virus detecté impossible a supprimer Fermé

Question

Bonjour, 

J'ai depuis plusieurs jours chopé un virus, que j'ai pu détecter grace a Emisoft Anti Malware ( version demo que je n'ai plus, mon avast ne détecte pas ce virus ! ), mais il est impossible a supprimer.

Il me note: 

les objets suivants ne peuvent etre supprimés :

 C:\Documents and Settings\sandy\Bureau\defzjfmpngjebdr.dll - File locked, removal on next reboot

pouvez vous me dire ce que je dois faire s'il vous plait , d'autant plus que j'ai l'ordi qui est bourré de pub, explorer qui plante ... 

et des tracking cookies detectés toute les minutes type : fl01.ct2.comclick.com

merci ^^

juju666 · Answer

hello

 Désactive ton antivirus car l'outil est détecté à tort comme infectieux 

Télécharge ForceMove de Juju666    

Exécute le.  
Colle ça dans le fichier texte INSTRUCTIONS_SVP qui s'ouvre:    


C:\Documents and Settings\sandy\Bureau\defzjfmpngjebdr.dll


Ferme le fichier texte. Accepte la modification par Oui.    

Une infobulle t'avertira que tout sera fermé. Accepte par Ok    

Poste le contenu du rapport qui s'ouvrira à terme  (s'il ne s'ouvre pas, il se trouve à C:\forcemovelog.txt)  

Si ton bureau ne réapparait pas fais ceci :
Ctrl + Alt + Delete > Fichier > Nouvelle tache > Exécuter > tape explorer.exe et valide

juju666 · Answer

ok désinstalle emisoft il sert à rien et après avoir fait ForceMove (qui est tout simple entre parenthèse)

&#9654  Télécharge de AD-Remover sur ton Bureau. (TeamXScript) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Scanner » 
&#9654 Confirme lancement du scan 
&#9654 Laisse travailler l'outil. 
&#9654 Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-Report-SCAN[1].txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

juju666 · Answer

Réponds par le bouton vert répondre stp.

Et héberge tes rapports sur cijoint.fr car free me demande une authentification pour pouvoir télécharger ton rapport !

dwitch · Answer

http://www.cijoint.fr/cjlink.php?file=cj201104/cijZnReg5X.odt

pardon mais il y avait un bug mes messages n'etaient pas acceptés

juju666 · Answer

Je ne sais pas lire les fichiers odt (format open office non?)

pourquoi tu ne m'envoie pas les fichiers .txt ?!

dwitch · Answer

ben si je copie le scan ce site ne l'accepte pas

dwitch · Answer

il me met: Titre du message non renseigné

et j'ai que open office

dwitch · Answer

http://www.cijoint.fr/cjlink.php?file=cj201104/cij20lLKkb.doc

c'est mieux la ?

juju666 · Answer

Ben voilà :o)

Relance ad-remover clique sur Nettoyer, laisse le pc redémarrer.
Ensuite poste moi le rapport pour ce faire, il suffit que tu te rendre sur cijoint et que tu suis ce chemin: C:\AD-Report[CLEAN]1.txt
Tu reviens ici et tu colle le lien généré.
J'aimerais également que tu m'envoie le rapport de forcemove, pour ça, sur cijoint, tu suis le chemin C:\forcemovelog.txt et tu colle le second lien ainsi généré.

dwitch · Answer

http://www.cijoint.fr/cjlink.php?file=cj201104/cijfzgF2tw.doc

ça c'est le rapport de C:\AD-Report[CLEAN]1.txt

dwitch · Answer

force move je ne l'ai pas telechargé parce que avast me le bloque et une fenetre me dit que le fichier ne peut etre lu

dwitch · Answer

je ne trouve pas d'autres liens pour force move

dwitch · Answer

C:\Documents and Settings\sandy\Mes documents\Téléchargements\forcemove.exe.part ne pourra être enregistré car le fichier source ne peut être lu.

Réessayez plus tard ou contactez l'administrateur du serveur.

juju666 · Answer

quand je dis de désactiver l'antivirus !

désactive avast, retélécharge force move

juju666 · Answer

Colle ça dans le fichier texte INSTRUCTIONS_SVP qui s'ouvre:

C:\Documents and Settings\sandy\Bureau\defzjfmpngjebdr.dll

Ferme le fichier texte. Accepte la modification par Oui.

Une infobulle t'avertira que tout sera fermé. Accepte par Ok

Poste le contenu du rapport qui s'ouvrira à terme (s'il ne s'ouvre pas, il se trouve à C:\forcemovelog.txt)

Si ton bureau ne réapparait pas fais ceci :
Ctrl + Alt + Delete > Fichier > Nouvelle tache > Exécuter > tape explorer.exe et valide

dwitch · Answer

mais c'est quoi ce programme tu n'as rien de plus officiel

juju666 · Answer

si ça te plais pas mon programme; tu te débrouille ailleurs.

dwitch · Answer

########## ForceMove de Juju666 
version 1.0.0.4 du 18 avril 2011 | Mis à jour le 18 avril 2011 à 23:48 par Juju666 
Microsoft Windows XP [2600.xpsp_sp2_rtm.040803-2158.x86] 
Démmarage à 19:53:00  
 
##### Arrêt des processus 
ArrÛtÚ : PID 3644 'Firefox.exe'  
ArrÛtÚ : PID 3644 'Firefox.exe'  
ArrÛtÚ : PID 3644 'Firefox.exe'  
ArrÛtÚ : PID 1288 'explorer.exe'  
ArrÛtÚ : PID 1288 'explorer.exe'  
 
 
##### Fichiers|Dossiers 
  
Absent !!! : "C:\Documents and Settings\sandy\Bureau\defzjfmpngjebdr.dll   "   
 
  
  
########## Terminé avec succès à 19:54:01  
  
########## ( EOF )

juju666 · Answer

Dans ton premier message :

les objets suivants ne peuvent etre supprimés :

C:\Documents and Settings\sandy\Bureau\defzjfmpngjebdr.dll - File locked, removal on next reboot 

il le dit encore ?

=======================

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

dwitch · Answer

j'ai pu le supprimer !

juju666 · Answer

en attente de zhpdiag donc

dwitch · Answer

http://www.cijoint.fr/cjlink.php?file=cj201104/cijdJod3Fy.txt

juju666 · Answer

Relance ForceMove, colle lui ça :

C:\WINDOWS\10036296.exe   
C:\WINDOWS\System32\bfztcpvner.exe   

Laisse le bosser et poste moi le rapport.

Ensuite, tu te place là : C:\ForceMove
Tu fais un clic droit sur Quarantine, envoyer vers, dossier compressé, et tu héberge sur cijoint le fichier Quarantine.zip.
Transmet moi le lien.

====================================================

&#9654 Télécharge UsbFix (TeamXScript) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement. 

&#9654  Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...)  sans les ouvrir  

&#9654 Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu'administrateur, l'installation se fera automatiquement 
              XP : double clic sur UsbFix

&#9654 Clique sur "Recherche" 

&#9654 Laisse travailler l'outil 

&#9654 A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur) 

&#9654 Aide en images : Tutoriel "Recherche" 

====================================================

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


O42 - Logiciel: Tagging System Clickbuster. - (.Pas de propriétaire.) [HKLM] -- bfztcpvner    => Infection BT (Adware.AdRotator)
[HKCR\pbfrv2.pbfrv2]
[HKCR\Interface\{03BE31FE-6526-4D9C-B197-4A3E5DCFF696}]    => Infection BT (Adware.2Search)
[HKLM\Software\Classes\Interface\{03BE31FE-6526-4D9C-B197-4A3E5DCFF696}]    => Infection BT (Adware.2Search)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{754FF233-5D4E-11D2-875B-00A0C93C09B3}]    => Infection Rogue (Rogue.AntivirusGold)
[HKCR\CLSID\{754FF233-5D4E-11D2-875B-00A0C93C09B3}]    => Infection Rogue (Rogue.AntivirusGold)
[HKLM\Software\Classes\CLSID\{754FF233-5D4E-11D2-875B-00A0C93C09B3}]    => Infection Rogue (Rogue.AntivirusGold)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B1549E58-3894-11D2-BB7F-00A0C999C4C1}]    => Infection FakeAlert (Trojan.Zlob)
[HKCR\CLSID\{B1549E58-3894-11D2-BB7F-00A0C999C4C1}]    => Infection FakeAlert (Trojan.Zlob)
[HKLM\Software\Classes\CLSID\{B1549E58-3894-11D2-BB7F-00A0C999C4C1}]    => Infection FakeAlert (Trojan.Zlob)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C533ADF1-0C80-11D1-8C54-00A02468F316}]    => Infection Rogue (Rogue.AntivirusGold)
[HKCR\CLSID\{C533ADF1-0C80-11D1-8C54-00A02468F316}]    => Infection Rogue (Rogue.AntivirusGold)
[HKLM\Software\Classes\CLSID\{C533ADF1-0C80-11D1-8C54-00A02468F316}]    => Infection Rogue (Rogue.AntivirusGold)
M2 - MFEP: prefs.js [sandy - p79ydl6s.default\{23256f20-0d9b-4323-b005-6e5de569c4b7}] [] TranslatorBar 5.2 Community Toolbar v3.3.3.2 (.Conduit Ltd..)
[HKCU\Software\AppDataLow\1746badf]
O4 - HKLM\..\Run: [ijdpogghepuulrjov] C:\WINDOWS\system32\defzjfmpngjebdr.dll (.not file.)
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe    => Safer Net Working®Spybot S&D
O4 - HKUS\S-1-5-21-1196813707-484089478-3076871250-1008\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe    => Safer Net Working®Spybot S&D
O23 - Service:  (MysqlInventime) - Clé orpheline
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1    => Safer Networking Limited Spybot - S&D
O43 - CFD: 18/04/2011 - 18:09:06 - [60249281] ----D- C:\Program Files\Spybot - Search & Destroy    => Spybot - Search & Destroy


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

dwitch · Answer

super super bien detaillé tout ça par contre la jdois partir j'essai de poster ça demain

merci beaucoup pour toute ton aide ;)

Virus detecté impossible a supprimer

24 réponses

Discussions similaires