Gestionnaire des tâches Fermé

Question

Bonjour, 

Voilà depuis quelques temps je n'arrive plus à ouvrir mon gestionnaire des tâches, j'ai tout essayé mais rien ne marche(j'ai changé la valeur dans le registre etc..)


Lorsque j'utilise Spybot il me trouve 2 malware:



Fraud.DefenseCenter: [SBI $8B9C68F8] Réglages (Modification du Registre, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

Fraud.DefenseCenter: [SBI $8B9C68F8] Réglages (Modification du Registre, nothing done)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr


Je fais "corriger les problèmes", il me répond que tout à été corrigé mais je ne peux toujours pas ouvrir mon gestionnaire. Si je relance le scan il ne trouve plus rien. Par contre si j'éteins mon ordi puis le rallume et lance le scan il retrouve exactement la même chose ...

Je ne sais plus quoi faire...je désespère...

J'espère que vous pourrez m'aider.
Merci d'avance

Configuration: Windows 7 / Firefox 4.0.1

juju666 · Accepted Answer

j'ai déjà une idée xD

&#9654 Télécharge sur le bureau RogueKiller  (par tigzy)   

&#9654 &#9654 Sous Windows XP, double clic gauche   

&#9654 &#9654  Sous Vista/Seven, clique droit, lancer en tant qu''administrateur   

&#9654 Quitte tous tes programmes en cours   
&#9654 Lance RogueKiller.exe.   
&#9654 Un scan se lance, puis tu verra d''indiqué dans la fenêtre  
&#9654 &#9654 1. Scan (écrit en vert) 
&#9654 &#9654 2. Delete (écrit en rouge)  
&#9654 &#9654 3. Hosts RAZ (écrit en rouge)  
&#9654 &#9654 4. Proxy RAZ (écrit en rouge) 
&#9654 &#9654 5. DNS RAZ (écrit en rouge) 
&#9654 &#9654 6. Raccourcis RAZ (écrit en rouge) 
&#9654  A ce moment tape 1 et valide   
Note: s''il te demande de supprimer le proxy, tape 4   
&#9654 Un rapport (RKreport1.txt) a du se créer à côté de l''exécutable, colle son contenu dans la réponse 
&#9654 Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe

juju666 · Answer

hello

supprime spybot 

télécharge et lance ça: http://www.teamxscript.org/usbfixTelechargement.html

option recherche

poste le rapport

Utilisateur anonyme · Answer

Voilà le rapport: 

############################## | UsbFix 7.045 | [Recherche] 

Utilisateur: ***** (Administrateur) # **** [Dell Inc. Studio 1558] 
Mis à jour le 15/05/2011 par TeamXscript 
Lancé à 17:31:34 | 18/05/2011 
Site Web: http://www.teamxscript.org 
Submit your sample: http://www.teamxscript.org/Upload.php 
Contact: TeamXscript.ElDesaparecido@gmail.com 

CPU: Intel(R) Core(TM) i7 CPU Q 720 @ 1.60GHz 
CPU 2: Intel(R) Core(TM) i7 CPU Q 720 @ 1.60GHz 
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-Bit) #  
Internet Explorer 9.0.8112.16421 

Pare-feu Windows: Activé 
RAM -> 4029 Mo  
C:\ (%systemdrive%) -> Disque fixe # 451 Go (319 Go libre(s) - 71%) [OS] # NTFS 
D:\ -> CD-ROM 
F:\ -> CD-ROM 

################## | Éléments infectieux | 



################## | Registre | 

Présent! HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableTaskMgr 
Présent! HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableTaskMgr 

################## | Mountpoints2 | 


################## | Vaccin | 

(!) Cet ordinateur n'est pas vacciné! 

################## | E.O.F |

juju666 · Answer

Relance USBFix, clique sur Supprimer

poste le rapport

Utilisateur anonyme · Answer

############################## | UsbFix 7.045 | [Suppression] 

Utilisateur: **** (Administrateur) # ***** [Dell Inc. Studio 1558] 
Mis à jour le 15/05/2011 par TeamXscript 
Lancé à 18:41:57 | 18/05/2011 
Site Web: http://www.teamxscript.org 
Submit your sample: http://www.teamxscript.org/Upload.php 
Contact: TeamXscript.ElDesaparecido@gmail.com 

CPU: Intel(R) Core(TM) i7 CPU Q 720 @ 1.60GHz 
CPU 2: Intel(R) Core(TM) i7 CPU Q 720 @ 1.60GHz 
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-Bit) #  
Internet Explorer 9.0.8112.16421 

Pare-feu Windows: Activé 
RAM -> 4029 Mo  
C:\ (%systemdrive%) -> Disque fixe # 451 Go (319 Go libre(s) - 71%) [OS] # NTFS 
D:\ -> CD-ROM 
F:\ -> CD-ROM 

################## | Éléments infectieux | 


Supprimé! C:\$RECYCLE.BIN\S-1-5-20 
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1660289019-888825814-3042637616-1000 
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1660289019-888825814-3042637616-1003 
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1660289019-888825814-3042637616-1004 
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1660289019-888825814-3042637616-500 
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1660289019-888825814-3042637616-501 

################## | Registre | 

Supprimé! HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableTaskMgr 

################## | Mountpoints2 | 


################## | Listing | 

[18/05/2011 - 18:43:12 | SHD ]  C:\$Recycle.Bin 
[17/09/2010 - 15:35:11 | D ]  C:\ATI 
[14/04/2011 - 19:56:11 | D ]  C:\dell 
[02/07/2010 - 15:50:42 | N | 3547]  C:\dell.sdr 
[14/07/2009 - 07:08:56 | SHD ]  C:\Documents and Settings 
[02/07/2010 - 15:41:10 | D ]  C:\Drivers 
[07/11/2007 - 09:00:40 | N | 17734]  C:\eula.1028.txt 
[07/11/2007 - 09:00:40 | N | 17734]  C:\eula.1031.txt 
[07/11/2007 - 09:00:40 | N | 10134]  C:\eula.1033.txt 
[07/11/2007 - 09:00:40 | N | 17734]  C:\eula.1036.txt 
[07/11/2007 - 09:00:40 | N | 17734]  C:\eula.1040.txt 
[07/11/2007 - 09:00:40 | N | 118]  C:\eula.1041.txt 
[07/11/2007 - 09:00:40 | N | 17734]  C:\eula.1042.txt 
[07/11/2007 - 09:00:40 | N | 17734]  C:\eula.2052.txt 
[07/11/2007 - 09:00:40 | N | 17734]  C:\eula.3082.txt 
[07/11/2007 - 09:00:40 | N | 1110]  C:\globdata.ini 
[18/05/2011 - 13:22:37 | ASH | 3168165888]  C:\hiberfil.sys 
[24/12/2010 - 00:23:57 | D ]  C:\Hotspot Shield 
[07/11/2007 - 09:44:20 | N | 855040]  C:\install.exe 
[07/11/2007 - 09:00:40 | N | 843]  C:\install.ini 
[07/11/2007 - 09:44:20 | N | 75280]  C:\install.res.1028.dll 
[07/11/2007 - 09:44:20 | N | 95248]  C:\install.res.1031.dll 
[07/11/2007 - 09:44:20 | N | 90128]  C:\install.res.1033.dll 
[07/11/2007 - 09:44:20 | N | 96272]  C:\install.res.1036.dll 
[07/11/2007 - 09:44:20 | N | 94224]  C:\install.res.1040.dll 
[07/11/2007 - 09:44:20 | N | 80400]  C:\install.res.1041.dll 
[07/11/2007 - 09:44:20 | N | 78864]  C:\install.res.1042.dll 
[07/11/2007 - 09:44:20 | N | 74768]  C:\install.res.2052.dll 
[07/11/2007 - 09:44:20 | N | 95248]  C:\install.res.3082.dll 
[02/07/2010 - 13:15:59 | D ]  C:\Intel 
[02/12/2006 - 06:37:14 | N | 904704]  C:\msdia80.dll 
[02/07/2010 - 13:21:39 | RHD ]  C:\MSOCache 
[18/05/2011 - 13:22:39 | ASH | 4224225280]  C:\pagefile.sys 
[02/09/2010 - 20:30:15 | D ]  C:\PerfLogs 
[12/07/2010 - 23:45:50 | D ]  C:\PFiles 
[11/11/2010 - 00:47:10 | D ]  C:\Prey 
[25/04/2011 - 18:02:07 | D ]  C:\Program Files 
[10/05/2011 - 21:52:21 | D ]  C:\Program Files (x86) 
[16/05/2011 - 22:00:34 | HD ]  C:\ProgramData 
[08/07/2010 - 12:06:50 | SHD ]  C:\System Recovery 
[18/05/2011 - 07:21:31 | SHD ]  C:\System Volume Information 
[11/12/2010 - 16:16:16 | D ]  C:\Temp 
[18/05/2011 - 18:43:13 | D ]  C:\UsbFix 
[18/05/2011 - 18:42:01 | A | 3636]  C:\UsbFix.txt 
[13/03/2011 - 16:59:42 | D ]  C:\Users 
[07/11/2007 - 09:00:40 | N | 5686]  C:\vcredist.bmp 
[07/11/2007 - 09:50:40 | N | 1927956]  C:\VC_RED.cab 
[07/11/2007 - 09:53:12 | N | 242176]  C:\VC_RED.MSI 
[02/05/2011 - 07:11:37 | D ]  C:\Windows 

################## | Vaccin | 

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript) 

################## | Upload | 

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_*****.zip 
http://www.teamxscript.org/Upload.php 
Merci de votre contribution. 

################## | E.O.F |

Utilisateur anonyme · Answer

C'est bon sa remarche, merci beaucoup ;)

juju666 · Answer

Mais ce n'est pas fini !

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe

&#9654 Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur » 

&#9654 Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

Utilisateur anonyme · Answer

https://pjjoint.malekal.com/files.php?id=ca40a780e08157 
mdp dans le mp :)
Alors docteur ?

juju666 · Answer

Avertissement: Il y aura une courte extinction du bureau pendant que l''outil travaillera --> pas de panique. 

Télécharge Pre_scan (de gen-hackman)

&#9830 Enregistre le sur ton bureau  

&#9654 Exécute Pre_scan. Si l''outil détecte un proxy  et que tu n''en as pas installé  clique sur "supprimer le proxy"

&#9830 Colle le contenu du rapport "Pre_Scan.txt" qui apparaîtra; à terme, sur ton bureau et passe à la suite :

_______________________________________________________________

Les logiciels d''émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau
&#9654 Lance le
&#9654 Une fenêtre apparait : clique sur "Disable"
&#9654 Fais redémarrer l''ordinateur si l''outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 
_______________________________________________________________

&#9654 /!\ IMPORTANT /!\  
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/ 
_______________________________________________________________

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
&#9654 &#9654 Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC  

&#9654 En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  
&#9654 Une fois le scan achevé, un rapport va s''afficher : Poste son contenu  
&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\  

Notes: 
-> Le rapport se trouve également là : C:\ComboFix.txt   
-> tutoriel combofix

Utilisateur anonyme · Answer

ok alors je crois que j'ai tout fait ^^

Même mdp que l'autre

-Pre_scan: http://ww38.toofiles.com/fr/oip/documents/txt/xv35h2-m222rn-ha1cef.html
- ComboFix: http://ww38.toofiles.com/fr/oip/documents/txt/j98vpr-9bddn8-obfkg7.html

juju666 · Answer

fais un clic droit sur c:\windows\SysWow64\TempWmicBatchFile.bat      et choisi Modifier

Colle le contenu ici

=================================================

&#9654  Télécharge de AD-Remover sur ton Bureau. (TeamXScript) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l''icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Scanner » 
&#9654 Confirme lancement du scan 
&#9654 Laisse travailler l''outil. 
&#9654 Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-Report-SCAN[1].txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Utilisateur anonyme · Answer

contenu du fichier: ComputerSystem Get Username



Ad-Remover: http://ww38.toofiles.com/fr/oip/documents/txt/k6yx4d-s1wdzg-qfyybf.html

juju666 · Answer

&#9654 Relance AD-Remover, clique sur Nettoyer
&#9654 Laisse le pc redémarrer.
&#9654 Une fois revenu sur le bureau, le rapport devrait s''ouvrir : poste son contenu. 
&#9654 S''il ne s''ouvre pas; il se trouve là : C:\AD-Report[CLEAN]1.txt

Utilisateur anonyme · Answer

http://ww38.toofiles.com/fr/oip/documents/txt/dahca6-ofrb1w-dfvdut.html

juju666 · Answer

refais zhpdiag stp

Utilisateur anonyme · Answer

http://ww38.toofiles.com/fr/oip/documents/ZHPDiag1/5p5h93-mbrls6-tns9fh.html

juju666 · Answer

fail, dead link :p

Utilisateur anonyme · Answer

oui j'ai vu , j'était entrain de remettre^^

https://pjjoint.malekal.com/files.php?id=72e9e492b08913

juju666 · Answer

&#9654 Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

&#9654 Double-clique sur OTM.exe pour le lancer.

&#9654 Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
   
 
:Reg
[-HKLM\Software\Classes\AppID\SoftwareUpdate.exe]
:Files
C:\Users\Florian\Appdata\Local\Temp\log
:commands
[emptytemp]


&#9654 Clique sur MoveIt! puis ferme OTM.

&#9654 Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

&#9654 Accepte en cliquant sur YES.

&#9654 Poste le rapport situé dans C:\_OTM\MovedFiles.

&#9654 Le nom du rapport correspond au moment de sa création : date_heure.log

=============


&#9654 Télécharge Malwarebytes'' Anti-Malware  et enregistre le sur ton bureau.  

&#9654 &#9654 Miroir 1 si inaccessible  

&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes'' Anti-Malware, « exécuter en tant qu''Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d''installation.  
&#9654 Dans l''onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l''autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l''onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l''analyse, un message s''affiche : L''examen s''est terminé normalement. Cliquez sur ''Afficher les résultats'' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d''analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l''onglet rapport/log  
&#9654 Tu clique dessus pour l''afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d''aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

&#9654 &#9654 Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

Utilisateur anonyme · Answer

Rapport OTM en attendant la fin du scant de malware :)

All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Classes\AppID\SoftwareUpdate.exe\ deleted successfully.
========== FILES ==========
C:\Users\****\Appdata\Local\Temp\Log folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User:****
->Temp folder emptied: 57574 bytes
->Temporary Internet Files folder emptied: 14920940 bytes
->Java cache emptied: 4152496 bytes
->FireFox cache emptied: 82282427 bytes
->Google Chrome cache emptied: 445803299 bytes
->Opera cache emptied: 565646 bytes
->Flash cache emptied: 10210 bytes
 
User: Invité
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 14173988 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 93520263 bytes
->Flash cache emptied: 1003 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: *****
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 6635452 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 156553913 bytes
->Flash cache emptied: 1986 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1461 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 303631 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 781,00 mb
 
 
OTM by OldTimer - Version 3.1.17.2 log created on 05182011_231004

Files moved on Reboot...
File C:\Users\*****\AppData\Local\Temp\etilqs_McKjNWgYX2FW8bNYUPdd not found!
File C:\Users\*****\AppData\Local\Temp\etilqs_zSrGksfJFRtnaiEvvax5 not found!
C:\Users\*****\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\SB0FFFBDA.tmp scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Utilisateur anonyme · Answer

Rapport mbam:
http://ww38.toofiles.com/fr/oip/documents/txt/0cecfr-glfdz7-p42o8j.html

gen-hackman · Answer

salut kxenox

vu que tu mets tous tes rapports sous mots de passe , moi qui suis le concepteur de Pre_Scan , comment je fais pour voir le travail de l'outil ? et permettree à celui-ci d'evoluer ?
comment font les gens qui ont le meme probleme pour resoudre le leur

c'est un peu egoïste cette reaction de ta part

Utilisateur anonyme · Answer

C'est pour éviter que des infos sur ma machine filtre trop ^^ parrano X)

Je t'ai transmit le mdp ;)

gen-hackman · Answer

ben le voila sans mot de passe

http://www.cijoint.fr/cjlink.php?file=cj201105/cij1x017Q2.txt

Utilisateur anonyme · Answer

ok ;)

juju666 · Answer

Hello,

Dans le rapport MBAM: 

c:\program files (x86)\microsoft games\age of empires ii\EBUEULAx.DLL (Trojan.FakeMS) -> Quarantined and deleted successfully.

C'est quoi ça ?

Utilisateur anonyme · Answer

Ben je dirais que c'est un malware d'un vieux jeu installé sur mon pc :/

juju666 · Answer

mouais ^^

refais un zhpdiag comme expliqué ici

Utilisateur anonyme · Answer

https://pjjoint.malekal.com/files.php?id=13a9c8bc3a71415

juju666 · Answer

Commence par supprimer Spybot S&D stp.
Il ne sert plus à rien et est même gênant.

======================================

&#9654 Télécharger SystemLook à partir d''un des liens ci dessous sur ton Bureau. 
Download Mirror 
Download Mirror #2 

&#9654 Double-click SystemLook.exe pour le lançer. 
&#9654 Clic droit|copier le texte dans la balise code ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook: 

 
:dir 
C:\Users\Florian\Appdata\Local\Temp\log /S /MD5  

&#9654 Click le bouton Look pour commencer le scan. 
&#9654 Copie-colle dans ta prochaine réponse le rapport contenu du fichier texte qui s''affiche 

&#9654 Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.tx

Utilisateur anonyme · Answer

Spybot désinstallé :)

rapport  du lookeur^^:
 
SystemLook 04.09.10 by jpshortstuff
Log created at 21:39 on 19/05/2011 by Florian
Administrator - Elevation successful
WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results.

========== dir ==========

C:\Users\Florian\Appdata\Local\Temp\log - Parameters: "/S /MD5"

---Files---
None found.

No folders found.

-= EOF =-

juju666 · Answer

mouais apparemment ça serait un fichier sans extension ^^ me faudrait plus d'infos quand même !!
prends cette version de systemlook : http://jpshortstuff.247fixes.com/SystemLook_x64.exe

&#9654 Double-click SystemLook.exe pour le lançer. 
&#9654 Clic droit|copier le texte dans la balise code ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook: 

 
:file
C:\Users\Florian\Appdata\Local\Temp\log  

&#9654 Click le bouton Look pour commencer le scan. 
&#9654 Copie-colle dans ta prochaine réponse le rapport contenu du fichier texte qui s''affiche 

&#9654 Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.tx

Utilisateur anonyme · Answer

SystemLook 04.09.10 by jpshortstuff
Log created at 21:51 on 19/05/2011 by Florian
Administrator - Elevation successful

========== file ==========

C:\Users\Florian\Appdata\Local\Temp\log  - Unable to find/read file.

-= EOF =-

juju666 · Answer

vraiment bizarre....

bref

=========================

&#9654 Rentre dans ton panneau de configuration....       
&#9654 Apparence et personnalisation...       
&#9654 Option des dossiers...(double cliquer dessus)       
&#9654 Dans l''onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option    
&#9654 Encore plus bas : Masquer les fichiers protégés du système d''exploitation (recommandé) : à décocher.    

&#9654 &#9654 ensuite rends toi sur ce lien:    
https://www.virustotal.com/gui/    

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr   


&#9654 Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"    
recherche les entrées suivante dans ton disque :    


C:\Prey\platform\windows\cronsvc.exe    


&#9654 Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant    

&#9654 Copie et colle le lien de ta barre d''adresse ici, après que l''analyse soit terminée

Utilisateur anonyme · Answer

http://www.virustotal.com/file-scan/report.html?id=204ee1f83cd91995f5b276e0d8f377bcdbd6ad3da822f39b3a671ca74ab5ebb8-1305835781

juju666 · Answer

ok :)

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


M2 - MFEP: prefs.js [Florian - qnkbcmaa.default\{6cba65db-3377-4af1-b6d8-2d57106ad569}] [] InnoGames France Community Toolbar v3.3.5.1 (.Conduit Ltd..) 
O42 - Logiciel: InnoGames France Toolbar - (.InnoGames France.) [HKLM][64Bits] -- InnoGames_France Toolbar    
C:\Users\Florian\Appdata\Local\Temp\log
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe    
O4 - HKUS\S-1-5-21-1660289019-888825814-3042637616-1000\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe   
O4 - Global Startup: C:\Users\Florian\Desktop\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.)  -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe    
O4 - Global Startup: C:\Users\Florian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.)  -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe    
O23 - Service:  (SBSDWSCService) . (.Safer Networking Ltd. - Spybot-S&D Security Center integration.) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM][64Bits] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1    
O43 - CFD: 30/04/2011 - 19:38:14 - [152837] ----D- C:\ProgramData\Spybot - Search & Destroy    
O43 - CFD: 11/03/2011 - 15:41:34 - [71942027] ----D- C:\Program Files (x86)\Spybot - Search & Destroy    
SR - | Auto 26/01/2009 1153368 |  (SBSDWSCService) . (.Safer Networking Ltd..) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe    
R3 - URLSearchHook: InnoGames France Toolbar [64Bits] - {6cba65db-3377-4af1-b6d8-2d57106ad569} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files (x86)\InnoGames_France\prxtbInn0.dll
O2 - BHO: InnoGames France [64Bits] - {6cba65db-3377-4af1-b6d8-2d57106ad569} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\InnoGames_France\prxtbInn0.dll
O23 - Service:  (HssSrv) . (.AnchorFree Inc. - Pas de description.) - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
[HKCU\Software\HotspotShield]   
O58 - SDL:[MD5.A60C877E1CD3AA2E4E5CCD8AF305C0F1] - 22/09/2010 - 20:19:02 ---A- . (.AnchorFree Inc. - Hotspot Shield Routing Driver.) -- C:\Windows\system32\drivers\HssDrv.sys   [56832]
[HKLM\SYSTEM\CurrentControlSet\Services\HssSrv]  
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv]  
[HKCU\Software\HotspotShield]   
[HKLM\Software\HotspotShield]     
[HKLM\Software\Wow6432Node\HotspotShield]     
SR - | Auto 05/01/2011 352304 |  (HssSrv) . (.AnchorFree Inc..) - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
EMPTYTEMP
EMPTYFLASH
FIREWALLRAZ
 

&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

Utilisateur anonyme · Answer

hmmm
"violation d'accès à l'adresse 00427C96 dans le module 'ZHPFix.exe'.Lecture de l'adresse 00000014"
C'est pas bon signe ce message :s

Utilisateur anonyme · Answer

après un autre essai et un autre message d'erreur j'ai réussis à t'avoir le rapport :p


Rapport de ZHPFix 1.12.3283 par Nicolas Coolman, Update du 14/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-19-05-2011-22-54-58.txt
Run by Florian at 19/05/2011 22:54:58
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
O42 - Logiciel: InnoGames France Toolbar - (.InnoGames France.) [HKLM][64Bits] -- InnoGames_France Toolbar  => Logiciel absent
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM][64Bits] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1  => Logiciel absent

========== Clé(s) du Registre ==========
O23 - Service:  (SBSDWSCService) . (.Safer Networking Ltd. - Spybot-S&D Security Center integration.) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe  => Clé absente
O2 - BHO: InnoGames France - {6cba65db-3377-4af1-b6d8-2d57106ad569} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\InnoGames_France\prxtbInn0.dll  => Clé absente
O23 - Service:  (HssSrv) . (.AnchorFree Inc. - Pas de description.) - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe  => Clé supprimée avec succès
HKCU\Software\HotspotShield  => Clé supprimée avec succès
HKLM\SYSTEM\CurrentControlSet\Services\HssSrv  => Clé absente
HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv  => Clé supprimée avec succès
HKLM\Software\HotspotShield  => Clé absente
HKLM\Software\Wow6432Node\HotspotShield  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe  => Valeur absente
O4 - HKUS\S-1-5-21-1660289019-888825814-3042637616-1000\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe  => Valeur absente
R3 - URLSearchHook: InnoGames France Toolbar - {6cba65db-3377-4af1-b6d8-2d57106ad569} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files (x86)\InnoGames_France\prxtbInn0.dll  => Valeur absente
FirewallRaz : Aucune valeur présente dans la clé de registre "Standard Profile"
FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"
FirewallRaz (Domain) : FPS-SpoolSvc-In-TCP-NoScope  => Valeur supprimée avec succès
FirewallRaz (Public) : FPS-SpoolSvc-In-TCP  => Valeur supprimée avec succès
FirewallRaz (Domain) : CoreNet-GP-LSASS-Out-TCP  => Valeur supprimée avec succès
FirewallRaz (Domain) : RemoteSvcAdmin-In-TCP-NoScope  => Valeur supprimée avec succès
FirewallRaz (Public) : RemoteSvcAdmin-In-TCP  => Valeur supprimée avec succès
FirewallRaz (None) : {818F7FDB-95F8-4DB2-BCE2-076A83805FAC}  => Valeur supprimée avec succès
FirewallRaz (Private) : {1B541E95-0B05-4B7D-A818-53487D6B8CE0}  => Valeur supprimée avec succès
FirewallRaz (None) : {DBF8E6E6-3E63-47B0-B635-A8AB693BDC60}  => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\ProgramData\Spybot - Search & Destroy  => Dossier absent
C:\Program Files (x86)\Spybot - Search & Destroy  => Fichier supprimé au reboot
Dossiers temporaires Windows supprimés: 18
Dossiers Flash Cookies supprimés : 11

========== Fichier(s) ==========
c:\users\florian\appdata\local	emp\log  => Fichier absent
c:\program files (x86)\spybot - search & destroy	eatimer.exe  => Fichier absent
c:\users\florian\desktop\spybot - search & destroy.lnk  => Fichier absent
c:\users\florian\appdataoaming\microsoft\internet explorer\quick launch\spybot - search & destroy.lnk  => Fichier absent
c:\windows\system32\drivers\hssdrv.sys  => Supprimé et mis en quarantaine
Fichiers temporaires Windows supprimés : 15
Fichiers Flash Cookies supprimés : 10


========== Récapitulatif ==========
8 : Clé(s) du Registre
13 : Valeur(s) du Registre
4 : Dossier(s)
7 : Fichier(s)
2 : Logiciel(s)


End of the scan

juju666 · Answer

tu as oublié ça :

? Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

Utilisateur anonyme · Answer

j'ai posté avant de le faire mais là les pbs ont commencé:

1)il s'éteitn normalement
2)il se rallume lentement
3)Plus rien ne fonctionne (son,internet...il me disais qu'il manquais tous les pilotes) ,  alors direct j'ai lancé un backup qui datais d'aujourd'hui à 13h43
4)a la fin du back up on me dit que le backup à échoué et la je retrouve tous mon système opérationnel :/
Qu'est ce qui se passe ? :s

juju666 · Answer

bizarre ....

en mode sans échec, problème présent? 
sors du mode sans échec et reviens en normal, toujours le soucis?

======

si oui :

ouvre ZHPFix
Clique sur la poubelle rouge pleine "Restaurer la quarantaine"
Poste le rapport

Utilisateur anonyme · Answer

C:\Program Files (x86)\ZHPDiag\Quarantine\{6cba65db-3377-4af1-b6d8-2d57106ad569}.DIR,C:\Documents and Settings\Florian\Application Data\Mozilla\Firefox\Profiles\qnkbcmaa.default\extensions\{6cba65db-3377-4af1-b6d8-2d57106ad569}
C:\Program Files (x86)\ZHPDiag\Quarantine\log.DIR,c:\users\florian\appdata\local	emp\log
C:\Program Files (x86)\ZHPDiag\Quarantine\sdwinsec.exe.VIR,c:\program files (x86)\spybot - search & destroy\sdwinsec.exe
C:\Program Files (x86)\ZHPDiag\Quarantine\Spybot - Search & Destroy.DIR,C:\ProgramData\Spybot - Search & Destroy
C:\Program Files (x86)\ZHPDiag\Quarantine\Spybot - Search & Destroy.DIR,C:\Program Files (x86)\Spybot - Search & Destroy
C:\Program Files (x86)\ZHPDiag\Quarantine\Spybot - Search & Destroy.DIR,C:\Program Files (x86)\Spybot - Search & Destroy
C:\Program Files (x86)\ZHPDiag\Quarantine\Spybot - Search & Destroy.DIR,C:\Program Files (x86)\Spybot - Search & Destroy
C:\Program Files (x86)\ZHPDiag\Quarantine\prxtbinn0.dll.VIR,c:\program files (x86)\innogames_france\prxtbinn0.dll
C:\Program Files (x86)\ZHPDiag\Quarantine\hsssrv.exe.VIR,c:\program files (x86)\hotspot shield\hsswpr\hsssrv.exe
C:\Program Files (x86)\ZHPDiag\Quarantine\hssdrv.sys.VIR,c:\windows\system32\drivers\hssdrv.sys

juju666 · Answer

redémarre le pc

toujours malade?

Utilisateur anonyme · Answer

nan , il va mieux :p

Utilisateur anonyme · Answer

pas contre je peux plus ouvrir le gestionnaire de taches à nouveau :/

juju666 · Answer

refais un zhpdiag stp

Utilisateur anonyme · Answer

sa fait un bon moment qu'il est bloqué à 44%

juju666 · Answer

rapport incomplet....

Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

Utilisateur anonyme · Answer

Désolé ... 
https://pjjoint.malekal.com/files.php?id=803d7b074a5129

juju666 · Answer

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


R3 - URLSearchHook: InnoGames France Toolbar [64Bits] - {6cba65db-3377-4af1-b6d8-2d57106ad569} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files (x86)\InnoGames_France\prxtbInn0.dll
O2 - BHO: InnoGames France [64Bits] - {6cba65db-3377-4af1-b6d8-2d57106ad569} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\InnoGames_France\prxtbInn0.dll
O23 - Service:  (HssSrv) . (.AnchorFree Inc. - Pas de description.) - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
[HKCU\Software\HotspotShield]    => AnchorFree
O58 - SDL:[MD5.A60C877E1CD3AA2E4E5CCD8AF305C0F1] - 22/09/2010 - 20:19:02 ---A- . (.AnchorFree Inc. - Hotspot Shield Routing Driver.) -- C:\Windows\system32\drivers\HssDrv.sys   [56832]
[HKLM\SYSTEM\CurrentControlSet\Services\HssSrv]    => Toolbar.Agent
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv]    => Toolbar.Agent
[HKCU\Software\HotspotShield]    => AnchorFree
[HKLM\Software\HotspotShield]    => AnchorFree
[HKLM\Software\Wow6432Node\HotspotShield]    => AnchorFree
SR - | Auto 05/01/2011 352304 |  (HssSrv) . (.AnchorFree Inc..) - C:\Program Files (x86)\Hotspot Shield\HssWPR\hsssrv.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe    => Safer Net Working®Spybot S&D
O4 - HKUS\S-1-5-21-1660289019-888825814-3042637616-1000\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe    => Safer Net Working®Spybot S&D
O4 - Global Startup: C:\Users\Florian\Desktop\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.)  -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe    => Safer Net Working®Spybot S&D
O4 - Global Startup: C:\Users\Florian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.)  -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe    => Safer Net Working®Spybot S&D
O23 - Service:  (SBSDWSCService) . (.Safer Networking Ltd. - Spybot-S&D Security Center integration.) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe    => Spybot®Search & Destroy
[MD5.00000000000000000000000000000000] [APT] [PCDoctorBackgroundMonitorTask] (.Pas de propriétaire.) -- C:\Program Files\Dell Support Center\uaclauncher.exerunsilently (.not file.)    => Fichier absent
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM][64Bits] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1    => Safer Networking Limited Spybot - S&D
O43 - CFD: 19/05/2011 - 23:17:34 - [68750] ----D- C:\ProgramData\Spybot - Search & Destroy    => Spybot - Search & Destroy
O43 - CFD: 19/05/2011 - 23:14:08 - [38798594] ----D- C:\Program Files (x86)\Spybot - Search & Destroy    => Spybot - Search & Destroy
SR - | Auto 26/01/2009 1153368 |  (SBSDWSCService) . (.Safer Networking Ltd..) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe    => Spybot®Search & Destroy



&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

Utilisateur anonyme · Answer

même pb que la dernière fois :/

juju666 · Answer

c est à dire?????
BSOD et ordi instable???????

c'pas normal !

fais comme hier, clique la poubelle rouge pleine dans zhpfix, redémarre le pc.

désinstalle spybot manuellement

Utilisateur anonyme · Answer

Message file "C:\Program files (x86)\Spybot & Destroy\unins000.msg" is missing.Please correct the problem or obtain a new copy of the program

juju666 · Answer

pfffffffffffffffffffffff ton ordi veut rien savoir ^^

Utilisateur anonyme · Answer

bon j'ai refait usbfix, j'ai pu récupérer mon gestionnaire c'est tout se que je voulais, le reste c'est pas grave mdr^^

juju666 · Answer

Hello :)

Oui mais c'est pas normal que ton ordi réagissait de la sorte !!!

As-tu désinstallé Spybot? il ne sert plus à rien, il est obsolète.

Désinstalle Hotspot Shield également --> inutile.

Tiens moi au courant stp

Utilisateur anonyme · Answer

C'est bon, tout désinstallé :)

juju666 · Answer

j ai oublié ça :
désinstalle InnoGames France Toolbar

Utilisateur anonyme · Answer

veut pas se désinstaller -_-'

juju666 · Answer

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


C:\Program Files (x86)\InnoGames_France
R3 - URLSearchHook: InnoGames France Toolbar [64Bits] - {6cba65db-3377-4af1-b6d8-2d57106ad569} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files (x86)\InnoGames_France\prxtbInn0.dll
O2 - BHO: InnoGames France [64Bits] - {6cba65db-3377-4af1-b6d8-2d57106ad569} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\InnoGames_France\prxtbInn0.dll


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

Utilisateur anonyme · Answer

-zhpfix: https://pjjoint.malekal.com/files.php?id=930b87e1b38149
-zhpdiag: https://pjjoint.malekal.com/files.php?id=89cc495bd97125

juju666 · Answer

télécharge ça : http://www.general-changelog-team.fr/...

lance le

dans RegForceDelKey  tape :

[HKLM\Software\Classes\AppID\SoftwareUpdate.exe] 

et clique sur Supprimer

recommence avec ça :
[HKLM\Software\Wow6432Node\Classes\AppID\SoftwareUpdate.exe]

Utilisateur anonyme · Answer

ok je vais le faire, mais je viens de remarquer que j'avais reperdu mon gestionnaire des taches -_-"
on dirait que quand je redémarre il se désactive :/

juju666 · Answer

grrrrrrrrr

déjà supprime spybot

envoie ce fichier sur virustotal : C:\Windows\SB0FFFBDA(22).tmp

Utilisateur anonyme · Answer

le premier sa m'a mit "succès"
le deuxième sa m'a mit "erreur! nom de clé invalide ou inexistante"

Utilisateur anonyme · Answer

je trouve pas le fichier C:\Windows\SB0FFFBDA(22).tmp

juju666 · Answer

&#9654 Rentre dans ton panneau de configuration....       
&#9654 Apparence et personnalisation...       
&#9654 Option des dossiers...(double cliquer dessus)       
&#9654 Dans l''onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option    
&#9654 Encore plus bas : Masquer les fichiers protégés du système d''exploitation (recommandé) : à décocher.

Utilisateur anonyme · Answer

maitenant je le vois, je l'envoi , mais virustotal veut pas le scan... il fait comme si je l'avais pas envoyé :/

J'en ai marre !! :'(

juju666 · Answer

c est parce qu'il est vide donc pas de soucis ^^

lance mbam, fais sa mise à jour (onglet mise à jour) et fais un scan rapide

Utilisateur anonyme · Answer

rien :)

juju666 · Answer

et le taskmanager est toujorus désactivé?

repasse usbfix en recherche ?

Utilisateur anonyme · Answer

############################## | UsbFix 7.045 | [Recherche]

Utilisateur: Florian (Administrateur) # FLORIAN-PC [Dell Inc. Studio 1558]
Mis à jour le 15/05/2011 par TeamXscript
Lancé à 00:31:32 | 23/05/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Core(TM) i7 CPU Q 720 @ 1.60GHz
CPU 2: Intel(R) Core(TM) i7 CPU Q 720 @ 1.60GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) # Service Pack 1
Internet Explorer 9.0.8112.16421

Pare-feu Windows: Activé
RAM -> 4029 Mo 
C:\ (%systemdrive%) -> Disque fixe # 451 Go (312 Go libre(s) - 69%) [OS] # NTFS
D:\ -> CD-ROM
F:\ -> CD-ROM

################## | Éléments infectieux |



################## | Registre |

Présent! HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableTaskMgr
Présent! HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableTaskMgr

################## | Mountpoints2 |


################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | E.O.F |

juju666 · Answer

en effet ^^

relance en suppression...

Utilisateur anonyme · Answer

jlai déjà fait la dernière fois, sava remarcher et après sava plus marcher après redémarrage ^^

Utilisateur anonyme · Answer

https://pjjoint.malekal.com/files.php?id=567efa4fd31157

juju666 · Answer

&#9654 Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu''administrateur)

&#9654 Lance OTL
&#9654 Sous Personnalisation, copie-colle ce qu''il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c 
&#9654 Clique sur le bouton Analyse.
&#9654 Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

Utilisateur anonyme · Answer

https://pjjoint.malekal.com/files.php?id=48237835d210911

Utilisateur anonyme · Answer

https://pjjoint.malekal.com/files.php?id=5e5c28ce4a6127

Voilà chef ^^

juju666 · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


&#9654 Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :



:OTL

FF - prefs.js..browser.search.defaultthis.engineName: "InnoGames France Customized Web Search"   
:Reg

:Files
C:\ProgramData\.zreglib    
C:\Users\Florian\AppData\Roaming\Microsoft\Installer\{E2E164AB-1367-488F-8F1F-BA312DB2FF18}\NewShortcut1_E2E164AB1367488F8F1FBA312DB2FF18.exe    
C:\Users\Florian\AppData\Roaming\Microsoft\Installer\{E2E164AB-1367-488F-8F1F-BA312DB2FF18}\New_Shortcut_S3177_E2E164AB1367488F8F1FBA312DB2FF18.exe    
C:\ProgramData\ezsidmv.dat    


:commands
[emptytemp]
[start explorer]
[reboot] 



&#9654 Clique sur « Correction » et laisse l''outil travailler. L''ordinateur redémarre.

&#9654 Copie/colle la totalité du rapport dans ta prochaine réponse.


=======================================================

&#9654 Rentre dans ton panneau de configuration....       
&#9654 Apparence et personnalisation...       
&#9654 Option des dossiers...(double cliquer dessus)       
&#9654 Dans l''onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option    
&#9654 Encore plus bas : Masquer les fichiers protégés du système d''exploitation (recommandé) : à décocher.    

&#9654 &#9654 ensuite rends toi sur ce lien:    
https://www.virustotal.com/gui/    

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr   


&#9654 Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"    
recherche les entrées suivante dans ton disque :    


C:\Windows\SysWow64\iyvu9_32.dll    


&#9654 Clique sur Envoyer

&#9654 Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant    

&#9654 Copie et colle le lien de ta barre d''adresse ici, après que l''analyse soit terminée

Utilisateur anonyme · Answer

OTL: https://pjjoint.malekal.com/files.php?id=aa88e7db81121115

J'attaque l'autre =)

Utilisateur anonyme · Answer

virustotal: http://www.virustotal.com/file-scan/report.html?id=77d488ccca34f667c5eef0fe9f6685f3e34cf2cbb4443d8cf251bec5bdb5d527-1306166866

juju666 · Answer

encore des soucis?

Utilisateur anonyme · Answer

ben... mon gestio s'ouvre tjrs pas :/

juju666 · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

&#9654 &#9654 Désactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "exécuter en tant qu''administrateur"

&#9654 clique sur l''onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la présence d''un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans démarrer ,puis ouvres le bloc note,vas dans édition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

&#9654 &#9654 Ensuite

&#9654 sur les lignes rouge:

&#9654 Services:cliques droit delete service
&#9654 Process:cliques droit kill process
&#9654 Adl ,file:cliques droit delete files

Utilisateur anonyme · Answer

aucune ligne rouge :/

juju666 · Answer

gestionnaire des taches ?

Utilisateur anonyme · Answer

inactif

Utilisateur anonyme · Answer

GMER: https://pjjoint.malekal.com/files.php?id=28511aa59010135

juju666 · Answer

mouais...............

je me renseigne.

Utilisateur anonyme · Answer

T'es rapide :p RogueKiller V5.1.6 [21/05/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: Florian [Droits d'admin] Mode: Recherche -- Date : 23/05/2011 19:19:36 Processus malicieux: 0 Entrees de registre: 0 Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt

juju666 · Answer

Hello 

Désolé, tu étais tombé aux oubliettes de mes interventions !!

Comment se porte le pc.... ?

Utilisateur anonyme · Answer

bah, il a pas bouger lol^^

juju666 · Answer

mdr je te parle de ton gestionnaire des taches :p (mr propre .... ok ok vanne pourrie detected xD)

Utilisateur anonyme · Answer

il s'ouvre tjrs pas :/

juju666 · Answer

je crois qu'on a fait le tour des outils et des solutions envisageables (j'ai bien dit, je crois)

Utilisateur anonyme · Answer

oki bah c'est pas grave, merci pour ton aide ;)

gen-hackman · Answer

salut supprime puis retelecharge pre_scan et refais un scan avec stp je voudrais verifier deux clés

http://dl.dropbox.com/u/21363431/Pre_scan.exe

Utilisateur anonyme · Answer

Alors j'ai supprimé puis téléchargé, je l'ai lancé mon bureau a disparu et au bout de 25min il n'est toujours pas réapparu. En rentrant cet aprem l'ordi était éteint, en l'allumant j'ai sa qui est apparu dans le bloc note:


[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

je fais quoi ?

gen-hackman · Answer

touche windows+R puis tape explorer
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

Utilisateur anonyme · Answer

même message que tout à l'heure dans le bloc note :s

gen-hackman · Answer

mmmmm.......

redemarre ton pc ?

Utilisateur anonyme · Answer

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787


Le message que j'ai eu après le redémarrage :)

gen-hackman · Answer

execute ca ?

http://dl.dropbox.com/u/21363431/Desk.ini_Search.exe

Utilisateur anonyme · Answer

c'est fait

gen-hackman · Answer

t'as pas une fentre qui s'est ouverte et qui t'indiquait un fichier desktop.ini ?

Utilisateur anonyme · Answer

maintenant à chaque redémarrage j'ai :" [.ShellClassInfo] 
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787 "
qui apparait

Quand je lance le programme, la dernière chose qu'il met c'est sa: https://imageshack.com/ et après il s'arrete

gen-hackman · Answer

supprime le fichier qu il t'indique dans maintenance le desktop.ini

Utilisateur anonyme · Answer

C'est fait :p

gen-hackman · Answer

redemarre ?

Utilisateur anonyme · Answer

Il apparaît toujours

gen-hackman · Answer

ben alors il y en a un autre ailleurs qui a le meme contenu

Utilisateur anonyme · Answer

Après avoir supprimé quelques trucs avec le même contenu, j'ai relancé pre_scan et cette foi il y avait sa: 
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

On avance au moins^^

gen-hackman · Answer

fais voir le rapport ?

Utilisateur anonyme · Answer

le rapport de ?
Pre_scan n'a toujours pas pu finir, il c'est bloqué à la fin , il arrivait pas à redistribuer "05232011-180542.log"

gen-hackman · Answer

non le rapport de pre_scan

Utilisateur anonyme · Answer

il a pas pu finir le travail, il est resté bloqué au dernier moment

gen-hackman · Answer

le rapport C:\Pre_scan.txt

Utilisateur anonyme · Answer

https://pjjoint.malekal.com/files.php?id=eeba93a5de1385

gen-hackman · Answer

ouaip quand t'arreteras de prendre les gens pour des benets peut etre qu'on pourra travailler  

tu es très mal tombé car je suis le concepteur de Pre_scan  

comment tu fais pour avoir une version que je n'ai pas encore sorti ?  

c/f code :  

FileWriteLine($txt, "¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan 1.0.1.47 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤")  
 FileWriteLine($txt, "")  
 FileWriteLine($txt, "¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤")  
 FileWriteLine($txt, "")  
 FileWriteLine($txt, "Mis à jour le 04/06/2011 | 17.35 par g3n-h@ckm@n")  

le gars il a fait le scan avant que la mise à jour sorte mouhahahaaha

je dormais cette nuit à 4.50 ^^ 
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

Utilisateur anonyme · Answer

????
Tu ma dit de trouver un rapport sur C, c'est le seul qui y étais, je sais pas ce qu'il y a dedans moi  j'y comprend rien :/

gen-hackman · Answer

la version Pre_Scan 1.0.1.6 n'existe pas j'en suis à la version 1.0.1.48

Utilisateur anonyme · Answer

ok mais moi j'ai rien fait, j'ai trouvé le rapport et l'ai posté, rien d'autre :s

gen-hackman · Answer

à titre info je viens de sortir là mise à jour Version 1.0.1.49

Utilisateur anonyme · Answer

j'ai lancé prescan avant d'aller me coucher,il était bloqué à " Réattribution Fichier | Dossiers
C:\Users\***\Desktop:
05232011-180542.log"

Du coup ,je suis allé me coucher et ce matin c'étais pareil, il en était au même endroit...j'ai du l'éteindre de force :/

gen-hackman · Answer

fournis le rapport ?

Utilisateur anonyme · Answer

je crois qu'il y a pas eu de rapport étant donné qu'il a pas pu finir :/

gen-hackman · Answer

dans C:\

Utilisateur anonyme · Answer

https://pjjoint.malekal.com/files.php?id=44dfd775f015713

gen-hackman · Answer

bon j'arrete là avec toi tu me prends trop pour une bille :

€€€€€€€€€€€€€€€ Pre_Scan 1.0.1.6 €€€€€€€€€€€€€€€

€€€€€ XP | Vista | Seven - 32/64 bits €€€€€

Mis à jour le 18/05/2011 | 04.50 par g3n-h@ckm@n

Utilisateur anonyme · Answer

et mais je te jure que je touche à rien
T'a qu'a regarder avec teamviewer, c'est le rapport que j'ai je peux rien y faire, quel intérêt j'aurais à mettre le numéro d'une version que t'a pas sortis sachant que c'est toi qui l'a crée ? :s

gen-hackman · Answer

derniere intervention de ma part voici carrement la photo du code du programme

http://www.cijoint.fr/cjlink.php?file=cj201106/cijpDSoqdk.png

Gestionnaire des tâches

131 réponses

Discussions similaires

Newsletters