  
  



Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

Copie/Colle le rapport à l'écran dans ton prochain message  

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport  

apres redémarrage du PC, dis moi si tu as encore des soucis 

CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

Utilisateur anonyme · Answer

je pose le rapport, et je redemarre

Rapport de ZHPFix 1.12.3244 par Nicolas Coolman, Update du 27/01/2011
Fichier d'export Registre : 
Run by Propriétaire at 04/02/2011 18:11:50
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O53 - SMSR:HKLM\...\startupreg\badoversion707001000lux.exe [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Propriétaire\Application Data\7F3ABC176BACCC523BF03EF5B7368A40\badoversion707001000lux.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\binternet [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Propriétaire\binternet.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\Load [Key] . (.ORANGE - Pas de description.) -- C:\WINDOWS\winnew.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\enmwocarsx.tmp [Key] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\enmwocarsx.tmp"  => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}]  => Clé supprimée avec succès
[HKCR\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}]  => Clé supprimée avec succès
HKLM\Software\Eset  => Clé supprimée avec succès
HKLM\Software\Panda Software  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\WINDOWSanga.exe" [Enabled] .(.ORANGE - Pas de description.) -- C:\WINDOWSanga.exe => Infection Diverse (Trojan.Agent)  => Valeur supprimée avec succès
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Yahoo! Inc. - Yahoo! Toolbar.) -- C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll  => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\windows\apix.exe  => Supprimé et mis en quarantaine
c:\windows\winnew.exe  => Supprimé et mis en quarantaine
c:\windowsanga.exe  => Supprimé et mis en quarantaine
c:\documents and settings\propriétaire\application data\7f3abc176baccc523bf03ef5b7368a40\badoversion707001000lux.exe  => Fichier absent
c:\documents and settings\propriétaire\binternet.exe  => Fichier absent
c:\docume~1\propri~1\locals~1	emp\enmwocarsx.tmp"  => Fichier absent
c:\program files\yahoo!\companion\installs\cpn0\yt.dll  => Supprimé et mis en quarantaine
c:\windows	asks\symantec netdetect.job  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
8 : Clé(s) du Registre
2 : Valeur(s) du Registre
8 : Fichier(s)


End of the scan

Utilisateur anonyme · Answer

suite  au redemarrage, je vérifie l'adresse  de ma page de demarrage de firefox, cest toujours  https://www.portatilesbaratos.club/
malgres que je précise google.com come page de demarrage, la donnée  reste la meme, suis je  toujours infecté ?

moment de grace · Answer

1)
Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

________________

en cas de blocage sur ci joint. fr tenter ici  https://www.cjoint.com/

____________

2)
Télécharge OTL de OLDTimer 

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/


enregistre le sur ton Bureau. 

 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer. 

 Coche les 2 cases Lop et Purity 

 Coche la case devant tous les utilisateurs 

 règle age du fichier sur "60 jours" 

 dans la moitié gauche , mets tout sur "tous" 

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

Clic sur Analyse. 

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). 

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt) 

NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

 Clique sur Parcourir et cherche le fichier ci-dessus. 

Clique sur Ouvrir. 

 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 

est ajouté dans la page. 

 Copie ce lien dans ta réponse. 

Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Utilisateur anonyme · Answer

pour l'étape 1
voici le lien du rapport ZHPdiag: 
www.cijoint.fr/cjlink.php?file=cj201102/cijhLSVyV6.txt

l'étape 2 est en cours je te la poste après

Utilisateur anonyme · Answer

voici le lien pour OTL.exe:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijSun7hkC.txt

et voici le lien pour Extra.exe:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijbSSFMfG.txt

moment de grace · Answer

ok 

1) 

connais tu  VERITAS StorageGuard et BIDDropBox.exe 

_______ 

2) 

si tu as XP => double clique  
si tu as Vista ou windows 7 => clic droit "executer en tant que...."  

sur OTL.exe pour le lancer.  


?Copie la liste qui se trouve en gras ci-dessous,  

? colle-la dans la zone sous "Personnalisation" :  



:OTL  
IE - HKU\S-1-5-21-1292286586-1411071275-118950172-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = cherche.us       
IE - HKU\S-1-5-21-1292286586-1411071275-118950172-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://ww12.cherche.us     
FF - prefs.js..browser.search.defaultengine: "Ask.com"       
FF - prefs.js..browser.search.defaultenginename: "Ask.com"       
FF - prefs.js..browser.search.order.1: "Ask.com"      
[2010/09/24 16:20:55 | 000,002,395 | ---- | M] () -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\yu5ehpk5.default\searchplugins\askcom.xml     
[2010/09/18 14:58:53 | 000,001,575 | ---- | M] () -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\yu5ehpk5.default\searchplugins\cherche.xml    
O15 - HKU\S-1-5-21-1292286586-1411071275-118950172-1003\..Trusted Domains: chat-land.org ([]* in Sites de confiance)      

  

:commands  
[emptytemp]  
[start explorer]  
[reboot]  


? Clique sur "Correction" pour lancer la suppression.  


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail après le redemarrage.

Utilisateur anonyme · Answer

non je ne connais pas BIDDropBox.exe mais VERITAS StorageGuard, il me semble que ça soit un de mes disques durs externes, mais je n'en suis pas certain. voici le rapport de OTL All processes killed Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret <[2010/09/24 16:20:55 | 000,002,395 | ---- | M] () -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\yu5ehpk5.default\searchplugins\askcom.xml> in the current context! Error: Unable to interpret <[2010/09/18 14:58:53 | 000,001,575 | ---- | M] () -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\yu5ehpk5.default\searchplugins\cherche.xml> in the current context! Error: Unable to interpret in the current context! ========== COMMANDS ========== [EMPTYTEMP] User: Administrateur ->Temp folder emptied: 26789785 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56504 bytes User: All Users User: Default User ->Temp folder emptied: 26789785 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56504 bytes User: LocalService ->Temp folder emptied: 15617668 bytes ->Temporary Internet Files folder emptied: 71280 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Propriétaire ->Temp folder emptied: 90898805 bytes ->Temporary Internet Files folder emptied: 3549704 bytes ->Java cache emptied: 4887041 bytes ->FireFox cache emptied: 107577745 bytes ->Flash cache emptied: 42632 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 39097 bytes %systemroot%\System32 .tmp files removed: 3072 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 409600 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 26789785 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 290,00 mb OTL by OldTimer - Version 3.2.20.6 log created on 02052011_163101 Files\Folders moved on Reboot... File\Folder C:\Documents and Settings\LocalService\Local Settings\Temp\hsperfdata_SERVICE LOCAL\2228 not found! C:\Documents and Settings\LocalService\Local Settings\Temp\jbigi2896936833907244478lib.tmp moved successfully. C:\Documents and Settings\LocalService\Local Settings\Temp\jcpuid8570627290266822614lib.tmp moved successfully. File move failed. C:\WINDOWS emp\_avast4_\Webshlock.txt scheduled to be moved on reboot. C:\WINDOWS emp\Perflib_Perfdata_568.dat moved successfully. File move failed. C:\WINDOWS emp\Perflib_Perfdata_5fc.dat scheduled to be moved on reboot. Registry entries deleted on Reboot...

moment de grace · Answer

ok

encore des soucis ?

Utilisateur anonyme · Answer

oui, la page de demarrage est resté sur buscalo.in
et je ne  connais pas  BIDDropBox.exe

Utilisateur anonyme · Answer

J'en profite pour te dire aussi que je n'ai plus internet explorer.
Lors qu'on regarde dans mon dossier internet explorer dans program files, c'est marqué IE Crash Detection. 

La seule solution pour que je puisse ouvrir internet explorer est de cliquer sur Windows Update.

ps: j'utilise Mozilla firefox

moment de grace · Answer

1) 

Lances ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7), 
Cliques sur le bouton 'IFEOFix' situé dans la partie droite de l'écran, 
Cliques sur 'Non' au message qui s'affiche à l'écran, 
Laisses travailler l'outil, 
A la fin du traitement, un rapport s'affiche 
Copie ce rapport  
Redémarre le pc pour prendre en compte les modifications.  

________ 

2) 

 
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection) 

Télécharge ici :List_Kill'em et enregistre le sur ton bureau 

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe 



si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation 

Laisse coché : 

 Executer List_Kill'em 

une fois terminée lance le programmeà l'aide du raccourci sur le bureau (clic droit executer en tant qu'administrateur pour VISTA ou SEVEN )

choisis l'option Search 

aisse travailler l'outil 

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué. 

Attention : sous 64 bits il se peut que l'outil bloque anormalement longtemps arrivé à 95% à l'affichage "2nd Check", relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre , ca le debloquera pour finir son scan 

Poste les rapports qui apparaitront sur ton bureau 


NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

 Clique sur Parcourir et cherche le fichier ci-dessus. 

 Clique sur Ouvrir. 

 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

 Copie ce lien dans ta réponse. 

 Fais de même avec more.txt qui se trouve sur ton bureau  


CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

Utilisateur anonyme · Answer

voici le rapport Iefofix, je redemarre

Rapport de ZHPFix 1.12.3244 par Nicolas Coolman, Update du 27/01/2011
Fichier d'export Registre : 
Run by Propriétaire at 06/02/2011 14:54:05
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
Branche de Base de Registres IFEO non infectée !
[HKLM\SOFTWARE\Microsoft\...\Image File Execution Options\Your Image File Name Here without a path]  => Clé supprimée avec succès (Your Image File Name Here without a path)


========== Récapitulatif ==========
2 : Clé(s) du Registre


End of the scan

moment de grace · Answer

=> List_Kill'em

Utilisateur anonyme · Answer

Le rapport (List'em) http://www.cijoint.fr/cjlink.php?file=cj201102/cijxRM4I5Z.txt

Le fichier More http://www.cijoint.fr/cjlink.php?file=cj201102/cijkcnBwO6.txt

moment de grace · Answer

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

1)

choisis le bouton tools
puis le bouton KILLproxy
laisse faire l'outil

_________

2)

choisis le bouton tools
puis le bouton Reset TCP/IP_Winsock
laisse faire l'outil

__________

3)

choisis l'option CLEAN
 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

Utilisateur anonyme · Answer

donc je te poste le contenu de ce  rapport: 

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.4 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Propriétaire (Administrateurs) 
Update on 04/02/2011 by g3n-h@ckm@n ::::: 12.50
Start at: 04:50:29 | 07/02/2011

              Intel(R) Pentium(R) 4 CPU 2.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1229 [VPS 110206-1] 4.8.1229 [ Enabled | Updated ]

C:\ -> Disque fixe local | 52,82 Go (41,17 Go free) [HP_PAVILION] | NTFS
D:\ -> Disque fixe local | 4,43 Go (1,41 Go free) [HP_RECOVERY] | FAT32
E:\ -> Disque CD-ROM
 
Killed : PID 3520 'Firefox.exe'
Killed : PID 3520 'Firefox.exe'
Killed : PID 1884 'explorer.exe'
Killed : PID 1884 'explorer.exe'
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\Documents and settings\Propri'taire\scriptjava.html   
Quarantined & Deleted !! : C:\Documents and Settings\Propri'taire\errorlog.tmp   
Quarantined & Deleted !! : \AUTOEXEC.BAT   
Quarantined & Deleted !! : C:\Documents and Settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat   
Quarantined & Deleted !! : C:\WINDOWS\Fonts\GRGAREF.TTF   
Quarantined & Deleted !! : C:\WINDOWS\System32\ps2.bat   
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Search Page	=         	http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
FirstRunDisabled	=      	1 (0x1) 
InternetSettingsDisableNotify	=      	0 (0x0) 
AutoUpdateDisableNotify	=      	0 (0x0) 
UacDisableNotify	=      	0 (0x0) 
AntispywareOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   
 
 ¤¤¤¤¤¤¤¤¤¤ Winlogon
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 AutoRestartShell	=      	1 (0x1) 
 Shell	=         	explorer.exe 
 Userinit	=         	C:\WINDOWS\System32\userinit.exe, 
 System	=         	 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_4R060J0 rev.RAMB1TU0 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
1 nt!IofCallDriver[0x804E37D5] -> \Device\Harddisk0\DR0[0x83B77AB8]
3 CLASSPNP[0xF74EEFD7] -> nt!IofCallDriver[0x804E37D5] -> \Device\00000066[0x83B47F18]
5 ACPI[0xF7464620] -> nt!IofCallDriver[0x804E37D5] -> \Device\Ide\IdeDeviceP0T0L0-3[0x83BD6940]
kernel: MBR read successfully
user & kernel MBR OK 


End of Scan :  4:51:54

 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

moment de grace · Answer

ok

où en es tu de tes soucis ?

Utilisateur anonyme · Answer

et bien le soucis est tjrs le meme, la page de demarrage, malgres que je tente de la changer reste sur buscalo.in bien que je tente de la mettre sur google.fr

Utilisateur anonyme · Answer

mais avant de se mettre sur busalo.in, elle passe par iniciorapido.info

Utilisateur anonyme · Answer

bien sur je parle de firefox, internet explorer ayant disparu de mon pc   (Ie crash  detection)

moment de grace · Answer

refais un nouveau rapport OLT stp

Utilisateur anonyme · Answer

D'accord
j'ai coché les 2 cases Lop et Purity et la case devant tous les utilisateurs, j'ai réglé l'age du fichier sur 60 jours, j'ai tout mi sur "tous"

voici le rapport "OTL.txt"
http://www.cijoint.fr/cjlink.php?file=cj201102/cijOCH74uV.txt

voici le rapport "Extras.txt"
http://www.cijoint.fr/cjlink.php?file=cj201102/cijjNBzBjM.txt

moment de grace · Answer

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer. 


?Copie la liste qui se trouve en gras ci-dessous, 

? colle-la dans la zone sous "Personnalisation" : 




:OTL 
FF - prefs.js..browser.search.defaultengine: "Ask.com"      
FF - prefs.js..browser.search.defaultenginename: "Ask.com"      
FF - prefs.js..browser.search.order.1: "Ask.com"      
FF - prefs.js..browser.search.param.yahoo-fr: "chrf-ytbm"      
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "chrf-ytbm"      
FF - prefs.js..browser.search.param.yahoo-type: "${8}"      
FF - prefs.js..browser.search.selectedEngine: "WikipÃ©dia (fr)"      
FF - prefs.js..browser.search.useDBForOrder: true      
FF - prefs.js..browser.startup.homepage: "http://iniciorapido.info"     
FF - prefs.js..network.proxy.backup.ftp: "129.41.250.20"      
FF - prefs.js..network.proxy.backup.ftp_port: 80      
FF - prefs.js..network.proxy.backup.gopher: "129.41.250.20"      
FF - prefs.js..network.proxy.backup.gopher_port: 80      
FF - prefs.js..network.proxy.backup.socks: "129.41.250.20"      
FF - prefs.js..network.proxy.backup.socks_port: 80      
FF - prefs.js..network.proxy.backup.ssl: "129.41.250.20"      
FF - prefs.js..network.proxy.backup.ssl_port: 80      
FF - prefs.js..network.proxy.ftp: "59.120.19.24"      
FF - prefs.js..network.proxy.ftp_port: 3128      
FF - prefs.js..network.proxy.gopher: "59.120.19.24"      
FF - prefs.js..network.proxy.gopher_port: 3128      
FF - prefs.js..network.proxy.http: "59.120.19.24"      
FF - prefs.js..network.proxy.http_port: 3128      
FF - prefs.js..network.proxy.no_proxies_on: ""      
FF - prefs.js..network.proxy.share_proxy_settings: true      
FF - prefs.js..network.proxy.socks: "59.120.19.24"      
FF - prefs.js..network.proxy.socks_port: 3128      
FF - prefs.js..network.proxy.ssl: "59.120.19.24"      
FF - prefs.js..network.proxy.ssl_port: 3128     
[2010/09/24 16:20:55 | 000,002,395 | ---- | M] () -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\yu5ehpk5.default\searchplugins\askcom.xml    
[2010/09/18 14:58:53 | 000,001,575 | ---- | M] () -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\yu5ehpk5.default\searchplugins\cherche.xml    
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O15 - HKU\S-1-5-21-1292286586-1411071275-118950172-1003\..Trusted Domains: chat-land.org ([]* in Sites de confiance)     
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)






:commands 
[emptytemp] 
[start explorer] 
[reboot] 


? Clique sur "Correction" pour lancer la suppression. 


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.

Utilisateur anonyme · Answer

All processes killed Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret <[2010/09/24 16:20:55 | 000,002,395 | ---- | M] () -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\yu5ehpk5.default\searchplugins\askcom.xml> in the current context! Error: Unable to interpret <[2010/09/18 14:58:53 | 000,001,575 | ---- | M] () -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\yu5ehpk5.default\searchplugins\cherche.xml> in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! ========== COMMANDS ========== [EMPTYTEMP] User: Administrateur ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 956404 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Propriétaire ->Temp folder emptied: 835756 bytes ->Temporary Internet Files folder emptied: 211170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 43532144 bytes ->Flash cache emptied: 4345 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 229376 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 56956 bytes Total Files Cleaned = 44,00 mb OTL by OldTimer - Version 3.2.20.6 log created on 02072011_155024 Files\Folders moved on Reboot... File\Folder C:\Documents and Settings\LocalService\Local Settings\Temp\hsperfdata_SERVICE LOCAL\1788 not found! C:\Documents and Settings\LocalService\Local Settings\Temp\jbigi3535082436111254231lib.tmp moved successfully. C:\Documents and Settings\LocalService\Local Settings\Temp\jcpuid6918180336461557923lib.tmp moved successfully. File\Folder C:\WINDOWS emp\_avast4_\Webshlock.txt not found! C:\WINDOWS emp\Perflib_Perfdata_5ac.dat moved successfully. File\Folder C:\WINDOWS emp\Perflib_Perfdata_634.dat not found! Registry entries deleted on Reboot...

Utilisateur anonyme · Answer

apparemment, tout à l'air ok
la page de démarrage reste la même

il reste le soucis de internet explorer dont on ne peut ouvrir que en cliquant sur le raccourcis de Windows Update. 

d'aillleur il a disparu, dans le dossier program files, internet explorer, il y a un fichier iedw (internet explorer crash detection)

moment de grace · Answer

1) 

regarde ca 

Sous Internet Explorer : 

Lancez Internet explorer  
Allez dans le menu Outils d'Internet Explorer  
Cliquez sur Options Internet, puis sur l'onglet Connexions, puis sur Paramètres réseau.  
Cochez : ne pas activer de Serveur proxy... 

Sous Firefox : 

Lancez Firefox  
Allez dans Outils  
Puis Options  
Activez l'onglet Réseau  
Cliquez sur Paramètres  
Et choisissez l'option: Pas de proxy  
Cliquez sur Ok 

__________ 

2) 

Télécharge Zeb Restore  
http://telechargement.zebulon.fr/zeb-restore.html  
Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.  

Voici les éléments qui peuvent être restaurés : coche les lignes en gras  
- RegEdit : réactive l'accès à RegEdit  
- Clés RUN : réactive le lancement de programmes par clés RunXXX  
- Bouton Arrêter : rétablit le bouton Arrêter  
- Windows Update : rétablit la fonction Windows Update  
- Gestionnaire des tâches : réactive le gestionnaire des tâches  
- Panneau de configuration : réactive le Panneau de configuration  
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes  
- Policies : remet en place des éléments désactivés par "Policies"  
- Bureau : réactive le Bureau  
- Réparation IE : répare Internet Exploreur (pages de recherche)  
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com  
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)  
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)  
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts 


CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

Utilisateur anonyme · Answer

j'ai bien fait ce que tu m'as dit pour mozilla firefox

mais pour internet explorer, j'ai dans outil option connection, afin de cocher sur: ne pas utiliser de serveur proxy pour votre reseau local, j'ai du avant cocher la case: utiliser un serveur proxy pour votre réseau local (sauf pr les connections d'acces à distance ou VPN)

apres redemarrage, internet explorer n'est toujours pas réparé
je tente une réinstallation de IE, au cas ou

je te donnerai la réponse dans le prochain post

moment de grace · Answer

ok

Utilisateur anonyme · Answer

voilà, j'ai tenté une reinstallation, rien n'a changé

IE n'est toujours pas apparu dans la liste des programmes installés, et le dossier IE dans prgram files est resté le même (Ie crash detection)

c'est pas très important tout de même, étant donné que j'ai une préférence pour mozilla firefox

moment de grace · Answer

as tu un parefeu ?

Utilisateur anonyme · Answer

Oui j'ai un parefeu , mais quand l'ordinateur démarre, il y a une alertes du centre de sécurité windows qui me dit: aucun parfeu n'est activé.

Ca dure même pas 10 secondes et ensuite il s'active tout seul.

moment de grace · Answer

(Ie crash detection) que je connais pas vraiment revient souvent avec zone alarme

est ce ton cas ?

Utilisateur anonyme · Answer

alors qu'auparavant justement il n'y avait jamais eu ce message, il est déjà activé au démarrage de windows

Utilisateur anonyme · Answer

non     je n'ai jamais eu  Zone alarme

sur tous les forum   qui parle  de ie crash detection, il est question de zone alarme, alors que moi justement je n'ai  jamais eu zone alarm

moment de grace · Answer

je sais pas ce que c'est, je vais demander et te dire ensuite

Utilisateur anonyme · Answer

d'accord, merci

Utilisateur anonyme · Answer

si tu ne sais pas, c'est pas grave, de toute manière je n'utilise jamais internet explorer, je prefere mozilla firefox

Utilisateur anonyme · Answer

en réalité la page web est toujours resté sur www.iniciorapido.net :(

moment de grace · Answer

refais un nouveau OTL stp

Utilisateur anonyme · Answer

Pas de soucis
voici le lien cijoint de mon rapport OTL.exe: 
http://www.cijoint.fr/cjlink.php?file=cj201102/cijg71DDdr.txt
et le Extra.exe: 
http://www.cijoint.fr/cjlink.php?file=cj201102/cijeruuSXk.txt
(j'ai mi 60 jours pr tous les utilisateurs avec recherche de Lop et de Purity)

moment de grace · Answer

1)

Lances ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7),
Cliques sur le bouton 'ProxyFix' situé dans la partie droite de l'écran,
Cliques sur 'Non' au message qui s'affiche à l'écran,
Laisses travailler l'outil,
A la fin du traitement, un rapport s'affiche
Copie ce rapport 
Redémarre le pc pour prendre en compte les modifications. 

__________

2)

Relance OTL 
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
* L'interface principale s'ouvre : 
* Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 


:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com" 
FF - prefs.js..browser.search.defaultenginename: "Ask.com" 
FF - prefs.js..browser.search.order.1: "Ask.com" 
FF - prefs.js..browser.search.param.yahoo-fr: "chrf-ytbm" 
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "chrf-ytbm" 
FF - prefs.js..browser.search.param.yahoo-type: "${8}" 
FF - prefs.js..browser.search.selectedEngine: "WikipÃ©dia (fr)" 
FF - prefs.js..browser.search.useDBForOrder: true 
FF - prefs.js..browser.startup.homepage: "http://iniciorapido.info" 
FF - prefs.js..network.proxy.backup.ftp: "129.41.250.20" 
FF - prefs.js..network.proxy.backup.ftp_port: 80 
FF - prefs.js..network.proxy.backup.gopher: "129.41.250.20" 
FF - prefs.js..network.proxy.backup.gopher_port: 80 
FF - prefs.js..network.proxy.backup.socks: "129.41.250.20" 
FF - prefs.js..network.proxy.backup.socks_port: 80 
FF - prefs.js..network.proxy.backup.ssl: "129.41.250.20" 
FF - prefs.js..network.proxy.backup.ssl_port: 80 
FF - prefs.js..network.proxy.ftp: "59.120.19.24" 
FF - prefs.js..network.proxy.ftp_port: 3128 
FF - prefs.js..network.proxy.gopher: "59.120.19.24" 
FF - prefs.js..network.proxy.gopher_port: 3128 
FF - prefs.js..network.proxy.http: "59.120.19.24" 
FF - prefs.js..network.proxy.http_port: 3128 
FF - prefs.js..network.proxy.no_proxies_on: "" 
FF - prefs.js..network.proxy.share_proxy_settings: true 
FF - prefs.js..network.proxy.socks: "59.120.19.24" 
FF - prefs.js..network.proxy.socks_port: 3128 
FF - prefs.js..network.proxy.ssl: "59.120.19.24" 
FF - prefs.js..network.proxy.ssl_port: 3128 
[2010/09/24 16:20:55 | 000,002,395 | ---- | M] () -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\yu5ehpk5.default\searchplugins\askcom.xml 
[2010/09/18 14:58:53 | 000,001,575 | ---- | M] () -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\yu5ehpk5.default\searchplugins\cherche.xml


:Commands 
[emptyflash]
[emptytemp]

* Clique sur le bouton Correction, patiente pendant le travail de l'outil, il va redémarrer le PC. 
* Accepte en cliquant sur OK 
* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément 
* Copie/colle le dans ton prochain message 

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

Utilisateur anonyme · Answer

voici le rapport proxy fix: ========== Valeur(s) du Registre ========== ProxyFix : Configuration proxy supprimée avec succès ========== Récapitulatif ========== 1 : Valeur(s) du Registre End of the scan En ce qui concernle OTL, j'ai remarqué que à chaque fois que je fais une correction, je reçois le message suivant: Unable to ..... applicationdata/mozilla/yu5ehpk5.default/pref.js peut être que le probleme vient de là, je te poste le rapport All processes killed Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret <[2010/09/24 16:20:55 | 000,002,395 | ---- | M] () -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\yu5ehpk5.default\searchplugins\askcom.xml> in the current context! Error: Unable to interpret <[2010/09/18 14:58:53 | 000,001,575 | ---- | M] () -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\yu5ehpk5.default\searchplugins\cherche.xml> in the current context! ========== COMMANDS ========== [EMPTYFLASH] User: Administrateur ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Flash cache emptied: 0 bytes User: LocalService User: NetworkService User: Propriétaire ->Flash cache emptied: 10017 bytes Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: Administrateur ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 1241676 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Propriétaire ->Temp folder emptied: 18201036 bytes ->Temporary Internet Files folder emptied: 1890388 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 99717904 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 229376 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 150625283 bytes Total Files Cleaned = 259,00 mb OTL by OldTimer - Version 3.2.20.6 log created on 02122011_114609 Files\Folders moved on Reboot... File\Folder C:\Documents and Settings\LocalService\Local Settings\Temp\hsperfdata_SERVICE LOCAL\1852 not found! C:\Documents and Settings\LocalService\Local Settings\Temp\jbigi359602436067919751lib.tmp moved successfully. C:\Documents and Settings\LocalService\Local Settings\Temp\jcpuid7864796449961242784lib.tmp moved successfully. File\Folder C:\WINDOWS emp\_avast4_\Webshlock.txt not found! File\Folder C:\WINDOWS emp\Perflib_Perfdata_5fc.dat not found! C:\WINDOWS emp\Perflib_Perfdata_640.dat moved successfully. Registry entries deleted on Reboot...

moment de grace · Answer

refais le avec ce texte là




:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
WMPRWISE.EXE


:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.param.yahoo-fr: "chrf-ytbm"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "chrf-ytbm"
FF - prefs.js..browser.search.param.yahoo-type: "${8}"
FF - prefs.js..browser.search.selectedEngine: "WikipÃ©dia (fr)"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "http://iniciorapido.info"
FF - prefs.js..network.proxy.backup.ftp: "129.41.250.20"
FF - prefs.js..network.proxy.backup.ftp_port: 80
FF - prefs.js..network.proxy.backup.gopher: "129.41.250.20"
FF - prefs.js..network.proxy.backup.gopher_port: 80
FF - prefs.js..network.proxy.backup.socks: "129.41.250.20"
FF - prefs.js..network.proxy.backup.socks_port: 80
FF - prefs.js..network.proxy.backup.ssl: "129.41.250.20"
FF - prefs.js..network.proxy.backup.ssl_port: 80
FF - prefs.js..network.proxy.ftp: "59.120.19.24"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.gopher: "59.120.19.24"
FF - prefs.js..network.proxy.gopher_port: 3128
FF - prefs.js..network.proxy.http: "59.120.19.24"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.no_proxies_on: ""
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "59.120.19.24"
FF - prefs.js..network.proxy.socks_port: 3128
FF - prefs.js..network.proxy.ssl: "59.120.19.24"
FF - prefs.js..network.proxy.ssl_port: 3128
[2010/09/24 16:20:55 | 000,002,395 | ---- | M] () -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\yu5ehpk5.default\searchplugins\askcom.xml
[2010/09/18 14:58:53 | 000,001,575 | ---- | M] () -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\yu5ehpk5.default\searchplugins\cherche.xml 






:commands
[emptytemp]
[start explorer]
[reboot]

Utilisateur anonyme · Answer

voilà le rapport OTL:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijvlwEkpW.txt

j'ai encore eu la meme erreur:
Unable to ..... applicationdata/mozilla/yu5ehpk5.default/pref.js 

Lorsque ce message apparait, je clique sur Ok, mais le programme reste bloqué. C'est lorsque que je reclique sur correction que OTL termine sa tâche.

Par ailleur la page de demarrage est toujours sur iniciorapido.info
A quoi cela est il dû?

moment de grace · Answer

il est là  FF - prefs.js..browser.startup.homepage: "http://iniciorapido.info" 

mais le script ne passe pas

désinstalle firefox et fais un nouveau rapport OTL stp

Utilisateur anonyme · Answer

daccord, il faut que je sauve mes favoris alors

Utilisateur anonyme · Answer

donc voilà
j'ai désinstallé firefox et fait l'analyse avec OTL
(option ts les utilisateurs, 60 jours, avec recherche Lop et Purity, ect)

voici le rapport OTL
http://www.cijoint.fr/cjlink.php?file=cj201102/cijcYb4buB.txt 

et le rapport Extra
http://www.cijoint.fr/cjlink.php?file=cj201102/cijjzqdMFY.txt 

est ce que je peux réinstaller firefox ?

moment de grace · Answer

ce sont tes favoris firefox qui sont infectés ! 

si tu as XP => double clique  
si tu as Vista ou windows 7 => clic droit "executer en tant que...."  

sur OTL.exe pour le lancer.  


?Copie la liste qui se trouve en gras ci-dessous,  

? colle-la dans la zone sous "Personnalisation" :  




:Services  
VDSDK 

:OTL  
DRV - [2011/02/14 17:05:49 | 000,013,696 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\Propriétaire\Local Settings\Temp\vdsdk.sys -- (VDSDK)      
IE - HKU\S-1-5-21-1292286586-1411071275-118950172-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://fr.ask.com/?o=14772&l=dis     
IE - HKU\S-1-5-21-1292286586-1411071275-118950172-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)    
O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files\AutocompletePro\AutocompletePro.dll (SimplyGen)     
O2 - BHO: (VDownloader Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)     
 O3 - HKLM\..\Toolbar: (VDownloader Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)     
O3 - HKU\S-1-5-21-1292286586-1411071275-118950172-1003\..\Toolbar\WebBrowser: (VDownloader Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)     
O15 - HKU\S-1-5-21-1292286586-1411071275-118950172-1003\..Trusted Domains: chat-land.org ([]* in Sites de confiance)      


:Files  
:\Documents and Settings\Propriétaire\Local Settings\Application Data\AskToolbar     
C:\Program Files\AutocompletePro     
C:\Program Files\Fichiers communs\PredictAdInstaller.exe       
C:\Program Files\Fichiers communs\AskToolbarInstaller.exe      
C:\WINDOWS	asks\Scheduled Update for Ask Toolbar.job     
:commands  
[emptytemp]  
[start explorer]  
[reboot]  


? Clique sur "Correction" pour lancer la suppression.  


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage. 

CONTRIBUTEUR SECURITE 

En désinfection, c'est la fin le plus important ! 
"Restez" jusqu'au bout...merci

Utilisateur anonyme · Answer

voici le rapport OTL All processes killed ========== SERVICES/DRIVERS ========== Service VDSDK stopped successfully! Service VDSDK deleted successfully! ========== OTL ========== Error: No service named VDSDK was found to stop! Service\Driver key VDSDK not found. C:\Documents and Settings\Propriétaire\Local Settings\Temp\vdsdk.sys moved successfully. HKU\S-1-5-21-1292286586-1411071275-118950172-1003\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page| /E : value set successfully! Registry value HKEY_USERS\S-1-5-21-1292286586-1411071275-118950172-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\{00000000-6E41-4FD3-8538-502F5495E5FC} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\ deleted successfully. File move failed. C:\Program Files\Ask.com\GenericAskToolbar.dll scheduled to be moved on reboot. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}\ deleted successfully. C:\Program Files\AutocompletePro\AutocompletePro.dll moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully. File move failed. C:\Program Files\Ask.com\GenericAskToolbar.dll scheduled to be moved on reboot. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found. File move failed. C:\Program Files\Ask.com\GenericAskToolbar.dll scheduled to be moved on reboot. Registry value HKEY_USERS\S-1-5-21-1292286586-1411071275-118950172-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found. File move failed. C:\Program Files\Ask.com\GenericAskToolbar.dll scheduled to be moved on reboot. Registry key HKEY_USERS\S-1-5-21-1292286586-1411071275-118950172-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\chat-land.org\ deleted successfully. ========== FILES ========== Error: Unable to interpret <:\Documents and Settings\Propriétaire\Local Settings\Application Data\AskToolbar > in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! ========== COMMANDS ========== [EMPTYTEMP] User: Administrateur ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 956404 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Propriétaire ->Temp folder emptied: 5077993 bytes ->Temporary Internet Files folder emptied: 36290467 bytes ->Java cache emptied: 92324 bytes ->Flash cache emptied: 7343 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 180224 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes RecycleBin emptied: 492371524 bytes Total Files Cleaned = 510,00 mb OTL by OldTimer - Version 3.2.20.6 log created on 02162011_222718 Files\Folders moved on Reboot... C:\Program Files\Ask.com\GenericAskToolbar.dll moved successfully. File\Folder C:\Documents and Settings\LocalService\Local Settings\Temp\hsperfdata_SERVICE LOCAL\2180 not found! C:\Documents and Settings\LocalService\Local Settings\Temp\jbigi2916683287209640047lib.tmp moved successfully. C:\Documents and Settings\LocalService\Local Settings\Temp\jcpuid8470888852268228453lib.tmp moved successfully. C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QIMX95KI\bigban2[8].htm moved successfully. C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\QIMX95KI\envoi5[1].htm moved successfully. C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\OYGOGKCR\uppy[1].htm moved successfully. C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\F0JNPFUW\01[1].htm moved successfully. C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\F0JNPFUW\affich-20728292-virus-winnex[2].htm moved successfully. C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\F0JNPFUW\chat[1].htm moved successfully. C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully. File\Folder C:\WINDOWS emp\_avast4_\Webshlock.txt not found! C:\WINDOWS emp\Perflib_Perfdata_5fc.dat moved successfully. C:\WINDOWS emp\Perflib_Perfdata_dc.dat moved successfully. Registry entries deleted on Reboot...

Utilisateur anonyme · Answer

que dois je faire maintenant ? 

est ce que je peux ré-installer firefox ? 
et  surtout, étant donné que ce sont les favoris qui sont infectés, est ce que je pourrai les importer ? (car je les ai sauvegardé)

moment de grace · Answer

réinstalle firefox sans utiliser tes favoris et vois ce que ca donne

Utilisateur anonyme · Answer

c'est fait, oui il n'y a plus de soucis avec la page de démarrage

moment de grace · Answer

Télécharge Zeb Restore   
http://telechargement.zebulon.fr/zeb-restore.html   
Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.   

Voici les éléments qui peuvent être restaurés : coche les lignes en gras   
- RegEdit : réactive l'accès à RegEdit   
- Clés RUN : réactive le lancement de programmes par clés RunXXX   
- Bouton Arrêter : rétablit le bouton Arrêter   
- Windows Update : rétablit la fonction Windows Update   
- Gestionnaire des tâches : réactive le gestionnaire des tâches   
- Panneau de configuration : réactive le Panneau de configuration   
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes   
- Policies : remet en place des éléments désactivés par "Policies"   
- Bureau : réactive le Bureau   
- Réparation IE : répare Internet Exploreur (pages de recherche)  
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com   
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)   
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)   
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts  

CONTRIBUTEUR SECURITE  

En désinfection, c'est la fin le plus important !  
"Restez" jusqu'au bout...merci

Utilisateur anonyme · Answer

c'est fait, j'ai restauré les éléments demandés 
que dois je faire  maintenant?

moment de grace · Answer

ok, mise à part internet explorer que je ne peux ouvrir que avec windows update (ie crash detection),


c'est toujours le cas ca ?

Utilisateur anonyme · Answer

oui tjrs le cas, iedw.exe, internet crash explorer decection
tu sais c'est pas bien grave j'utilise mozilla de toute manière

moment de grace · Answer

bah oui

d'autant que j'arrive pas à savoir ce que c'est

faudrait poser la question dur le forum internet peut être

Utilisateur anonyme · Answer

mais je viens de penser, j'ai oublié de te dire

en ouvrant avec le bloc-note les favoris que j'avais sauvegardé (car je de"vais vraiment récupéré un site) j'ai découvert un favoris du site de betclic (paris et casino en ligne)

lorsque j'ai cliqué sur le liens, il y avait un formulaire avec mon nom prénom adresse téléphone

il y a un an environ je me suis inscris sur  ce site, mais depuis je ne suis plus revenu
comment  cela se fait-il que je retrouve ce lien dans mes favoris avec mes coordonnées ?

moment de grace · Answer

en réalité la page web est toujours resté sur www.iniciorapido.net :(

vu que tu as réinstallé tes favoris, est ce encore le cas ?

Utilisateur anonyme · Answer

en fait le probleme de la page de demarrage est réglé
je n'ai pas réinstallé les favoris, je les ai ouvert en TXT avec le bloc note
mais là mon ordi rame completement, impossible de faire quoi que ce soit :s

tout est ralenti depuis que j'ai réinstallé firefox, pire que tout

moment de grace · Answer

tu l'as pris où ton firefox ?

Utilisateur anonyme · Answer

sur le site de mozilla, le site officiel
mais en fait c'est mozilla qui rame a cause d'un certain: plugin_container.exe
ça te dit quelque chose ?

moment de grace · Answer

effectivement tu n'es pas le seul à t'en plaindre

désinstalle le perso je ne l'ai pas et ca va tres bien

Utilisateur anonyme · Answer

:) c'est beaucoup plus simple, j'ai trouvé un autre post sur commentcamarche.net ou il conseillait de passer les valeurs a FALSE de ces variables

Dans la barre d'adresse tapez about:config, puis recherchez les valeurs « dom.ipc.plugins.enabled.npctrl.dll », « dom.ipc.plugins.enabled.npqtplugin.dll » et « dom.ipc.plugins.enabled.npswf32.dll » et passez les à « false ». 

je l'ai fait et le problème est résolu, mon firefox ne rame plus

Utilisateur anonyme · Answer

donc je pense que tout est résolu mise à part internet explorer, mais bon vu que je m'en sers pas ....

Utilisateur anonyme · Answer

c'est rien, tu m'as déjà bien bien aidé, sans toi j'aurai du tout reformater

mais ça aurait été bcp plus long, car après j'aurai du appeler une personne pour me remettre la clec WEP (pas certain du mot)  ect ect afin que je puisse avoir internet (vu que je sais pas faire) en tout cas merci

Utilisateur anonyme · Answer

ça m'arrive régulièrement d'avoir des soucis, mais comme j'ai eu là, c'est rare, j'espère ne pas en avoir de si tout

Utilisateur anonyme · Answer

de si tôt excuse

moment de grace · Answer

j'ai appris moi aussi avec le module récalcitrant

néanmoins, vaux mieux éviter les versions bêta de logiciel

pour finir



1)

Mettre à jour la Console Java ? : 
https://www.java.com/fr/download/uninstalltool.jsp

et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). 

voici pour desinstaller : 

JavaRa 
http://raproducts.org/click/click.php?id=1

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. 
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis clique sur Select. 
* Clique sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 


.............

2)

Mets à jour Adobe Reader (désinstalle avant la version antérieure) 
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html


....................

3)
IMPORTANT

Purger les points de restauration système:

Télécharge OneClick2RestorePoint

http://www.multifa7.be/Laddy/OneClick2RP.exe (merci à elle)

Mirroirs si non accessible :
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe
https://app.box.com/s/cqcsz5m0oz

*	Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)
*	Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir
*	Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
*	* Rends toi dans l'onglet "Autres options"
*	Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
*	Les points de restauration système seront purgés sauf le dernier créé.

Ensuite avec le même outil
Créer un nouveau point de restauration reconnaissable
.................

4)
pour supprimer les outils de désinfection : 

télécharge Delfix de Xplode

http://www.teamxscript.org/too/Xplode/DelFix.exe


choisis SUPPRESSION 

poste son rapport
.............................................

Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
-	logiciels non à jour (windows, internet explorer, java, adobe reader etc)
-	installation de toolbar
-	fréquentation de sites piégés
-	P2P
-	Application de cracks
-	Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

 Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités
 http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

............................

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) 
http://www.teamxscript.org/too/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

..........................

Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux utiliser Sécunia
https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php

.........................

utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

Utilisateur anonyme · Answer

En ce qui concerne la purge des points de restauration, c'est fait, aucun soucis.

Pour Mc Afee Security Scan  s'est téléchargé automatiquement avec la nouvelle version, est ce que je peux le supprimer? 

Par contre, j'ai vérifié ma version de java, comme ce n'était pas la dernière, j'ai procédé a la désinstallation puis l'installation de la dernière comme tu m'as dit.

Sauf que quand je retourne sur le site https://www.java.com/fr/download/uninstalltool.jsp afin de vérifier la de nouveau ma version, l'applet ne s'ouvre plus, et il y a avertissement de sécurité qui s'affiche. 

Lorsque je clic sur la console Java dans le panneau de configuration, elle ne s'ouvre pas non plus. Pourtant l'installation s'est bien déroulé.

Utilisateur anonyme · Answer

Ok c'est pour Java, 
puis tu me dis de télécharger Delfix afin de désinstaller les outils de désinfection ... parles tu des programmes que j'ai téléchargé depuis le début (OTL USBfix ZHP ZebRestore ect ect) ?

Utilisateur anonyme · Answer

déjà, et je tiens à t'ajouter la dernière fois que je suis venu sur le forum, tout en haut du navigateur, au lieu que ce soit marqué Virus Winnex - Mozilla Firefox avec le petit logo orange, c'était marqué en japonais. 

et là je viens d'appercevoir que dans msconfig onglet démarrage il y a deux truc écrit totalement (sauf la colonne emplacement). du jamais vu.

Utilisateur anonyme · Answer

excuse la faute de frape, il y a deux éléments au démarrage écrit en japonais

moment de grace · Answer

puis tu me dis de télécharger Delfix afin de désinstaller les outils de désinfection ... parles tu des programmes que j'ai téléchargé depuis le début (OTL USBfix ZHP ZebRestore ect ect) ?

=> oui

tu peux me faire un imprim ecran de ces deux japonais stp

Utilisateur anonyme · Answer

Je te précise que ma barre des langues j'ai mis option japonais, car je maitrise un peu. Je vais désinstallé l'option pour voir ce que donne.

Voila déjà pour le navigateur:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijkFCwkHO.jpg

Puis pour msconfig,
1ere colonne:
http://www.cijoint.fr/cjlink.php?file=cj201102/cij1ZYgNq9.jpg

2ème:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijgfTdcSM.jpg

3ème:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijRet6zDS.jpg

Utilisateur anonyme · Answer

je crois que c'est même pas du japonais en fait mais du chinois, je viens de remarquer

moment de grace · Answer

je crois que c'est même pas du japonais en fait mais du chinois

(sourire)

je te crois sur parole là !


dans ton gestionnaire, onglet processus, clic droit sur une de ces deux lignes
"ouvrir l'emplacement du fichier"

puis indique  le chemin de ce fichier

Utilisateur anonyme · Answer

En fait le problème apparait un peu quand il veut.

En regardant dans le gestionnaire onglet processus il n'y a rien en chinois, car en fait c'est pas tout le temps que firefox m'écrit  ses caracteres chinois en haut. 

Mais je sais que ça va revenir, je vais attendre un peu encore, si le soucis reviens je te poste tout de suite le chemin du fichier.

Ou peut être que ça a du se régler quand j'ai désactiver toutes les options linguistiques langues étrangères ....

Utilisateur anonyme · Answer

Aparemment le soucis n'apparait plus
J'ouvrirai un nouveau au cas ou ça se reproduit

Utilisateur anonyme · Answer

la seule chose que j'ai trouvé c'est ça:
HKCU\software\Microsoft\Windows NT\CurrentVersion\Windows:Run
HKCU\software\Microsoft\Windows NT\CurrentVersion\Windows:Load

Utilisateur anonyme · Answer

J'ai désinstallé la barre des langues, j'ai désactivé les deux éléments au démarrage qui sont en asiatique, mais malgré cela après un redémarrage ces derniers restent encore activés, étrange non?

De plus un nouveau dossier se trouve à la racine du disque C, c'est un dossier contenant un exe qui s'appelle Auction Defender, apparemment il s'agit encore d'un troyen

que faire ?

moment de grace · Answer

Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

Utilisateur anonyme · Answer

voila le rapport ZHPdiag
https://pjjoint.malekal.com/files.php?id=f05f92d4f7510

ps: des fois je me demande si c'est pas mieux de reformater, je suis les étapes puis je verrai bien

moment de grace · Answer

je crois que l'on va y venir....


Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (Ask Search) - http://websearch.ask.com    
O42 - Logiciel: AutocompletePro - (.Pas de propriétaire.) [HKLM] -- AutocompletePro3_is1    
[HKCU\Software\AutocompleteProBHO]    
[HKCU\Software\AutocompletePro]    
O43 - CFD: 14/02/2011 - 17:26:18 ----D- C:\Program Files\AutocompletePro  


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message 

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport 

redemarrer le pc pour que les suppressions soient effectives

gen-hackman · Answer

salut c'est quoi ca ? :

O4 - HKUS\S-1-5-18\..\RunOnce: [Suite] regedit -s c:\windows	emp\adj_hp.reg (.not file.) 
O4 - HKUS\S-1-5-18\..\RunOnce: [Suite] regedit -s c:\windows	emp\adj_hp.reg (.not file.) 

possible de lire un zhpdiag avec tout coché ?

Utilisateur anonyme · Answer

voici le rapport de ZHPfix

Rapport de ZHPFix 1.12.3244 par Nicolas Coolman, Update du 27/01/2011
Fichier d'export Registre : 
Run by Propriétaire at 28/02/2011 15:37:44
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis  => Clé supprimée avec succès
HKCU\Software\AutocompleteProBHO  => Clé supprimée avec succès
HKCU\Software\AutocompletePro  => Clé supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\AutocompletePro  => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: AutocompletePro - (.Pas de propriétaire.) [HKLM] -- AutocompletePro3_is1  => Logiciel supprimé avec succès


========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Dossier(s)
1 : Logiciel(s)


End of the scan

Utilisateur anonyme · Answer

Donc oui en effet on y est arrivé.
Je suis allé sur MSconfig, j'ai décoché les deux cases écrites en asiatique, après redémarrage de l'ordi, en effet elles ont carrément disparues. 

Je pense que tout est bon maintenant.

Utilisateur anonyme · Answer

Et pour internet explorer, je me suis pas cassé la tête, j'ai ouvert une autre session et j'ai récupéré l'icône.

moment de grace · Answer

ok

l'idée de gen n'est pas idiote

refais un nouveau ZHP en cochant toutes les options avant (tournevis en haut à droite je crois)

Utilisateur anonyme · Answer

Mais c'est bien de ZHPdiag dont tu me parles ? (car il y a aussi un tournevis dans ZHPfix)

Utilisateur anonyme · Answer

Je clique sur le tournevis de ZHPdiag, je coche toutes les options, mais ensuite ? 
Je vois pas ou cliquer ...

Utilisateur anonyme · Answer

Voici le rapport ZHPdiag demandé:
http://www.cijoint.fr/cjlink.php?file=cj201103/cijwvqobcc.txt

moment de grace · Answer

désinstalle spybot inutile et freine le pc

passe à avast 6

https://www.01net.com/actualites/avast-6-disponible-en-telechargement-528622.html

puis

Télécharge :ATF Cleaner par Atribune 
http://www.atribune.org/ccount/click.php?id=1

Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. 
Sous l'onglet Main, choisis : Select All 
Clique sur le bouton Empty Selected 
Si tu utilises le navigateur Firefox : 
Clique Firefox au haut et choisis : Select All 
Clique le bouton Empty Selected a 
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. 
Si tu utilises le navigateur Opera : 
Clique Opera au haut et choisis : Select All 
Clique le bouton Empty Selected 
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. 
Clique Exit, du menu prinicipal, afin de fermer le programme. 
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

Utilisateur anonyme · Answer

Je suis bien passé à la version 6 de avast. Et j'ai terminé avec l'outil ATF Cleaner.

moment de grace · Answer

si plus de soucis

=> résolu

Utilisateur anonyme · Answer

Résolu et merci beaucoup pour tout ce temps passé pour moi.

Utilisateur anonyme · Answer

Comment dois je faire pour marquer que c'est résolu

Virus Winnex

117 réponses

Discussions similaires