Win32:HotBar-BE

dari -  
benurrr Messages postés 9766 Statut Contributeur sécurité -
Bonjour,
Mon antivirus avast a détecté le virus Hotbar-Be et quand j'essaye de le mettre sous quarantaine avast me dit que le serveur de la zone de quarantaine n'est pas actif.
Je préfère ne pas le supprimer pour pas faire d'erreur...
Sachant que je ne suis pas un grand pro de l'informatique, quelqu'un pourrai me venir en aide?
Voilà ma config: Windows Vista, Firefox 4.0
Merci d'avance

21 réponses

  • 1
  • 2
Résumé de la discussion

Une alerte antivirus signale Hotbar-Be et l’impossibilité de mettre cet élément en quarantaine via Avast, le serveur de la zone de quarantaine inactif, sur Windows Vista et Firefox 4.0. Des solutions et outils proposent Ad-Remover pour scannage, puis l’analyse et la génération de rapports, avec DelFix et d’autres utilitaires destinés à nettoyer les traces et les programmes indésirables. Les échanges portent aussi sur des désinstallations partielles, la suppression de fichiers et de clés de registre, et sur l’évaluation de la fiabilité des rapports avant tout nouveau scan. En cas de doute, la discussion souligne l’intérêt d’obtenir des rapports complets et vérifiables et d’envisager une reprise du système après chaque étape de nettoyage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Bonjour

    Télécharge Ad-Remover sur ton bureau:

    http://www.teamxscript.org/adremoverTelechargement.html

    Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Scanner".
    Laisse travailler l'outil.
    Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
    3
  2. dari
     
    Voici le rapport:

    ======= REPORT FROM AD-REMOVER 2.0.0.2,F | ONLY XP/VISTA/7 =======

    Updated by TeamXscript on 01/03/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    website: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Launched at 16:13:51 on 27/03/2011, Normal boot

    Microsoft® Windows Vista(TM) Home Basic Service Pack 2 (X86)
    schöffmann martina@SCHÖFFMANNMA-PC (Acer Aspire 5100)

    ============== SEARCH ==============

    -- File opened: C:\Users\schöffmann martina\AppData\Roaming\Mozilla\FireFox\Profiles\oip7rwyr.default\Prefs.js --
    Line found: user_pref("extensions.wrc.SearchRules.ask.com.style", ".WRCN {display:none} #yui-main .tsrc_vnru .ti...
    Line found: user_pref("extensions.wrc.SearchRules.ask.com.url", "^hxxp(s)?\\:\\/\\/(.+\\.)?ask\\.com\\/.*");
    Line found: user_pref("extensions.wrc.SearchRules.baidu.com.style", ".WRCN {display:none} .result .f .WRCN {disp...
    Line found: user_pref("extensions.wrc.SearchRules.baidu.com.url", "^hxxp\\:\\/\\/www\\.baidu\\.com\\/.*");
    -- File closed --

    Key found: HKLM\Software\Classes\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924}
    Key found: HKLM\Software\Conduit

    ============== ADDITIONNAL SCAN ==============

    **** Mozilla Firefox Version [4.0 (fr)] ****

    FIREFOX.EXE\Shell\Open\Command - C:\Program Files\Mozilla Firefox 4.0 Beta 11\firefox.exe

    -- C:\Users\schöffmann martina\AppData\Roaming\Mozilla\FireFox\Profiles\oip7rwyr.default --
    Prefs.js - browser.startup.homepage, www.google.fr
    Prefs.js - browser.startup.homepage_override.buildID, 20110318052756
    Prefs.js - browser.startup.homepage_override.mstone, rv:2.0

    -- C:\Users\admin1\AppData\Roaming\Mozilla\FireFox\Profiles\fu1ezv9j.default --
    Prefs.js - browser.startup.homepage_override.buildID, 20110203141415
    Prefs.js - browser.startup.homepage_override.mstone, rv:2.0b11

    ========================================

    **** Internet Explorer Version [8.0.6001.19019] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|SearchMigratedDefaultURL - hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKCU_Main|Start Page - hxxp://www.google.fr/
    HKLM_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_Toolbar\ShellBrowser|{5CBE3B7C-1E47-477E-A7DD-396DB0476E29} (C:\Windows\system32\eDStoolbar.dll)
    HKCU_Toolbar\WebBrowser|{855F3B16-6D32-4FE6-8A56-BBB695989046} (x)
    HKLM_Toolbar|{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} (C:\Windows\system32\eDStoolbar.dll)
    HKLM_Toolbar|{90222687-F593-4738-B738-FBEE9C7B26DF} (C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll)
    HKLM_Toolbar|{9421DD08-935F-4701-A9CA-22DF90AC4EA6} (C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll)
    HKLM_ElevationPolicy\{387B9C3C-014A-4dc6-B7BA-86563C402E87} - C:\Program Files\ICQ6.5\ICQLRun.exe (x)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
    HKLM_Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} - "?" (?)
    BHO\{1E8A6170-7264-4D0F-BEAE-D42A53123C75} - "?" (C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll)
    BHO\{9421DD08-935F-4701-A9CA-22DF90AC4EA6} - "Easy Photo Print" (C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 File(s)
    C:\Program Files\Ad-Remover\Backup: 1 File(s)

    C:\Ad-Report-SCAN[1].txt - 27/03/2011 16:14:19 (3984 Byte(s))

    End at: 16:16:16, 27/03/2011

    ============== E.O.F ==============
    0
  3. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Nettoyage:

    /!\ Ferme toutes tes applications ouvertes. /!\

    Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
    Laisse travailler l'outil.
    Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
    0
  4. dari
     
    Et voici le deuxieme rapport:

    ======= REPORT FROM AD-REMOVER 2.0.0.2,F | ONLY XP/VISTA/7 =======

    Updated by TeamXscript on 01/03/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    website: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 17:00:05 on 27/03/2011, Normal boot

    Microsoft® Windows Vista(TM) Home Basic Service Pack 2 (X86)
    schöffmann martina@SCHÖFFMANNMA-PC (Acer Aspire 5100)

    ============== ACTION(S) ==============

    (!) -- Temporary files deleted.

    -- File opened: C:\Users\schöffmann martina\AppData\Roaming\Mozilla\FireFox\Profiles\oip7rwyr.default\Prefs.js --
    Line deleted: user_pref("extensions.wrc.SearchRules.ask.com.style", ".WRCN {display:none} #yui-main .tsrc_vnru .ti...
    Line deleted: user_pref("extensions.wrc.SearchRules.ask.com.url", "^hxxp(s)?\\:\\/\\/(.+\\.)?ask\\.com\\/.*");
    Line deleted: user_pref("extensions.wrc.SearchRules.baidu.com.style", ".WRCN {display:none} .result .f .WRCN {disp...
    Line deleted: user_pref("extensions.wrc.SearchRules.baidu.com.url", "^hxxp\\:\\/\\/www\\.baidu\\.com\\/.*");
    -- File closed --

    Key deleted: HKLM\Software\Classes\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924}
    Key deleted: HKLM\Software\Conduit

    ============== ADDITIONNAL SCAN ==============

    **** Mozilla Firefox Version [4.0 (fr)] ****

    FIREFOX.EXE\Shell\Open\Command - C:\Program Files\Mozilla Firefox 4.0 Beta 11\firefox.exe

    -- C:\Users\schöffmann martina\AppData\Roaming\Mozilla\FireFox\Profiles\oip7rwyr.default --
    Prefs.js - browser.startup.homepage, www.google.fr
    Prefs.js - browser.startup.homepage_override.buildID, 20110318052756
    Prefs.js - browser.startup.homepage_override.mstone, rv:2.0

    -- C:\Users\admin1\AppData\Roaming\Mozilla\FireFox\Profiles\fu1ezv9j.default --
    Prefs.js - browser.startup.homepage_override.buildID, 20110203141415
    Prefs.js - browser.startup.homepage_override.mstone, rv:2.0b11

    ========================================

    **** Internet Explorer Version [8.0.6001.19019] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_Toolbar\ShellBrowser|{5CBE3B7C-1E47-477E-A7DD-396DB0476E29} (C:\Windows\system32\eDStoolbar.dll)
    HKCU_Toolbar\WebBrowser|{855F3B16-6D32-4FE6-8A56-BBB695989046} (x)
    HKLM_Toolbar|{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} (C:\Windows\system32\eDStoolbar.dll)
    HKLM_Toolbar|{90222687-F593-4738-B738-FBEE9C7B26DF} (C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll)
    HKLM_Toolbar|{9421DD08-935F-4701-A9CA-22DF90AC4EA6} (C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll)
    HKLM_ElevationPolicy\{387B9C3C-014A-4dc6-B7BA-86563C402E87} - C:\Program Files\ICQ6.5\ICQLRun.exe (x)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
    HKLM_Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} - "?" (?)
    BHO\{1E8A6170-7264-4D0F-BEAE-D42A53123C75} - "?" (C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll)
    BHO\{9421DD08-935F-4701-A9CA-22DF90AC4EA6} - "Easy Photo Print" (C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 File(s)
    C:\Program Files\Ad-Remover\Backup: 17 File(s)

    C:\Ad-Report-CLEAN[1].txt - 27/03/2011 17:00:24 (3856 Byte(s))
    C:\Ad-Report-SCAN[1].txt - 27/03/2011 16:14:19 (4122 Byte(s))

    End at: 17:03:42, 27/03/2011

    ============== E.O.F ==============
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Salut :

    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

    Télécharge ici :List_Kill'em

    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

    et enregistre le sur ton bureau

    lance l'outil , il va stopper les processus infectieux , puis une fois la voie degagée , il va telecharger son supplement que tu devras installer

    enregistre le sur ton bureau et lance l'installation

    (entre temps poste "rapport.txt" avant la fin du scan apparu sur ton bureau

    Laisse coché :

    Executer List_Kill'em

    une fois terminée , clic sur "terminer"

    choisis l'option Search

    laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95% , relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

    Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

    NE LES POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ces liens dans ta réponse.
    Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
    Mais C.. de penser que ­tu es libre...Merci a australe13
    0
  7. dari
     
    Je viens d'installer list_kill'em et je te poste le rapport et je vais procéder à la suite de ce que tu ma dit:

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process_Killer by g3n-h@ckm@n 1.0.0.0 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Mis à jour le 24/03/2011 | 13.05 par g3n-h@ckm@n
    Utilisateur : schöffmann martina (Administrateurs)
    Ordinateur : SCHÖFFMANNMA-PC

    Système d'exploitation : Windows Vista (TM) Home Basic (32 bits)
    Internet Explorer : 8.0.6001.19019
    Mozilla Firefox : 4.0 (fr)

    Scan : 18:52:53 | 28/03/2011

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
    [HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
    [HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\Windows\system32\Userinit.exe, -> C:\Windows\system32\Userinit.exe,
    [HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Aucune modification : 1 -> 1

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKCR\exefile\..\..\command] : "%1" %*
    [HKCR\comfile\..\..\command] : "%1" %*
    [HKCR\scrfile\..\..\command] : "%1" /S
    [HKCR\batfile\..\..\command] : "%1" %*
    [HKCR\piffile\..\..\command] : "%1" %*

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    explorer.exe -> Processus stoppé

    ¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
    [HKLM\..\..\Services\EapHost] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\Wlansvc] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\SharedAccess] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\windefend] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

    ¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      salut

      ton rapport n'est pas complet
      0
  8. dari
     
    Je n'ai pas très bien compris la partie que tu m'a expliqué sur le lien (désolé) et donc je t'ai mis les liens que j'ai vu je ne sais pas si tu arrivera à retrouver...
    J'attend ta prochaine réponse pour effectuer un scan avec mon antivirus.
    Merci encore pour ton aide!

    file:///C:/Users/sch%C3%B6ffmann%20martina/Desktop/List%27em.txt
    file:///C:/Users/sch%C3%B6ffmann%20martina/Desktop/More.txt
    0
  9. dari
     
    Désolé pour le rapport j'ai beau chercher dans la partition C: ca y est pas!
    Je pourrai pas faire de manipulation avant mercredi par contre je pourrai jeter un coup d'oeil sur le forum demain.
    0
  10. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    salut

    normalement c'est sur le bureau qu'il se trouve sa fait rien

    continue

    Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    choisis l'Option Clean

    ton PC va redémarrer,

    laisse travailler l'outil.

    en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    colle le contenu dans ta réponse
    0
  11. dari
     
    Bonjours Benurr
    Voici le rapport:

    ¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.6 ¤¤¤¤¤¤¤¤¤¤

    User : schöffmann martina (Administratoren)
    Update on 20/03/2011 by g3n-h@ckm@n ::::: 19.40
    Start at: 20:37:45 | 29/03/2011

    AMD Turion(tm) 64 Mobile Technology MK-38
    Microsoft® Windows Vista(TM) Home Basic (6.0.6002 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.19019

    WebSite : Soon
    Thx to MPuissanceIV for the icon
    Windows Firewall Status : Disabled
    AV : Norton Internet Security 2007 [ Enabled | (!) Outdated ]
    FW : Norton Internet Security[ Enabled ]2007

    C:\ -> Lokale Festplatte | 51,65 Go (5,18 Go free) [ACER] | NTFS
    D:\ -> Lokale Festplatte | 51,36 Go (44,41 Go free) [DATA] | NTFS
    E:\ -> CD | 7,56 Go (0 Mo free) [SPEED2] | UDF
    G:\ -> Wechseldatenträger

    Killed : PID 3944 'explorer.exe'
    Killed : PID 3944 'explorer.exe'
    Killed : PID 3944 'explorer.exe'

    ¤¤¤¤¤¤¤¤¤¤ Fichiers | Dossiers

    Mis en quarantaine : C:\Users\sch"ffmann martina\AppData\Local\d3d8caps.dat
    Mis en quarantaine : C:\Users\sch"ffmann martina\AppData\Local\d3d9caps.dat
    Mis en quarantaine : C:\Users\sch"ffmann martina\AppData\Local\GDIPFONTCACHEV1.DAT
    Mis en quarantaine : C:\Windows\System32\bcmwl6.inf
    Mis en quarantaine : C:\Windows\System32\Desktop_.ini

    ¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

    C:\Windows\System32\Drivers\etc\hosts
    127.0.0.1 localhost

    ¤¤¤¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    Local Page = C:\WINDOWS\system32\blank.htm
    Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page = http://www.google.com/
    Local Page = C:\WINDOWS\system32\blank.htm
    Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    ¤¤¤¤¤¤¤¤¤¤ Centre de securite ¤¤¤¤¤¤¤¤¤¤

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    cval = 1 (0x1)
    AntiVirusDisableNotify = 0 (0x0)
    FirewallDisableNotify = 0 (0x0)
    UpdatesDisableNotify = 0 (0x0)
    FirstRunDisabled = 1 (0x1)
    AntiVirusOverride = 0 (0x0)
    FirewallOverride = 0 (0x0)

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    Ndisuio -> Start = 3
    EapHost -> Start = 2
    Wlansvc -> Start = 2
    SharedAccess -> Start = 2
    windefend -> Start = 2
    wuauserv -> Start = 2
    wscsvc -> Start = 2

    ¤¤¤¤¤¤¤¤¤¤ Winlogon

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    AutoRestartShell = 1 (0x1)
    Shell = explorer.exe
    Userinit = C:\Windows\System32\userinit.exe,
    VMapplet = rundll32 shell32,Control_RunDLL sysdm.cpl
    System =
    PowerdownAfterShutdown = 1

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    Disk Cleaned
    Prefetch cleaned
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    TDSS | svchost | Internet Explorer:
    ====================================

    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 6.0.6002 Disk: TOSHIBA_ rev.AH00 -> Harddisk0\DR0 -> \Device\Scsi\SI31121Port2Path0Target0Lun0

    device: opened successfully
    user: MBR read successfully

    Disk trace:
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll SCSIPORT.SYS SI3112.sys
    C:\Windows\system32\DRIVERS\SI3112.sys Silicon Image, Inc SiI 3x12 SATALink controller
    1 ntkrnlpa!IofCallDriver[0x8267F912] -> \Device\Harddisk0\DR0[0x8429EAC8]
    3 CLASSPNP[0x869BF8B3] -> ntkrnlpa!IofCallDriver[0x8267F912] -> [0x83D87878]
    5 acpi[0x862106BC] -> ntkrnlpa!IofCallDriver[0x8267F912] -> \Device\Scsi\SI31121Port2Path0Target0Lun0[0x83F0E030]
    kernel: MBR read successfully
    user & kernel MBR OK

    Fin du Nettoyage : 20:42:10

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  12. dari
     
    (Re)salut
    C'était pour te demander si quand ce problème sera résolu (je l'espère) tu pourras m'aider à résoudre d'autres problèmes énormes de mon Ordi (ecran bleu,etc): tu doit déjà te demander ce que j'ai comme machine méga-bug... lol
    En tout cas merci beaucoup pour ton aide jusqu'ici.
    Merci pour tout ce temps que tu passe pour mon(es) problèmes.
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      pas de soucie chaque chose a la fois
      0
    2. dari
       
      au fait c'est bon? il n'y a plus de virus et sans sequelles? (je parle de hotbar)
      0
  13. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    On va faire un diagnostic du PC :

    X Télécharge ZHPDiag sur ton bureau :

    ftp://zebulon.fr/ZHPDiag2.exe

    X Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    (1) Clique sur l'icône représentant une loupe en haut à gauche (« Lancer le diagnostic »)
    (2) Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    (3) Héberge le rapport ZHPDiag.txt (qui se trouve sur ton bureau) sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

    https://www.cjoint.com/

    tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    0
  14. dari
     
    Voici le lien:

    http://cjoint.com/?3dEsIaDpnE8
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      pas bon ton lien
      0
    2. dari
       
      j'ai crée un nv lien qui marche (je l'ai essayé) : http://cjoint.com/?1dEvqBeZyBh
      A+
      0
  15. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Télécharge UsbFix de C_XX & Chiquitine29

    http://www.teamxscript.org/usbfixTelechargement.html

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    * Double clic sur "UsbFix.exe" présent sur ton bureau ( clic droit "exécuter en tant qu'administrateur" pour Vista & 7 )

    * Choisis l'option F pour français et tape sur [entrée] .

    * Choisis l'option 1 ( Recherche ) et tape sur [entrée] .

    * Laisse travailler l'outil.

    * Ensuite poste le rapport UsbFix.txt qui apparaitra.

    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
  16. dari
     
    Salut benurr
    voici les deux rapports (j'ai pas assez de ports USB pour tout brancher)
    il sont sur http://cjoint.com/ (j'ai pas réussi ici)
    voici les deux adresses

    file:///C:/Users/sch%C3%B6ffmann%20martina/Desktop/rapports/UsbFix%202.txt
    http://cjoint.com/data1/1dFtDQuQQOV.htm
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      et le lien stp
      0
    2. dari
       
      je m'y suis mal pris (j'ai modifié plusieurs fois) voici les liens:

      file:///C:/Users/sch%C3%B6ffmann%20martina/Desktop/rapports/UsbFix%202.txt
      http://cjoint.com/data1/1dFtDQuQQOV.htm
      0
    3. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      inaccessible

      le lien devrai avoir cette forme :

      http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
      0
    4. dari
       
      c tres bizarre parce que quand je le tape dans la barre d'adresse je le trouve.
      0
    5. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      oui moi aussi mais logiquement j'aurai pu y accéder directement en cliquant sur le lien
      0
  17. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Télécharge DelFix sur ton bureau.

    http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

    3.1 - Option Recherche

    Téléchargez DelFix sur votre bureau.
    Lancez le, tapez 1 et validez en appuyant sur [Entrée]
    Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

    Note : Le rapport est sauvegardé sous C:\DelFixSearch.txt

    -------------------------

    3.2 - Option Suppression

    Téléchargez DelFix sur votre bureau
    Lancez le, tapez 2 et validez en appuyant sur [Entrée]
    Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

    Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt


    --------------Après------------------


    tu va télécharger Ccleaner http://dl.commentcamarche.net/...

    ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures."

    . Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage".
    Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée"
    . Tu refais tous ca 4-5 fois (le nettoyage et le registre).

    Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage".

    içi mode d'emploi pour ccleaner

    https://www.malekal.com/tutoriel-ccleaner/
    0
    1. dari
       
      Salut
      voici le 1er rapport:

      # DelFix v7.6 - Rapport créé le 31/03/2011 à 20:26
      # Mis à jour le 31/03/11 à 16h par Xplode
      # Système d'exploitation : Windows Vista (TM) Home Basic (32 bits) [Version 6.0.6002] Service Pack 2
      # Nom d'utilisateur : schöffmann martina - SCHÖFFMANNMA-PC (Administrateur)
      # Exécuté depuis : C:\Users\schöffmann martina\Downloads\DelFix.exe
      # Option [Recherche]


      ~~~~~~ Dossier(s) ~~~~~~

      Présent : C:\USBFix
      Présent : C:\Kill'em
      Présent : C:\Program Files\Ad-Remover
      Présent : C:\Program Files\List_Kill'em
      Présent : C:\Program Files\ZHPDiag
      Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

      ~~~~~~ Fichier(s) ~~~~~~

      Présent : C:\List'em.txt
      Présent : C:\UsbFix.txt
      Présent : C:\UsbFix_Upload_Me_SCHÖFFMANNMA-PC.zip
      Présent : C:\rapport.txt
      Présent : C:\rkill.log
      Présent : C:\Ad-Report-CLEAN[1].txt
      Présent : C:\Ad-Report-SCAN[1].txt
      Présent : C:\PhysicalDisk0_MBR.bin
      Présent : C:\Windows\System32\404Fix.exe
      Présent : C:\Windows\System32\o4Patch.exe
      Présent : C:\Windows\System32\VACFix.exe
      Présent : C:\Windows\System32\VCCLSID.exe
      Présent : C:\Windows\System32\IEDFix.exe
      Présent : C:\Windows\System32\IEDFix.C.exe
      Présent : C:\Windows\System32\Agent.OMZ.Fix.exe
      Présent : C:\Windows\System32\WS2Fix.exe
      Présent : C:\Windows\System32\Process.exe
      Présent : C:\Windows\System32\swreg.exe
      Présent : C:\Windows\System32\swsc.exe
      Présent : C:\Windows\System32\swxcacls.exe
      Présent : C:\Windows\System32\SrchSTS.exe
      Présent : C:\Windows\System32\tmp.reg
      Présent : C:\Windows\System32\tmp.txt
      Présent : C:\Windows\System32\dumphive.exe
      Présent : C:\Users\schöffmann martina\Desktop\UsbFix.exe
      Présent : C:\Users\schöffmann martina\Desktop\AD-R.lnk
      Présent : C:\Users\Public\Desktop\ZHPDiag.lnk
      Présent : C:\Users\Public\Desktop\ZHPFix.lnk
      Présent : C:\Users\Public\Desktop\MBRCheck.lnk
      Présent : C:\Users\schöffmann martina\Downloads\List_Killem_Install.exe
      Présent : C:\Users\schöffmann martina\Downloads\ZHPDiag2.exe

      ~~~~~~ Registre ~~~~~~

      Clé Présente : HKCU\SOFTWARE\Ad-Remover
      Clé Présente : HKCU\SOFTWARE\USBFix
      Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
      Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
      Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

      ~~~~~~ Autre ~~~~~~

      -> BitDefender Online Scanner ... Installé

      ########## EOF - "C:\DelFixSearch.txt" - [2522 octets] ##########
      0
    2. dari
       
      Et voici le 2eme:

      # DelFix v7.6 - Rapport créé le 31/03/2011 à 20:28
      # Mis à jour le 31/03/11 à 16h par Xplode
      # Système d'exploitation : Windows Vista (TM) Home Basic (32 bits) [Version 6.0.6002] Service Pack 2
      # Nom d'utilisateur : schöffmann martina - SCHÖFFMANNMA-PC (Administrateur)
      # Exécuté depuis : C:\Users\schöffmann martina\Downloads\DelFix.exe
      # Option [Suppression]


      ~~~~~~ Dossier(s) ~~~~~~

      Supprimé : C:\USBFix
      Supprimé : C:\Kill'em
      Supprimé : C:\Program Files\Ad-Remover
      Supprimé : C:\Program Files\List_Kill'em
      Supprimé : C:\Program Files\ZHPDiag
      Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

      ~~~~~~ Fichier(s) ~~~~~~

      Supprimé : C:\List'em.txt
      Supprimé : C:\UsbFix.txt
      Supprimé : C:\UsbFix_Upload_Me_SCHÖFFMANNMA-PC.zip
      Supprimé : C:\rapport.txt
      Supprimé : C:\rkill.log
      Supprimé : C:\Ad-Report-CLEAN[1].txt
      Supprimé : C:\Ad-Report-SCAN[1].txt
      Supprimé : C:\PhysicalDisk0_MBR.bin
      Supprimé : C:\Windows\System32\404Fix.exe
      Supprimé : C:\Windows\System32\o4Patch.exe
      Supprimé : C:\Windows\System32\VACFix.exe
      Supprimé : C:\Windows\System32\VCCLSID.exe
      Supprimé : C:\Windows\System32\IEDFix.exe
      Supprimé : C:\Windows\System32\IEDFix.C.exe
      Supprimé : C:\Windows\System32\Agent.OMZ.Fix.exe
      Supprimé : C:\Windows\System32\WS2Fix.exe
      Supprimé : C:\Windows\System32\Process.exe
      Supprimé : C:\Windows\System32\swreg.exe
      Supprimé : C:\Windows\System32\swsc.exe
      Supprimé : C:\Windows\System32\swxcacls.exe
      Supprimé : C:\Windows\System32\SrchSTS.exe
      Supprimé : C:\Windows\System32\tmp.reg
      Supprimé : C:\Windows\System32\tmp.txt
      Supprimé : C:\Windows\System32\dumphive.exe
      Supprimé : C:\Users\schöffmann martina\Desktop\UsbFix.exe
      Supprimé : C:\Users\schöffmann martina\Desktop\AD-R.lnk
      Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
      Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
      Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
      Supprimé : C:\Users\schöffmann martina\Downloads\List_Killem_Install.exe
      Supprimé : C:\Users\schöffmann martina\Downloads\ZHPDiag2.exe

      ~~~~~~ Registre ~~~~~~

      Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
      Clé Supprimée : HKCU\SOFTWARE\USBFix
      Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
      Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
      Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

      ~~~~~~ Autre ~~~~~~

      -> BitDefender Online Scanner ... Désinstallé avec succès
      -> Prefetch vidé

      ########## EOF - "C:\DelFixSuppr.txt" - [2599 octets] ##########
      0
  18. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    ton antivirus

    AVAST ou Symantec
    0
    1. dari
       
      avast mais je ne sait pas grand chose sur symantec je pense qu'il faudrai le désinstaller et garder avast. je pense pas qu'il y risque de conflit, j'ai desactivé le service (msconfig)
      0
    2. dari
       
      bonsoir benurr
      a mon grand desespoir, hotbar se trouve toujours dans mon ordi. Je pense que l'on peux le supprimer autrement. Après le scan, le resultat ma dit que le fichier infecté se trouve dans
      C:\users\schöffmann.........VLCSetup.exe
      peut être en le supprimant...bien sur ce n'est qu'une hypothèse mais en tout cas j'ai déjà réussi a supprimer un autre virus de ce type de cette manière...
      sur ce bon soir à toi.
      0
  19. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    commence par sa

    https://www.commentcamarche.net/faq/3151-desinstaller-norton-symantec
    0
    1. dari
       
      salut
      info: je suis pas la tout le we donc j'essairai lundi soir...
      a biebtot
      0
    2. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      ok bon week
      0
    3. dari
       
      Salut benurr
      je sais pas si c'est grave de garder norton, du moments que les services sont désactivés il n'y a pas de risques, non? en plus il utilise très peu de place (12,2 MB)
      En tout cas j'ai desactivé tous les services de norton dans msconfig.
      Pour ton lien j'ai pas très bien compris la partie avec le task-manager, comment je fait pour tuer le processus?voila c'est tout,
      sur-ce bonsoir a toi.
      0
  20. darius
     
    Bonjours benurr,
    Bon, j'ai essayé de désinstaller symantec mais je n'ai pas réussi à faire comme sur ton lien...désolé mais en tout cas il n'est plus dans mes programmes mais les services persistent voilà c'est tout.
    A+
    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      salut

      regarde dans panneau de configuration de la tu double clic sur Outils d'administration

      dans la fenêtre qui apparait va sur Services et double clic et dans la nouvelle fenêtre regarde si ta norton ou symantec

      si tu trouve fait un clic droit et propriété et la tu le met en désactiver

      après avoir fait sa redémarre

      tu lance une recherche avec les mot cle norton et suprime se qu'il trouve et fait de même avec le mot symantec
      0
    2. darius
       
      salut
      Il ne reste plus que live update notice que je ne trouve pas dans les programmes à désinstaller(j'ai aussi essayé avec ccleaner mais c'est pareil.Voila.
      A+
      0
    3. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      ok

      ta encore des écran bleu ?
      0
    4. darius
       
      Salut
      Je ne peut pas encore te dire (ça arrive pas tout le temps surtout lors des redémarrages) donc je tacherai de te le dire si ca se repasse. Je te donne toute la liste des problèmes que j'ai trouvé et d'ailleurs hotbar est tjr là je pense qu'il est la source de l'extreme lenteur de mon ordi.
      J'espère que tu pourras me répondre et que tu n'auras pas eut de crise cardiaque à la vu de tous ces pb:
      -eNMTray ne fonctionne plus= lorsqu'il ne redemarre pas correctement
      -ecran qui devient rose= problème qui survient après un déplacement
      -ecran bleu demarrage= pb qui survient après redemarrage
      -Wifi inpossible à installer= arrive toujours
      -Très lent (écran se fige,etc)= Processeur lent ou problème hotbar.be
      -ne redemarre pas correctement= après un déplacement
      0
  21. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    salut

    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Note importante :tu est sous Vista

    la désactivation du Contrôle des comptes utilisateurs est obligatoire

    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac­er-l-uac

    pour toute manipulation fait comme ceci( clic droit "exécuter en tant qu'administrateur" pour Vista/7 )

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    -Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    !\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)

    ::Si combofix détecte quelque chose et de demande a redémarrer tu accepte
    0
  • 1
  • 2