Virus/trojan très vicieux... a l'aide svp !

erwyn -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Voilà.. j'ai, depuis deux jours, un très gros problème.

Il semblerait que j'ai un virus nommé HDD défragmenteur. En fait, quand je vais dans mes documents, tout est vide. Idem dans mes image, mes musiques etc etc etc

Mon fond d'écran est noir.

Dès que j'allume l'ordi, se met en route un quelque chose nommé windows restore qui effectue une sorte de scan et trouve de nombreuses erreur dont une "37% of your HDD is unreadable"

De plus, toutes les x minutes, j'ai des messages d'alerte de windows qui s'affiche disant que mon disque dur est fichu.

Par après mon ordi redémarre tout seul, ceci toutes les 15 minutes environs.

J'ai lancé avast, avira et mac affee que j'avais sur l'ordi mais ils ne trouvent rien.

Après m'être renseigné tant bien que mal, j'ai trouvé des logiciels tels que ad aware etc qui semblait parfait pour ce que j'avais. Je les ai téléchargé.

Le souci c'est, qu'une fois téléchargé, il n'y a plus rien. Plus moyen de les retrouver : pas d'icone, rien dans exécuter.

J'ai un peu fouillé dans ce que j'avais eu récemment (dans la partie "supprimer, modifier des programmes" ) et j'ai trouvé un "atheros" téléchargé apparemment deux jours avant mon souci et dont je n'vaais pas souvenir.
Je l'ai supprimé.

Depuis : mon ordi ne trouve plus de réseau et plus de wifi. J'ai du rebrancher mon ancien cable et là : l'ordi ne redémarre plus et les fenêtres n'apparaissent plus par contre toujours pas moyen de télécharger un antivirus ou même de prendre une photo : rien.

Est ce quelqu'un pourrait m'aider svp ?

Merci d'avance !!!

18 réponses

  1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    @ erwyn

    Télécharger sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html

    *( Sous Vista/Seven, clic-droit, et choisir "Exécuter en tant qu'administrateur" )
    * Quitter tous les programmes en cours
    * Lancer RogueKiller.exe.
    * Lorsque demandé, taper 2 et valider
    * Un rapport (RKreport.txt) a dû se créer à côté de l'exécutable, coller son contenu dans la réponse.

    * NOTE: Si le programme a été bloqué, ne pas hésiter à le renommer en winlogon.exe lors du téléchargement, et essayer plusieurs fois.

    Merci
    Al.
    Patience-Vigilance-Amour.
    0
  2. erwyn
     
    Bonjour

    Merci déjà pour vos réponses.

    Mais je n'arrive à rien avoir du tout. Tous les téléchargements se perdent je ne sais pas où.

    Quand je cherche à télécharger un truc, j'ai une toute petite fenêtre qui s'ouvre avec seulement deux options : "télécharger" et "annuler".

    Pas moyen donc de renommer ou d'ouvrir directement le programme.
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Bonjour,

      Cit: « Quand je cherche à télécharger un truc, j'ai une toute petite fenêtre qui s'ouvre avec seulement deux options : "télécharger" et "annuler". »

      Chez moi aussi, c'est comme ça.

      Quand je clique sur le lien.
      Il faut alors enfoncer le bouton radio de téléchargement.
      Une fenêtre s'ouvre sur laquelle il faut cliquer sur [Enregistrer]
      Ensuite, dans la plage de gauche, il faut choisir sur Bureau (cliquer dessus), puis à nouveau sur [Enregistrer].
      ==> RogueKiller.exe sera alors sur le bureau sous forme d'une icône; à partir de laquelle il faut lancer l'application comme indiqué dans la procédure.

      Est-ce bien ainsi que tu procèdes ?

      Al
      0
  3. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Up ?
    En vacances ?
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. erwyn
     
    Non... pas chez moi cette aprem ^^

    J'ai tenté mais ça ne marche pas ... On m'a conseillé une restauration du système. Je vais essayer ca aussi.
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Hello.

      Qui ça "On" ?
      Aurais-tu ouvert un autre topic ?
      Donne le lien, s'il te plaît.
      Et que va résoudre une restauration du système ? Précisément !

      Donne plus de détails sur "ce qui ne marche pas" . ==> serait-ce mal expliqué ?
      As-tu essayé en désactivant éventuellement ton Windows Defender de Vista ?

      Fais-moi une capture écran pour que je puisse juger de ce qui se passe ( " petite fenêtre " ) .
      0
    2. Utilisateur anonyme
       
      si dans ta restauration systeme il y a le virus elle ne sert a rien
      0
  6. erwyn
     
    Voici ce que j'ai quand je veux télécharger :

    http://img864.imageshack.us/i/75875364.jpg/
    0
  7. erwyn
     
    Et oui, je confirme que la restauration n'a servi à rien. Un ami m'avait conseillé cela... mais résultat nul donc.
    0
  8. erwyn
     
    Ca y est ! J'ai réussi à trouver le programme !!!

    Voici le rapport :

    RogueKiller V4.3.8 par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: oceaneb [Droits d'admin]
    Mode: Recherche -- Date : 10/04/2011 22:53:53

    Processus malicieux: 2
    [APPDT/TMP/DESKTOP] wWrdTMJysnURH.exe -- c:\programdata\wwrdtmjysnurh.exe -> KILLED
    [ROGUE ST] 39313160.exe -- c:\programdata\39313160.exe -> KILLED

    Entrees de registre: 4
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : wWrdTMJysnURH (C:\ProgramData\wWrdTMJysnURH.exe) -> FOUND
    [APPDT/TMP/DESKTOP] HKUS\S-1-5-21-3064569966-2972873875-841673663-1000[...]\Run : wWrdTMJysnURH (C:\ProgramData\wWrdTMJysnURH.exe) -> FOUND
    [APPDT/TMP/DESKTOP] HKCU\[...]\Winlogon : Shell (explorer.exe,C:\Users\oceaneb\AppData\Roaming\ufxw.exe) -> FOUND
    [APPDT/TMP/DESKTOP] HKUS\S-1-5-21-3064569966-2972873875-841673663-1000[...]\Winlogon : Shell (explorer.exe,C:\Users\oceaneb\AppData\Roaming\ufxw.exe) -> FOUND

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  9. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bien,
    Mais nom de d...; j'avais demandé de taper directement le chiffre 2 (= mode suppression).
    Que de temps perdu en face d'une infection aussi malicieuse (qui en profite bien) !!
    Relance RogueKiller, et tape 2 comme demandé, et valider par [Enter]
    Poster le rapport.

    Ensuite, faire ceci tout de suite après avoir posté le rapport (important):

    Télécharger Malwarebyte's Anti-Malware - depuis
    [ https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/?1 ].
    Enfoncer le bouton radio [Download Now],
    - puis sur le bouton [Enregistrer], choisir sur le bureau.
    Sur le bureau s'affiche alors l'icône "mbam-setup-1.50.1.exe"

    Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    1°- Installation

    - Double-cliquer sur l'icône "mbam-setup-1.50.1.exe" du bureau pour démarrer le programme d'installation > [Exécuter] > Choisir "Français" et valider par [OK] > l'assistant d'installation s'affiche.
    Cliquer sur "Suivant" > cocher la case du bouton ratio devant "... accepter ... la licence" > "Suivant" > "Suivant" > "Suivant" > "Suivant" > "Suivant" > et cliquer sur
    [Installer] (laisser faire)
    /!\ Cocher la case du bouton ratio devant "Mettre à jour ... ".
    /!\ Décocher la case du bouton ration devant "Exécuter MBAM"
    > Ensuite cliquer sur [Terminer]

    Attention, à ce moment, la mise à jour démarre (laisser faire) > à la suite du message "Succès de la mise à jour ..." cliquer sur [OK]

    NB : Si un message s'affiche signalant qu'il manque COMCTL32.OCX (ce qui est peu probable), alors le télécharger [ https://www.malekal.com/tutorial-aboutbuster/ ]; et faire les mises à jour (cliquer sur "Mises à jour" puis "Recherche de mises à jour")

    2°- Vérifier que tous les disques amovibles soient encore branchés et sans les ouvrir. Fermer toutes les applications en cours.

    3°- Analyse
    /!\ Utilisateur de Vista et Windows 7 : Clic-droit sur le logo de Malwarebytes' Anti-Malware, et choisir « Exécuter en tant qu'Administrateur »

    Cliquer sur l'icône de raccourci Malwarebytes's Anti-Malware du bureau.
    Sur la page affichée, choisir l'onglet "Recherche" et cocher la case du bouton ratio "Exécuter un examen complet", ensuite enfoncer le bouton radio [Rechercher]
    L'analyse démarre, le scan est relativement long ( + d'1 heure ), c'est normal.

    4°- A la fin de l'analyse, un message s'affiche
    ==> Citation : L'examen s'est terminé normalement.
    ==> Cliquer sur "Ok" pour poursuivre.

    Si des malwares ont été détectés, cliquer sur "Afficher les résultats".
    Sélectionner tout (ou laisser coché) et cliquer sur "Supprimer la sélection" > MBAM va détruire les fichiers et clés de registre, et en mettre une copie dans la quarantaine.

    5°- MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.
    Copier-coller ce rapport et le poster dans la prochaine réponse sur le topic en cours.

    NB : Si MBAM demande à redémarrer, il faut le faire, mais seulement après avoir posté le rapport.

    Une aide précieuse dans ce Tutoriel

    Bonne nuit
    Al.

    Patience-Vigilance-Amour.
    0
  10. erwyn
     
    RogueKiller V4.3.8 par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur: oceaneb [Droits d'admin]
    Mode: Suppression -- Date : 10/04/2011 23:12:35

    Processus malicieux: 0

    Entrees de registre: 2
    [APPDT/TMP/DESKTOP] HKCU\[...]\Run : wWrdTMJysnURH (C:\ProgramData\wWrdTMJysnURH.exe) -> DELETED
    [APPDT/TMP/DESKTOP] HKCU\[...]\Winlogon : Shell (explorer.exe,C:\Users\oceaneb\AppData\Roaming\ufxw.exe) -> DELETED

    Fichier HOSTS:
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  11. erwyn
     
    Voici le rapport :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6327

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    10/04/2011 23:28:33
    mbam-log-2011-04-10 (23-28-33).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 160354
    Temps écoulé: 10 minute(s), 32 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 6
    Valeur(s) du Registre infectée(s): 4
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 10

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\TypeLib\{6C380604-92B2-4633-BECB-BDE03FA45980} (Adware.Softomate) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{4481C34A-10DF-4C96-92A6-0EF31B6B95D6} (Adware.Softomate) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\iMeshMediaBar.StockBar.1 (Adware.Softomate) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\iMeshMediaBar.StockBar (Adware.Softomate) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Value: {B7D3E479-CC68-42B5-A338-938ECE35F419} -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Value: {B7D3E479-CC68-42B5-A338-938ECE35F419} -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Value: {B7D3E479-CC68-42B5-A338-938ECE35F419} -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Value: {B7D3E479-CC68-42B5-A338-938ECE35F419} -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    c:\Users\oceaneb\AppData\Roaming\microsoft\Windows\start menu\Programs\windows restore (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    c:\programdata\39313160.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.
    c:\programdata\wwrdtmjysnurh.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\oceaneb\AppData\Local\Temp\0.6179783982945842.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\oceaneb\AppData\Local\Temp\0.8627776020520452.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\oceaneb\AppData\Local\Temp\e.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\oceaneb\AppData\Local\Temp\ufau7hh.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\oceaneb\AppData\Local\Temp\awcrmsonex.exe (Adware.Agent) -> Quarantined and deleted successfully.
    c:\Users\oceaneb\local settings\temporary internet files\Content.IE5\TOA4ZPHI\dl[1].htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\oceaneb\AppData\Roaming\microsoft\Windows\start menu\Programs\windows restore\uninstall windows restore.lnk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\oceaneb\AppData\Roaming\microsoft\Windows\start menu\Programs\windows restore\windows restore.lnk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    0
  12. erwyn
     
    Ca marche :) Plus de fenêtres qui s'ouvrent pour me signaler n'importe quoi !!!

    Merci, merci, merci ! Et surtout merci pour votre patience !

    Encore une dernière question, est ce qu'il y a moyen de récupérer tout ce qui a été effacé ?
    J'avais plus ou moins 900 photos de mon ptit garçon et ça... j'avoue que c'est assez horrible à perdre.

    Encore merci !
    0
  13. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour,
    Bien.
    Attention, ce n'est pas parce qu'il n'y a plus d'alerte que le PC est sain et protégé.

    Je ne crois pas un seul instant que les outils que je t'ai fait utiliser soient à la base de la disparition d'un dossier photos. ==> Sous quelle dénomination ce dossier contenait l'album photos ? Sais-tu où il était localisé ?
    Nous rechercherons ainsi si un tel dossier ne se retrouve pas dans les quarantaines.

    A)- Ce n'est pas le rapport de MBAM que j'attendais; en effet, j'avais demandé ceci: « Sur la page affichée, choisir l'onglet "Recherche" et cocher la case du bouton ratio "Exécuter un examen complet", ensuite enfoncer le bouton radio [Rechercher] » ==> or j'ai reçu le rapport d'un examen "rapide" (10 minutes au lieu de = d'1 heure !!)

    ==> il reste à recommencer l'analyse MBAM "complète" comme suivant la procédure indiquée là https://forums.commentcamarche.net/forum/affich-21783384-virus-trojan-tres-vicieux-a-l-aide-svp#14

    B)- Il est nécessaire de réaliser ce diagnostic ZHPDiag du PC comme ceci:
    /!\ Pour les utilisateurs de Vista, et pour lancer cet outil, il faudra faire clic-droit et choisir "Exécuter en tant qu'administrateur" ; et aussi désactiver l'UAC https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac /!\

    Télécharger ZHPDiag (de Nicolas Coolman) .
    Dérouler la page et cliquer sur [Télécharger] (le bouton radio inférieur).
    Une barre jaune apparaît en haut de page > cliquer sur "Cliquer ici pour afficher plus d'options..." > "Télécharger le ficher ..." > [Enregistrer] (accepter l'alerte éventuelle de l'antivirus) > choisir le Bureau > [Enregistrer] ZHPDiag2.exe > [Exécuter] > [Exécuter] > lancer l'assistant d'installation par [Suivant].
    Ne pas oublier de cocher le bouton ratio en face de "Créer une icône sur le bureau".
    Se laisser guider lors de l'installation, ZHPDiag.exe se lancera automatiquement à la fin.
    (/!\L'outil a créé 4 icônes , dont ZHPDiag (pour lancer l'application ultérieurement) et ZHPFix (pour le traitement du rapport) sur le bureau ) .
    /!\Utilisateur de Vista et Seven : Clic-droit sur le logo ZHPDiag2.exe > choisir [Exécuter en tant qu'Administrateur]/!\
    - Cliquer sur le raccourci ZHPDiag du Bureau pour l'ouvrir.

    Cliquer sur l'icône représentant une loupe pour "Lancer le diagnostic".

    NOTES:
    - Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une "Disquette"

    (- J'obtiens cette page "Enregistrer sous" sur laquelle je suis les fllèches afin d'enregistrer le rapport sur le bureau.
    - J'obtiens cette icône sur le bureau
    ).

    - Héberger le rapport sur ce site en cliquant d'abord sur ce lien http://pjjoint.malekal.com > , puis sur [Parcourir].

    (- Sur la page de recherche du fichier qui s'est ouverte, choisir le bureau (3). Ensuite, dans la liste, rechercher le fichier ZHPDiag.txt, le sélectionner par un clic gauche (<ital>il se met sur surbrillance) (4); à ce moment, il se retrouve dans la zone "Nom du fichier" (5); puis cliquer sur [Ouvrir](6) </ital> )

    > valider en cliquant sur le bouton radio [Envoyer le Fichier] situé au bas de la page > patienter.
    Un lien sera généré et affiché (ne pas hésiter à se servir de la souris pour visiter la page).
    Il suffit de poster ce lien dans la prochaine réponse sur le forum en cours afin que nous puissions l'analyser.

    Bonne journée.
    Al.

    Patience-Vigilance-Amour.
    0
  14. erwyn
     
    Voici le rapport complet :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6327

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    11/04/2011 22:26:13
    mbam-log-2011-04-11 (22-26-13).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|)
    Elément(s) analysé(s): 460818
    Temps écoulé: 3 heure(s), 19 minute(s), 28 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\oceaneb\downloads\rk_quarantine\39313160.exe.vir (Rogue.FakeHDD) -> Quarantined and deleted successfully.
    c:\Users\oceaneb\downloads\rk_quarantine\wwrdtmjysnurh.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    0
  15. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir
    Merci
    Très bien cela.

    Maintenant, ZHPDiag, s'il te plaît ==> Important.

    Bonne soirée
    Al.
    0
  16. erwyn
     
    Bonsoir :)

    Voici ce que j'ai :

    L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : http://pjjoint.malekal.com/files.php?id=33e8e98b2e776
    0
  17. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bien,
    Bravo et merci.

    Beaucoup à faire.

    A)- /!\ Pour les utilisateurs de Vista et Seven , faire clic-droit et choisir "Exécuter en tant qu'administrateur" ; et désactiver l'UAC https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac /!\

    Avec la souris, sélectionner toutes ces lignes en italique gras ci-dessous, en vrac;
    puis les "copier" (ces lignes sont maintenant "dans la souris = le presse-papier")

    EmptyTemp
    EmptyFlash
    SysRestore
    FirewallRAZ
    O4 - HKLM\..\Run: [UpdatePSTShortCut] Clé orpheline => Orphean Key not necessary
    O4 - Global Startup: C:\Users\oceaneb\Desktop\Windows Restore.lnk . (...) -- C:\ProgramData\39313160.exe (.not file.) => Fichier absent
    O23 - Service: (lxdu_device) - Clé orpheline => Orphean Key not necessary
    O52 - TDSD: \drivers.desc\C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM=CyberLink MP3 Encoder . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Fichier absent
    O52 - TDSD: \drivers.desc\xvidvfw.dll=Xvid MPEG-4 Video Codec 1.2.2 . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Fichier absent
    O52 - TDSD: \drivers.desc\lameACM.acm=Lame ACM MP3 CODEC v3.98.2 . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Fichier absent
    O67 - Shell Spawning: <.bat> batfile[HKLM\..\open\Command] %1 %* (.not file.) => Fichier absent
    O67 - Shell Spawning: <.cmd> cmdfile[HKLM\..\open\Command] %1 %* (.not file.) => Fichier absent
    O67 - Shell Spawning: <.com> comfile[HKLM\..\open\Command] %1 %* (.not file.) => Fichier absent
    O67 - Shell Spawning: <.exe> exefile[HKLM\..\open\Command] %1 %* (.not file.) => Fichier absent
    O67 - Shell Spawning: <.bat> batfile[HKCR\..\open\Command] %1 %* (.not file.) => Fichier absent
    O67 - Shell Spawning: <.cmd> cmdfile[HKCR\..\open\Command] %1 %* (.not file.) => Fichier absent
    O67 - Shell Spawning: <.com> comfile[HKCR\..\open\Command] %1 %* (.not file.) => Fichier absent
    O67 - Shell Spawning: <.exe> exefile[HKCR\..\open\Command] %1 %* (.not file.) => Fichier absent
    O2 - BHO: MediaBar - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} . (.Pas de propriétaire - MediaBar Link Library.) -- C:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\iMeshMediaBarDx.dll => MediaBar Toolbar
    O3 - Toolbar: MediaBar - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} . (.Pas de propriétaire - MediaBar Link Library.) -- C:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\iMeshMediaBarDx.dll => MediaBar Toolbar
    [HKCU\Software\AppDataLow\Software\Conduit] => Toolbar.Conduit
    [HKCU\Software\Conduit] => Toolbar.Conduit
    [HKLM\Software\Conduit] => Toolbar.Conduit
    O43 - CFD: 11/08/2010 - 20:27:28 - [537696] ----D- C:\Program Files\Conduit => Toolbar.Conduit
    O69 - SBI: prefs.js [oceaneb - 1uq4iy4k.default] user_pref(CT2504091.SearchEngine, Search||http://search.conduit.com/ [Pays - 66.77.197.200] => Toolbar.Conduit
    O69 - SBI: prefs.js [oceaneb - 1uq4iy4k.default] user_pref(CT2504091.SearchFromAddressBarUrl, http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091 [Pays - 66.77.197.200] => Toolbar.Conduit
    [HKLM\Software\Classes\Toolbar.ct2504091] => Toolbar.Agent
    [HKLM\Software\Classes\TypeLib\{96F7FABC-5789-EFA4-B6ED-1272F4C1D27B}] => Toolbar.SweetIM
    [HKLM\Software\Conduit] => Toolbar.Conduit
    O43 - CFD: 2/08/2009 - 20:02:54 - [47] --H-D- C:\ProgramData\vsosdk
    HostFix
    MBRFix
    HiddenFix


    Lancer ZHPFix à partir du raccourci sur le bureau .
    ( Pour Vista : Faire un clic-droit sur l'icône ZHPFix.exe présente sur le Bureau,
    puis choisir "Exécuter en tant qu'administrateur".)

    - Cliquer sur l'icône représentant la lettre bleue H, cela collera les lignes qui sont en mémoire dans le presse-papier.
    Vérifier que toutes les lignes prescrites de copier (et seulement elles) sont dans la fenêtre.
    * Cliquer sur GO.

    [*] Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton pc si également proposé, car cela stopperait ZHPFix.
    [*] Ton navigateur risque de s'ouvrir pendant la désinstallation des toolbars, pas de panique c'est normal, ferme les fenêtres tout simplement.

    Le rapport de l'application va apparaître dans la fenêtre.
    * Copier/coller la totalité du rapport dans la prochaine réponse.( [CTRL+A] pour tout sélectionner, [CTRL+C] pour copier et [CTRL+V] pour coller )

    B)- Arrêter puis redémarrer le PC.

    C)- Relancer ensuite une analyse avec ZHPDiag comme précédemment, et poster le rapport.

    Le reste pour demain soir.

    Notamment pourquoi tout ça ( et malgré cette carapace de rhinocéros, ton PC est une passoire !!) :

    Alwil®Avast! Antivirus
    Avira®AntiVir PersonalEdition
    McAfee®Security Scan
    Norton®Norton Internet Security
    SUPERAntiSpyware.com®SUPERAntiSpyware
    Microsoft®Windows Defender

    Al.
    Patience-Vigilance-Amour.
    0
  18. erwyn
     
    Bonsoir, j'ai un souci quand je fais fonctionner ZHPFix. Il fonctionne normalement jusque quasiment les 9/10 de la barre.

    Mais, à ce moment là, il se bloque et le programme "ne répond pas".
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Re

      1°- Désolé, c'est sans doute une erreur de ma part (sans gravité pour le PC).
      J'ai apporté une correction à la liste (il y avait des doublons) dans le message # 23.
      Relancer la manipulation ZHPFix du post # 23

      2°- Peut-être est-ce ceci ? ==> [*] Accepter la désinstallation des programmes si proposé, mais refuser le redémarrage du PC si également proposé, car cela stopperait ZHPFix.

      3°- Sinon, supprimer cette dernière ligne dans la liste :
      O43 - CFD: 2/08/2009 - 20:02:54 - [47] --H-D- C:\ProgramData\vsosdk

      4°- Avais-tu bien désactiver l'UAC ?

      5°- Tu pourrais aussi tester en déconnectant le PC du Net (et le reconnecter pour poster le rapport, que tu aurais préalablement sauvegardé sur le bureau pour le récupérer facilement).

      Pour le reste, (si tout ce qui précède ne va pas) je ne vois pas ce qui se passe.
      Je questionnerai alors le créateur de ZHPFix/ZHPDiag.

      Désolé pour ce contretemps.
      Al.
      0
    2. erwyn
       
      Non, cela ne marche pas :s

      Par contre, je ne sais pas si cela a quelque chose à voir mais depuis que je l'ai fait tourné (peut être depuis la première fois, je n'avais pas remarqué à ce moment la), toutes mes photos et tous mes fichiers effacés par le virus sont revenus.
      0
    3. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Bonsoir,
      Essaie l'application en redémarrant le PC en mode sans échec http://www.forum-vista.net/forum/

      Quand tu écris: « ... depuis que je l'ai fait tourné (peut être depuis la première fois ... »; de quoi parles-tu ? De ZHPFix ?
      Cela voudrait dire qu'il a fait la suppression des éléments de la liste.
      Regarde si tu n'as pas son rapport "ZHPFixReport.txt" en C:\, ou en C:\Program Files\ZHPDiag ( c:\programData\ZHPDiag )

      Sinon:
      B)- Arrêter puis redémarrer le PC.
      C)- Relancer ensuite une analyse avec ZHPDiag comme précédemment, et poster le rapport.

      Merci
      Al.
      0