Trojan détecté, écran noir : besoin d'aide !!Résolu/Fermé

Question

Bonjour, 

voilà, j'ai visiblement un trojan sur mon ordinateur. J'étais en train de naviguer sur le net, quand une page s'est affichée comme quoi la police nationale m'avait détectée, que j'avais un contenu illicite et que mon ordi allait être bloqué... et que si je voulais récupérer mon ordi et ses données, il fallait que je paye 100 € ... ben voyons !

En même temps, mon antivirus (avira) me dit qu'un malware est détecté, un Trojan et me demande si je veux le supprimer et je clique sur Ok.

Après comme rien ne se passe et pas moyen de faire quoi que ce soit non plus, j'ai redémarré mon ordi via Ctrl+Alt+Sup, et là le démarrage se passe normalement au début, puis au lieu de mon écran habituel, un écran noir...

Toujours via Ctrl+Alt+Sup, j'ai pu lui faire ouvrir une page Firefox, via laquelle je viens requérir votre aide maintenant...

Mais je suis perdue, je ne sais pas quoi faire pour récupérer mon ordi... Et je suis une bille en informatique, je précise !!

Donc toutes les bonnes volontés sont les bienvenues, un grand grand merci d'avance !!!

Configuration: Windows Vista / Firefox 4.0.1

Valuu · Accepted Answer

On virera tout ce qui n'est pas utile t'inquiète pas :)
Ton antivirus se lance maintenant ?

Refais moi un ZHPDiag stp.

Valuu · Answer

Hello,

Est-ce que tu arrives quand même à parcourir tes dossiers ? Si tu appuies sur la touche Windows il ne se passe rien non plus ?

Tu peux démarrer en mode sans echec ? (tapote F8 au démarrage)

Camille · Answer

Merci de ton aide !
Parcourir mes dossiers, non je ne peux pas... La touche Windows il ne se passe rien, et pour le mode sans echec, j'essaie et je reviens !

Valuu · Answer

Okay, on croise les doigts.

Ou sinon, tente :
ouvre le gestionnaire de tahces (ctrl alt supp) puis Fichier --> Nouvelle tache --> explorer.exe

Camille · Answer

Alors pour le mode sans echec, c'est comme en "normal", j'ai un écran noir, sauf qu'il y a marqué mode sans echec dans les coins et que la flèche de la souris est plus grosse, la pixellisation plus grossière (comme d'hab en mode sans echec...)

Sinon, en faisant comme tu dis, le PC a l'air de chercher, il affiche PC Dock dans la liste des tâches, mais pas de nouvelle fenêtre visible à priori...

Ah ben si !! Il vient de ma remettre mon bureau et je peux accéder à mes dossiers !!

Valuu · Answer

Okay !
On touche plus à rien,

--------------------------------------------------------------------------------------
    * Télécharge RogueKiller sur le bureau
    * Quitte tous les programmes en cours
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Sinon lance simplement RogueKiller.exe
    * Lorsque demandé, tape 1 et valide
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

--------------------------------------------------------------------------------------
Utilise ce logiciel de diagnostic : 

    * Télécharge ZHPDiag (de Nicolas Coolman) 
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
    * Sous Vista/Seven, si ça ne se lance pas --> Clic droit/Exécuter en tant qu'administrateur
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
    * Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Camille · Answer

Ok je fais ça de suite !
Je fais les les deux manip et je te met les deux rapports ici ? Ou pour le deuxième il faut vraiment que je passe par le lien comme précisé ?
Merci en tout cas !!

Valuu · Answer

Pour le 2ème il faut que tu héberge le rapport. Il est très long et ne tient pas dans une réponse (et en plus ça fait moche x) )

Camille · Answer

Voilà déjà le premier rapport :
RogueKiller V5.1.1 [05/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Pierre [Droits d'admin]
Mode: Recherche -- Date : 11/05/2011 22:48:20

Processus malicieux: 0

Entrees de registre: 4
[BLACKLIST DLL] HKCU\[...]\Run : Vvehoduc (rundll32.exe "C:\Users\Pierre\AppData\Local\tsux32.dll",Startup) -> FOUND
[BLACKLIST DLL] HKUS\S-1-5-21-683509472-599939003-1319747611-1000[...]\Run : Vvehoduc (rundll32.exe "C:\Users\Pierre\AppData\Local\tsux32.dll",Startup) -> FOUND
[APPDT/TMP/DESKTOP] HKCU\[...]\Winlogon : Shell (C:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc125.exe) -> FOUND
[APPDT/TMP/DESKTOP] HKUS\S-1-5-21-683509472-599939003-1319747611-1000[...]\Winlogon : Shell (C:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc125.exe) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

Le deuxième arrive !

Camille · Answer

Et voilà le lien avec le deuxième rapport :
http://pjjoint.malekal.com/files.php?id=da8843cb625148

Valuu · Answer

Hello, 

-------------------------------------------------------------------------------------- 
* Rends-toi sur VirusTotal 
* Clique sur Parcourir, et va chercher le(s) fichier(s) en gras ci dessous : 

C:\PhysicalDisk0_MBR.bin  

*Si tu ne le trouves pas, affiche les fichiers cachés 
* Clique sur Send File, si cela t'es demandé, clique sur Reanalyse. 
* Colle-moi l'adresse internet dans ta prochaine réponse 

-------------------------------------------------------------------------------------- 
* Télécharge AD-Remover(de la TeamXscript) sur ton Bureau.  
Déconnecte toi et ferme toutes les applications en cours  
* Double-clique sur l'icône AD-Remover  
* Au menu principal, clique sur Scanner 
* Confirme le lancement de l'analyse et laisse l'outil travailler  
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )  

-------------------------------------------------------------------------------------- 
    * Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    * Clique sur "Recherche"
    * Laisse travailler l'outil
    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images : Tutoriel "Recherche"

-------------------------------------------------------------------------------------- 
    * Télécharge RogueKiller sur le bureau 
    * Quitte tous les programmes en cours 
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur 
    * Sinon lance simplement RogueKiller.exe 
    * Lorsque demandé, tape 2 et valide 
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide 
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Camille · Answer

Ok je fais ça !

Camille · Answer

Bon je sais pas si j'ai bien compris, quand je fais ce que tu dis sur virus total, j'arrive sur cette page :
http://www.virustotal.com/...
C'est ça qu'il te faut? Parce qu'on dirait qu'il cherche qque chose alors je sais pas si je dois attendre ou si c'est ça que tu veux ?
J'attends ta réponse avant de lancer le reste, histoire de pas faire, de bêtises !!

Valuu · Answer

Yep c'est ça.
Par contre étant donné que tu n'es pas enregistrée le lien ne passe pas entierement.
Peux-tu me passer l'autre partie du lien stp ?

crapoulou · Answer

Bonjour Camille,

Les liens sont non cliquables et ça pose souci là car ton lien est trop grand.
Réaffiche le stp mais sans http:// devant.

Exemple :
www.virustotal.com/et-caetera.....

Camille · Answer

Analyse VT.

Voilà la suite. ça passe là ? 
Bon je lance la suite alors !

Camille · Answer

Merci Crapoulou ;)

Valuu, voici le rapport d'AD-Remover :

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [2]) -> Lancé à 23:21:18 le 11/05/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 1 (X64) 
Pierre@PC-DE-PIERRE (HP-Pavilion VD044AA-ABF p6122fr) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\Users\Pierre\AppData\Roaming\FissaSearch
Dossier trouvé: C:\Users\Pierre\AppData\Roaming\OfferBox

-- Fichier ouvert: C:\Users\Pierre\AppData\Roaming\Mozilla\FireFox\Profiles\mwu578wx.default\Prefs.js --
Ligne trouvée: user_pref("extensions.Fissa.Uninstall.lastRunTime", "Sat, 10 Jul 2010 20:07:23 GMT"); 
Ligne trouvée: user_pref("extensions.Fissa.lastRunTime", "Thu, 17 Jun 2010 10:05:14 GMT"); 
-- Fichier Fermé --
 

Clé trouvée: HKCU\Software\FissaSearch
Clé trouvée: HKCU\Software\OfferBox
Clé trouvée: HKCU\Software\Spointer
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Fissa
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Fissa
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.15 (fr)] ****

FIREFOX.EXE\Shell\Open\Command - C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 7\firefox.exe
HKLM_MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf (x)
HKLM_MozillaPlugins\@WildTangent.com/GamesAppPresenceDetector,Version=1.0 (x)

-- C:\Users\Pierre\AppData\Roaming\Mozilla\FireFox\Profiles\mwu578wx.default --
User.js - keyword.URL, hxxp://fileservehome.com/?prt=fileservetb02ff&Keywords=
Prefs.js - browser.download.lastDir, C:\Users\Pierre\Desktop\Images internet
Prefs.js - browser.search.defaultenginename, Yahoo-FileServe
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.search.selectedEngineURL, hxxp://fileservehome.com/?tmp=toolbar_FileServe_results&prt=fileservetb01ff&clid=c7404...
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/firefox?rls=org.mozilla:fr-FR:official
Prefs.js - browser.startup.homepage_override.buildID, 20110413222027
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1
Prefs.js - keyword.URL, hxxp://fileservehome.com/?prt=fileservetb02ff&Keywords=

========================================

**** Internet Explorer Version [7.0.6001.18000] ****

HKCU_Main|Default_Page_URL - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=93&bd=Pavilion&pf=cndt
HKCU_Main|Default_Search_URL - hxxp://www.google.com/ie
HKCU_Main|Search bar - hxxp://www.google.com/ie
HKCU_Main|Search Page - hxxp://www.google.com
HKCU_Main|Start Page - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=93&bd=Pavilion&pf=cndt
HKLM_Main|Default_Page_URL - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=93&bd=Pavilion&pf=cndt
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=93&bd=Pavilion&pf=cndt
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\Program Files (x86)\Orange\SearchURLHook\SearchPageURL.dll) (x)
HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "Ask Search" (hxxp://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=101699&src=crm&q={searchT...)
HKCU_SearchScopes\{4986B214-5E79-49B0-A07C-C0D9D8DC369C} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
HKLM_SearchScopes\{4986B214-5E79-49B0-A07C-C0D9D8DC369C} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
HKCU_Toolbar\WebBrowser|{DE9C389F-3316-41A7-809B-AA305ED9D922} (C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll)
HKCU_Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (x)
HKLM_Toolbar|{DE9C389F-3316-41A7-809B-AA305ED9D922} (C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll)
HKCU_ElevationPolicy\{4169044D-6BA4-4661-B7D6-E29274F1F458} - C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\wtapp_ProtocolHandler.exe (WildTangent, Inc.)
HKLM_ElevationPolicy\{ADADAEE2-457A-4984-A57C-E01C3A2BA612} - c:\program files (x86)\aol\aol toolbar 5.0\AolTbServer.exe (AOL LLC)
HKLM_ElevationPolicy\{D802E3EF-2513-4661-972E-BAD737EFBA88} - C:\Program Files (x86)\DivX\DivX OVS Helper\OVSHelperBroker.exe (DivX, LLC.)
BHO\{7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - "AOL Toolbar BHO" (C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 3 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 11/05/2011 23:18:49 (5373 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 11/05/2011 23:21:21 (5300 Octet(s)) 

Fin à: 23:22:00, 11/05/2011 
 
============== E.O.F ============== 

Je me lance dans USBfix ;)

Camille · Answer

J'arrive pas à poster le rapport USB Fix, il me dit titre message non renseigné ??

Camille · Answer

Voilà le dernier rapport Rogue killer : RogueKiller V5.1.1 [05/05/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: Pierre [Droits d'admin] Mode: Suppression -- Date : 11/05/2011 23:36:23 Processus malicieux: 0 Entrees de registre: 2 [BLACKLIST DLL] HKCU\[...]\Run : Vvehoduc (rundll32.exe "C:\Users\Pierre\AppData\Local\tsux32.dll",Startup) -> DELETED [APPDT/TMP/DESKTOP] HKCU\[...]\Winlogon : Shell (C:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc125.exe) -> DELETED Fichier HOSTS: 127.0.0.1 localhost ::1 localhost Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Valuu · Answer

Bien, 

-------------------------------------------------------------------------------------- 
* Double-clique sur l'icône AD-Remover  
Déconnecte toi et ferme toutes les applications en cours  
* Au menu principal, clique sur Nettoyer  
* Confirme le lancement de l'analyse et laisse l'outil travailler  
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )  

-------------------------------------------------------------------------------------- 
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir 
    * Double clique sur le raccourci UsbFix sur ton Bureau 
    * Clique sur "Suppression" 
    * Laisse travailler l'outil 
    * Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal 
    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur) 

    :!: UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution ! 

    Aide en images : Tutoriel "Nettoyage" 

-------------------------------------------------------------------------------------- 
MBAM 
    * Télécharge Malwarebytes' Anti-Malware 
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation) 
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet" 
    * Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen" 
    * L'analyse peut durer un bon moment..... 
    * Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats" 
    * Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK" 
    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée 
   * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

après ça redémarre ton pc voir si ça fait encore la même chose, si oui relance explorer.exe comme au début.

Camille · Answer

Voilà déjà le rapport du nettoyage AD-Remover
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 23:42:41 le 11/05/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 1 (X64) 
Pierre@PC-DE-PIERRE (HP-Pavilion VD044AA-ABF p6122fr) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Users\Pierre\AppData\Roaming\FissaSearch
Dossier supprimé: C:\Users\Pierre\AppData\Roaming\OfferBox

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Pierre\AppData\Roaming\Mozilla\FireFox\Profiles\mwu578wx.default\Prefs.js --
Ligne supprimée: user_pref("extensions.Fissa.Uninstall.lastRunTime", "Sat, 10 Jul 2010 20:07:23 GMT"); 
Ligne supprimée: user_pref("extensions.Fissa.lastRunTime", "Thu, 17 Jun 2010 10:05:14 GMT"); 
-- Fichier Fermé --
 

Clé supprimée: HKCU\Software\FissaSearch
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\Spointer
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Fissa
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Fissa
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.15 (fr)] ****

FIREFOX.EXE\Shell\Open\Command - C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 7\firefox.exe
HKLM_MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf (x)
HKLM_MozillaPlugins\@WildTangent.com/GamesAppPresenceDetector,Version=1.0 (x)

-- C:\Users\Pierre\AppData\Roaming\Mozilla\FireFox\Profiles\mwu578wx.default --
User.js - keyword.URL, hxxp://fileservehome.com/?prt=fileservetb02ff&Keywords=
Prefs.js - browser.download.lastDir, C:\Users\Pierre\Desktop\Images internet
Prefs.js - browser.search.defaultenginename, Yahoo-FileServe
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.search.selectedEngineURL, hxxp://fileservehome.com/?tmp=toolbar_FileServe_results&prt=fileservetb01ff&clid=c7404...
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/firefox?rls=org.mozilla:fr-FR:official
Prefs.js - browser.startup.homepage_override.buildID, 20110413222027
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1
Prefs.js - keyword.URL, hxxp://fileservehome.com/?prt=fileservetb02ff&Keywords=

========================================

**** Internet Explorer Version [7.0.6001.18000] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\Program Files (x86)\Orange\SearchURLHook\SearchPageURL.dll) (x)
HKCU_SearchScopes\{4986B214-5E79-49B0-A07C-C0D9D8DC369C} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
HKLM_SearchScopes\{4986B214-5E79-49B0-A07C-C0D9D8DC369C} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
HKCU_Toolbar\WebBrowser|{DE9C389F-3316-41A7-809B-AA305ED9D922} (C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll)
HKLM_Toolbar|{DE9C389F-3316-41A7-809B-AA305ED9D922} (C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll)
HKCU_ElevationPolicy\{4169044D-6BA4-4661-B7D6-E29274F1F458} - C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\wtapp_ProtocolHandler.exe (WildTangent, Inc.)
HKLM_ElevationPolicy\{ADADAEE2-457A-4984-A57C-E01C3A2BA612} - c:\program files (x86)\aol\aol toolbar 5.0\AolTbServer.exe (AOL LLC)
HKLM_ElevationPolicy\{D802E3EF-2513-4661-972E-BAD737EFBA88} - C:\Program Files (x86)\DivX\DivX OVS Helper\OVSHelperBroker.exe (DivX, LLC.)
BHO\{7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - "AOL Toolbar BHO" (C:\Program Files (x86)\AOL\AOL Toolbar 5.0\aoltb.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 6 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 19 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 11/05/2011 23:42:44 (4967 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 11/05/2011 23:18:49 (5373 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 11/05/2011 23:21:21 (5438 Octet(s)) 

Fin à: 23:43:50, 11/05/2011 
 
============== E.O.F ==============

Camille · Answer

Voici le rapport USB Fix
http://www.cijoint.fr/cjlink.php?file=cj201105/cijlGx2hos.txt

Camille · Answer

Bon le scan MalB est toujours en cours, et a priori encore pour un moment...
Et déjà 7 éléments infectés...

Bon je laisse tourner le scan et je vais dormir ! On verra la suite demain matin...

Mais je peux déjà te dire que pour AD-Remover, il m'a demandé de redémarrer l'ordi pour le nettoyage soir le plus efficace possible et ça a redémarré sans souci. Donc déjà, ya un mieux ;)

Merci, et à demain, si tu es par là pour m'aider à finir de nettoyer mon ordi !

Valuu · Answer

pas de soucis pour demain, je serais là :) bonne nouvelle pour ton démarrage :)

Camille · Answer

Bonjour !

Voilà le rapport de Malewarebytes.
A priori, il me semble qu'il a supprimé tous les fichiers infectés...
Tu me diras ce qu'il en est quand tu auras le temps !

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6557

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

12/05/2011 07:17:07
mbam-log-2011-05-12 (07-17-07).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|L:\|)
Elément(s) analysé(s): 435490
Temps écoulé: 2 heure(s), 4 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Pierre\AppData\Local	sux32.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\LocalLow\Sun\Java\deployment\cache\6.0\44\53a24bac-6f19a7cb (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc125.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc7842529.txt (Trojan.FakeMS.MGen) -> Quarantined and deleted successfully.
c:\Users\Pierre\Desktopk_quarantine\mmc125.exe.vir (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\Users\Pierre\Desktopk_quarantine	sux32.dll.vir (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\Users\Pierre\downloads\xvid_setup1.2.2-win32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Camille · Answer

Ah et j'oubliais, effectivement, le démarrage ne pose plus de pb ! ;)

Valuu · Answer

C'est excellent tout ça :)
Reposte un rapport ZHPDiag pour finaliser :)

ptitecam · Answer

Voilà le lien du rapport :
https://pjjoint.malekal.com/files.php?id=c23fd9219a11614
J'espère que tout est bon !!

ptitecam · Answer

Au fait, Camille = Ptitecam, c'est du pareil au même ;) J'avais zappé que je m'étais inscrite sur ce forum il y a qques années ! ;)

Valuu · Answer

Il reste pas grand chose à faire :)

--------------------------------------------------------------------------------------
Fais un tour sur Windows Update pour mettre ton système à jour :
http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=fr
Suis les indications et télécharge les mises à jour "Importantes" ou "Prioritaires"
Tu peux aussi installer les facultatives, mais comme leur nom l'indique elle sont "facultatives".
Pour toi c'est notamment le service pack 2 de Windows Vista, et Internet Explorer 9 (même si tu ne t'en sers pas).

--------------------------------------------------------------------------------------
* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------
EmptyTemp
EmptyFlash
SysRestore
FirewallRAZ
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified     
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1     
O51 - MPSK:{d07198a5-4940-11df-a473-002421ace2fe}\AutoRun\command - Clé orpheline 
O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0     
O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0     
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktop"=1     
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktopChanges"=1     
O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl)  .(...) - LEGACY_EECTRL     
O64 - Services: CurCS - (.not file.) - EraserUtilDrvI9 (EraserUtilDrvI9)  .(...) - LEGACY_ERASERUTILDRVI9 
O64 - Services: CurCS - (.not file.) - EraserUtilRebootDrv (EraserUtilRebootDrv)  .(...) - LEGACY_ERASERUTILREBOOTDRV     
O64 - Services: CurCS - (.not file.) - IDSVia64 (IDSVia64)  .(...) - LEGACY_IDSVIA64     
O64 - Services: CurCS - (.not file.) - SYMDNS (SYMDNS)  .(...) - LEGACY_SYMDNS     
O64 - Services: CurCS - (.not file.) - Symantec Extended File Attributes (SymEFA)  .(...) - LEGACY_SYMEFA     
O64 - Services: CurCS - (.not file.) - SYMFW (SYMFW)  .(...) - LEGACY_SYMFW     
O64 - Services: CurCS - (.not file.) - SYMNDISV (SYMNDISV)  .(...) - LEGACY_SYMNDISV     
O64 - Services: CurCS - (.not file.) - SYMREDRV (SYMREDRV)  .(...) - LEGACY_SYMREDRV     
O64 - Services: CurCS - (.not file.) - SYMTDI (SYMTDI)  .(...) - LEGACY_SYMTDI     
[HKCR\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF] 
[HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF] 

---------------------------------------------------

* Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Colle le contenu du rapport dans ta prochaine réponse.

-------------------------------------------------------------------------------------
Tu utilises OpenOffice, celui-ci a changé de propriétaire et se nomme désormais LibreOffice. Pour bénéficier des mises à jour il faut que tu télécharges LibreOffice ici : http://download.documentfoundation.org/libreoffice/stable/3.3.2/win/x86/LibO_3.3.2_Win_x86_install_multi.exe
Tes fichiers ne seront pas perdus et ne seront pas modifiés (c'est le même programme, mais juste changement de proprio).

ptitecam · Answer

Voilà le rapport de ZHP Fix :
Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-12-05-2011-22-19-59.txt
Run by Pierre at 12/05/2011 22:19:59
Windows Vista Home Premium Edition, 64-bit Service Pack 1 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O51 - MPSK:{d07198a5-4940-11df-a473-002421ace2fe}\AutoRun\command - Clé orpheline  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl) .(...) - LEGACY_EECTRL  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - EraserUtilDrvI9 (EraserUtilDrvI9) .(...) - LEGACY_ERASERUTILDRVI9  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - EraserUtilRebootDrv (EraserUtilRebootDrv) .(...) - LEGACY_ERASERUTILREBOOTDRV  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - IDSVia64 (IDSVia64) .(...) - LEGACY_IDSVIA64  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMDNS (SYMDNS) .(...) - LEGACY_SYMDNS  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Symantec Extended File Attributes (SymEFA) .(...) - LEGACY_SYMEFA  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMFW (SYMFW) .(...) - LEGACY_SYMFW  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMNDISV (SYMNDISV) .(...) - LEGACY_SYMNDISV  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMREDRV (SYMREDRV) .(...) - LEGACY_SYMREDRV  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMTDI (SYMTDI) .(...) - LEGACY_SYMTDI  => Clé supprimée avec succès
HKCR\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF  => Clé absente
HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF  => Clé absente

========== Valeur(s) du Registre ==========
FirewallRaz : Aucune valeur présente dans la clé de registre "Standard Profile"
FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"
FirewallRaz (Public) : FPS-SpoolSvc-In-TCP  => Valeur supprimée avec succès
FirewallRaz (Domain) : FPS-SpoolSvc-In-TCP-NoScope  => Valeur supprimée avec succès
FirewallRaz (Domain) : CoreNet-GP-LSASS-Out-TCP  => Valeur supprimée avec succès
FirewallRaz (Domain) : WinCollab-DFSR-Out-TCP  => Valeur supprimée avec succès
FirewallRaz (Domain) : WinCollab-DFSR-In-TCP  => Valeur supprimée avec succès
FirewallRaz (Public) : NetPres-Out-TCP  => Valeur supprimée avec succès
FirewallRaz (Public) : NetPres-In-TCP  => Valeur supprimée avec succès
FirewallRaz (Domain) : NetPres-WSD-Out-UDP  => Valeur supprimée avec succès
FirewallRaz (Domain) : NetPres-WSD-In-UDP  => Valeur supprimée avec succès
FirewallRaz (Domain) : NetPres-Out-TCP-NoScope  => Valeur supprimée avec succès
FirewallRaz (Domain) : NetPres-In-TCP-NoScope  => Valeur supprimée avec succès
FirewallRaz (None) : {74CAD43C-36A0-440B-8A3F-FB39B09AB981}  => Valeur supprimée avec succès
FirewallRaz (None) : {407473B9-6910-40E0-81C4-EC2A849EBDD9}  => Valeur supprimée avec succès
FirewallRaz (None) : {A2B24841-A294-46D4-A6E8-36DC18896563}  => Valeur supprimée avec succès
FirewallRaz (None) : {287D2513-44B3-4E33-A88F-039528524082}  => Valeur supprimée avec succès
FirewallRaz (None) : {748CCA39-F4DB-493C-BB27-8BE7B71CA7E2}  => Valeur supprimée avec succès
FirewallRaz (Private) : {A6A272F3-7193-4845-BC6D-1E20D1294096}  => Valeur supprimée avec succès
FirewallRaz (None) : {B4A35C5C-F1C6-42FB-B1BF-74F0058259B5}  => Valeur supprimée avec succès
FirewallRaz (Public) : {8F065827-ACE1-4842-98AA-459B4C218798}  => Valeur supprimée avec succès
FirewallRaz (Public) : {9F55797C-CCB3-4D9E-B41B-E8C130510BF0}  => Valeur supprimée avec succès
O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0  => Valeur supprimée avec succès
O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0  => Valeur supprimée avec succès
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktop"=1  => Valeur supprimée avec succès
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktopChanges"=1  => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified  => Donnée supprimée avec succès
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1  => Donnée supprimée avec succès

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 365
Dossiers Flash Cookies supprimés : 319

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 1050
Fichiers Flash Cookies supprimés : 148

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
13 : Clé(s) du Registre
26 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
2 : Dossier(s)
2 : Fichier(s)
1 : Restauration Système


End of the scan


Par contre, pour les mises à jour windows, il m'a pas proposé de cocher des cases ou quoi que ce soit, il a direct installé 2 mises à jours : Internet explorer 9  et un truc anti logiciel malveillants si je me trompe pas.

Valuu · Answer

Bien :)
Tu as redémarrer ton pc après les mises à jour ? Si tu retournes sur Windows Update, il te propose d'autre MAJ ?

ptitecam · Answer

Effectivement, une fois redémarré, il m'a proposé le service pack 2 de windows, il est en train de l'installer ;)

Bon par contre, un truc bizarre, mon antivirus est désactivé et je n'arrive pas à l'activer... Quand je clique sur activer, il me demande si je fais confiance à ce programme et si je souhaite l'activer ou non, je clique sur oui, et il se passe rien...

ptitecam · Answer

Autant pour moi, il a fini par s'activer !! ;)
Du coup, c'est tout bon ?

Valuu · Answer

Quitte le et relance le voir ce que ça donne ;)

ptitecam · Answer

Je relance l'ordi ?
Parce que là, ya la mise à jour Windows qui me dit que si je redémarre, il peut y en avoir pour plus d'une heure, le temps qu'il installe le pack vista truc ;) ...
Donc je pense le lancer en allant dormir :D

Valuu · Answer

Ouais essaie en redémarrant.
Oui le changement de service pack est parfois long. mais il te demande d'accepter quelques fenêtres au début après quelques recherches je crois ^^

ptitecam · Answer

Ok je tente  !! Si je reviens pas ce soir, c'est que ça prenait trop longtemps et que je suis partie au lit ! ;)

Valuu · Answer

Okay ça marche ;)
A... bientôt alors !

ptitecam · Answer

Bon ben me revoilà, c'est bizarre parce que le démarrage n'a pas été beaucoup plus long que d'habitude... ?? Juste l'impression que le PC rame un peu plus que d'hab... Du coup je me demanderais presque s'il a bien installé ce qu'il faut... ya moyen de vérifier ça ?

ptitecam · Answer

Ah ben j'ai essayé de relancer les mises à jour et il me propose à nouveau le pack vista... donc j'imagine que la première fois ça n'a pas marché... 
Je relance donc !

ptitecam · Answer

Bon ben ça rame... il ne veut pas relancer l'installation de la mise à jour, et dans la liste des mises à jour, celle de tout à l'heure est bien indiquée comme un échec...
Je crois que je retenterai demain matin !
Encore merci pour ton aide en tout cas, on va bien finir par y arriver !! ;)

Valuu · Answer

On verra pour le démarrage un fois que le SP sera installé :)

ptitecam · Answer

Voilà le SP est installé !
Est-ce que je dois relancer un rapport ZHP ?

Tu me diras après, de tout ce que j'ai installé sur l'ordi pour le nettoyer, ce qu'il faut que je garde ou pas ! Merci !!

ptitecam · Answer

Oui oui, ça s'ouvre  ! ;)

Voici le rapport du diag : https://pjjoint.malekal.com/files.php?id=22b341305781515

Valuu · Answer

Hello,

télécharge ce fichier : https://www.cjoint.com/?AEnxahGJVHV
Double clique dessus et accepte la fusion, cela devrait supprimer 2 clés de registres récalcitrantes et néfastes. Mais tu n'en sauras rien ça sera silencieux.
Une fois que c'est fait, supprime le.

Si tu veux optimiser le démarrage de ton ordinateur,
* Télécharge CCleaner.
* Installe le puis lance le.
* Va dans Outils/Démarrage
* sélectionne les éléments à désactiver et clique sur le bouton "Désactiver"
* Garde au moins, antivirus, parefeu, etc...
* Si au court du temps tu t'aperçois que tu as besoin de certains de ces programmes au démarrage, tu n'as qu'à les réactiver.

Redémarre ton ordi et dis moi ensuite si tu as encore des soucis.

ptitecam · Answer

Ben parefeu, je suis pas bien sûre d'en avoir un... oups...
>Si je te met la liste là, tu peux me dire si j'en ai un ? Et ce qu'il faut suprrimer ou pas ? Parce que là c'est du chinois pour moi ! ;)

https://pjjoint.malekal.com/files.php?id=38c130a070769

Valuu · Answer

Okay, dans la liste :

Sidebar = la barre que tu as sur ton bureau avec tous les icônes
ehTray.exe = ehtray.exe est un processus est le processus de barre de plateau pour le Microsoft Media Center. Il vous donne facile d'accès au gestionnaire de médias numériques
StartCCC = rapport à ton logiciel de carte graphique
UpdateP2GoShortCut = ainsi que les autres, mises à jour automatique des logiciels CyberLink
avgnt = à garder ! ton antivirus !

Windows Defender = garde aussi

Après le reste je vais pas tout détaillé, mais fais des essais en les enlevant 2 par 2 ou 3 par 3 pour voir si ça te manque au démarrage ou pas.
Garde le TSMAgent, je pense que c'est ton touchpad, et si tu le désactives tu n'auras plus ton touchpad, essaie de le désactiver si tu as une souris sous la main au cas où ^^

ptitecam · Answer

Me revoilà !
J'ai nettoyé pas mal de truc pour le démarrage du coup, presque tout enlevé en dehors de ce que tu m'as dit, et ça marche pas mal ! ;)
Merci !

Sinon pour le reste c'est tout bon ? Les derniers résistants ont disparus ?

Valuu · Answer

Allez pour la route... refais un dernier ZHPDiag qu'on voit ça, et après on finalise !
Je te ferais désinstaller tout ce qui a été utilisé, et te donnerais quelques conseils sécurité.

ptitecam · Answer

Voilà le rapport :
https://pjjoint.malekal.com/files.php?id=16fc29186212158

Oui, pour les conseils sécurité, je suis preneuse, j'allais t'en demander !!

Valuu · Answer

C'est bon, tout est parti !

Donc ce qui suis est une procédure type à ma sauce. Si tu as des questions, n'hésite surtout pas.

--------------------------------------------------------------------------------------
Télécharge OneClick2RestorePoint de Laddy sur ton Bureau

* Double clic dessus pour l'exécuter (Sous Vista/Seven, fais un clic droit et choisir Exécuter en tant qu'administrateur)
* Entre la description suivante :Post-désinfection
* Clic sur le bouton Créer, puis sur le bouton OK.
* Clic sur le bouton quitter pour fermer l'application

Purger les points de restauration système:

* Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Exécuter en tant qu'administrateur sous Vista/Seven)
* Clic sur le bouton "Purger", l'outil de nettoyage de Windows va s'ouvrir
* Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
* Rends toi dans l'onglet "Autres options"
* Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
* Les points de restauration système seront purgés sauf le dernier créé.

Fais une recherche des erreurs de disque :
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d'avertissement et redémarrez votre système.

Défragmente tes disque dur :
Télécharge Deffragler, et défragmente tes 2 disques.

Pour ta navigation, je te conseille d'utiliser Mozilla Firefox par défaut. Internet Explorer est bien, mais Mozilla est plus rapide et plus sécurisé (et plus personnalisable en plus).
Pour le sécuriser tu peux ajouter les modules complémentaires suivant :
- WOT : C'est un module qui te permet de savoir l'indice de confiance du site que tu visites. Il t'affiche un message comme quoi le site est indésirable si c'est le cas.

- AD-Block Plus : ce module te permet de bloquer l'affichage des publicités, te soulageant ainsi la page web, et d'infecter ta machine en suivant ces pubs...

- NoScript : ce module bloque les applications fonctionnant par script, empêchant ainsi d'infecter ta machine. Tu peux autoriser les pages que tu visites au fur et à mesure si tu es sur qu'elle sont sans risque (en te fiant à l'icône de WOT par exemple)

- Tu peux également utiliser d'autres module tels que Personas, AnyWeather, Destroy the Web... qui sont plus pour le look, ou le jeu. Tu as tous les modules disponibles ici

Pour sécuriser ton système :
Il te faut au minimum 1 antivirus, 1 par feu, 1 antimalware.

Pour l'antivirus, si tu n'en as pas, Je te conseille Antivir. Un très bon antivirus gratuit, simple d'utilisation.
Télécharge le ici
Mais attention, tu ne dois avoir qu'un seul antivirus sur ton ordinateur !

Pour le pare-feu, tu peux garder celui de Windows en vérifiant bien qu'il est activé, ou tu peux en utiliser un autre : Comodo.
Tutoriel, Découvrir Comodo. C'est un pare-feu assez compliqué à utiliser, si tu ne comprends pas tout demande, ou laisse le pare-feu Windows, ou installe un autre pare-feu.

Mais attention, tu ne dois avoir qu'un seul pare-feu actif sur ton ordinateur, si tu en installes un autre, désactive celui de Windows (par le panneau de configuration/Pare-feu)

Puis comme antimalware, je te conseille d'utiliser MBAM, et le mettant à jour avant chaque analyse.
Lance le régulièrement en scan rapide.

Si tu es sous Windows Vista ou 7, active l'UAC :
Sous Vista
Sous Seven

Vaccine tes disques durs et supports amovibles avec USBFix :
* Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Double clique sur le raccourci UsbFix sur ton Bureau
* Clique sur "Vacciner"

Télécharge DelFix sur ton bureau
* Lance le et appuie sur le bouton Suppression
* Copie/colle le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

* Tu peux ensuite relancer DelFix et appuyer sur Désinstaller afin de supprimer toute trace de son utilisation.

Mets tes drivers à jour
* Va sur touslesdrivers Puis clique sur Lancer la détection
* Installe le logiciel MaConfig comme ça va te le proposer.
* Dans la liste, certaines lignes seront différentes, tu pourras installer certains drivers qui ne sont pas à jour sur ton ordinateur.
* Clique sur le plus récent en date de chaque catégorie pour les télécharger et les installer.
* Redémarre ton ordinateur lorsque tu les as installés, puis retourne sur le site pour voir si tu en a d'autres à mettre à jour.
* Recommence jusqu'à ce que toutes les lignes soient pareilles.
* Tutoriel ici : https://forum.malekal.com/viewtopic.php?t=17355&start=#p137959
<<< Si tu as peur de faire une bêtise, demande moi ce que tu veux savoir, ou ne fais rien >>>

Utilise ce programme pour optimiser ton ordinateur :

* Télécharge CCleaner.
* Installe le puis lance le.
* Clique sur Nettoyeur / Analyse / Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
* Enfin, clique sur Registre / corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

Ptitecam · Answer

Bonjour et merci pour cette procédure !

Par contre pour le moment je ne peux pas faire grand chose, internet rame comme pas possible, il met 1 mn à ouvrir une page et je peux rien télécharger, ça s'arrête en cours de route...
Bon je pense que ça vient plutôt du réseau qui serait saturé ? C'est possible ça ? Sinon, est-ce que c'est possible que j'ai désactivé un truc qui ne fallait pas dans CCcleaner Outils D&marrage ? Bon a priori ça joue que sur le démarrage de l'ordi non ? Pas sur son fonctionnement après ?

Je te tiens au courant si ça ne change pas !! ;)

Valuu · Answer

Bah si tu coupes un programme au démarrage il ne se lancera pas, donc ça va accélérer le démarrage et il ne tournera plus en fond de l'ordi.

Tu n'avais rien qui puisse causer ce ralentissement. Il faut voir si c'est passager, sinon tu me dis !

Ptitecam · Answer

Ok je te tiens au courant...
Là c'est de pire en pire... au moins 5 mn que j'essaie d'ouvrir ma boite mail sans succès...
En fait c'est depuis hier soir, les vidéeos mettent 3 plombent à charger, on a voulu voir un film en VOD sur la télé (par la box) et on n'a jamais pu le regarder, ça n'arrive pas à la charger manifestement... Pour ça que je me dis que le réseau est peut-être saturé ?
Fait un temps pourri ici, je sais pas trop comment ça marche, mais je me dis que si tout le monde est derrière son ordi, ya plus de chance que ça rame ?

M'enfin, j'attend de voir et je te dis si ça passe pas !
merci !

Valuu · Answer

Nan le fait que tout le monde soit derrière l'ordi ne va pas changer grand chose ^^

Tu as redémarré ton ordi pour voir si ça changeait quelque chose ?

Ptitecam · Answer

Mauvaise nouvelle !
Vu comme ça ramait, j'ai relancé un Maleware Bytes et il a trouvé 3 Trojan...
En fait c'est le fichier d'installation de OneClick2RestorePoint qui est infesté à priori...
J'ai essayé de l'installer plusieurs fois vu que ça marchait pas, et chacun des fichiers que ça a généré dans "Mes téléchargements" était infecté...
Bn du coup le Malware Bytes les a supprimé, mais ça n'a pas résolu le pb, l'ordi rame toujorus +++
Pour te donner une idée, j'essaie d'ouvrir ma boîte mail depuis mon dernier message, sans succès...

Du coup, on fait quoi ? On reprend depuis le début ?

Ptitecam · Answer

Petite info qui a son importance, ça rame tellement que je peux rien télécharger de nouveau... DOnc faudra qu'on s'en sorte avec ce que j'ai déjà installé... En espérant qu'on y arrive !

Valuu · Answer

Si tu essaies de naviguer en Mode Sans échec avec prise en charge Réseau ? (tapote F8 au démarrage de l'ordi)

C'est aussi lent ?

Ptitecam · Answer

Me revoilà depuis l'ordi du boulot !!
La connexion chez moi rame vraiment trop... Hier soir, j'ai mis plus de 20 mn pour lire ta réponse Valuu...
Du coup, j'ai essayé de redémarrer en mode sans échec avec prise en charge réseau, comme tu me l'as dit, mais c'est exactement la même chose...

Ce matin, j'ai réessayé, après avoir débranché puis rebranché la box, et c'est toujours pareil... voir pire puisque hier la page d'accueil de Mozilla s'affichait relativement facilement, j'arrivais à avoir des résultats de recherche, sur google par exemple, plus facilement, et même à ouvrir le forum...
Là ce matin rien... bon j'ai pas essayé longtemps non plus, j'avais pas trop le temps, mais a priori c'est pas mieux !

Je vais essayer d'appeler Bouygues pour savoir s'il y a un souci de leur côté...
Merci pour votre aide !

ptitecam · Answer

De retour à la maison !
Pas eu le temps d'appeler bouygues, mais il semblerait que je me sois affolée pour rien, ce soir ça marche mieux !
Pas le temps ce soir, je bosse, mais demain ou mercredi, je me lance dans ta procédure de "nettoyage" Valuu, et je te dirai ce qu'il en est
Merci en tout cas !

Valuu · Answer

Mouais mouais mouais...

Ton pc est un pc de bureau, ce n'est pas un portable ?
Tu n'as pas d'autre ordinateur chez toi qui permettrait de vérifier si ça ne le fait qu'avec ton pc, ou qu'avec ta connexion... Pour cibler le problème.

ptitecam · Answer

Bonsoir !

on a eu bouygues au tel, et effectivement, ya bien eu de gros gros soucis sur leur réseau ce WE qui ont pu causer ces ralentissements... Et depuis hier tout va mieux !

Sinon, oui, mon ordi est un pc de bureau . Oui j'ai un portable, qui commence à dater un peu.
Mais comme je t'ai dit, depuis ça remarche nickel !

Bon j'ai commencé à suivre ta procédure pour finir de nettoyer l'ordi, pour le moment tout roule !! ;)
Je te tiens au courant !

Valuu · Answer

Tout va bien ! ça me rassure alors :)

Utilisateur anonyme · Answer

Bonsoir,
En fin de compte, j'avais raison, il y avait bien un problème avec la ligne

ptitecam · Answer

Salut !!
Bon j'avance sur ta procédure de "nettoyage" de mon ordi, pour le moment, impec, pas de souci. Voici le rapport Delfix :

# DelFix v7.8 - Rapport créé le 18/05/2011 à 21:15
# Mis à jour le 02/05/11 à 18h par Xplode
# Système d'exploitation : Windows (TM) Vista Home Premium (64 bits) [version 6.0.6002] 
# Nom d'utilisateur : Pierre - PC-DE-PIERRE (Administrateur)
# Exécuté depuis : C:\Users\Pierre\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\USBFix
Supprimé : C:\Program Files (x86)\Ad-Remover
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\Users\Pierre\Desktop\RK_Quarantine
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\Ad-Report-CLEAN[2].txt
Supprimé : C:\Ad-Report-SCAN[1].txt
Supprimé : C:\Ad-Report-SCAN[2].txt
Supprimé : C:\Ad-Report-SCAN[3].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_PC-DE-PIERRE.zip
Supprimé : C:\ZHPExportRegistry-12-05-2011-22-19-59.txt
Supprimé : C:\Users\Pierre\Desktop\AD-R.lnk
Supprimé : C:\Users\Pierre\Desktop\Ad-Report-SCAN[3].txt
Supprimé : C:\Users\Pierre\Desktop\OneClick2RP.exe
Supprimé : C:\Users\Pierre\Desktop\RKreport[1].txt
Supprimé : C:\Users\Pierre\Desktop\RKreport[2].txt
Supprimé : C:\Users\Pierre\Desktop\RKreport[3].txt
Supprimé : C:\Users\Pierre\Desktop\RKreport[4].txt
Supprimé : C:\Users\Pierre\Desktop\RKreport[5].txt
Supprimé : C:\Users\Pierre\Desktop\RogueKiller.exe
Supprimé : C:\Users\Pierre\Desktop\UsbFix.exe
Supprimé : C:\Users\Pierre\Desktop\UsbFix.txt
Supprimé : C:\Users\Pierre\Desktop\UsbFix2.txt
Supprimé : C:\Users\Pierre\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Pierre\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Pierre\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2395 octets] ##########


Sinon, faudrait juste que tu me dises de tout ce que j'ai installé pour virer le Trojan, qu'est ce que je garde ou pas ? 
Enfin MBAM ça je laisse, mais le reste :
Roguekiller, ZHP Diag, USBfix, AD Remover... Je crois pas que j'en ai oublié !
Merci !

Valuu · Answer

Hello,

Tout ce qui est inutile a été effacé par DelFix
Les logiciels spécifiques comme RogueKiller, ZHPDiag, USBFix, etc... sont régulièrement mis à jour et nécessite un retéléchargement si il y a besoin de l'utiliser.
De plus ils ne servent qu'en cas de certaines infections. Donc pas toujours utilisés.

Garde MBAM et lance le une fois de temps en temps en scan rapide pour contrôler.
Garde CCleaner également pour faire un petit nettoyage régulièrement. :)

ptitecam · Answer

Ah oui dis-donc, j'avais pas vu que tout avait été enlevé par Delfix !!
Bon ben j'ai laissé tout ce que tu m'as dit, c'est noté pour les mises à jour MBAM ;)
Je crois que du coup, il ne me reste plus qu'à mettre ce topic comme résolu, et à te dire un grand grand merci !!!! ;)
Peut-être à une prochaine !!!

Valuu · Answer

Et bien merci à toi d'être restée jusqu'au bout !
En espérant ne plus te revoir ici (ça serait mauvais signe pour toi :p) !

Salut, et bon surf !

Camille · Answer

Bon ben comme j'ai commencé le sujet sans être enregistré et que je l'ai fini en étant enregistré, je peux pas le marquer comme résolu...

Camille · Answer

Ah ben j'ai vu que tu avais fait le nécessaire !! ;)
C'est la moindre des choses de rester jusqu'au bout quand on nous file un sacré coup de main!
Encore merci !! ;)

Trojan détecté, écran noir : besoin d'aide !!

71 réponses

Discussions similaires

Newsletters