System Tool impossible à virer......

Résolu
Pirotess Messages postés 119 Statut Membre -  
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
Bonjour,

La question présente concerne, l'ordinateur de ma soeur et de mon beau frère...
Ils ont le virus system Tool sur leur PC....

J'ai essayé de le supprimer en suivant quelques unes des directives que j'ai vu ici..

En mode normal, impossible de lancer RogueKiller.... (de même que n'importe quel autre programme de protection...)
En mode sans échec avec ou sans prise en charge de réseau, J'arrive à l'exécuter mais il ne trouve aucun fichier douteux ou anormale.. (je ne me souviens plus du terme exacte...)
Quand je lance Malwarebytes, il ne trouve rien en rapport avec ce Rogue (mis à part deux Trojan... que j'ai supprimé dans la foulée)

Au début après tout ça.. il y a eu un répit.. plus de system Tool au démarrage.. il a fallu que je lance Antivir et faire un scan pour qu'il revient....

J'ai même refait le principe du début.. et j'ai désinstallé antivir pour le ré-installer (pensant que ce virus c'était planqué dans les fichiers du prog antivir)..... Il est quand même revenu....

Le problème est que je ne suis pas très souvent chez ma soeur.... Ils n'ont pas le temps de venir d'ici d'eux-même et attendre de l'aide, et ne sont pas non plus à l'aise avec les manip informatiques.....

Avez-vous déjà eu des échos sur une version de ce virus beaucoup lus virulent et coriace qu'avant.. ? Et les solutions envisageables pour s'en débarrasser.... ?

Merci pour vos réponses...

Cordialement,

9 réponses

  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, si tu as un problème pour lancer RogueKiller.... essais de le renommer en winlogon.exe cela permet souvant de bleuffer l'infection !!
    sinon si tu pouvais poster un diagnostique on trouverait surment ou il est planqué ??

    Ouvre ce lien et télécharge ZHPDiag :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    cliques sur télécharger "celui du bas"

    ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe

    Enregistres le sur ton Bureau.

    Une fois le téléchargement achevé

    pour XP, double-clique sur ZHPDiag

    pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

    N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

    /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

    Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

    Cliques sur la loupe pour lancer l'analyse.

    si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

    Laisses l'outil travailler, il peut être assez long

    A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Fermes ZHPDiag en fin d'analyse.

    Pour me le transmettre clique sur ce lien :

    http://www.cijoint.fr/index.php

    Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

    ou directement en choisissant bureau et ZHPDiag.txt clique dessus

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    et si problème passe par celui ci : https://www.cjoint.com/
    0
  2. Pirotess Messages postés 119 Statut Membre
     
    Merci pour ta réponse....

    Malheureusement, je suis bloquée.. je suis chez moi sur mon propre ordi. Je passerai le message à ma soeur pour voir si elle pourrait le faire elle-même.... (De toute façon, faudra bien qu'ils s'y mettent aussi pour accélérer les choses)

    On vous tient au courant!

    Merci ;)
    0
  3. FREDFAB Messages postés 6 Statut Membre
     
    Bonjour,

    J'ai renommé RogueKiller comme vous me l'avez conseillé. Le programme a pu s'exécuter tout en étant en mode normal sur XP.

    J'ai fait l'analyse (option 1), et voici le rapport :

    RogueKiller V4.3.5 par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: HP_Propriétaire [Droits d'admin]
    Mode: Recherche -- Date : 01/04/2011 15:52:35

    Processus malicieux: 1
    [APPDT/TMP/DESKTOP] aIi28604mKeJd28604.exe -- c:\documents and settings\all users\application data\aii28604mkejd28604\aii28604mkejd28604.exe -> KILLED

    Entrees de registre: 2
    [APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : aIi28604mKeJd28604 (C:\Documents and Settings\All Users\Application Data\aIi28604mKeJd28604\aIi28604mKeJd28604.exe) -> FOUND
    [APPDT/TMP/DESKTOP] HKUS\S-1-5-21-576474116-575617779-1195826953-1008[...]\RunOnce : aIi28604mKeJd28604 (C:\Documents and Settings\All Users\Application Data\aIi28604mKeJd28604\aIi28604mKeJd28604.exe) -> FOUND

    Fichier HOSTS:

    Termine : << RKreport[9].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
    RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt ; RKreport[9].txt

    Cette fois-ci, il m'a bien trouvé un fichier malicieux.

    J'ai ensuite fait l'option 2 du programme RogueKiller et voici le rapport :

    RogueKiller V4.3.5 par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: HP_Propriétaire [Droits d'admin]
    Mode: Suppression -- Date : 01/04/2011 15:56:39

    Processus malicieux: 0

    Entrees de registre: 1
    [APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : aIi28604mKeJd28604 (C:\Documents and Settings\All Users\Application Data\aIi28604mKeJd28604\aIi28604mKeJd28604.exe) -> DELETED

    Fichier HOSTS:

    Termine : << RKreport[10].txt >>
    RKreport[10].txt ; RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ;
    RKreport[5].txt ; RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt ; RKreport[9].txt

    System Tool a semble t-il été désactivé (l'icône associée au virus dans la barre de lancement rapide, n'était plus présente)

    J'ai exécuté Malwarebytes, j'ai téléchargé la dernière mise à jour et j'ai fait un scan complet :

    Voici le résultat avant suppression des fichiers :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6235

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    01/04/2011 17:22:41
    rapport malware

    Type d'examen: Examen complet (C:\|D:\|E:\|)
    Elément(s) analysé(s): 283539
    Temps écoulé: 1 heure(s), 15 minute(s), 53 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\all users\application data\aii28604mkejd28604\aii28604mkejd28604.exe (Trojan.FakeAlert) -> No action taken.
    c:\documents and settings\hp_propriétaire.fabfred\mes documents\téléchargements\rk_quarantine\aii28604mkejd28604.exe.vir (Trojan.FakeAlert) -> No action taken.

    Dans le résultat, j'ai remarqué que le prog a trouvé un fichier identique à celui trouvé dans le résultat d'analyse de RogueKiller

    J'ai ensuite supprimé les virus détectés par Malwerebytes. L'ordinateur a du re-démarrer pour finaliser cette suppression et pour le moment plus de System Tool qui semble s'exécuter.
    Voici le rapport que le prog à générer automatiquement après suppression :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6235

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    01/04/2011 17:24:01
    mbam-log-2011-04-01 (17-24-01).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|)
    Elément(s) analysé(s): 283539
    Temps écoulé: 1 heure(s), 15 minute(s), 53 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\all users\application data\aii28604mkejd28604\aii28604mkejd28604.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\documents and settings\hp_propriétaire.fabfred\mes documents\téléchargements\rk_quarantine\aii28604mkejd28604.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Voilà, j'attends votre opinion et la marche à suivre s'il y en a. Je n'ai pas encore eu le temps de faire ZHPDiag, vu que j'ai pu exécuter RogueKiller et que j'ai enchainé avec Malwerebytes.

    En vous remerciant par avance.
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, très bien tu as bien nettoyer avec roguekiller renommé et malwarebytes qui a finaliser la suppression , mais postes le zhpdiag si tu peux comme cela on verras si pas d'autre salopperies sont sur le pc , merci
      0
  4. FREDFAB Messages postés 6 Statut Membre
     
    Bonjour
    Merci pour votre réponse
    Comme demandé voici le rapport de ZHPDiag :
    http://www.cijoint.fr/cjlink.php?file=cj201104/cijGtuGMh0.txt
    A bientôt
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour , encore pas mal de truc pas bon sur ton pc tu fais zhpfix comme expliqué et puis ad-remover , et tu posteras un nouveau zhpdiag de contrôle , merci

      1) fais zhpfix comme expliqué

      . Copie les lignes suivantes en GRAS entre les deux lignes




      _____________________________________________________________



      [MD5.1499DB3152C636B7FB3D6BB9D47A9485] - (...) -- C:\Program Files\AskBarDis\bar\bin\AskService.exe [464264]
      O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\AskBarDis\bar\bin\askBar.dll
      O3 - Toolbar: ZoneAlarm Spy Blocker Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\AskBarDis\bar\bin\askBar.dll
      OPT:O4 - HKLM\..\Run: [AlcxMonitor] . (.Realtek Semiconductor Corp. - Realtek Audio - Event Monitor.) -- C:\Windows\ALCXMNTR.exe
      OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
      OPT:O4 - HKLM\..\Run: [nwiz] . (...) -- C:\Program Files\NVIDIA Corporation\nView\nwiz.exe
      OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
      OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
      OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
      OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
      OPT:O4 - HKUS\S-1-5-21-576474116-575617779-1195826953-1008\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
      OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.exe.lnk . (.Adobe Systems, Inc..) -- C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk . (.Microsoft Corporation.) -- C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O23 - Service: (ASKService) . (...) - C:\Program Files\AskBarDis\bar\bin\AskService.exe
      O42 - Logiciel: ZoneAlarm Spy Blocker Toolbar - (.Ask.com.) [HKLM] -- Ask Toolbar_is1
      O43 - CFD: 07/01/2010 - 19:32:48 - [1769327] ----D- C:\Program Files\AskBarDis
      O43 - CFD: 11/02/2006 - 18:51:10 - [1314141] ----D- C:\Program Files\Startup Mechanic
      OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
      O64 - Services: CurCS - C:\Program Files\AskBarDis\bar\bin\AskService.exe - ASKService (ASKService) .(...) - LEGACY_ASKSERVICE
      [HKCU\Software\AppDataLow\AskBarDis]
      [HKLM\Software\AskBarDis]
      [HKLM\Software\Classes\askibar.popswatterbarbutton]
      [HKLM\Software\Classes\askibar.popswatterbarbutton.1]
      [HKLM\Software\Classes\askibar.popswattersettingscontrol]
      [HKLM\Software\Classes\askibar.popswattersettingscontrol.1]
      [HKLM\Software\Classes\asktoolbar.settingsplugin]
      [HKLM\Software\Classes\asktoolbar.settingsplugin.1]
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zonemap\Domains\getmirar.com]
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zonemap\Domains\mirarsearch.com]
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\net-nucleus.com]
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1]
      SR - | Auto 16/10/2008 464264 | (ASKService) . (...) - C:\Program Files\AskBarDis\bar\bin\AskService.exe
      EmptyTemp
      EmptyFlash
      MBRFix
      HOSTFix



      _______________________________________________________________



      . Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
      . Pour XP, double-clique sur ZHPFix
      . pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
      . Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

      Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

      Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.


      !! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

      . cliques sur OK
      . Clique sur « Tous », puis sur « Nettoyer »
      . Copie/colle la totalité du rapport dans ta prochaine réponse
      tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport



      2) passes ad-remover mode NETTOYER

      Déactives ton anti-virus et anti-spyware le temps du scan

      Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
      Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
      Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


      Télécharge Ad-Remover sur ton bureau:
      http://www.teamxscript.org/adremoverTelechargement.html
      ou:
      https://www.androidworld.fr/

      /!\ Ferme toutes tes applications ouvertes. /!\

      Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
      Laisse travailler l'outil.
      Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



      ( Le rapport est sauvegardé sous C:\Ad-report-clean.log )




      3) postes un nouveau zhpdiag pour contrôle , merci

      Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

      Cliques sur la loupe pour lancer l'analyse.

      si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

      Laisses l'outil travailler, il peut être assez long

      A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


      Fermes ZHPDiag en fin d'analyse.


      Pour me le transmettre clique sur ce lien :

      http://www.cijoint.fr/index.php


      Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

      ou directement en choisissant bureau et ZHPDiag.txt clique dessus

      Clique sur Ouvrir.

      Clique sur "Cliquez ici pour déposer le fichier".

      Un lien de cette forme :

      http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

      est ajouté dans la page.

      Copie ce lien dans ta réponse.


      et si problème passe par celui ci : https://www.cjoint.com/
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. FREDFAB Messages postés 6 Statut Membre
     
    Bonjour
    J'ai fait ce que vous m'avez recommandé

    Le premier rapport ZHPfix :

    Rapport de ZHPFix 1.12.3269 par Nicolas Coolman, Update du 30/03/2011
    Fichier d'export Registre :
    Run by HP_Propriétaire at 03/04/2011 17:58:54
    Windows XP Home Edition Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\AskBarDis\bar\bin\askBar.dll => Clé supprimée avec succès
    O23 - Service: (ASKService) . (...) - C:\Program Files\AskBarDis\bar\bin\AskService.exe => Clé supprimée avec succès
    O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Clé supprimée avec succès
    O64 - Services: CurCS - C:\Program Files\AskBarDis\bar\bin\AskService.exe - ASKService (ASKService) .(...) - LEGACY_ASKSERVICE => Clé supprimée avec succès
    HKCU\Software\AppDataLow\AskBarDis => Clé absente
    HKLM\Software\AskBarDis => Clé supprimée avec succès
    HKLM\Software\Classes\askibar.popswatterbarbutton => Clé absente
    HKLM\Software\Classes\askibar.popswatterbarbutton.1 => Clé absente
    HKLM\Software\Classes\askibar.popswattersettingscontrol => Clé absente
    HKLM\Software\Classes\askibar.popswattersettingscontrol.1 => Clé absente
    HKLM\Software\Classes\asktoolbar.settingsplugin => Clé absente
    HKLM\Software\Classes\asktoolbar.settingsplugin.1 => Clé absente
    HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zonemap\Domains\getmirar.com => Clé supprimée avec succès
    HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zonemap\Domains\mirarsearch.com => Clé supprimée avec succès
    HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\net-nucleus.com => Clé supprimée avec succès
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1 => Clé absente

    ========== Valeur(s) du Registre ==========
    O3 - Toolbar: ZoneAlarm Spy Blocker Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\AskBarDis\bar\bin\askBar.dll => Valeur absente
    O4 - HKLM\..\Run: [AlcxMonitor] . (.Realtek Semiconductor Corp. - Realtek Audio - Event Monitor.) -- C:\Windows\ALCXMNTR.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [nwiz] . (...) -- C:\Program Files\NVIDIA Corporation\nView\nwiz.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur supprimée avec succès
    O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-21-576474116-575617779-1195826953-1008\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur absente

    ========== Dossier(s) ==========
    Dossiers Flash Cookies supprimés : 0

    ========== Fichier(s) ==========
    Fichiers Flash Cookies supprimés : 0

    ========== Logiciel(s) ==========
    O42 - Logiciel: ZoneAlarm Spy Blocker Toolbar - (.Ask.com.) [HKLM] -- Ask Toolbar_is1 => Logiciel supprimé avec succès

    ========== Fichier HOSTS ==========
    Le fichier Hosts est sain

    ========== Master Boot Record ==========
    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
    Windows 5.1.2600 Disk: ST3250823AS rev.3.03 -> \Device\Ide\IdeDeviceP0T0L0-3

    device: opened successfully
    user: MBR read successfully

    Disk trace:
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll sfsync02.sys atapi.sys pciide.sys PCIIDEX.SYS
    C:\WINDOWS\system32\drivers\sfsync02.sys Protection Technology StarForce Protection System
    1 ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Harddisk0\DR0[0x8676BAB8]
    3 CLASSPNP[0xF7680FD7] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\00000060[0x8676EF18]
    5 ACPI[0xF74E6620] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Ide\IdeDeviceP0T0L0-3[0x8676DB00]
    kernel: MBR read successfully
    user & kernel MBR OK

    Resultat après le fix :
    Master Boot Record non infecté

    ========== Récapitulatif ==========
    16 : Clé(s) du Registre
    10 : Valeur(s) du Registre
    1 : Dossier(s)
    1 : Fichier(s)
    1 : Logiciel(s)
    1 : Fichier HOSTS
    1 : Master Boot Record

    End of the scan

    Le rapport AD-REMOVER :

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 01/03/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:20:39 le 03/04/2011, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    HP_Propriétaire@FABFRED ( )

    ============== ACTION(S) ==============

    Dossier supprimé: C:\Documents and Settings\HP_Propriétaire.FABFRED\Application Data\DesktopIcon

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
    Clé supprimée: HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.6.16 (fr)] ****

    Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension for Firefox )

    -- C:\Documents and Settings\HP_Propriétaire.FABFRED\Application Data\Mozilla\FireFox\Profiles\ume89kjt.default --
    Extensions\keyscrambler@qfx.software.corporation (KeyScrambler)
    Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
    Extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} (Adobe DLM (powered by getPlus(R)))
    Prefs.js - browser.search.selectedEngine, eBay France
    Prefs.js - browser.startup.homepage, hxxp://portail.free.fr/
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16

    ========================================

    **** Internet Explorer Version [8.0.6001.18702] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_Toolbar\ShellBrowser|{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} (x)
    HKLM_Extensions\{5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - "?" (?)
    HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
    HKLM_Extensions\{E2D4D26B-0180-43a4-B05F-462D6D54C789} - "Aide à la connexion" (C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\conn_support.ico)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{201f27d4-3704-41d6-89c1-aa35e39143ed} (?)
    BHO\{2B9F5787-88A5-4945-90E7-C4B18563BC5E} - "KeyScramblerBHO Class" (C:\Program Files\KeyScrambler\KeyScramblerIE.dll)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 03/04/2011 18:20:53 (948 Octet(s))

    Fin à: 18:21:40, 03/04/2011

    ============== E.O.F ==============

    Le rapport de contrôle ZHPDiag suit dans un autre message
    0
  7. FREDFAB Messages postés 6 Statut Membre
     
    Rebonjour

    voici le rapport de contrôle avec ZHPDiag :

    http://www.cijoint.fr/cjlink.php?file=cj201104/cijXxsubiT.txt

    Merci encore pour votre aide , en attente de votre réponse
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, tu passes delfix et tu fais un nettoyage avec ccleaner, et tu nous dis comment va le pc?

      1) DelFix - Option Suppression

      Télécharge DelFix (d'Xplode) sur ton bureau.

      Lance le puis sélectionne Suppression

      Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

      Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

      Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.


      2) fais un nettoyage avec ccleaner et les réglage donnés


      télécharges Ccleaner à partir de cette adresses

      https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/


      .enregistres le sur le bureau
      .double-cliques si sous XP sinon pour vista et seven clique droit et en tant que administrateur sur le fichier pour lancer l'installation
      .sur la fenêtre de l'installation langage bien choisir français et OK
      .cliques sur suivant
      .lis la licence et j'accepte
      .cliques sur suivant
      .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner

      ATTENTION refuse l'installation de tous ce qui est google si pas intéressé !!

      .cliques sur intaller
      .cliques sur fermer
      .double-cliques sur l'icône de Ccleaner pour l'ouvrir
      .une fois ouvert tu cliques sur option et puis avancé
      .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
      .cliques sur nettoyeur
      .cliques sur windows et dans la colonne avancé
      .cochesla première case vieilles données du perfetch que celle-la
      .cliques sur analyse une fois l'analyse terminé
      .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
      .cliques maintenant sur registre et puis sur rechercher les erreurs
      .laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
      .il te demande de sauvegarder OUI
      .tu lui donnes un nom pour pouvoir la retrouver et enregistre
      .cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
      .il supprime et fermer tu vériffis en relancant rechercher les erreurs
      .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
      .tu peux fermer Ccleaner

      pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
      0
  8. FREDFAB Messages postés 6 Statut Membre
     
    Bonjour
    Voici le rapport de DELFIX:

    # DelFix v7.6 - Rapport créé le 06/04/2011 à 21:35
    # Mis à jour le 31/03/11 à 16h par Xplode
    # Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
    # Nom d'utilisateur : HP_Propriétaire - FABFRED (Administrateur)
    # Exécuté depuis : C:\Documents and Settings\HP_Propriétaire.FABFRED\Bureau\DelFix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\Program Files\Ad-Remover
    Supprimé : C:\Program Files\ZHPDiag
    Supprimé : C:\Program Files\trend micro\Hijackthis
    Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
    Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Hijackthis

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\Ad-Report-CLEAN[1].txt
    Supprimé : C:\ZHPExportRegistry-03-04-2011-17-58-54.txt
    Supprimé : C:\PhysicalDisk0_MBR.bin
    Supprimé : C:\Documents and Settings\HP_Propriétaire.FABFRED\Bureau\catchme.log
    Supprimé : C:\Documents and Settings\HP_Propriétaire.FABFRED\Bureau\AD-R.lnk
    Supprimé : C:\Documents and Settings\HP_Propriétaire.FABFRED\Bureau\ZHPDiag 2
    Supprimé : C:\Documents and Settings\HP_Propriétaire.FABFRED\Bureau\ZHPDiag 2.txt
    Supprimé : C:\Documents and Settings\HP_Propriétaire.FABFRED\Bureau\ZHPDiag.txt
    Supprimé : C:\Documents and Settings\HP_Propriétaire.FABFRED\Bureau\ZHPDiag2.exe
    Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
    Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
    Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\HijackThis
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

    ~~~~~~ Autre ~~~~~~

    -> BitDefender Online Scanner ... Désinstallé avec succès
    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [2106 octets] ##########

    Il ne me reste plus qu'a faire CCLEANER comme vous me l'avait demandé
    vous tiens au courant

    Merci
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      ok !!
      0
  9. FREDFAB Messages postés 6 Statut Membre
     
    Bonjour
    Dernière étape (enfin j'espère !) réalisée.
    Apparemment plus de trace de "système tool" sur mon ordi qui fonctionne comme avant
    Encore un GRAND GRAND merci pour votre aide, j'espère pas "à bientôt"!!!
    Grosse galère les virus
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      ok heureux d'avoir pu t'aider , mais une chose me dérange car sur le denier rapport celui de zhpdiag je vouis des chose en lien avec norton alors qu'il me semble que tu utilises antivir comme anti-virus , surement ton ancien anti-virus qui a mal été désinstallé , dans ce cas utiulises l'outils spéciphique de chez symantec !! http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924
      après on parlera de tes mise à jouyr car java et adobe reader son pas à jour ??
      0
  10. Pirotess Messages postés 119 Statut Membre
     
    Salut,

    En fait nous avons tous les deux le même ordinateurs et je lui avais conseillé de virer norton antivirus pour antivir à la place...

    Par contre, tout comme moi, elle a laissé le prog Norton security center qui prévient par exemple quand antivir n'est pas à jour.... entre autre... ou si l'antivirus est désactivé.. Pareil pour le pare-feu...

    Sinon, en terme de mise à jour..... je lui dis souvent de les faire...... mais bon....lol
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, ok si tu veux conserver ton outil norton libre à toi !!, pour les mise à jour tu fais cela :
      POUR JAVA : désinstalles ta ou tes version actuel présentes dans ajou suppression des programmes et installes cette version https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/

      POUR ADOBE READER: désinstalles adobe reader car pas à jour et telecharges et installes cette version :

      https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/


      et puis fais un tour chez Windows update http://www.update.microsoft.com/windowsupdate/v6/default.aspx tu fais une recherche personnaliser et il te proposera toutes les mise à jour disponible pour ton pc aussi bien pour ta carte graphique que pour un logiciel !! tu les installes toutes quitte à y revenir plusieurs fois !!
      0