Windows repair
corse62
Messages postés
42
Statut
Membre
-
corse62 Messages postés 42 Statut Membre -
corse62 Messages postés 42 Statut Membre -
Bonjour,
J'ai attrapé vendredi le virus " Windows Repair ", ne pouvant absolument plus rien faire je l'ai ammené en réparation, je l'ai récupéré hier, je l'allume mais surprise, tout n'a pas été réparé, il semblerait que le virus soit enlevé ou du moins désactivé. Malheureusement je n'ai plus rien quand je vais dans " demarrer / tous les programmes " c'st écrit " vide ". j'ai donc coché l'option pour affiché les dossiers cachés mais ces derniers restent en " transparence ". S'il vous plait aidez moi à pouvoir relancer mes programmes car ils sont installés mais mis à part ceux qui se trouvent dans la barre des taches, je ne peux plus lancer mes programmes comme photoshop et illustrator qui me servent pour le travail. Comment éliminer toutes traces de ce satané virus et faire pour que tout redevienne comme avant. Merci beaucoup d'avance.
Alexis
ps : j'ai télécharger trojankiller et spyhunter, mais après analyse il faut s'inscrire et donc je pense acheter pour continuer la désinfection.
J'ai attrapé vendredi le virus " Windows Repair ", ne pouvant absolument plus rien faire je l'ai ammené en réparation, je l'ai récupéré hier, je l'allume mais surprise, tout n'a pas été réparé, il semblerait que le virus soit enlevé ou du moins désactivé. Malheureusement je n'ai plus rien quand je vais dans " demarrer / tous les programmes " c'st écrit " vide ". j'ai donc coché l'option pour affiché les dossiers cachés mais ces derniers restent en " transparence ". S'il vous plait aidez moi à pouvoir relancer mes programmes car ils sont installés mais mis à part ceux qui se trouvent dans la barre des taches, je ne peux plus lancer mes programmes comme photoshop et illustrator qui me servent pour le travail. Comment éliminer toutes traces de ce satané virus et faire pour que tout redevienne comme avant. Merci beaucoup d'avance.
Alexis
ps : j'ai télécharger trojankiller et spyhunter, mais après analyse il faut s'inscrire et donc je pense acheter pour continuer la désinfection.
A voir également:
- Windows repair
- Windows repair - Télécharger - Utilitaires
- Clé d'activation windows 10 - Guide
- Montage video windows - Guide
- Windows ne démarre pas - Guide
- Windows movie maker - Télécharger - Montage & Édition
22 réponses
bonjour
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
* puis l'option 6
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
* puis l'option 6
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com
Salut, merci pour ton aide, j'ai fait ce que tu m'as demandé mais aussi ce qu'il y a d'écrit sur le site de téléchargement ( c'est à dire, lancer le programme ==> 1 ==> valider ) voici ce que j'ai eu en tapant " 1 "
RogueKiller V4.3.6 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html
Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: alexis [Admin rights]
Mode: Scan -- Date : 04/03/2011 23:07:42
Bad processes: 0
Registry Entries: 2
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{BDDAAA70-00FC-4F87-BCE8-980AB1C8E717} : NameServer (62.13.169.92 62.13.169.93) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
HOSTS File:
127.0.0.1 localhost
127.0.0.1 activate.adobe.com
Finished : << RKreport[1].txt >>
RKreport[1].txt
puis en tapant " 2 " :
RogueKiller V4.3.6 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html
Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: alexis [Admin rights]
Mode: Remove -- Date : 04/03/2011 23:09:21
Bad processes: 0
Registry Entries: 2
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{BDDAAA70-00FC-4F87-BCE8-980AB1C8E717} : NameServer (62.13.169.92 62.13.169.93) -> NOT REMOVED, USE DNSFIX
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\alexis\Impostazioni locali\Dati applicazioni\Microsoft\Wallpaper1.bmp)
HOSTS File:
127.0.0.1 localhost
127.0.0.1 activate.adobe.com
Finished : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
voilà, j'espère sincèrement que ça aidera à résoudre mon problème.
Pour infos, un ami a réussi a me redonner accès à mes programmes, ils se lancent et c'est déjà énorme. Seulement, il y a encore l'icone de " windows repair " sur le bureau et un icone d'ordinateur nomé " 123 " dans disque C\ et certainement encore d'autres dossiers... créés suite à ce sale virus. je voudrais éliminer toutes traces...merci pour votre aide.
Je tourne sous windows xp.
Alexis
RogueKiller V4.3.6 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html
Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: alexis [Admin rights]
Mode: Scan -- Date : 04/03/2011 23:07:42
Bad processes: 0
Registry Entries: 2
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{BDDAAA70-00FC-4F87-BCE8-980AB1C8E717} : NameServer (62.13.169.92 62.13.169.93) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
HOSTS File:
127.0.0.1 localhost
127.0.0.1 activate.adobe.com
Finished : << RKreport[1].txt >>
RKreport[1].txt
puis en tapant " 2 " :
RogueKiller V4.3.6 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html
Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: alexis [Admin rights]
Mode: Remove -- Date : 04/03/2011 23:09:21
Bad processes: 0
Registry Entries: 2
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{BDDAAA70-00FC-4F87-BCE8-980AB1C8E717} : NameServer (62.13.169.92 62.13.169.93) -> NOT REMOVED, USE DNSFIX
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\alexis\Impostazioni locali\Dati applicazioni\Microsoft\Wallpaper1.bmp)
HOSTS File:
127.0.0.1 localhost
127.0.0.1 activate.adobe.com
Finished : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
voilà, j'espère sincèrement que ça aidera à résoudre mon problème.
Pour infos, un ami a réussi a me redonner accès à mes programmes, ils se lancent et c'est déjà énorme. Seulement, il y a encore l'icone de " windows repair " sur le bureau et un icone d'ordinateur nomé " 123 " dans disque C\ et certainement encore d'autres dossiers... créés suite à ce sale virus. je voudrais éliminer toutes traces...merci pour votre aide.
Je tourne sous windows xp.
Alexis
ok
1)
relance roguekiller
option 5
poste le rapport
________
2)
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
1)
relance roguekiller
option 5
poste le rapport
________
2)
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
Salut, merci pour ta réponse, j'ai téléchargé le programme puis scanné. J'ai ensuite sauvegardé comme tu me l'as dit et essayé de le mettre sur le site, seulement il me met une page d'erreur quand je clique sur " envoyer ". Je ne sais pas trop comment faire parce que c'est long comme rapport et le copier/coller ici ça fait un " peu beaucoup " comme on dit.
Je peux l'envoyer d'une autre façon ?
Encore merci pour votre aide.
Alexis
Je peux l'envoyer d'une autre façon ?
Encore merci pour votre aide.
Alexis
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Excuse, voici le rapport avec roguekiller (option 5 ), j'avais oublié :
RogueKiller V4.3.6 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html
Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: alexis [Admin rights]
Mode: DNSFix -- Date : 04/04/2011 11:39:43
Bad processes: 0
Registry Entries: 0
Finished : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Encore merci
Alexis
RogueKiller V4.3.6 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html
Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: alexis [Admin rights]
Mode: DNSFix -- Date : 04/04/2011 11:39:43
Bad processes: 0
Registry Entries: 0
Finished : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Encore merci
Alexis
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
Voilà, j'ai fait l'autre solution en faisant copier/coller du rapport directement. voici le lien ==> https://pjjoint.malekal.com/files.php?read=i5p5z6e11d13v10l13b9o5
J'ai aussi remarqué que je n'ai plus de son lors de la fermeture et de l'ouverture de windows, mais le son et la vidéo fonctionnent pour les films, musiques...
Mon fond d'écran est revenu, mais l'icone de " windows repair " est toujours présent sur le bureau.
Un détail ( plus ou moins important ) que j'ai oublié, je vis en Italie et j'ai donc acheté mon pc en Italie, cela inclus le clavier différent ( mais les raccourcis....restent les memes ) mais surtout windows avec beaucoup de mots en anglais, ici les traductions de l'informatique ne se font pas malheureusement, ou très très peu. Je le précise pour le rapport ou certains mots comme bureau seront " traduits " par " desktop ".
merci encore, ça fait plaisir d'etre aider par des " co-nationaux " à distance.
Alexis
J'ai aussi remarqué que je n'ai plus de son lors de la fermeture et de l'ouverture de windows, mais le son et la vidéo fonctionnent pour les films, musiques...
Mon fond d'écran est revenu, mais l'icone de " windows repair " est toujours présent sur le bureau.
Un détail ( plus ou moins important ) que j'ai oublié, je vis en Italie et j'ai donc acheté mon pc en Italie, cela inclus le clavier différent ( mais les raccourcis....restent les memes ) mais surtout windows avec beaucoup de mots en anglais, ici les traductions de l'informatique ne se font pas malheureusement, ou très très peu. Je le précise pour le rapport ou certains mots comme bureau seront " traduits " par " desktop ".
merci encore, ça fait plaisir d'etre aider par des " co-nationaux " à distance.
Alexis
ok
on continue
* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau
http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
on continue
* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau
http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
Voilà, c'est fait et le rapport m'indique :
" infection : not ofund
C:\WINDOWS\system32\Drivers\sptd.sys - copied to quarantine
"
Je poste aussi le lien du rapport ==> https://pjjoint.malekal.com/files.php?read=b8w13e15p10y14x14r15b10m8
Apparemment il n' y a pas d'infection mais un " suspicious object " que j'ai donc mis en 40aine comme tu m'as dit.
merci pour ton aide.
Alexis
ps: j'avoue franchement que des rapports d'analyse je n'y connais pas grand chose pour ne pas dire " rien ", donc ton aide m'est vraiment précieuse.
" infection : not ofund
C:\WINDOWS\system32\Drivers\sptd.sys - copied to quarantine
"
Je poste aussi le lien du rapport ==> https://pjjoint.malekal.com/files.php?read=b8w13e15p10y14x14r15b10m8
Apparemment il n' y a pas d'infection mais un " suspicious object " que j'ai donc mis en 40aine comme tu m'as dit.
merci pour ton aide.
Alexis
ps: j'avoue franchement que des rapports d'analyse je n'y connais pas grand chose pour ne pas dire " rien ", donc ton aide m'est vraiment précieuse.
ok
1)
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O4 - Global Startup: C:\Documents And Settings\alexis\Desktop\SpyHunter.lnk . (.Enigma Software Group USA, LLC..) -- C:\Programmi\Enigma Software Group\SpyHunter\SpyHunter4.exe
O41 - Driver: (tdssserv) . (. - .) - C:\WINDOWS\system32\drivers\tdssserv.sys (.not file.)
O42 - Logiciel: IpWins - (.Unknown owner.) [HKLM] -- IpWins
O42 - Logiciel: SpyHunter - (.Enigma Software Group USA, LLC.) [HKLM] -- {41EBC322-660F-4D16-A0DF-53147210CBDB}
[HKCU\Software\IpWins]
[HKLM\Software\FunWebProducts]
[HKLM\Software\tdss]
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [feature_enable_ie_compression] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [feature_enable_ie_compression] -- svchost.exe
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb}]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}]
M2 - MFEP: prefs.js [alexis - uc3mp47x.default\{fc600575-3013-4e8e-941c-4b00dafce730}] [babylon] myBabylon English4 Toolbar v2.2.0.9 (.Conduit Ltd..)
[HKLM\Software\Conduit]
[HKLM\Software\Conduit]
O4 - Global Startup: C:\Documents And Settings\alexis\Desktop\Windows Repair.lnk . (...) -- C:\Documents and Settings\All Users\Dati applicazioni\18407220.exe
Puis Lance ZHPFix depuis le raccourci du bureau . (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)
* Une fois l'outil ZHPFix ouvert ,
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
____________
2)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\
Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
__________
3)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
__________
4)
redemarre le pc et dis moi si tu as encore des soucis
1)
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O4 - Global Startup: C:\Documents And Settings\alexis\Desktop\SpyHunter.lnk . (.Enigma Software Group USA, LLC..) -- C:\Programmi\Enigma Software Group\SpyHunter\SpyHunter4.exe
O41 - Driver: (tdssserv) . (. - .) - C:\WINDOWS\system32\drivers\tdssserv.sys (.not file.)
O42 - Logiciel: IpWins - (.Unknown owner.) [HKLM] -- IpWins
O42 - Logiciel: SpyHunter - (.Enigma Software Group USA, LLC.) [HKLM] -- {41EBC322-660F-4D16-A0DF-53147210CBDB}
[HKCU\Software\IpWins]
[HKLM\Software\FunWebProducts]
[HKLM\Software\tdss]
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [feature_enable_ie_compression] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [feature_enable_ie_compression] -- svchost.exe
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb}]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}]
M2 - MFEP: prefs.js [alexis - uc3mp47x.default\{fc600575-3013-4e8e-941c-4b00dafce730}] [babylon] myBabylon English4 Toolbar v2.2.0.9 (.Conduit Ltd..)
[HKLM\Software\Conduit]
[HKLM\Software\Conduit]
O4 - Global Startup: C:\Documents And Settings\alexis\Desktop\Windows Repair.lnk . (...) -- C:\Documents and Settings\All Users\Dati applicazioni\18407220.exe
Puis Lance ZHPFix depuis le raccourci du bureau . (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)
* Une fois l'outil ZHPFix ouvert ,
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
____________
2)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\
Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
__________
3)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
__________
4)
redemarre le pc et dis moi si tu as encore des soucis
Salut, j'ai effectué tout ce que tu m'as dit et ça avance à grands pas. Je ne sais pas si tout est enlevé mais dès l'analyse effectuée avec le copier/coller du texte en gras avec ZHPFix, l'icone de " windows repair " sur le bureau a disparu...et là soulagement. Mais par sécurité j'ai continué les analyses avec les autres programmes et voici les rapports :
1) avec ZHPFix ==>
Rapport de ZHPFix 1.12.3273 par Nicolas Coolman, Update du 03/04/2011
Fichier d'export Registre :
Run by alexis at 04/04/2011 23:34:24
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Software ==========
O42 - Logiciel: IpWins - (.Unknown owner.) [HKLM] -- IpWins => Software removed successfully
========== Registry Key ==========
O42 - Logiciel: SpyHunter - (.Enigma Software Group USA, LLC.) [HKLM] -- {41EBC322-660F-4D16-A0DF-53147210CBDB} => Registry Key removed successfully
O41 - Driver: (tdssserv) . (. - .) - C:\WINDOWS\system32\drivers\tdssserv.sys (.not file.) => Registry Key removed successfully
HKCU\Software\IpWins => Registry key not found
HKLM\Software\FunWebProducts => Registry Key removed successfully
HKLM\Software\tdss => Registry Key removed successfully
HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} => Registry Key removed successfully
HKLM\Software\Conduit => Registry Key removed successfully
========== Registry Value ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [feature_enable_ie_compression] -- svchost.exe => Registry key value removed successfully
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [feature_enable_ie_compression] -- svchost.exe => Registry key value not found
========== Browser Profiles ==========
C:\Documents and Settings\alexis\Application Data\Mozilla\Firefox\Profiles\uc3mp47x.default\prefs.js => File not found
========== File ==========
c:\documents and settings\alexis\desktop\spyhunter.lnk => Quarantined and Deleted successfully
c:\programmi\enigma software group\spyhunter\spyhunter4.exe => Quarantined and Deleted successfully
c:\documents and settings\alexis\desktop\windows repair.lnk => Quarantined and Deleted successfully
c:\documents and settings\all users\dati applicazioni\18407220.exe => Quarantined and Deleted successfully
========== Sommario ==========
7 : Registry Key
2 : Registry Value
4 : File
1 : Software
1 : Browser Profiles
End of the scan
2) avec AD-Remover ==>
======= REPORT FROM AD-REMOVER 2.0.0.2,F | ONLY XP/VISTA/7 =======
Updated by TeamXscript on 04/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website: http://www.teamxscript.org
C:\Programmi\Ad-Remover\main.exe (SCAN [1]) -> Launched at 23:41:07 on 04/04/2011, Normal boot
Microsoft Windows XP Professional Service Pack 3 (X86)
alexis@ACER-DACB8F28A2 ( )
============== SEARCH ==============
Key found: HKLM\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}
Key found: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}
Key found: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
============== ADDITIONNAL SCAN ==============
**** Mozilla Firefox Version [3.6 (fr)] ****
Plugins\npdivx32.dll (DivX,Inc.)
Plugins\npwachk.dll (Nullsoft, Inc.)
Searchplugins\babylon.xml (hxxp://isearch.babylon.com/web/{searchTerms})
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension )
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
-- C:\Documents and Settings\alexis\Dati applicazioni\Mozilla\FireFox\Profiles\uc3mp47x.default --
Extensions\battlefieldheroespatcher@ea.com (Battlefield Heroes Updater)
Extensions\{fc600575-3013-4e8e-941c-4b00dafce730} (myBabylon English4 Toolbar)
Extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} (?)
Extensions\it-IT@dictionaries.addons.mozilla.org (Dizionario italiano)
Prefs.js - browser.download.dir, C:\\Documents and Settings\\alexis\\Documenti\\Téléchargements
Prefs.js - browser.download.lastDir, D:\\Graphisme\\Cartina 15 Hotel Monza\\Foto
Prefs.js - browser.search.defaultenginename, Google
Prefs.js - browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
Prefs.js - browser.startup.homepage, hxxp://www.free.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2
-- C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\FireFox\Profiles\968law84.default --
Extensions\staged-xpis (?)
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2
========================================
**** Internet Explorer Version [8.0.6001.18702] ****
HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://isearch.babylon.com/home
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - "Search the web (Babylon)" (hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch)
HKCU_Toolbar\ShellBrowser|{C4069E3A-68F1-403E-B40E-20066696354B} (x)
HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (x)
HKLM_Toolbar|{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} (C:\WINDOWS\system32\eDStoolbar.dll)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
HKLM_Extensions\{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - "Translate this web page with Babylon" (C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll,202)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)
BHO\{9030D464-4C02-4ABF-8ECC-5164760863C6} - "Guida per l'accesso a Windows Live" (C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll)
BHO\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - "Babylon IE plugin" () (x)
========================================
C:\Programmi\Ad-Remover\Quarantine: 0 File(s)
C:\Programmi\Ad-Remover\Backup: 1 File(s)
C:\Ad-Report-SCAN[1].txt - 04/04/2011 23:42:42 (3032 Byte(s))
End at: 23:43:19, 04/04/2011
============== E.O.F ==============
3) avec Malware ==>
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6270
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
04/04/2011 23:58:24
mbam-log-2011-04-04 (23-58-24).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 166140
Temps écoulé: 3 minute(s), 31 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 16
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts (Trojan.Agent) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\documents and settings\all users\dati applicazioni\cdeftcxscste.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\#01 vierkant by mutsie.abr (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\#02 rond by mutsie#01.abr (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#01.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#02.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#03.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#04.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#05.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#06.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#07.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#08.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamutspeekview da.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bigbrushes#40_by creamuts.abr (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
voilà, je voudrais aussi savoir ce que sont les dossiers :
Config.Msi , Qoobox, sh4ldr. Ces derniers se sont créés dans poste de travail/C:
Config.Msi s'est créé 2 jours avant (30 mars ) avoir pris le virus ( vendredi 1 avril ), Qoobox et sh4ldr se sont créés le jour meme.
Il y aussi toujours l'icone nomé " 123 " en allant dans poste de travail/C:, en cliquant dessus ça me mène à poste de travail ( un peu comme un raccourci ) et je n'ai toujours pas de son à l'ouverture et fermeture de windows.
Voilà, je ne sais absolument pas comment te remercier, c'est impressionant la disponibilité que tu me donnes. Si tu passes en Italie tu es le bienvenu.
Alexis
1) avec ZHPFix ==>
Rapport de ZHPFix 1.12.3273 par Nicolas Coolman, Update du 03/04/2011
Fichier d'export Registre :
Run by alexis at 04/04/2011 23:34:24
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Software ==========
O42 - Logiciel: IpWins - (.Unknown owner.) [HKLM] -- IpWins => Software removed successfully
========== Registry Key ==========
O42 - Logiciel: SpyHunter - (.Enigma Software Group USA, LLC.) [HKLM] -- {41EBC322-660F-4D16-A0DF-53147210CBDB} => Registry Key removed successfully
O41 - Driver: (tdssserv) . (. - .) - C:\WINDOWS\system32\drivers\tdssserv.sys (.not file.) => Registry Key removed successfully
HKCU\Software\IpWins => Registry key not found
HKLM\Software\FunWebProducts => Registry Key removed successfully
HKLM\Software\tdss => Registry Key removed successfully
HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} => Registry Key removed successfully
HKLM\Software\Conduit => Registry Key removed successfully
========== Registry Value ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [feature_enable_ie_compression] -- svchost.exe => Registry key value removed successfully
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [feature_enable_ie_compression] -- svchost.exe => Registry key value not found
========== Browser Profiles ==========
C:\Documents and Settings\alexis\Application Data\Mozilla\Firefox\Profiles\uc3mp47x.default\prefs.js => File not found
========== File ==========
c:\documents and settings\alexis\desktop\spyhunter.lnk => Quarantined and Deleted successfully
c:\programmi\enigma software group\spyhunter\spyhunter4.exe => Quarantined and Deleted successfully
c:\documents and settings\alexis\desktop\windows repair.lnk => Quarantined and Deleted successfully
c:\documents and settings\all users\dati applicazioni\18407220.exe => Quarantined and Deleted successfully
========== Sommario ==========
7 : Registry Key
2 : Registry Value
4 : File
1 : Software
1 : Browser Profiles
End of the scan
2) avec AD-Remover ==>
======= REPORT FROM AD-REMOVER 2.0.0.2,F | ONLY XP/VISTA/7 =======
Updated by TeamXscript on 04/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website: http://www.teamxscript.org
C:\Programmi\Ad-Remover\main.exe (SCAN [1]) -> Launched at 23:41:07 on 04/04/2011, Normal boot
Microsoft Windows XP Professional Service Pack 3 (X86)
alexis@ACER-DACB8F28A2 ( )
============== SEARCH ==============
Key found: HKLM\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}
Key found: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}
Key found: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
============== ADDITIONNAL SCAN ==============
**** Mozilla Firefox Version [3.6 (fr)] ****
Plugins\npdivx32.dll (DivX,Inc.)
Plugins\npwachk.dll (Nullsoft, Inc.)
Searchplugins\babylon.xml (hxxp://isearch.babylon.com/web/{searchTerms})
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension )
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
-- C:\Documents and Settings\alexis\Dati applicazioni\Mozilla\FireFox\Profiles\uc3mp47x.default --
Extensions\battlefieldheroespatcher@ea.com (Battlefield Heroes Updater)
Extensions\{fc600575-3013-4e8e-941c-4b00dafce730} (myBabylon English4 Toolbar)
Extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} (?)
Extensions\it-IT@dictionaries.addons.mozilla.org (Dizionario italiano)
Prefs.js - browser.download.dir, C:\\Documents and Settings\\alexis\\Documenti\\Téléchargements
Prefs.js - browser.download.lastDir, D:\\Graphisme\\Cartina 15 Hotel Monza\\Foto
Prefs.js - browser.search.defaultenginename, Google
Prefs.js - browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
Prefs.js - browser.startup.homepage, hxxp://www.free.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2
-- C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\FireFox\Profiles\968law84.default --
Extensions\staged-xpis (?)
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2
========================================
**** Internet Explorer Version [8.0.6001.18702] ****
HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://isearch.babylon.com/home
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - "Search the web (Babylon)" (hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch)
HKCU_Toolbar\ShellBrowser|{C4069E3A-68F1-403E-B40E-20066696354B} (x)
HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (x)
HKLM_Toolbar|{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} (C:\WINDOWS\system32\eDStoolbar.dll)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
HKLM_Extensions\{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - "Translate this web page with Babylon" (C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll,202)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)
BHO\{9030D464-4C02-4ABF-8ECC-5164760863C6} - "Guida per l'accesso a Windows Live" (C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll)
BHO\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - "Babylon IE plugin" () (x)
========================================
C:\Programmi\Ad-Remover\Quarantine: 0 File(s)
C:\Programmi\Ad-Remover\Backup: 1 File(s)
C:\Ad-Report-SCAN[1].txt - 04/04/2011 23:42:42 (3032 Byte(s))
End at: 23:43:19, 04/04/2011
============== E.O.F ==============
3) avec Malware ==>
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6270
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
04/04/2011 23:58:24
mbam-log-2011-04-04 (23-58-24).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 166140
Temps écoulé: 3 minute(s), 31 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 16
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts (Trojan.Agent) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\documents and settings\all users\dati applicazioni\cdeftcxscste.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\#01 vierkant by mutsie.abr (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\#02 rond by mutsie#01.abr (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#01.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#02.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#03.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#04.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#05.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#06.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#07.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamuts#08.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bb#40_by creamutspeekview da.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\512×512_bigbrushes#40_by creamuts.abr (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\512×512_brushes_#40_by creamuts\desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
voilà, je voudrais aussi savoir ce que sont les dossiers :
Config.Msi , Qoobox, sh4ldr. Ces derniers se sont créés dans poste de travail/C:
Config.Msi s'est créé 2 jours avant (30 mars ) avoir pris le virus ( vendredi 1 avril ), Qoobox et sh4ldr se sont créés le jour meme.
Il y aussi toujours l'icone nomé " 123 " en allant dans poste de travail/C:, en cliquant dessus ça me mène à poste de travail ( un peu comme un raccourci ) et je n'ai toujours pas de son à l'ouverture et fermeture de windows.
Voilà, je ne sais absolument pas comment te remercier, c'est impressionant la disponibilité que tu me donnes. Si tu passes en Italie tu es le bienvenu.
Alexis
(sourire)
1)
Qoobox correspond à combofix que je ne t'ai pas fait utiliser
regarde si tu as ce rapport C:\ComboFix.txt
_______
2)
relances Ad Remover
option NETTOYER
poste le rapport stp
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
1)
Qoobox correspond à combofix que je ne t'ai pas fait utiliser
regarde si tu as ce rapport C:\ComboFix.txt
_______
2)
relances Ad Remover
option NETTOYER
poste le rapport stp
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
Vu la date et l'heure de création, ça doit correspondre à une utilisation du gars qui m'a soit disant " réparé " l'ordinateur.
Voici le rapport de Ad Remover :
======= REPORT FROM AD-REMOVER 2.0.0.2,F | ONLY XP/VISTA/7 =======
Updated by TeamXscript on 04/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website: http://www.teamxscript.org
C:\Programmi\Ad-Remover\main.exe (SCAN [2]) -> Launched at 01:24:17 on 05/04/2011, Normal boot
Microsoft Windows XP Professional Service Pack 3 (X86)
alexis@ACER-DACB8F28A2 ( )
============== SEARCH ==============
Key found: HKLM\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}
Key found: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}
Key found: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
============== ADDITIONNAL SCAN ==============
**** Mozilla Firefox Version [3.6 (fr)] ****
Plugins\npdivx32.dll (DivX,Inc.)
Plugins\npwachk.dll (Nullsoft, Inc.)
Searchplugins\babylon.xml (hxxp://isearch.babylon.com/web/{searchTerms})
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension )
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
-- C:\Documents and Settings\alexis\Dati applicazioni\Mozilla\FireFox\Profiles\uc3mp47x.default --
Extensions\battlefieldheroespatcher@ea.com (Battlefield Heroes Updater)
Extensions\{fc600575-3013-4e8e-941c-4b00dafce730} (myBabylon English4 Toolbar)
Extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} (?)
Extensions\it-IT@dictionaries.addons.mozilla.org (Dizionario italiano)
Prefs.js - browser.download.dir, C:\\Documents and Settings\\alexis\\Documenti\\Téléchargements
Prefs.js - browser.download.lastDir, D:\\Graphisme\\Cartina 15 Hotel Monza\\Foto
Prefs.js - browser.search.defaultenginename, Google
Prefs.js - browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
Prefs.js - browser.startup.homepage, hxxp://www.free.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2
-- C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\FireFox\Profiles\968law84.default --
Extensions\staged-xpis (?)
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2
========================================
**** Internet Explorer Version [8.0.6001.18702] ****
HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://isearch.babylon.com/home
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - "Search the web (Babylon)" (hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch)
HKCU_Toolbar\ShellBrowser|{C4069E3A-68F1-403E-B40E-20066696354B} (x)
HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (x)
HKLM_Toolbar|{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} (C:\WINDOWS\system32\eDStoolbar.dll)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
HKLM_Extensions\{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - "Translate this web page with Babylon" (C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll,202)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)
BHO\{9030D464-4C02-4ABF-8ECC-5164760863C6} - "Guida per l'accesso a Windows Live" (C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll)
BHO\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - "Babylon IE plugin" () (x)
========================================
C:\Programmi\Ad-Remover\Quarantine: 0 File(s)
C:\Programmi\Ad-Remover\Backup: 2 File(s)
C:\Ad-Report-SCAN[1].txt - 04/04/2011 23:42:42 (3901 Byte(s))
C:\Ad-Report-SCAN[2].txt - 05/04/2011 01:24:36 (689 Byte(s))
End at: 01:25:14, 05/04/2011
============== E.O.F ==============
Quand à C:\Combofix.txt je n'ai aucun fichier sous ce nom, et les dossiers ( LastRun, Quarantine, Test, TestC ) dans " Qoobox " sont vides mis à part " BackEnv " qui contient des fichiers vidéos. C'est un bon ou mauvais dossier ce " Qoobox " ? Dois-je le supprimer ?...
Par contre le dossier " sh4ldr " est en transparence comme les dossiers cachés et vu l'heure de création c'est juste au moment ou j'ai choppé ce virus. Dedans il y a un fichier rar nommé " initrd ", deux autres en format inconnu nommés " shldr " et " vmlinuz ".
Pour le dossier " Config.msi ", c'est quoi ? lui aussi est vide.
Je suis sincèrement très content de ton aide, tu m'as sauvé de beaucoup de choses, j'ai tous mes travaux de graphisme dans cet ordi... et comme tu l'as écrit :
" CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci "
donc je vais faire tout ce que tu me diras pour éradiquer cette ordure de virus jusqu'au dernier octet.
merci infiniment...............
Alexis
ps: petite question, le dossier windows ( C:\WINDOWS ) est lui aussi en transparence comme les dossiers cachés et honnetement je ne me rappelle plus comment il est normalement. C'est du au virus ou c'est normal ?
Voici le rapport de Ad Remover :
======= REPORT FROM AD-REMOVER 2.0.0.2,F | ONLY XP/VISTA/7 =======
Updated by TeamXscript on 04/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website: http://www.teamxscript.org
C:\Programmi\Ad-Remover\main.exe (SCAN [2]) -> Launched at 01:24:17 on 05/04/2011, Normal boot
Microsoft Windows XP Professional Service Pack 3 (X86)
alexis@ACER-DACB8F28A2 ( )
============== SEARCH ==============
Key found: HKLM\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}
Key found: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff}
Key found: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
============== ADDITIONNAL SCAN ==============
**** Mozilla Firefox Version [3.6 (fr)] ****
Plugins\npdivx32.dll (DivX,Inc.)
Plugins\npwachk.dll (Nullsoft, Inc.)
Searchplugins\babylon.xml (hxxp://isearch.babylon.com/web/{searchTerms})
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension )
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
-- C:\Documents and Settings\alexis\Dati applicazioni\Mozilla\FireFox\Profiles\uc3mp47x.default --
Extensions\battlefieldheroespatcher@ea.com (Battlefield Heroes Updater)
Extensions\{fc600575-3013-4e8e-941c-4b00dafce730} (myBabylon English4 Toolbar)
Extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} (?)
Extensions\it-IT@dictionaries.addons.mozilla.org (Dizionario italiano)
Prefs.js - browser.download.dir, C:\\Documents and Settings\\alexis\\Documenti\\Téléchargements
Prefs.js - browser.download.lastDir, D:\\Graphisme\\Cartina 15 Hotel Monza\\Foto
Prefs.js - browser.search.defaultenginename, Google
Prefs.js - browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
Prefs.js - browser.startup.homepage, hxxp://www.free.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2
-- C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\FireFox\Profiles\968law84.default --
Extensions\staged-xpis (?)
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2
========================================
**** Internet Explorer Version [8.0.6001.18702] ****
HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://isearch.babylon.com/home
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - "Search the web (Babylon)" (hxxp://isearch.babylon.com/web/{searchTerms}?babsrc=browsersearch)
HKCU_Toolbar\ShellBrowser|{C4069E3A-68F1-403E-B40E-20066696354B} (x)
HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (x)
HKLM_Toolbar|{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} (C:\WINDOWS\system32\eDStoolbar.dll)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
HKLM_Extensions\{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - "Translate this web page with Babylon" (C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll,202)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)
BHO\{9030D464-4C02-4ABF-8ECC-5164760863C6} - "Guida per l'accesso a Windows Live" (C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll)
BHO\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - "Babylon IE plugin" () (x)
========================================
C:\Programmi\Ad-Remover\Quarantine: 0 File(s)
C:\Programmi\Ad-Remover\Backup: 2 File(s)
C:\Ad-Report-SCAN[1].txt - 04/04/2011 23:42:42 (3901 Byte(s))
C:\Ad-Report-SCAN[2].txt - 05/04/2011 01:24:36 (689 Byte(s))
End at: 01:25:14, 05/04/2011
============== E.O.F ==============
Quand à C:\Combofix.txt je n'ai aucun fichier sous ce nom, et les dossiers ( LastRun, Quarantine, Test, TestC ) dans " Qoobox " sont vides mis à part " BackEnv " qui contient des fichiers vidéos. C'est un bon ou mauvais dossier ce " Qoobox " ? Dois-je le supprimer ?...
Par contre le dossier " sh4ldr " est en transparence comme les dossiers cachés et vu l'heure de création c'est juste au moment ou j'ai choppé ce virus. Dedans il y a un fichier rar nommé " initrd ", deux autres en format inconnu nommés " shldr " et " vmlinuz ".
Pour le dossier " Config.msi ", c'est quoi ? lui aussi est vide.
Je suis sincèrement très content de ton aide, tu m'as sauvé de beaucoup de choses, j'ai tous mes travaux de graphisme dans cet ordi... et comme tu l'as écrit :
" CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci "
donc je vais faire tout ce que tu me diras pour éradiquer cette ordure de virus jusqu'au dernier octet.
merci infiniment...............
Alexis
ps: petite question, le dossier windows ( C:\WINDOWS ) est lui aussi en transparence comme les dossiers cachés et honnetement je ne me rappelle plus comment il est normalement. C'est du au virus ou c'est normal ?
ok
tu supprimes manuellement Qoobox et on garde les deux autres
et tu peux désafficher les fichiers cachés
.................
pour le son est ce uniquement au lancement de windows, ou n'as tu pas du tout de son ?
..........
redemarre le pc et vide la quarantaine de MBAM
tu supprimes manuellement Qoobox et on garde les deux autres
et tu peux désafficher les fichiers cachés
.................
pour le son est ce uniquement au lancement de windows, ou n'as tu pas du tout de son ?
..........
redemarre le pc et vide la quarantaine de MBAM
Bonjour, j'ai supprimé Qoobox manuellement. Le son ne fonctionne pas au démarrage et à l'arret de windows, mais aussi quand je branche mes périphériques. D'ailleurs mes périphériques ne se lancent plus automatiquement, je dois y accéder par postedetravail\(périphérique)...Sinon j'ai du son pour les films et les musiques.
Je crois bine que sh4ldr est un virus ou un trojan...j'attends de voir ce que tu me conseilles d'en faire.
J'ai vidé la 40aine de MBAM.
J'ai toujours ce " 123 " qui m'intrigue et ce " sh4ldr ".
Merci pour tes réponses très précises et dans les minutes qui suivent.
Alexis
Je crois bine que sh4ldr est un virus ou un trojan...j'attends de voir ce que tu me conseilles d'en faire.
J'ai vidé la 40aine de MBAM.
J'ai toujours ce " 123 " qui m'intrigue et ce " sh4ldr ".
Merci pour tes réponses très précises et dans les minutes qui suivent.
Alexis
pour le son
regarde dans ton panneau de configuration
gestionnaire des périphériques
si tu as des ! ou ? jaunes
regarde dans ton panneau de configuration
gestionnaire des périphériques
si tu as des ! ou ? jaunes
Non je n'ai aucun " ! " ni " ? " en jaune. je ne comprends vraiment pas d'où vient ce problème.
Alexis
Alexis
Salut, désolé pour la réponse tardive...malheureusement je ne crois pas encore l'avoir, j'ai fait les cd de restauration il y a 4 ans 1/2 déjà. Je regarde demain ( avant d'aller au travail si je peux ) mais je crois bien que non.
Merci pour tes réponses.
Alexis
Merci pour tes réponses.
Alexis
Salut,
non je n'ai plus les cd de windows. A moins d'un coup de chance et que je remette la main dessus... J'espère qu'il y a une solution pour le son qui me manque à l'ouverture et à la fermeture de windows, mais aussi pour le fait que mes périphériques ne se lancent plus automatiquement ( là aussi absence de son quand je les branche/débranche ).
J'aimerais aussi que tu m'aides pour ce dossier " sh4ldr ", il ne me dit rien qui vaille, je voudrais savoir si il est bon ou pas de le garder.
merci.
Alexis
non je n'ai plus les cd de windows. A moins d'un coup de chance et que je remette la main dessus... J'espère qu'il y a une solution pour le son qui me manque à l'ouverture et à la fermeture de windows, mais aussi pour le fait que mes périphériques ne se lancent plus automatiquement ( là aussi absence de son quand je les branche/débranche ).
J'aimerais aussi que tu m'aides pour ce dossier " sh4ldr ", il ne me dit rien qui vaille, je voudrais savoir si il est bon ou pas de le garder.
merci.
Alexis