Ms removal tool persiste !
Fermé
morgane
-
31 mars 2011 à 19:42
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 4 avril 2011 à 17:04
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 4 avril 2011 à 17:04
A voir également:
- Ms removal tool persiste !
- Media creation tool - Télécharger - Systèmes d'exploitation
- Hp format tool - Télécharger - Stockage
- Junkware removal tool - Télécharger - Sécurité
- Microsoft office removal tool - Télécharger - Nettoyage
- Daemon tool - Télécharger - Émulation & Virtualisation
26 réponses
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
Modifié par Smart91 le 31/03/2011 à 19:57
Modifié par Smart91 le 31/03/2011 à 19:57
Bonjour,
Sur un autre PC sain:
- Télécharge sur une clé USB RogueKiller de Tigzy
- Copie le sur le bureau du PC infecté
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 1 [SCAN] et valide
- Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.
* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Sur un autre PC sain:
- Télécharge sur une clé USB RogueKiller de Tigzy
- Copie le sur le bureau du PC infecté
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 1 [SCAN] et valide
- Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.
* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
31 mars 2011 à 21:15
31 mars 2011 à 21:15
Essaies plusieurs fois ou alors tu renomme RogueKiller.exe et Winlogon.exe
et passe directement à l'option 2 de RogueKiller
Smart
et passe directement à l'option 2 de RogueKiller
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
31 mars 2011 à 21:51
31 mars 2011 à 21:51
Il faut être plus explicite. Message d'erreur ? as tu changé le nom ?
Tu sais, je ne suis pas devin et surtout je ne suis pas devant ton ordinateur. Si tu ne me dis pas exactement avec précsion ce qui se passe je ne peux pas le deviner
Smart
Tu sais, je ne suis pas devin et surtout je ne suis pas devant ton ordinateur. Si tu ne me dis pas exactement avec précsion ce qui se passe je ne peux pas le deviner
Smart
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Changé le nom avec winlogon , une analyse très rapide puisqu'il a bloqué sur ce lien.Le rapport doit être lu en une seconde(flash), puisque cette fenêtre se referme aussitôt.Au final, il n'y a aucun changement.Ma batterie est faible et je ne suis pas chez moi pour continuer ce soir.Dès demain je retourne auprès d'un pc sain pour lire les futurs démarches. Merci, bonne soirée.
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
31 mars 2011 à 22:21
31 mars 2011 à 22:21
OK à demain
Smart
Smart
Bonjour,
Une bonne nouvelle, Roguekiller a fonctionné avec l'option 2.Maintenant je comprends mieux.Sur mon pc je ne visualise toujours pas applicattion data .
Voici ce que le rapport dit : Mode: Suppression -- Date : 01/04/2011 14:05:16
Processus malicieux: 1
[APPDT/TMP/DESKTOP] gPf28604jPlMl28604.exe -- c:\documents and settings\all users\application data\gpf28604jplml28604\gpf28604jplml28604.exe -> KILLED
Entrees de registre: 0
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Une bonne nouvelle, Roguekiller a fonctionné avec l'option 2.Maintenant je comprends mieux.Sur mon pc je ne visualise toujours pas applicattion data .
Voici ce que le rapport dit : Mode: Suppression -- Date : 01/04/2011 14:05:16
Processus malicieux: 1
[APPDT/TMP/DESKTOP] gPf28604jPlMl28604.exe -- c:\documents and settings\all users\application data\gpf28604jplml28604\gpf28604jplml28604.exe -> KILLED
Entrees de registre: 0
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
1 avril 2011 à 14:57
1 avril 2011 à 14:57
Maintenant tu vas faire ceci:
* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.
Smart
* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.
Smart
Voici le rapport complet :
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\New.net (Adware.NewDotNet) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\New.net (Adware.NewDotNet) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
c:\program files\newdotnet (Adware.NewDotNet) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\documents and settings\all users\application data\gpf28604jplml28604\gpf28604jplml28604.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\CA\Bureau\rk_quarantine\gpf28604jplml28604.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\program files\newdotnet\readme.html (Adware.NewDotNet) -> Quarantined and deleted successfully.
c:\program files\newdotnet\uninstall.exe (Adware.NewDotNet) -> Quarantined and deleted successfully.
c:\documents and settings\CA\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Il me semble bien.
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\New.net (Adware.NewDotNet) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\New.net (Adware.NewDotNet) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
c:\program files\newdotnet (Adware.NewDotNet) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\documents and settings\all users\application data\gpf28604jplml28604\gpf28604jplml28604.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\CA\Bureau\rk_quarantine\gpf28604jplml28604.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\program files\newdotnet\readme.html (Adware.NewDotNet) -> Quarantined and deleted successfully.
c:\program files\newdotnet\uninstall.exe (Adware.NewDotNet) -> Quarantined and deleted successfully.
c:\documents and settings\CA\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Il me semble bien.
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
2 avril 2011 à 00:22
2 avril 2011 à 00:22
Relance MBAM et vide la quarantaine.
Comment se comporte ton PC ?
On va quand mêmefaire un diagnostic de ton PC pour voir s'il n'y a pas d'autres infections
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
Comment se comporte ton PC ?
On va quand mêmefaire un diagnostic de ton PC pour voir s'il n'y a pas d'autres infections
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
Il y a quelques fihiers qui ne veulent pas se fermer correctement.
Voici le lien :
http://www.cijoint.fr/cjlink.php?file=cj201104/cij5I7Rtn9.txt
Qu'en dis tu ?
Voici le lien :
http://www.cijoint.fr/cjlink.php?file=cj201104/cij5I7Rtn9.txt
Qu'en dis tu ?
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
2 avril 2011 à 13:28
2 avril 2011 à 13:28
"Il y a quelques fihiers qui ne veulent pas se fermer correctement. "
Que veux-tu dire ?
Je regarde le rapport
Smart
Que veux-tu dire ?
Je regarde le rapport
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
2 avril 2011 à 13:41
2 avril 2011 à 13:41
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} . (...) -- C:\Program Files\QuickSearch\QuickSearchBar3_28.dll (.not file.)
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\QuickSearch\QuickSearchBar3_28.dll
O64 - Services: CurCS - (.not file.) - NNServ (NNServ) .(...) - LEGACY_NNSERV
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton <gras>« GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Smart
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} . (...) -- C:\Program Files\QuickSearch\QuickSearchBar3_28.dll (.not file.)
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\QuickSearch\QuickSearchBar3_28.dll
O64 - Services: CurCS - (.not file.) - NNServ (NNServ) .(...) - LEGACY_NNSERV
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton <gras>« GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
2 avril 2011 à 14:20
2 avril 2011 à 14:20
Le mieux c'est de répondre à la suite de mes réponses sinon je risque de louper un de tes réponses.
Peux-tu refaire ZHPFix avec ce que j'ai dit plus haut, car je n'ai pas compris ce que tu voulais dire
Smart
Peux-tu refaire ZHPFix avec ce que j'ai dit plus haut, car je n'ai pas compris ce que tu voulais dire
Smart
Le rapport :
========== Clé(s) du Registre ==========
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} . (...) -- C:\Program Files\QuickSearch\QuickSearchBar3_28.dll (.not file.) => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - NNServ (NNServ) .(...) - LEGACY_NNSERV => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\QuickSearch\QuickSearchBar3_28.dll => Valeur supprimée avec succès
========== Fichier(s) ==========
c:\program files\quicksearch\quicksearchbar3_28.dll => Fichier absent
========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Fichier(s)
End of the scan
========== Clé(s) du Registre ==========
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} . (...) -- C:\Program Files\QuickSearch\QuickSearchBar3_28.dll (.not file.) => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - NNServ (NNServ) .(...) - LEGACY_NNSERV => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\QuickSearch\QuickSearchBar3_28.dll => Valeur supprimée avec succès
========== Fichier(s) ==========
c:\program files\quicksearch\quicksearchbar3_28.dll => Fichier absent
========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Fichier(s)
End of the scan
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
2 avril 2011 à 14:25
2 avril 2011 à 14:25
Redémarre le PC refais un scan ZHPdiag, poste le rapport via cijoint et ensuite on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet
Smart
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet
Smart
En fermant le pc j'ai a nouveau eu cette fenêtre fin de "programme de sample".
Le scan ZHPdiag fut plus rapide que je le pensais.Voiçi :
http://www.cijoint.fr/cjlink.php?file=cj201104/cijFIujJh4.txt
Le scan ZHPdiag fut plus rapide que je le pensais.Voiçi :
http://www.cijoint.fr/cjlink.php?file=cj201104/cijFIujJh4.txt
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
2 avril 2011 à 15:25
2 avril 2011 à 15:25
OK. On passe à la phasee finale:
Fais les mises à jour suivantes:
Mise à jour Java 6 update 24 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 24
Mise à jour Adobe Reader 10.0.1
Désinstalle Adobe
Installer Adobe 10.0.1
Décoche la case "Inclure dans botre téléchargement la barre Google"
Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour
Optimisation:
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
O42 - Logiciel: QuickSearch Toolbar - (.Pas de propriétaire.) [HKLM] -- QuickSearch Toolbar
CTFDisabled
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (...) -- C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
OPT:O4 - HKLM\..\Run: [Dell QuickSet] . (.Pas de propriétaire - QuickSet MFC Application.) -- C:\Program Files\Dell\QuickSet\quickset.exe
OPT:O4 - HKLM\..\Run: [PRONoMgr.exe] . (.Intel Corporation - PRONotifyMgr Module.) -- C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Computer, Inc. - Pas de description.) -- C:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKCU\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-1613070322-1123952881-1719806338-1006\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-1613070322-1123952881-1719806338-1006\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Digital Line Detect.lnk . (.BVRP Software.) -- C:\Program Files\Digital Line Detect\DLG.exe
[HKLM\Software\BrowserChoice]
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton <gras>« GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
1. Désinstallation des outils
- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Sélectionne Suppression
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.
2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).
3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides
Quelques conseils de Prévention
- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.
Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
==> http://www.mozilla-europe.org/fr/firefox/
Une fois que c'est fait, lance le et installe l'extension de sécurité adblock plus
pour bloquer les publicités
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html
WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise
- Par rapport au P2P : http://www.libellules.ch/...
- Les logiciels gratuits à éviter
- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection
Sois plus vigilant(e) sur Internet à l'avenir
Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas
Smart
Fais les mises à jour suivantes:
Mise à jour Java 6 update 24 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 24
Mise à jour Adobe Reader 10.0.1
Désinstalle Adobe
Installer Adobe 10.0.1
Décoche la case "Inclure dans botre téléchargement la barre Google"
Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour
Optimisation:
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
O42 - Logiciel: QuickSearch Toolbar - (.Pas de propriétaire.) [HKLM] -- QuickSearch Toolbar
CTFDisabled
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (...) -- C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
OPT:O4 - HKLM\..\Run: [Dell QuickSet] . (.Pas de propriétaire - QuickSet MFC Application.) -- C:\Program Files\Dell\QuickSet\quickset.exe
OPT:O4 - HKLM\..\Run: [PRONoMgr.exe] . (.Intel Corporation - PRONotifyMgr Module.) -- C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Computer, Inc. - Pas de description.) -- C:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKCU\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-1613070322-1123952881-1719806338-1006\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-1613070322-1123952881-1719806338-1006\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Digital Line Detect.lnk . (.BVRP Software.) -- C:\Program Files\Digital Line Detect\DLG.exe
[HKLM\Software\BrowserChoice]
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton <gras>« GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
1. Désinstallation des outils
- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Sélectionne Suppression
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.
2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).
3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides
Quelques conseils de Prévention
- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.
Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
==> http://www.mozilla-europe.org/fr/firefox/
Une fois que c'est fait, lance le et installe l'extension de sécurité adblock plus
pour bloquer les publicités
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html
WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise
- Par rapport au P2P : http://www.libellules.ch/...
- Les logiciels gratuits à éviter
- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection
Sois plus vigilant(e) sur Internet à l'avenir
Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas
Smart
Le rapport de Zhpfix :
========== Clé(s) du Registre ==========
O42 - Logiciel: QuickSearch Toolbar - (.Pas de propriétaire.) [HKLM] -- QuickSearch Toolbar => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
HKLM\Software\BrowserChoice => Clé absente
========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (...) -- C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe => Valeur absente
O4 - HKLM\..\Run: [Dell QuickSet] . (.Pas de propriétaire - QuickSet MFC Application.) -- C:\Program Files\Dell\QuickSet\quickset.exe => Valeur absente
O4 - HKLM\..\Run: [PRONoMgr.exe] . (.Intel Corporation - PRONotifyMgr Module.) -- C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe => Valeur absente
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Computer, Inc. - Pas de description.) -- C:\Program Files\QuickTime\qttask.exe => Valeur absente
O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur absente
O4 - HKCU\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur absente
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur absente
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur absente
O4 - HKUS\S-1-5-21-1613070322-1123952881-1719806338-1006\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur absente
O4 - HKUS\S-1-5-21-1613070322-1123952881-1719806338-1006\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe => Valeur absente
========== Elément(s) de donnée du Registre ==========
CTFDisabled => Donnée supprimée avec succès
========== Fichier(s) ==========
c:\documents and settings\all users\menu démarrer\programmes\démarrage\digital line detect.lnk => Fichier absent
========== Récapitulatif ==========
2 : Clé(s) du Registre
11 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Fichier(s)
End of the scan
Qu'en penses tu ?
Ensuite j'appliquerai _ 1. Désinstallation des outils
========== Clé(s) du Registre ==========
O42 - Logiciel: QuickSearch Toolbar - (.Pas de propriétaire.) [HKLM] -- QuickSearch Toolbar => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
HKLM\Software\BrowserChoice => Clé absente
========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (...) -- C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe => Valeur absente
O4 - HKLM\..\Run: [Dell QuickSet] . (.Pas de propriétaire - QuickSet MFC Application.) -- C:\Program Files\Dell\QuickSet\quickset.exe => Valeur absente
O4 - HKLM\..\Run: [PRONoMgr.exe] . (.Intel Corporation - PRONotifyMgr Module.) -- C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe => Valeur absente
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Computer, Inc. - Pas de description.) -- C:\Program Files\QuickTime\qttask.exe => Valeur absente
O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur absente
O4 - HKCU\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur absente
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur absente
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur absente
O4 - HKUS\S-1-5-21-1613070322-1123952881-1719806338-1006\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur absente
O4 - HKUS\S-1-5-21-1613070322-1123952881-1719806338-1006\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe => Valeur absente
========== Elément(s) de donnée du Registre ==========
CTFDisabled => Donnée supprimée avec succès
========== Fichier(s) ==========
c:\documents and settings\all users\menu démarrer\programmes\démarrage\digital line detect.lnk => Fichier absent
========== Récapitulatif ==========
2 : Clé(s) du Registre
11 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Fichier(s)
End of the scan
Qu'en penses tu ?
Ensuite j'appliquerai _ 1. Désinstallation des outils
31 mars 2011 à 21:11