Ordinateur infecté, message warning et popupRésolu/Fermé

Question

Bonjour, 

J'ai un problème depuis quelques heures sur mon ordinateur sous vista. En effet, mon fond d'écran est maintenant bleu, avec inscrit comme message "Warning, youre're in danger ! your computer is infected with spyware!" 

Une fenêtre s'ouvre également souvent, faisant un scan de mon pc et me proposant d'acheter un antivirus nommé System Tool. Une fenêtre popup Warning s'ouvre également en boucle en bas à droite.

J'ai vu qu'il y avait déjà un sujet de discussion à propos de ce problème mais les problèmes et les tests pouvant différer, j'ai pensé qu'il était préférable d'en ouvrir un autre. 

Merci d'avance pour votre aide !

Master Flex · Answer

Salut pour avancer le travail des helpeurs fais donc ceci toujours ça te fera gagner du temps ainsi que l'helpeur qui prendra en charge ton sujet ;)

MalwareByte's est un outil généraliste qui supprime bon nombre d'infections tels que Navipromo, Eorezo, les virus msn, les rogues etc. Il vous permettra d'éradiquer activement les malwares infectant vos machines. 



*   Télécharge MalwareByte's : 


*   Installe le ( choisis bien "Francais" ; ne modifie pas les paramètres d'installés ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installation, alors télécharge le ici 
) 

*   Potasse le tuto ici pour te familiariser avec le logiciel. (Cela dis, il est très simple d'utilisation ). 

 /!\ DECONNECTE-TOI ET FERME TOUTES LES APPLICATIONS EN COURS /!\   

*   Lance Malwarebyte's . (Clic droit puis choisir "Exécuter en tant qu'administrateur" pour les utilisateurs de Vista et de Seven)

*  Clic sur Exécuter un examen complet. 

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 

--> A la fin tu cliques sur "Résultats" . 

--> Vérifie que tous les objets infectés soient validés, puis clique sur "Suppression" . 

*  Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 

*  Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "Rapport/log"de Malwarebytes, le dernier en date), 

*  Poste ensuite un nouveau rapport Zhp Diag pour une analyse supplémentaire... 

Puis Utilise ce logiciel de diagnostic :


/!\ Pour les utilisateurs de Vista et de Seven, Désactiver l'UAC /!\.

* Télécharge ZHPDiag (de Nicolas Coolman).

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

 /!\ Pour les utilisateurs de Vista et de Seven faites un clic droit et choisissez  "Exécuter en temps qu'administrateur"/!\

* Clique sur l'icône représentant une loupe ( « Lancer le diagnostic » ).

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.

* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

gen-hackman · Answer

salut pas maintenant malwarebytes

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Killem

mirroirs :

List_Kill'em
List_Kill'em

et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" 

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95% à l'affichage "2nd Check", relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

&#9654 Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

&#9654&#9654&#9654 NE LES POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

BlueWarning · Answer

Malheureusement, même en désactivant mon antivirus et mon firewall, aucun programme ne se lance.

Je crois que la meilleure solution qu'il me reste est de faire une restauration complète.

gen-hackman · Answer

essaie option 2 de ceci :

https://www.luanagames.com/index.fr.html

BlueWarning · Answer

Merci ! J'ai réussi à lancer RogueKiller après l'avoir renommé winlogon.exe comme indiqué.

Voici ce que j'obtiens dans le RKreport.txt : http://www.cijoint.fr/cjlink.php?file=cj201103/cijYpaMBZv.txt

gen-hackman · Answer

vois si tu arrives à installer list_kill'em

gen-hackman · Answer

oui via cijoint.fr stp car les rapports sont assez longs 
G3?-?@¢??@?......Concepteur de List_Kill'em...

BlueWarning · Answer

Voilà qui est fait.

Voici donc le List'em.txt : http://www.cijoint.fr/cjlink.php?file=cj201103/cijxI9peZp.txt

et le more.txt : http://www.cijoint.fr/cjlink.php?file=cj201103/cijhwdSMVB.txt

gen-hackman · Answer

1/....

ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

&#9654 Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Tools puis Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :


FILE:C:\ProgramData\aCiFaCa06504
FILE:C:\Users\Kev1\AppData\Local\Temp\xmlUpdater.exe  
FILE:C:\Users\Kev1\AppData\Local\Temp\Zattoo-Update.exe  
FILE:C:\Users\Kev1\AppData\Local\Temp\0.09695513273171119.exe  
FILE:C:\Users\Kev1\AppData\Local\Temp\0.32008165551880097.exe  
FILE:C:\Users\Kev1\AppData\Local\Temp\0.6124013923219844.exe  
FILE:C:\Users\Kev1\AppData\Local\Temp\0.6896458857064162.exe  
FILE:C:\Users\Kev1\AppData\Local\Temp\0.8641017589457021.exe  
FILE:C:\Users\Kev1\AppData\Local\Temp\0.9366727799609849.exe  
FILE:C:\Users\Kev1\AppData\Local\Temp\uninstall.exe  
FILE:C:\Users\Kev1\AppData\Local\Temp\Update_1a33.exe  
FILE:C:\Users\Kev1\AppData\Local\Temp\Update_cd04.exe  
FILE:C:\Users\Kev1\AppData\Local\Temp\Update_f0a5.exe  
FILE:C:\Users\Kev1\AppData\Local\Temp\Update_fc89.exe  
FILE:C:\Users\Kev1\AppData\Local\Temp\WINDOWS_SECURITY_CENTER.exe  
REM:"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "AdobeBridge"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "NPSStartup"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Adobe Reader Speed Launcher"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Ask and Record FLV Service"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "QuickTime Task"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "iTunesHelper	"

REM:HKEY_LOCAL_MACHINE\software\Symantec

&#9654 enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

laisse travailler l'outil

&#9654 poste le resultat
 
&#9654 Ferme List_Kill'em

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt


=================================

2/......


&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

================================================

BlueWarning · Answer

Voici le résultat que j'obtiens avec List_Kill'em  : http://www.cijoint.fr/cjlink.php?file=cj201103/cijtBndq8W.txt

et avec Ad-remover : http://www.cijoint.fr/cjlink.php?file=cj201103/cij7N8xIkr.txt

BlueWarning · Answer

Je ne sais pas si c'est vraiment le cas, mais j'ai l'impression que le problème est réglé.

gen-hackman · Answer

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse 

&#9654 envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr

BlueWarning · Answer

Voici le Kill'em.txt : http://www.cijoint.fr/cjlink.php?file=cj201103/cijJfdZmWb.txt

et le zip obtenu : http://www.cijoint.fr/cjlink.php?file=cj201103/cijakFzFGP.zip

gen-hackman · Answer

refais un scan OTL stp ?

BlueWarning · Answer

Avec le programme OTL.exe ? Car si c'est le cas, il plante lors du scan du fichier winlogon.exe.

gen-hackman · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

BlueWarning · Answer

Voici le combofix.txt : http://www.cijoint.fr/cjlink.php?file=cj201103/cij8dE7j5E.txt

gen-hackman · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Folder::
c:\windows\system32\drivers\etc\Nouveau dossier

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
"SunJavaUpdateSched"=-
"iTunesHelper"=-

DDS::
uInternet Settings,ProxyOverride = local

Firefox::
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

Driver::
Norton Internet Security

RegLock::
[HKEY_USERS\S-1-5-21-708053346-271107660-4031541000-1000_Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
[HKEY_USERS\S-1-5-21-708053346-271107660-4031541000-1000_Classes\CLSID\{a20d11fc-9c50-452f-8db8-ec67ec5b1fa3}]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

BlueWarning · Answer

Le bureau à bien disparu, n'ayant plus qu'un écran noir avec un flèche...sauf qu'il n'est pas revenu et que c'est comme ça depuis déjà bien 10h.

J'ai accès à rien, même lorsque je fais ctrl+alt+supp

gen-hackman · Answer

ok attendons encore

tu n'as meme pas la fenetre bleue "autoscan" ?

BlueWarning · Answer

Non rien du tout

gen-hackman · Answer

ôk redemarre ton pc en mode sans echec puis fais-le en mode sans echec

BlueWarning · Answer

Voilà qui est fait. Voici le rapport ComboFix.txt : http://www.cijoint.fr/cjlink.php?file=cj201103/cijkpGWQ1k.txt

gen-hackman · Answer

refais-en un avec ca :

KillAll::

RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

BlueWarning · Answer

Voici ce que j'obtiens : http://www.cijoint.fr/cjlink.php?file=cj201103/cijytHwHjw.txt

gen-hackman · Answer

relance lisy_kill'em puis option tools puis reinitialiser TCP/IP

BlueWarning · Answer

Je l'ai fais. Mais cela m'a également affiché une fenêtre d'erreur avec : "Windows ne trouve pas C:\dns.txt"

Je remarque également que je ne peux pas me connecter à Internet avec le pc.

gen-hackman · Answer

tu as passé malwarebytes entre temps.....?

BlueWarning · Answer

Non je ne l'ai pas passé

gen-hackman · Answer

supprime le rapport de rogue killer puis relance un rechercher avec

BlueWarning · Answer

Voilà : http://www.cijoint.fr/cjlink.php?file=cj201103/cijAeqw0Ug.txt

gen-hackman · Answer

ah ben ca a fonctionné quand meme ;)

quels soucis persistent ?

BlueWarning · Answer

Impossible de se connecter à internet, ça me met "Reseau non identifié". Il reconnait pourtant la box.

gen-hackman · Answer

relance list_kill'em puis option kill Proxy puis reessaie

BlueWarning · Answer

Je viens de le faire mais j'ai toujours le même problème, "reseau non identifié"

gen-hackman · Answer

bah alors faut peut etre que tu re-rentres la clé...

par le cable ca marche ?

BlueWarning · Answer

Non, ça ne marche pas

gen-hackman · Answer

rentre dans les parametres avancés des options internet dans le panneau de configuration et reinitialise tout par defaut

BlueWarning · Answer

Voilà qui est fait, ça fonctionne. Merci !

gen-hackman · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

BlueWarning · Answer

Voilà le rapport : http://www.cijoint.fr/cjlink.php?file=cj201103/cijn6glZVn.txt

gen-hackman · Answer

ok rescan OTL please si possible :)

BlueWarning · Answer

OTL bug toujours lors du scan de winlogon.exe

gen-hackman · Answer

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

BlueWarning · Answer

Voilà : http://www.cijoint.fr/cjlink.php?file=cj201103/cijrrNKFM1.txt

BlueWarning · Answer

Dois je réessayer un scan OTL ou c'est bon ?

juju666 · Answer

Salut,

Gen hackman est absent ;) je prend la suite de ses sujets.

Met à jour internet explorer : https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

desinstalle spybot il sert à rien

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


 G0 - GCSP: Preference [User Data\Default][HomePage] http://ww1.toolbarhome.com
O4 - HKLM\..\Run: [UCam_Menu] Clé orpheline
O4 - HKLM\..\Run: [UpdatePSTShortCut] Clé orpheline
O4 - Global Startup: C:\Users\Kev1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.) -- C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: SbPF.Launcher (SbPF.Launcher) - Clé orpheline
O23 - Service: (SPF4) - Clé orpheline
O42 - Logiciel: Java 6 Update 17 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216015FF}
O42 - Logiciel: Java 6 Update 3 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160030}
O42 - Logiciel: Java 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160070}
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".  

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

@+

BlueWarning · Answer

Voilà : 

Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-08-03-2011-23-40-26.txt
Run by Kev1 at 08/03/2011 23:40:26
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: Java 6 Update 17 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216015FF}  => Clé supprimée avec succès
O42 - Logiciel: Java 6 Update 3 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160030}  => Clé supprimée avec succès
O42 - Logiciel: Java 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160070}  => Clé supprimée avec succès
O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe  => Clé supprimée avec succès
O23 - Service: SbPF.Launcher (SbPF.Launcher) - Clé orpheline  => Clé supprimée avec succès
O23 - Service: (SPF4) - Clé orpheline  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [UCam_Menu] Clé orpheline  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [UpdatePSTShortCut] Clé orpheline  => Valeur supprimée avec succès

========== Préférences navigateur ==========
G0 - GCSP: Preference [User Data\Default][HomePage] http://ww1.toolbarhome.com  => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\users\kev1\appdata\roaming\microsoft\internet explorer\quick launch\spybot - search & destroy.lnk  => Fichier absent
c:\program files\spybot - search & destroy\spybotsd.exe  => Fichier absent
c:\program files\bonjour\mdnsresponder.exe  => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1  => Logiciel déjà supprimé


========== Récapitulatif ==========
6 : Clé(s) du Registre
2 : Valeur(s) du Registre
3 : Fichier(s)
1 : Logiciel(s)
1 : Préférences navigateur


End of the scan

juju666 · Answer

Ok :)

Plus de soucis ? Lance un scan avec ton antivirus et poste moi le résultat :)


&#9654 télécharge Ccleaner et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l'installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur » 

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK 
&#9654 clique sur suivant 
&#9654 lis la licence et j'accepte 
&#9654 cliques sur suivant 
&#9654 là tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
&#9654 cliques sur installer 
&#9654 cliques sur fermer 
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir 
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
&#9654 &#9654 cliques sur nettoyeur 
&#9654cliques sur windows et dans la colonne avancé 
&#9654coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
&#9654 cliques sur analyse une fois l'analyse terminé 
&#9654 cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
&#9654 &#9654 cliques maintenant sur registre et puis sur rechercher les erreurs 
&#9654 laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
&#9654 il te demande de sauvegarder OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
&#9654 il supprime et fermer tu vérifies en relançant rechercher les erreurs 
&#9654 tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
&#9654 tu peux fermer Ccleaner 

------ 

&#9654 &#9654 pour supprimer les outils de désinfection :

&#9654 Télécharge Delfix sur ton bureau : 

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message 
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------ 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web 
Et celui ci, sur les logiciels gratuits à éviter 

------ 

Mise à jour Windows : 

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp  

&#9654 Désinstaller les anciennes versions de Java :  

&#9654 Télécharge JavaRa.zip  

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)  

&#9654 Double-clique sur le répertoire JavaRa obtenu.  

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)  

&#9654 Clique sur Remove Older Versions.  

&#9654 Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.  

&#9654 Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.  

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )  

&#9654 Tu peux fermer l'application   

&#9654 &#9654 Met à jour Adobe : 

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/
&#9654 &#9654 Décocher le scan Macàfric

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

Tu peux garder Malwarebytes pour un scan de temps à autres 

----- 

&#9654 &#9654 Pense à marquer le fil comme résolu  

------ 

Si tu as d'autres questions, je t'écoute avec plaisir ;)

@+

BlueWarning · Answer

Pour le test antivirus, avast, il n'a détecté qu'une seule infection, d'une application crashreporter.exe. Sévérité : Haute. Etat : Menace, Win32, malware-gen. 
L'infection a été mise en quarantaine.


Sinon je n'ai en effet plus aucun soucis, merci beaucoup !

juju666 · Answer

Aaaah mais c est normal ça ^^

T'as pas encore supprimé les outils avec Delfix ?

BlueWarning · Answer

Pas encore, j'ai fais le scan avant

BlueWarning · Answer

Voici le rapport Delfix : http://www.cijoint.fr/cjlink.php?file=cj201103/cijwNWGFoz.txt

et sinon, avast ne trouve rien :)

juju666 · Answer

Parfait, sujet clos :o)

Au plaisir ! :)

Ordinateur infecté, message warning et popup

54 réponses

Discussions similaires

Newsletters