Es-ce que c'est bien nettoyé ? (worm)
Résolu/Fermé
joeledemago
Messages postés
9
Date d'inscription
mardi 8 février 2011
Statut
Membre
Dernière intervention
13 février 2011
-
Modifié par joeledemago le 12/02/2011 à 19:11
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 - 13 févr. 2011 à 15:53
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 - 13 févr. 2011 à 15:53
A voir également:
- Es-ce que c'est bien nettoyé ? (worm)
- 72 mbits s c'est bien ✓ - Forum WiFi
- Votre bien est toujours disponible faites le lui savoir ✓ - Forum Vos droits sur internet
- Tapez cette phrase, en respectant bien les espaces et la ponctuation. - Guide
- Roulement en 12h qui fonctionne bien - Télécharger - Outils professionnels
- Message le bon coin votre bien est toujours disponible - Forum Réseaux sociaux
15 réponses
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
13 févr. 2011 à 11:54
13 févr. 2011 à 11:54
Hello,
Non c'est pas "bien nettoyé", il a encore des traces de l'infection bagle..
@joeledemago, fais ceci :
▶▷▶▷▶▷▶▷▶▷ Findykill - Recherche ◁◀◁◀◁◀◁◀◁◀
Note : Ton PC est infecté par le ver bagle. Celui ci se propage essentiellement via le P2P.
◈ Télécharge Findykill ( d'El desaparecido ) sur ton bureau.
/!\ Branche toutes tes sources de données externes ( Clé USB, Disque dur externe, carte SD ) sur ton PC /!\
◈ Lance Findykill ( Utilisateurs de vista/seven -> Clic droit puis "Exécuter en tant qu'administrateur" ).
◈ Choisis la langue souhaitée ( F pour Français ) puis valide en appuyant sur Entrée.
◈ Au menu principal, choisis l'option n°1 ( Recherche ) puis patiente pendant le scan.
◈ A la fin du scan, un rapport s'ouvrira. Copie/Colle son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\FyK.txt
Non c'est pas "bien nettoyé", il a encore des traces de l'infection bagle..
@joeledemago, fais ceci :
▶▷▶▷▶▷▶▷▶▷ Findykill - Recherche ◁◀◁◀◁◀◁◀◁◀
Note : Ton PC est infecté par le ver bagle. Celui ci se propage essentiellement via le P2P.
◈ Télécharge Findykill ( d'El desaparecido ) sur ton bureau.
/!\ Branche toutes tes sources de données externes ( Clé USB, Disque dur externe, carte SD ) sur ton PC /!\
◈ Lance Findykill ( Utilisateurs de vista/seven -> Clic droit puis "Exécuter en tant qu'administrateur" ).
◈ Choisis la langue souhaitée ( F pour Français ) puis valide en appuyant sur Entrée.
◈ Au menu principal, choisis l'option n°1 ( Recherche ) puis patiente pendant le scan.
◈ A la fin du scan, un rapport s'ouvrira. Copie/Colle son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\FyK.txt
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
13 févr. 2011 à 15:38
13 févr. 2011 à 15:38
Ok c'est clean, on supprime les outils de désinfection utilisés et ensuite je te laisse partir ;-)
-+-+-+-+-> DelFix <-+-+-+-+-
[x] Télécharge DelFix sur ton bureau.
[x] Lance le et appuie sur [Suppression]
[x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
[x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation].
-+-+-+-+-> DelFix <-+-+-+-+-
[x] Télécharge DelFix sur ton bureau.
[x] Lance le et appuie sur [Suppression]
[x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
[x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation].
joeledemago
Messages postés
9
Date d'inscription
mardi 8 février 2011
Statut
Membre
Dernière intervention
13 février 2011
12 févr. 2011 à 20:44
12 févr. 2011 à 20:44
Merci Gabriel de t'interesser à ma question.
Voici le rapport demandé:
https://www.cjoint.com/?0cmuRy8HK48
Voici le rapport demandé:
https://www.cjoint.com/?0cmuRy8HK48
joeledemago
Messages postés
9
Date d'inscription
mardi 8 février 2011
Statut
Membre
Dernière intervention
13 février 2011
Modifié par joeledemago le 13/02/2011 à 11:19
Modifié par joeledemago le 13/02/2011 à 11:19
Bonjour,
Me revoici avec les éléments demandés.
En premier je souhaiterais te soumettre la copie d'écran des programmes de démarrage car il y a deux entrées que je ne m'explique pas, peux tu m'en dire plus ?
Voici la copie d'écran: http://www.cijoint.fr/cjlink.php?file=cj201102/cijDXLPrMq.jpg
Ensuite, voici le rapport ad-remover:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijE13LgoP.txt
Et le rapport list&Kill:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijl9RXHSr.txt
Merci d'avance, et bon dimanche.
Me revoici avec les éléments demandés.
En premier je souhaiterais te soumettre la copie d'écran des programmes de démarrage car il y a deux entrées que je ne m'explique pas, peux tu m'en dire plus ?
Voici la copie d'écran: http://www.cijoint.fr/cjlink.php?file=cj201102/cijDXLPrMq.jpg
Ensuite, voici le rapport ad-remover:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijE13LgoP.txt
Et le rapport list&Kill:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijl9RXHSr.txt
Merci d'avance, et bon dimanche.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
joeledemago
Messages postés
9
Date d'inscription
mardi 8 février 2011
Statut
Membre
Dernière intervention
13 février 2011
13 févr. 2011 à 12:12
13 févr. 2011 à 12:12
Voila le rapport FindyKill:
(merci beaucoup à la communauté pour votre assistance)
############################## | FindyKill V5.052 |
# User : Administrateur (Administrateurs) # PCPOWER20
# Update on 23/10/2010 by El Desaparecido
# Start at: 12:08:58 | 13/02/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org
# Intel(R) Pentium(R) D CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83952505 [ Enabled | Updated ]
# C:\ # Disque fixe local # 148,96 Go (107,46 Go free) # NTFS
# D:\ # Disque CD-ROM
# Y:\ # Connexion réseau
# Z:\ # Connexion réseau
################## | Eléments infectieux |
C:\WINDOWS\ban_list.txt
C:\WINDOWS\prefetch\WINUPGRO.EXE-1C461ECB.pf
C:\WINDOWS\system32\ban_list.txt
C:\Documents and Settings\Administrateur\Application Data\drivers
################## | Registre |
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]
[HKCU\Software\MuleAppData]
[HKCU\Software\WS33]
[HKCU\Software\WS35]
[HKCU\Software\Classes\ed2k]
[HKCR\ed2k]
[HKCU\Software\Microsoft\Windows\UI] "KEY540534"
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\Microsoft\Windows\UI] "KEY540534"
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\FFC]
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.052 ! |
(merci beaucoup à la communauté pour votre assistance)
############################## | FindyKill V5.052 |
# User : Administrateur (Administrateurs) # PCPOWER20
# Update on 23/10/2010 by El Desaparecido
# Start at: 12:08:58 | 13/02/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org
# Intel(R) Pentium(R) D CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83952505 [ Enabled | Updated ]
# C:\ # Disque fixe local # 148,96 Go (107,46 Go free) # NTFS
# D:\ # Disque CD-ROM
# Y:\ # Connexion réseau
# Z:\ # Connexion réseau
################## | Eléments infectieux |
C:\WINDOWS\ban_list.txt
C:\WINDOWS\prefetch\WINUPGRO.EXE-1C461ECB.pf
C:\WINDOWS\system32\ban_list.txt
C:\Documents and Settings\Administrateur\Application Data\drivers
################## | Registre |
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]
[HKCU\Software\MuleAppData]
[HKCU\Software\WS33]
[HKCU\Software\WS35]
[HKCU\Software\Classes\ed2k]
[HKCR\ed2k]
[HKCU\Software\Microsoft\Windows\UI] "KEY540534"
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\Microsoft\Windows\UI] "KEY540534"
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\FFC]
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.052 ! |
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
13 févr. 2011 à 12:13
13 févr. 2011 à 12:13
Pas de problèmes. On va maintenant passer à la suppression des éléments infectieux :
▶▷▶▷▶▷▶▷▶▷ Findykill - Suppression ◁◀◁◀◁◀◁◀◁◀
◈ Relance Findykill en choisissant cette fois ci l'option n°2 ( Suppression ).
◈ Le PC va redémarrer et findykill se lancera au démarrage.
◈ Patiente pendant le scan jusqu'à l'ouverture d'un rapport.
◈ Copie/Colle le contenu du rapport dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\FyK.txt
▶▷▶▷▶▷▶▷▶▷ Findykill - Suppression ◁◀◁◀◁◀◁◀◁◀
◈ Relance Findykill en choisissant cette fois ci l'option n°2 ( Suppression ).
◈ Le PC va redémarrer et findykill se lancera au démarrage.
◈ Patiente pendant le scan jusqu'à l'ouverture d'un rapport.
◈ Copie/Colle le contenu du rapport dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\FyK.txt
joeledemago
Messages postés
9
Date d'inscription
mardi 8 février 2011
Statut
Membre
Dernière intervention
13 février 2011
13 févr. 2011 à 13:15
13 févr. 2011 à 13:15
Est il possible également de me dire à quoi peuvent correspondre ces entrées et si elles sont valides ?
http://www.cijoint.fr/cjlink.php?file=cj201102/cijDXLPrMq.jpg
Sinon voilà le rapport FindyKill après nettoyage :
(encore merci)
############################## | FindyKill V5.052 |
# User : Administrateur (Administrateurs) # PCPOWER20
# Update on 23/10/2010 by El Desaparecido
# Start at: 12:26:15 | 13/02/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org
# Intel(R) Pentium(R) D CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83952505 [ Enabled | Updated ]
# C:\ # Disque fixe local # 148,96 Go (107,46 Go free) # NTFS
# D:\ # Disque CD-ROM
# Y:\ # Connexion réseau
# Z:\ # Connexion réseau
################## | Eléments infectieux |
Supprimé ! C:\WINDOWS\ban_list.txt
Supprimé ! C:\WINDOWS\prefetch\WINUPGRO.EXE-1C461ECB.pf
Supprimé ! C:\Documents and Settings\Administrateur\Application Data\drivers
################## | CRC32 ... |
################## | Registre |
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]
Supprimé ! [HKCU\Software\MuleAppData]
Supprimé ! [HKCU\Software\WS33]
Supprimé ! [HKCU\Software\WS35]
Supprimé ! [HKCU\Software\Classes\ed2k]
Supprimé ! [HKCR\ed2k]
Supprimé ! [HKCU\Software\Microsoft\Windows\UI] "KEY540534"
Supprimé ! [HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\FFC]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Mode sans echec : OK
http://www.cijoint.fr/cjlink.php?file=cj201102/cijDXLPrMq.jpg
Sinon voilà le rapport FindyKill après nettoyage :
(encore merci)
############################## | FindyKill V5.052 |
# User : Administrateur (Administrateurs) # PCPOWER20
# Update on 23/10/2010 by El Desaparecido
# Start at: 12:26:15 | 13/02/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org
# Intel(R) Pentium(R) D CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83952505 [ Enabled | Updated ]
# C:\ # Disque fixe local # 148,96 Go (107,46 Go free) # NTFS
# D:\ # Disque CD-ROM
# Y:\ # Connexion réseau
# Z:\ # Connexion réseau
################## | Eléments infectieux |
Supprimé ! C:\WINDOWS\ban_list.txt
Supprimé ! C:\WINDOWS\prefetch\WINUPGRO.EXE-1C461ECB.pf
Supprimé ! C:\Documents and Settings\Administrateur\Application Data\drivers
################## | CRC32 ... |
################## | Registre |
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]
Supprimé ! [HKCU\Software\MuleAppData]
Supprimé ! [HKCU\Software\WS33]
Supprimé ! [HKCU\Software\WS35]
Supprimé ! [HKCU\Software\Classes\ed2k]
Supprimé ! [HKCR\ed2k]
Supprimé ! [HKCU\Software\Microsoft\Windows\UI] "KEY540534"
Supprimé ! [HKU\S-1-5-21-337365780-201709527-3431199812-500\Software\FFC]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Mode sans echec : OK
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
13 févr. 2011 à 13:37
13 févr. 2011 à 13:37
Ok pour Findykill. Aucune idée pour les entrées msconfig, j'ai rien vu dans le dernier rapport ZHPDiag.
D'ailleurs, peux-tu m'en refaire un maintenant ?
D'ailleurs, peux-tu m'en refaire un maintenant ?
joeledemago
Messages postés
9
Date d'inscription
mardi 8 février 2011
Statut
Membre
Dernière intervention
13 février 2011
13 févr. 2011 à 14:25
13 févr. 2011 à 14:25
OK, voici le dernier ZHPDiag: http://www.cijoint.fr/cjlink.php?file=cj201102/cijXytoJH1.txt
J'avais désactivé les points de restauration, puis-je les réactiver à ton avis ?
Merci encore.
J'avais désactivé les points de restauration, puis-je les réactiver à ton avis ?
Merci encore.
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
13 févr. 2011 à 14:41
13 févr. 2011 à 14:41
Ok il y a encore quelques éléments à supprimer, une fois ceci fais tu pourras réactiver la restauration système.
▶▷▶▷▶▷▶▷▶▷ ZHPFix ◁◀◁◀◁◀◁◀◁◀
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
◈ Copie le texte en gras ci-dessous ( CTRL + C pour copier )
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} Clé orpheline
R3 - URLSearchHook: (no name) - EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline
O44 - LFC:[MD5.095BB1C8ABA0D2867E720D6F229BB6DD] - 13/02/2011 - 10:37:32 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[1].txt [4157]
O51 - MPSK:{d817f47f-bf6a-11dc-a462-001aa02672c2}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\OOoPS.exe (.not file.)
O64 - Services: CurCS - (.not file.) - AVGIDSEH (AVGIDSEH) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGIDSEH
O44 - LFC:[MD5.8737F6F4C8EC1E2A9EA5516F1B3AE1AD] - 12/02/2011 - 11:42:52 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\002935_.tmp [19569] =>
[HKCU\Software\WS22]
[HKCU\Software\WS4971]
[HKCU\Software\WS]
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
◈ Lance ZHPFix qui est présent sur ton bureau.
◈ Clique sur le "H" bleu ( Coller les lignes Helper )
◈ Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.
◈ Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]
◈ Clique maintenant sur [Tous] , puis sur [Nettoyer]
◈ Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
◈ Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
▶▷▶▷▶▷▶▷▶▷ ZHPFix ◁◀◁◀◁◀◁◀◁◀
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
◈ Copie le texte en gras ci-dessous ( CTRL + C pour copier )
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} Clé orpheline
R3 - URLSearchHook: (no name) - EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline
O44 - LFC:[MD5.095BB1C8ABA0D2867E720D6F229BB6DD] - 13/02/2011 - 10:37:32 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[1].txt [4157]
O51 - MPSK:{d817f47f-bf6a-11dc-a462-001aa02672c2}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\OOoPS.exe (.not file.)
O64 - Services: CurCS - (.not file.) - AVGIDSEH (AVGIDSEH) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGIDSEH
O44 - LFC:[MD5.8737F6F4C8EC1E2A9EA5516F1B3AE1AD] - 12/02/2011 - 11:42:52 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\002935_.tmp [19569] =>
[HKCU\Software\WS22]
[HKCU\Software\WS4971]
[HKCU\Software\WS]
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
◈ Lance ZHPFix qui est présent sur ton bureau.
◈ Clique sur le "H" bleu ( Coller les lignes Helper )
◈ Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.
◈ Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]
◈ Clique maintenant sur [Tous] , puis sur [Nettoyer]
◈ Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
◈ Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
joeledemago
Messages postés
9
Date d'inscription
mardi 8 février 2011
Statut
Membre
Dernière intervention
13 février 2011
13 févr. 2011 à 15:19
13 févr. 2011 à 15:19
Voici le rapport ZHPFix:
Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-13-02-2011-15-19-26.txt
Run by Administrateur at 13/02/2011 15:19:26
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O51 - MPSK:{d817f47f-bf6a-11dc-a462-001aa02672c2}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\OOoPS.exe (.not file.) => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - AVGIDSEH (AVGIDSEH) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGIDSEH => Clé supprimée avec succès
HKCU\Software\WS22 => Clé supprimée avec succès
HKCU\Software\WS4971 => Clé supprimée avec succès
HKCU\Software\WS => Clé supprimée avec succès
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} Clé orpheline => Valeur absente
R3 - URLSearchHook: (no name) - EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline => Valeur absente
========== Fichier(s) ==========
c:\ad-report-clean[1].txt => Supprimé et mis en quarantaine
c:\windows\002935_.tmp => Supprimé et mis en quarantaine
========== Récapitulatif ==========
6 : Clé(s) du Registre
2 : Valeur(s) du Registre
2 : Fichier(s)
End of the scan
Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-13-02-2011-15-19-26.txt
Run by Administrateur at 13/02/2011 15:19:26
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O51 - MPSK:{d817f47f-bf6a-11dc-a462-001aa02672c2}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\OOoPS.exe (.not file.) => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - AVGIDSEH (AVGIDSEH) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGIDSEH => Clé supprimée avec succès
HKCU\Software\WS22 => Clé supprimée avec succès
HKCU\Software\WS4971 => Clé supprimée avec succès
HKCU\Software\WS => Clé supprimée avec succès
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} Clé orpheline => Valeur absente
R3 - URLSearchHook: (no name) - EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline => Valeur absente
========== Fichier(s) ==========
c:\ad-report-clean[1].txt => Supprimé et mis en quarantaine
c:\windows\002935_.tmp => Supprimé et mis en quarantaine
========== Récapitulatif ==========
6 : Clé(s) du Registre
2 : Valeur(s) du Registre
2 : Fichier(s)
End of the scan
joeledemago
Messages postés
9
Date d'inscription
mardi 8 février 2011
Statut
Membre
Dernière intervention
13 février 2011
13 févr. 2011 à 15:49
13 févr. 2011 à 15:49
Super, merci beaucoup pour ton support et ta disponibilité.
Bonne fin de WE,
Julien
Rapport DelFix:
# DelFix v7.4 - Rapport créé le 13/02/2011 à 15:47
# Mis à jour le 09/02/11 à 23h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Administrateur - PCPOWER20 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
Supprimé : C:\FyK
Supprimé : C:\Kill'em
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\List_Kill'em
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\List'em.txt
Supprimé : C:\FyK.txt
Supprimé : C:\ZHPExportRegistry-13-02-2011-15-19-26.txt
Supprimé : C:\Documents and Settings\Administrateur\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Administrateur\Bureau\ZHPFixReport.txt
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E88BA4E8-6B36-4D39-9499-C10B439819E1}_is1
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
########## EOF - "C:\DelFixSuppr.txt" - [1589 octets] ##########
Bonne fin de WE,
Julien
Rapport DelFix:
# DelFix v7.4 - Rapport créé le 13/02/2011 à 15:47
# Mis à jour le 09/02/11 à 23h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Administrateur - PCPOWER20 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
Supprimé : C:\FyK
Supprimé : C:\Kill'em
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\List_Kill'em
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\List'em.txt
Supprimé : C:\FyK.txt
Supprimé : C:\ZHPExportRegistry-13-02-2011-15-19-26.txt
Supprimé : C:\Documents and Settings\Administrateur\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Administrateur\Bureau\ZHPFixReport.txt
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E88BA4E8-6B36-4D39-9499-C10B439819E1}_is1
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
########## EOF - "C:\DelFixSuppr.txt" - [1589 octets] ##########
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
13 févr. 2011 à 15:53
13 févr. 2011 à 15:53
Pas de problèmes :)
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
12 févr. 2011 à 19:40
12 févr. 2011 à 19:40
Bonsoir,
Ça a l'air pas mal, mais fait ceci :
----->ZHPDIAG<-----
/!\ utilisateur de vista et seven, désactiver l'UAC ( https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac )./!\
/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\
? Télécharge zhpdiag ( https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ) (de Nicolas Coolman)
? Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
> /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\
? Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
? attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour
? Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
? Héberge le rapport ZHPDiag.txt sur cjoint ( https://www.cjoint.com/ ), puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Voilà.
Merci,
Gabriel.
Ça a l'air pas mal, mais fait ceci :
----->ZHPDIAG<-----
/!\ utilisateur de vista et seven, désactiver l'UAC ( https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac )./!\
/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\
? Télécharge zhpdiag ( https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ) (de Nicolas Coolman)
? Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
> /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\
? Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
? attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour
? Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
? Héberge le rapport ZHPDiag.txt sur cjoint ( https://www.cjoint.com/ ), puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Voilà.
Merci,
Gabriel.
2011N2
Messages postés
13352
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
917
12 févr. 2011 à 20:47
12 févr. 2011 à 20:47
Ce rapport est ok, maintenant, fait ceci :
1) passes ad-remover mode NETTOYER
Déactives ton anti-virus et anti-spyware le temps du scan
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge Ad-Remover sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html
ou:
https://www.androidworld.fr/
/!\ Ferme toutes tes applications ouvertes. /!\
Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
( Le rapport est sauvegardé sous C:\Ad-report-clean.log )
2) postes un list&kill"em
passes lis&kill"em option Search
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
Télécharge List_Kill'em ( http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe ) et enregistre le sur ton bureau
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
Executer List_Kill'em
une fois terminée , clic sur "terminer"
lance-le via le raccourci apparu sur ton bureau comme précité au debut
choisis l'option Search
laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier C:\List'em.txt
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Fais de même avec more.txt qui se trouve sur ton bureau
Gabriel.
1) passes ad-remover mode NETTOYER
Déactives ton anti-virus et anti-spyware le temps du scan
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge Ad-Remover sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html
ou:
https://www.androidworld.fr/
/!\ Ferme toutes tes applications ouvertes. /!\
Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
( Le rapport est sauvegardé sous C:\Ad-report-clean.log )
2) postes un list&kill"em
passes lis&kill"em option Search
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
Télécharge List_Kill'em ( http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe ) et enregistre le sur ton bureau
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
Executer List_Kill'em
une fois terminée , clic sur "terminer"
lance-le via le raccourci apparu sur ton bureau comme précité au debut
choisis l'option Search
laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier C:\List'em.txt
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Fais de même avec more.txt qui se trouve sur ton bureau
Gabriel.