programme au démarage récalcitrant Fermé

Question

Bonjour à vous tous, 
sur un pc que j'ai nettoyé avec bit defender total sécurity, car très rapidement après démarrage en mode utilisateur, il passais en blue screen
alors qu'en administrateur, on avait la main.

donc une fois le nettoyage fait et alors que le problème de blus screen semble résolue, sur msconfig j'ai désactivé plein de chose inutile au démarrage mais 2 lignes me semble suspect et l'une d'entre elle se réactive à chaque démarrage

celle qui résiste a pour nom de fichier : Ncorecon.dll

la seconde qui est désactivé est grneowhiska.exe

voila merci pour votre aide




Configuration: Windows 7 / Firefox 3.6.13

juju666 · Answer

Salut,

ça sent le rogue ça...

&#9654 Télécharge sur le bureau RogueKiller  (par tigzy) 

&#9654 &#9654 (Sous Vista/Seven, clique droit, lancer en tant qu'administrateur ) 

&#9654 Quitte tous tes programmes en cours 
&#9654 Lance RogueKiller.exe. 
&#9654 Un scan se lance, puis tu verra d'indiqué dans la fenêtre
&#9654 &#9654 1. Scan
&#9654 &#9654 2. Delete (écrit en rouge)
&#9654 &#9654 3. Hosts Fix (écrit en rouge)
&#9654  A ce moment tape 2 et valide 
&#9654 Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
&#9654  Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.  

Note: s'il te demande de supprimer le proxy, tape 1 

Ensuite:

&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau.

&#9654 &#9654 Miroir 1 si inaccessible 
&#9654 &#9654 Miroir 2 si inaccessible

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur » 

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation. 
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour 
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte 
&#9654  Une fois la mise à jour terminée 
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher 
&#9654 &#9654 Le scan démarre. 
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
&#9654 Clique sur Ok pour poursuivre. 
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!! 
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log 
&#9654 Tu clique dessus pour l'afficher, une fois affiché 
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  

Pour terminer:

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

@+

jeromece · Answer

merci 
je fait tout ça, je mis met

jeromece · Answer

voici les 2 rapport RKreport : RogueKiller V3.10.0 by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows 7 (6.1.7600 ) 32 bits version Started in : Normal mode User: Magali [Admin rights] Mode: Remove -- Time : 16/02/2011 00:07:09 Bad processes: Deregistred: HKCU\...\RUN\ Fhiluvarukuru : rundll32.exe "F:\USERS\Magali\AppData\Local\Ncorecon.dll",Startup HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:18810 ...NOT REMOVED, USE PROXYFIX HOSTS File: Finished et le mbmam Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Version de la base de données: 5769 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 16/02/2011 06:26:21 mbam-log-2011-02-16 (06-26-21).txt Type d'examen: Examen complet (C:\|E:\|F:\|G:\|) Elément(s) analysé(s): 440683 Temps écoulé: 2 heure(s), 16 minute(s), 34 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 1 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 1 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 4 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): f:\Users\Magali\AppData\Local\Ncorecon.dll (Trojan.Hiloti.Gen) -> Delete on reboot. Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Trojan.FakeAlert) -> Bad: (makvfnwj.dll) Good: () -> Quarantined and deleted successfully. Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): f:\Users\Magali\AppData\Local\Ncorecon.dll (Trojan.Hiloti.Gen) -> Delete on reboot. c:\Windows\System32\makvfnwj.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. c:\Windows\Temp\xcgv\setup.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. f:\Users\Magali\Desktop\utilitaires\removewat.exe (HackTool.Wpakill) -> Quarantined and deleted successfully.

Tigzy · Answer

Salut vous 2
J'aurais besoin de récupérer la quantaine de Malwabytes, ne la vide pas stp.

J'aimerai comprendre pourquoi la DLL n'a pas été tuée par RogueKiller

Tigzy · Answer

* Si tu ne l'as pas déjà, Télécharger et installer Winrar 

* Copier ce texte en gras: 

 
@setlocal 
echo Compression du dossier... 
@echo off 
set path="%ProgramFiles%\WinRAR\";%path% 
rar a -r -hpinfected "%UserProfile%\Desktop\Backup" "%AppData%\Malwarebytes\Malwarebytes' Anti-Malware" 
echo Compression ok ... Le fichier se trouve sur le bureau 
pause 
 

* Ouvrir un bloc note, coller le texte dedans. 
* Sauvegarder le fichier sur le bureau avec le nom test.bat  (faire dérouler le type et mettre sur "tous les fichiers") 
* Lancer le fichier test.bat 
* Une archive Backup a été créée sur le bureau , l'heberger ici: Lien 

* Me Donner le lien par MP

Contributeur SECURITE *** Développeur de RogueKiller *** 
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil

jeromece · Answer

je suis au boulot
je ferais ça s'en faute ce soir
merci

juju666 · Answer

Salut Tigzy

Content de t'avoir vu ;)

@jeromece: 

Quand tu auras fait ce que t'as demandé Tigzy, passe à ZHPDiag afin que je puisse juger de l'état actuel du pc 

++

jeromece · Answer

tigzy, le test.bat ne peux créer l'archive
voici le message
impossible de créer f:\USERS\Magali\bureau\Backup.rar

jeromece · Answer

juju666
j'ai essayé de mettre le rapport de zhpdiag sur le site ci-joint mais ça plantais systématiquement
le fichier doit être trop lourd
donc je l'ai cassé en 3 partie mais seul la 1 et la 3 sont bien passé
1er partie
http://www.cijoint.fr/cjlink.php?file=cj201102/cijkSluMsI.txt
2eme partie
j'essaie de déposer cette partie


3eme partie
http://www.cijoint.fr/cjlink.php?file=cj201102/cijQjuM0iq.txt

jeromece · Answer

pour la deuxième partie

---\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 - CFD: 02/08/2010 - 21:41:06 ----D- C:\Program Files\7-Zip
O43 - CFD: 28/10/2010 - 22:55:18 ----D- C:\Program Files\Adobe
O43 - CFD: 15/02/2011 - 22:21:26 ----D- C:\Program Files\Alwil Software
O43 - CFD: 29/10/2010 - 21:21:56 ----D- C:\Program Files\Apple Software Update
O43 - CFD: 15/02/2011 - 19:00:14 ----D- C:\Program Files\BitDefender
O43 - CFD: 29/10/2010 - 21:21:24 ----D- C:\Program Files\Bonjour
O43 - CFD: 08/10/2010 - 19:09:28 ----D- C:\Program Files\Canal+
O43 - CFD: 09/08/2010 - 22:56:08 ----D- C:\Program Files\CDBurnerXP
O43 - CFD: 15/02/2011 - 18:57:30 ----D- C:\Program Files\Common Files
O43 - CFD: 02/08/2010 - 21:42:20 ----D- C:\Program Files\DVD Maker
O43 - CFD: 12/09/2010 - 18:08:02 ----D- C:\Program Files\ffdshow
O43 - CFD: 08/08/2010 - 11:46:22 ----D- C:\Program Files\Google
O43 - CFD: 10/08/2010 - 20:17:18 ----D- C:\Program Files\HP
O43 - CFD: 08/08/2010 - 12:47:20 ----D- C:\Program Files\IncrediMail
O43 - CFD: 24/08/2010 - 18:47:48 --H-D- C:\Program Files\InstallShield Installation Information
O43 - CFD: 08/08/2010 - 21:10:24 ----D- C:\Program Files\Intel
O43 - CFD: 13/02/2011 - 21:59:40 ----D- C:\Program Files\Internet Explorer
O43 - CFD: 29/10/2010 - 21:22:52 ----D- C:\Program Files\iPod
O43 - CFD: 31/10/2010 - 00:00:24 ----D- C:\Program Files\iTunes
O43 - CFD: 06/02/2011 - 10:02:00 ----D- C:\Program Files\Java
O43 - CFD: 11/02/2011 - 21:02:00 ----D- C:\Program Files\JDownloader
O43 - CFD: 16/02/2011 - 00:07:52 ----D- C:\Program Files\Malwarebytes' Anti-Malware
O43 - CFD: 23/11/2010 - 07:09:22 ----D- C:\Program Files\Messenger Plus! Live
O43 - CFD: 08/08/2010 - 13:31:38 ----D- C:\Program Files\Microsoft
O43 - CFD: 14/07/2009 - 08:50:26 ----D- C:\Program Files\Microsoft Games
O43 - CFD: 14/02/2011 - 09:11:00 ----D- C:\Program Files\Microsoft Money 2005
O43 - CFD: 10/08/2010 - 06:28:24 ----D- C:\Program Files\Microsoft Office
O43 - CFD: 09/08/2010 - 22:12:10 ----D- C:\Program Files\Microsoft Office Outlook Connector
O43 - CFD: 27/12/2010 - 09:04:14 ----D- C:\Program Files\Microsoft Silverlight
O43 - CFD: 03/08/2010 - 20:44:10 ----D- C:\Program Files\Microsoft SQL Server Compact Edition
O43 - CFD: 03/08/2010 - 20:44:46 ----D- C:\Program Files\Microsoft Sync Framework
O43 - CFD: 03/08/2010 - 19:23:36 ----D- C:\Program Files\Microsoft Visual Studio
O43 - CFD: 03/08/2010 - 21:23:20 ----D- C:\Program Files\Microsoft Works
O43 - CFD: 03/08/2010 - 19:44:48 ----D- C:\Program Files\Microsoft.NET
O43 - CFD: 16/02/2011 - 00:05:20 ----D- C:\Program Files\Mozilla Firefox
O43 - CFD: 14/07/2009 - 05:52:32 ----D- C:\Program Files\MSBuild
O43 - CFD: 11/08/2010 - 14:57:28 ----D- C:\Program Files\MSXML 4.0
O43 - CFD: 03/08/2010 - 20:06:52 ----D- C:\Program Files\PhotoMail Maker
O43 - CFD: 29/10/2010 - 21:22:10 ----D- C:\Program Files\QuickTime
O43 - CFD: 14/07/2009 - 05:52:32 ----D- C:\Program Files\Reference Assemblies
O43 - CFD: 11/08/2010 - 19:14:00 ----D- C:\Program Files\Registrar Registry Manager
O43 - CFD: 02/08/2010 - 20:39:18 ----D- C:\Program Files\TeamViewer
O43 - CFD: 11/08/2010 - 18:16:28 ----D- C:\Program Files\TuneUp Utilities 2009
O43 - CFD: 14/07/2009 - 05:53:24 --H-D- C:\Program Files\Uninstall Information
O43 - CFD: 24/08/2010 - 18:47:22 ----D- C:\Program Files\VIA
O43 - CFD: 12/09/2010 - 18:12:24 ----D- C:\Program Files\VideoLAN
O43 - CFD: 11/11/2010 - 15:51:50 ----D- C:\Program Files\VSO
O43 - CFD: 02/08/2010 - 21:42:20 ----D- C:\Program Files\Windows Defender
O43 - CFD: 02/08/2010 - 21:42:20 ----D- C:\Program Files\Windows Journal
O43 - CFD: 09/08/2010 - 22:11:28 ----D- C:\Program Files\Windows Live
O43 - CFD: 03/08/2010 - 20:43:12 ----D- C:\Program Files\Windows Live SkyDrive
O43 - CFD: 27/12/2010 - 09:04:20 ----D- C:\Program Files\Windows Mail
O43 - CFD: 28/10/2010 - 15:15:36 ----D- C:\Program Files\Windows Media Player
O43 - CFD: 14/07/2009 - 05:52:32 ----D- C:\Program Files\Windows NT
O43 - CFD: 02/08/2010 - 21:42:20 ----D- C:\Program Files\Windows Photo Viewer
O43 - CFD: 14/07/2009 - 05:52:34 ----D- C:\Program Files\Windows Portable Devices
O43 - CFD: 02/08/2010 - 21:42:20 ----D- C:\Program Files\Windows Sidebar
O43 - CFD: 16/02/2011 - 21:18:36 ----D- C:\Program Files\WinRAR
O43 - CFD: 10/08/2010 - 20:09:02 ----D- C:\Program Files\Yahoo!
O43 - CFD: 16/02/2011 - 21:26:14 ----D- C:\Program Files\ZHPDiag
O43 - CFD: 28/10/2010 - 22:55:36 ----D- C:\Program Files\Common Files\Adobe
O43 - CFD: 29/11/2010 - 19:21:42 ----D- C:\Program Files\Common Files\Adobe AIR
O43 - CFD: 09/08/2010 - 22:09:02 ----D- C:\Program Files\Common Files\Adobe Systems Shared
O43 - CFD: 29/10/2010 - 21:22:52 ----D- C:\Program Files\Common Files\Apple
O43 - CFD: 15/02/2011 - 19:00:18 ----D- C:\Program Files\Common Files\BitDefender
O43 - CFD: 03/08/2010 - 19:23:46 ----D- C:\Program Files\Common Files\DESIGNER
O43 - CFD: 10/08/2010 - 20:04:22 ----D- C:\Program Files\Common Files\Hewlett-Packard
O43 - CFD: 10/08/2010 - 20:03:56 ----D- C:\Program Files\Common Files\HP
O43 - CFD: 24/08/2010 - 18:46:34 ----D- C:\Program Files\Common Files\InstallShield
O43 - CFD: 09/08/2010 - 22:21:04 ----D- C:\Program Files\Common Files\microsoft shared
O43 - CFD: 14/07/2009 - 03:37:06 ----D- C:\Program Files\Common Files\Services
O43 - CFD: 14/07/2009 - 03:37:06 ----D- C:\Program Files\Common Files\SpeechEngines
O43 - CFD: 03/08/2010 - 20:45:34 ----D- C:\Program Files\Common Files\System
O43 - CFD: 03/08/2010 - 20:26:34 ----D- C:\Program Files\Common Files\Windows Live
O43 - CFD: 28/10/2010 - 22:55:36 ----D- C:\ProgramData\Adobe
O43 - CFD: 02/08/2010 - 21:16:42 ----D- C:\ProgramData\Alwil Software
O43 - CFD: 09/08/2010 - 22:51:54 ----D- C:\ProgramData\Apple
O43 - CFD: 29/10/2010 - 21:22:04 ----D- C:\ProgramData\Apple Computer
O43 - CFD: 14/07/2009 - 05:53:56 -SH-D- C:\ProgramData\Application Data
O43 - CFD: 15/02/2011 - 19:17:42 ----D- C:\ProgramData\BitDefender
O43 - CFD: 09/08/2010 - 22:56:16 ----D- C:\ProgramData\Canneverbe Limited
O43 - CFD: 14/07/2009 - 05:53:56 -SH-D- C:\ProgramData\Desktop
O43 - CFD: 14/07/2009 - 05:53:56 -SH-D- C:\ProgramData\Documents
O43 - CFD: 14/07/2009 - 05:53:56 -SH-D- C:\ProgramData\Favorites
O43 - CFD: 08/08/2010 - 11:46:16 ----D- C:\ProgramData\Google
O43 - CFD: 08/08/2010 - 11:45:28 ----D- C:\ProgramData\Google Updater
O43 - CFD: 24/08/2010 - 18:18:08 ----D- C:\ProgramData\Hewlett-Packard
O43 - CFD: 04/09/2010 - 07:34:34 ----D- C:\ProgramData\HP
O43 - CFD: 10/08/2010 - 20:06:00 ----D- C:\ProgramData\HP Product Assistant
O43 - CFD: 03/08/2010 - 20:06:56 ----D- C:\ProgramData\IM
O43 - CFD: 03/08/2010 - 20:06:14 ----D- C:\ProgramData\IncrediMail
O43 - CFD: 09/08/2010 - 22:09:18 ----D- C:\ProgramData\Macrovision
O43 - CFD: 16/02/2011 - 00:07:48 ----D- C:\ProgramData\Malwarebytes
O43 - CFD: 09/08/2010 - 23:08:56 ----D- C:\ProgramData\Messenger Plus!
O43 - CFD: 24/08/2010 - 18:18:18 -S--D- C:\ProgramData\Microsoft
O43 - CFD: 03/08/2010 - 20:06:52 ----D- C:\ProgramData\PhotoMail
O43 - CFD: 14/07/2009 - 05:53:56 -SH-D- C:\ProgramData\Start Menu
O43 - CFD: 14/07/2009 - 05:53:56 -SH-D- C:\ProgramData\Templates
O43 - CFD: 09/08/2010 - 22:41:42 ----D- C:\ProgramData\TuneUp Software
O43 - CFD: 24/08/2010 - 18:19:16 ----D- C:\ProgramData\WEBREG
O43 - CFD: 15/02/2011 - 18:48:14 ----D- C:\ProgramData\Yahoo! Companion
O43 - CFD: 26/08/2010 - 19:03:44 ----D- C:\ProgramData\Zylom
O43 - CFD: 09/08/2010 - 22:31:16 ----D- C:\Users\Magali\AppData\Roaming\Adobe
O43 - CFD: 09/08/2010 - 22:54:54 ----D- C:\Users\Magali\AppData\Roaming\Apple Computer
O43 - CFD: 09/08/2010 - 22:56:18 ----D- C:\Users\Magali\AppData\Roaming\Canneverbe Limited
O43 - CFD: 08/08/2010 - 12:57:54 ----D- C:\Users\Magali\AppData\Roaming\Google
O43 - CFD: 02/08/2010 - 20:10:32 ----D- C:\Users\Magali\AppData\Roaming\Identities
O43 - CFD: 03/08/2010 - 19:56:46 ----D- C:\Users\Magali\AppData\Roaming\Macromedia
O43 - CFD: 14/07/2009 - 08:48:46 ----D- C:\Users\Magali\AppData\Roaming\Media Center Programs
O43 - CFD: 10/08/2010 - 05:59:46 -S--D- C:\Users\Magali\AppData\Roaming\Microsoft
O43 - CFD: 02/08/2010 - 20:39:32 ----D- C:\Users\Magali\AppData\Roaming\TeamViewer
O43 - CFD: 09/08/2010 - 22:42:04 ----D- C:\Users\Magali\AppData\Roaming\TuneUp Software
O43 - CFD: 10/08/2010 - 20:09:00 ----D- C:\Users\Magali\AppData\Roaming\Yahoo!

jeromece · Answer

les 044 j'ai due mal a les mettres

---\ Déni du service (Local Security Authority) (O48)
O48 - LSA:Local Security Authority Authentication Packages . (.Microsoft Corporation - Microsoft Authentication Package v1.0.) -- C:\Windows\System32\msv1_0.dll
O48 - LSA:Local Security Authority Notification Packages . (.Microsoft Corporation - Moteur du client de l'Éditeur de configuration de sécurité Windows.) -- C:\Windows\System32\scecli.dll
O48 - LSA:Local Security Authority Security Packages . (.Microsoft Corporation - Microsoft Authentication Package v1.0.) -- C:\Windows\System32\msv1_0.dll


---\ MountPoints2 Shell Key (O51)
O51 - MPSK:{6d85df90-a2e6-11df-952b-806e6f6e6963}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- H:\Password.exe (.not file.)



---\ Trojan Driver Search Data (HKLM) (O52)
O52 - TDSD: \Drivers32\"msacm.l3acm"="C:\Windows\System32\l3codeca.acm" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Layer-3 Audio Codec for MSACM.) -- C:\Windows\System32\l3codeca.acm
O52 - TDSD: \Drivers32\"vidc.cvid"="iccvid.dll" . (.Radius Inc. - Codec Cinepak®.) -- C:\Windows\System32\iccvid.dll
O52 - TDSD: \Drivers32\"VIDC.FFDS"="ff_vfw.dll" . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\ff_vfw.dll
O52 - TDSD: \drivers.desc\"C:\Windows\System32\l3codeca.acm"="Fraunhofer IIS MPEG Layer-3 Codec" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Layer-3 Audio Codec for MSACM.) -- C:\Windows\System32\l3codeca.acm
O52 - TDSD: \drivers.desc\"ff_vfw.dll"="ffdshow video encoder" . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\ff_vfw.dll


---\ ShareTools MSconfig StartupReg (O53)
O53 - SMSR:HKLM\...\startupreg\Adobe ARM  [Key] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher  [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
O53 - SMSR:HKLM\...\startupreg\CANAL+ CANALSAT A LA DEMANDE  [Key] . (.Canal+ - Lancer CANAL+ CANALSAT A LA DEMANDE.) -- C:\Program Files\Canal+\Launcher.exe
O53 - SMSR:HKLM\...\startupreg\Fhiluvarukuru  [Key] . (.Pas de propriétaire - Pas de description.) -- F:\USERS\Magali\AppData\Local\Ncorecon.dll
O53 - SMSR:HKLM\...\startupreg\Google Quick Search Box  [Key] . (.Google Inc. - Google Quick Search Box.) -- C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe
O53 - SMSR:HKLM\...\startupreg\HDAudDeck  [Key] . (.VIA - VIA HD Audio CPL.) -- C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe
O53 - SMSR:HKLM\...\startupreg\HotKeysCmds  [Key] . (.Intel Corporation - hkcmd Module.) -- C:\Windows\system32\hkcmd.exe
O53 - SMSR:HKLM\...\startupreg\HP Software Update  [Key] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O53 - SMSR:HKLM\...\startupreg\hpqSRMon  [Key] . (.Hewlett-Packard - HpqSRmon.) -- C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O53 - SMSR:HKLM\...\startupreg\IgfxTray  [Key] . (.Intel Corporation - igfxTray Module.) -- C:\Windows\system32\igfxtray.exe
O53 - SMSR:HKLM\...\startupreg\IncrediMail  [Key] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe
O53 - SMSR:HKLM\...\startupreg\iTunesHelper  [Key] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
O53 - SMSR:HKLM\...\startupreg\MoneyAgent  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Microsoft Money\System\Money Express.exe
O53 - SMSR:HKLM\...\startupreg\msnmsgr  [Key] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe
O53 - SMSR:HKLM\...\startupreg\Persistence  [Key] . (.Intel Corporation - persistence Module.) -- C:\Windows\system32\igfxpers.exe
O53 - SMSR:HKLM\...\startupreg\QuickTime Task  [Key] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
O53 - SMSR:HKLM\...\startupreg\swg  [Key] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O53 - SMSR:HKLM\...\startupreg\ujordqlg  [Key] . (.Pas de propriétaire - Pas de description.) -- F:\USERS\Magali\AppData\Local\Temp\apescdfxt\grneowhsika.exe


---\ Microsoft Control Security Providers (O54)
O54 - MCSP:[HKLM\...\CurrentControlSet\Control] - (SecurityProviders) - (.Microsoft Corporation - Credential Delegation Security Package.) -- C:\Windows\system32\credssp.dll
O54 - MCSP:[HKLM\...\ControlSet001\Control] - (SecurityProviders) - (.Microsoft Corporation - Credential Delegation Security Package.) -- C:\Windows\system32\credssp.dll


---\ Microsoft Windows Policies System (O55)
O55 - MWPS:[HKLM\...\Policies\System] - "ConsentPromptBehaviorAdmin"=0
O55 - MWPS:[HKLM\...\Policies\System] - "ConsentPromptBehaviorUser"=3
O55 - MWPS:[HKLM\...\Policies\System] - "EnableInstallerDetection"=1
O55 - MWPS:[HKLM\...\Policies\System] - "EnableLUA"=0
O55 - MWPS:[HKLM\...\Policies\System] - "EnableSecureUIAPaths"=1
O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0
O55 - MWPS:[HKLM\...\Policies\System] - "EnableVirtualization"=1
O55 - MWPS:[HKLM\...\Policies\System] - "PromptOnSecureDesktop"=0
O55 - MWPS:[HKLM\...\Policies\System] - "ValidateAdminCodeSignatures"=0
O55 - MWPS:[HKLM\...\Policies\System] - "dontdisplaylastusername"=0
O55 - MWPS:[HKLM\...\Policies\System] - "legalnoticecaption"=
O55 - MWPS:[HKLM\...\Policies\System] - "legalnoticetext"=
O55 - MWPS:[HKLM\...\Policies\System] - "scforceoption"=0
O55 - MWPS:[HKLM\...\Policies\System] - "shutdownwithoutlogon"=1
O55 - MWPS:[HKLM\...\Policies\System] - "undockwithoutlogon"=1
O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0

juju666 · Answer

mouar, essaye sur ce sites là:

ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

jeromece · Answer

ça plante sur les 3
décidément pas de chance

juju666 · Answer

Si t inquiète ça va aller.

Refais un rapport tout frais, puis tu clique droit dessus > envoyer vers > archive winzip.

T'envoie le zip sur un des sites et tu poste le lien dans ta future réponse.

++

jeromece · Answer

le voila en rar
http://ww38.toofiles.com/fr/oip/documents/rar/zhpdiag.html

juju666 · Answer

Voilà qui est mieux ! ;)

Par contre, y'a pas du beau dans ton rapport.

&#9654 Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau 
&#9654 Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit 
dessus, et sur exécuter en tant qu'administrateur) 
&#9654 Clique sur Start Scan 
&#9654 Si l'outil a trouvé des éléments, choisi Cure,  
puis sur Reboot Now 
&#9654 Le PC va redémarrer, et un rapport va s'ouvrir 
&#9654 Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer 
N° de version_Date_Heure_log.txt) 

++

jeromece · Answer

ok
merci 
je m'y met

jeromece · Answer

voici le rapport

https://www.cjoint.com/?0crvolaJvlK

juju666 · Answer

Parfait ton pc doit déjà aller mieux je crois ;)

&#9654  Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
OU
https://www.androidworld.fr/ ( Miroir )

/!\ Ferme toutes applications en cours /!\

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau.
&#9654 Sur la page, clique sur le bouton « Nettoyer »
&#9654 Confirme lancement du scan
&#9654 Laisse travailler l'outil.
&#9654 Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

Puis:

&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau.

&#9654 &#9654 Miroir 1 si inaccessible 
&#9654 &#9654 Miroir 2 si inaccessible

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur » 

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation. 
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour 
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte 
&#9654  Une fois la mise à jour terminée 
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher 
&#9654 &#9654 Le scan démarre. 
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
&#9654 Clique sur Ok pour poursuivre. 
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!! 
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log 
&#9654 Tu clique dessus pour l'afficher, une fois affiché 
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  


Pour finir, refais un passage de ZHPDiag ;)

++

jeromece · Answer

je te confirme qu'il va beaucoup mieux
je dois re,dre à son propriétaire ce pc demain et je te remercie pour elle

voici le rapport d'ad remover
http://www.cijoint.fr/cjlink.php?file=cj201102/cijzv7N83T.txt

je lance malwarebytes

juju666 · Answer

Tu dois relancer ad-remover, tu l'as lancé en scan et non en suppression.

Demain déjà ? On aura pas fini, elle peut pas le reprendre plus tard?

jeromece · Answer

ok je le fais de suite
non hélas je dois lui rendre demain

jeromece · Answer

voici le rapport 
http://www.cijoint.fr/cjlink.php?file=cj201102/cijEoeQZgT.txt
j'attend ton avis avant de lancer malware

jeromece · Answer

je lui expliquerais demain soir comment continuer ce post pour qu'elle continue les manip
le plus dur doit être fait car je suis partie au début d'un blue screen ^^

jeromece · Answer

voici le rapport 
https://www.cjoint.com/?0csgfnejpbk

juju666 · Answer

Hello,

C'e'st excellent ;)

Peux tu refaire un zhpdiag en contrôle.

++

jeromece · Answer

salut
je suis au taf,
je le ferais ce soir chez elle quand je vais remontez son pc
donc compte en fin de soirée pour avoir le rapport
merci

juju666 · Answer

Ok, pas de problème ;)

@+

jeromece · Answer

coucou
voici le rapport 
https://www.cjoint.com/?0cswBOOCMFE
merci pour ton aide
bonne soirée

juju666 · Answer

y'a une infection usb à traiter:

&#9654 Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement. 

&#9654  Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir 

&#9654 Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu'administrateur, l'installation se fera automatiquement 
              XP : double clic sur UsbFix

&#9654 Clique sur "Suppression" 

&#9654 Laisse travailler l'outil 

&#9654 Ton Bureau va disparaitre: c'est normal 

&#9654 A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur) 

&#9654 Aide en images : Tutoriel "Nettoyage" 

Ensuite:

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] CheckedValue: Modified     
R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0     
[HKCU\Software\ImInstaller]   
[HKCU\Software\g043oqxanu]     
[HKLM\Software\ImInstaller]    
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe     



&#9654 Puis Lance ZHPFix depuis le raccourci du bureau . 

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message 

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)  

Enfin lance un scan avec bit defender et donne moi le rapport ;)

++

jeromece · Answer

me revoici un peu tard
mais je suis venue chez elle exprès pour les manip

 voici le rapport d'usbfix
http://www.cijoint.fr/cjlink.php?file=cj201102/cijgAoDChj.txt

et le deuxieme rapport
http://www.cijoint.fr/cjlink.php?file=cj201102/cijTZLAqH3.txt

bonne soirée
le scan de bit defender je le lance maintenant mais ça va etre long

juju666 · Answer

Ok c est nickel ;)

Bonne soirée aussi :)

jeromece · Answer

et voici le rapport bit defender
http://www.cijoint.fr/cjlink.php?file=cj201102/cijP9xdrgO.txt

juju666 · Answer

Salut jeromece

Te voilà avec un ordi tout propre ;)

Attention cependant à bien suivre ces dernières recommandations: 


&#9654 télécharge Ccleaner et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l'installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur » 

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK 
&#9654 clique sur suivant 
&#9654 lis la licence et j'accepte 
&#9654 cliques sur suivant 
&#9654 là tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
&#9654 cliques sur installer 
&#9654 cliques sur fermer 
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir 
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
&#9654 &#9654 cliques sur nettoyeur 
&#9654cliques sur windows et dans la colonne avancé 
&#9654coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
&#9654 cliques sur analyse une fois l'analyse terminé 
&#9654 cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
&#9654 &#9654 cliques maintenant sur registre et puis sur rechercher les erreurs 
&#9654 laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
&#9654 il te demande de sauvegarder OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
&#9654 il supprime et fermer tu vérifies en relançant rechercher les erreurs 
&#9654 tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
&#9654 tu peux fermer Ccleaner 

------ 

&#9654 &#9654 pour supprimer les outils de désinfection :

&#9654 Télécharge Delfix sur ton bureau : 

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message 
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------ 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web 
Et celui ci, sur les logiciels gratuits à éviter 

------ 

Mise à jour Windows : 

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp  

&#9654 Désinstaller les anciennes versions de Java :  

&#9654 Télécharge JavaRa.zip  

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)  

&#9654 Double-clique sur le répertoire JavaRa obtenu.  

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)  

&#9654 Clique sur Remove Older Versions.  

&#9654 Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.  

&#9654 Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.  

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )  

&#9654 Tu peux fermer l'application   

&#9654 &#9654 Met à jour Adobe : 

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/
&#9654 &#9654 Décocher le scan Macàfric

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

Tu peux garder Malwarebytes pour un scan de temps à autres 

----- 

&#9654 &#9654 Pense à marquer le fil comme résolu  

------ 

Si tu as d'autres questions, je t'écoute avec plaisir (:

++

jeromece · Answer

merci pour toutes tes indication
je ferais cela des que je repasse chez elle

juju666 · Answer

no soucay :)

Programme au démarage récalcitrant

36 réponses

Discussions similaires