Lillydolly pour gen-hackman

Question

Bonjour, 

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler 

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 


Configuration: windows 7/32 , Firefox 4 , Malwarebyte's résident , Comodo suite

Lillydolly · Answer

Déjà merci de m'avoir répondu si vite, ça a pris un peu de temps car j'ai dû m'y reprendre plusieurs fois pour qu'il accepte de lancer le scan. Voici le lien:

http://www.cijoint.fr/cjlink.php?file=cj201106/cijNdpZ9gO.txt

gen-hackman · Answer

je sais pas ce que t'as fait mais c est pas bon

Lillydolly · Answer

Argh... J'ai pourtant suivi les instructions :s 
Bon je recommence, mais n'empêche que ça a bloqué le rogue, car j'arrive de nouveau à aller sur le net avec le PC infecté.
Tu sais me dire où ça coince? Ou bien je recommence simplement l'opération?

gen-hackman · Answer

regarde si tu as pre_scan.txt dans C:\

Lillydolly · Answer

Je ne l'ai pas trouvé dans le lecteur C:\ à moins qu'il soit dans un sous-dossier. Il s'est mis sur mon bureau. Je t'envoie le lien de la 2° tentative:
http://www.cijoint.fr/cjlink.php?file=cj201106/cij9HneKtJ.txt

gen-hackman · Answer

tu n'as pas desactivé les agents de avast
tu n'as pas desactivé la sandbox de avast

Lillydolly · Answer

Euh... Alors là je pige pas parce que j'ai cliqué sur "désactiver les agents d'avast" et il y a la petite croix sur l'icône :s

Lillydolly · Answer

Je précise que je suis une noob totale dans le domaine ^^

gen-hackman · Answer

et la sandbox ?

Lillydolly · Answer

Euh... Je vais vraiment passer pour une nulle mais ... c'est quoi la sandbox?

gen-hackman · Answer

ici il faut que tu le mettes sur demarrer normalement et pas dans la sandbox

https://forum.pcastuces.com/avast_6__sandbox-f25s58997.htm

Lillydolly · Answer

Sauf qu'il ne m'affiche pas cette fenêtre quand je lance pre-scan :s

gen-hackman · Answer

faut le regler dans les parametres de avast

Lillydolly · Answer

J'ai beau chercher je ne trouve pas :( *désespère*

gen-hackman · Answer

Ouvrez Avast ---> Cliquez sur Protection suplémentaire ---> Autosandbox, Paramètre: Décochez "activer autosandbox" ---> OK et fermer.

Lillydolly · Answer

Sinon j'ai lancé RogueKiller, ça donne ça:

Rapport 1:

RogueKiller V5.2.0 [01/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: xxx [Droits d'admin]
Mode: Recherche -- Date : 02/06/2011 04:21:51

Processus malicieux: 0

Entrees de registre: 0

Fichier HOSTS:

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Rapport 2:

RogueKiller V5.2.0 [01/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: xxx [Droits d'admin]
Mode: Suppression -- Date : 02/06/2011 04:23:06

Processus malicieux: 0

Entrees de registre: 0

Fichier HOSTS:

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

gen-hackman · Answer

ca a servi à rien roguekiller ne supprime pas il tue juste les processus et leur clé

Lillydolly · Answer

Encore une précision, après avoir lancé Pre_Scan, l'icône du logiciel en cause de mes soucis (Security Protection, également Malware Protection) a changé de forme. A la base ça ressemblait au bouclier Windows, et maintenant ça ressemble à un rectangle blanc avec un bord bleu au-dessus (comme une fenêtre Windows avec rien d'écrit dedans) et les actions qu'il m'empêchait de faire (ouvrir mes programmes comme Mozilla ou Word) sont revenues à la normale.

gen-hackman · Answer

tu t'en sors avec la sandbox ?

Lillydolly · Answer

Ben je pense qu'on ne doit pas avoir la même version d'avast parce que même avec le chemin détaillé je ne trouve déjà pas "protection supplémentaire"... Je me sens très conne là :(

gen-hackman · Answer

lol tu sais redemarrer ton pc en mode sans echec ?

Lillydolly · Answer

Ahem en parlant de redémarrer le pc, j'ai voulu mettre avast à jour, et donc redem le pc pour activer les maj, et ben maintenant il m'affiche un "desktop Bloc-notes" qui me parle de Shell je sais pas tout quoi, et ensuite il bloque...
/deviens dingue

gen-hackman · Answer

on s'en chargera apres c est rien ca

Lillydolly · Answer

Le souci c'est que maintenant j'ai plus accès à rien sur ce pc-là, j'ai dû repasser sur le 2°. 
Je cherche le cd d'xp.

Lillydolly · Answer

Et pour le démarrage en mode sans échec il ne me le propose pas au démarrage du pc

gen-hackman · Answer

comment ca t'as plus acces à rien ?

Lillydolly · Answer

Non, que dalle... Je me disais aussi que c'était pas normal, ça faisait plus d'un an que j'avais pas eu de problème avec mes pc (ma moyenne c'est 6 mois avant un plantage quelconque ^^)

gen-hackman · Answer

c'est normal pourquoi tu dis pas que tu sais pas faire?

Comment aller en Mode sans échec :

&#9654 Redémarres ton ordi 
&#9654 Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
&#9654 Tu verras un écran avec options de démarrage apparaître 
&#9654 Choisis la 2è option : Sans Échec avec prise en charge reseau, et valide avec "Entrée" 

c'est un peu long à venir

Lillydolly · Answer

C'est parti, il m'a aussi demandé quel système d'exploitation je voulais utiliser (?)
Il a démarré, mais a changé totalement l'affichage et a viré plein d'icônes (mais bien sûr, Malware Protection est toujours là dans les icônes...)

Lillydolly · Answer

Euh... C'est normal que je n'aie plus aucun fichier dans "mes documents"?

Lillydolly · Answer

Dis je vais aller dormir, je ne tiens plus debout. Je continuerai ça à tête reposée. Merci énormément pour le temps que tu as pris à m'aider en tout cas. Est-ce qu'on peut continuer ça demain?

gen-hackman · Answer

oui sans soucis

surtout ne fais aucun nettoyage

tu risque ddee predre des trucs 

dors bien on fait ca demain :)

Lillydolly · Answer

Me revoilà.
Bon, petite précision: quand je le démarre en mode normal, j'arrive sur le bureau mais il coince avant d'avoir tout chargé et pas moyen d'accéder à quoi que ce soit.
En mode sans échec avec prise en charge réseau il veut bien s'allumer normalement, mais il change la résolution de l'écran en 800x600 et pas moyen de la changer (je veux dire j'ai beau cliquer sur appliquer puis ok, il reste en 800).

Lillydolly · Answer

Hum je viens de me renseigner et de piger que c'était normal qu'il reste en 800x600 maxi en mode sans échec ^^
Donc me voilà en mode sans échec, tout fonctionne... maintenant que dois-je faire pour éradiquer complètement cette saloperie?

gen-hackman · Answer

re

repasse pre_scan

Lillydolly · Answer

Je suis en train de faire un check complet avec AntiMalwareBytes, il a déjà trouvé 5 fichiers infectés, je te poste le rapport après? Ou bien je recommence avec Pre_Scan aussi?

gen-hackman · Answer

non poste le rapport de malwarebytes à la fin de son scan pour l'instant

Lillydolly · Answer

7 éléments infectés pour le moment, avec 150000 éléments analysés (20 minutes)

gen-hackman · Answer

ok :)

Lillydolly · Answer

Voilà le rapport:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6753

Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.18702

2/06/2011 19:55:11
mbam-log-2011-06-02 (19-54-57).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 306459
Temps écoulé: 36 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\xxx\application data\Adobe\plugs\mmc950912015.txt (Rootkit.TDSS) -> No action taken.
c:\documents and settings\xxx\application data\Sun\Java\deployment\cache\6.0\1\195c9f01-31d78d07 (Trojan.Downloader) -> No action taken.
c:\documents and settings\xxx\application data\Sun\Java\deployment\cache\6.0\50\29a13fb2-57ccc564 (Trojan.Agent) -> No action taken.
c:\documents and settings\xxx\application data\Sun\Java\deployment\cache\6.0\50\29a13fb2-77d8c536 (Trojan.Agent) -> No action taken.
c:\documents and settings\xxx\application data\Sun\Java\deployment\cache\6.0\8\45ab3e48-5d3a5f5c (Trojan.Agent) -> No action taken.
c:\program files\fast browser search\IE\searchguardplus.exe (PUP.Fbsearch) -> No action taken.
c:\program files\fast browser search\IE\update.exe (PUP.Fbsearch) -> No action taken.
c:\system volume information\_restore{d2fbc283-f705-47f6-b80c-378118c790d6}\RP90\A0027722.exe (PUP.Fbsearch) -> No action taken.
c:\documents and settings\xxx\application data\Adobe\shed	hr1.chm (Malware.Trace) -> No action taken.
c:\documents and settings\xxx\application data\Adobe\plugs\mmc177.exe (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\xxx\application data\Adobe\plugs\mmc183.exe (Trojan.Agent.Gen) -> No action taken.
c:\documents and settings\xxx\application data\Adobe\plugs\mmc91.exe (Trojan.Agent.Gen) -> No action taken.

gen-hackman · Answer

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Lillydolly · Answer

Et pour les éléments infectés que MBAM a trouvés, je fais quoi?

Lillydolly · Answer

Hum j'ai lancé le programme, mais il ne me donne pas de rapport (enfin si, mais ya rien de noté dedans...)

Lillydolly · Answer

-_-" j'ai pas lancé le bon... j'ai lancé fix au lieu de diag... je recommence

Lillydolly · Answer

Je n'arrive pas à héberger le rapport sur le site, quand je passe à l'étape 2 il me dit que l'adresse est introuvable :s

Lillydolly · Answer

Voilà enfin le rapport: 

http://www.cijoint.fr/cjlink.php?file=cj201106/cijfMwihGG.txt

gen-hackman · Answer

supprime pre_scan , retelecharge-le et relance-le

Lillydolly · Answer

Voici le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201106/cijuI07JG0.txt

gen-hackman · Answer

selectionne ce texte sans les lignes :
___________________________________________________
file::
C:\Documents and Settings\All Users\Application Data\PKP_DLdu.DAT
C:\Documents and Settings\All Users\Application Data\PKP_DLdw.DAT          
       
folder::
C:\Documents and Settings\xxx\Application Data\Adobe\plugs 
C:\Documents and Settings\xxx\Application Data\Adobe\shed 
C:\Documents and Settings\xxx\Application Data\Desktopicon 
C:\Documents and Settings\xxx\Application Data\OfferBox  
C:\Documents and Settings\xxx\Application Data\PriceGong    
C:\Documents and Settings\xxx\Local Settings\Application Data\AskToolbar   
C:\Documents and Settings\xxx\Local Settings\Application Data\Conduit                                                   
___________________________________________________

copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail

Lillydolly · Answer

Voilà:

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : xxx (Administrateurs)
Ordinateur : XXX-4C120E905B8

Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 8.0.6001.18702
Mozilla Firefox : 4.0.1 (fr)

Script : 23:30:05

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Supprimé : C:\Documents and Settings\All Users\Application Data\PKP_DLdu.DAT
Supprimé : C:\Documents and Settings\All Users\Application Data\PKP_DLdw.DAT

¤

Supprimé : C:\Documents and Settings\xxx\Application Data\Adobe\plugs
Supprimé : C:\Documents and Settings\xxx\Application Data\Adobe\shed
Supprimé : C:\Documents and Settings\xxx\Application Data\Desktopicon
Supprimé : C:\Documents and Settings\xxx\Application Data\OfferBox
Supprimé : C:\Documents and Settings\xxx\Application Data\PriceGong
Supprimé : C:\Documents and Settings\xxx\Local Settings\Application Data\AskToolbar
Supprimé : C:\Documents and Settings\xxx\Local Settings\Application Data\Conduit 

¤

explorer.exe -> Processus redémarré

Fin : 23:30:07

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

tous tes documents et raccourcis dans le menu demarrer sont presents ?

Lillydolly · Answer

Oui tout m'a l'air en ordre, personnellement je ne vois plus de problème

gen-hackman · Answer

y'en a encore


&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Lillydolly · Answer

Voilà le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201106/cijWUnyLnI.txt

gen-hackman · Answer

ok il a du te faire redemarrer l'ordi sinon fais-le puis reposte un zhpdiag

Lillydolly · Answer

ZHPDiag coince soit à 43%, soit à 61% :s

gen-hackman · Answer

decoche la 061

Lillydolly · Answer

Ah, là ça fonctionne. Le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201106/cijnK45bda.txt

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Program Files\Puntenboek\Puntenboek.exe
C:\Windows\system32\drivers\iastor.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

========================================

sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

M2 - MFEP: prefs.js [xxx - hkch1bfe.default\{872b5b88-9db5-4310-bdd0-ac189557e5f5}] [] DVDVideoSoftTB Community Toolbar v3.3.3.2 (.Conduit Ltd..)
R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 2, 0) -- C:\Program Files\DVDVideoSoftTB	bDVDV.dll
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1
O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\DVDVideoSoftTB	bDVDV.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\DVDVideoSoftTB	bDVDV.dll
OPT:O4 - HKLM\..\Run: [Cpqset] . (...) -- C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Real\RealPlayer\updateealsched.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - HKCU\..\Run: [MsnMsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\xxx\Mes documents\Dragon.Age.Origins.by.killer04.for.wawa-mania\CRACK+Keygen+Patch1.02a\DAO patch v1.02a.exe
C:\Documents and Settings\xxx\Mes documents\Dragon.Age.Origins.by.killer04.for.wawa-mania\CRACK+Keygen+Patch1.02a\daorigins-keygen.exe
C:\Documents and Settings\xxx\Mes documents\Dragon.Age.Origins.by.killer04.for.wawa-mania\CRACK+Keygen+Patch1.02a\daorigins.exe
C:\Documents and Settings\xxx\Mes documents\Dragon.Age.Origins.by.killer04.for.wawa-mania\CRACK+Keygen+Patch1.02a\DAO patch v1.02a.exe
C:\Documents and Settings\xxx\Mes documents\Dragon.Age.Origins.by.killer04.for.wawa-mania\CRACK+Keygen+Patch1.02a\daorigins-keygen.exe
C:\Documents and Settings\xxx\Mes documents\Dragon.Age.Origins.by.killer04.for.wawa-mania\CRACK+Keygen+Patch1.02a\daorigins.exe
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk . (.Microsoft Corporation.) -- C:\Program Files\Microsoft Office\Office10\OSA.EXE
OPT:O4 - Global Startup: C:\Documents And Settings\xxx\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.1.lnk . (...) -- C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O23 - Service: (RegSrvc) - Clé orpheline
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F}
[HKCU\Software\6BA68638965CC5B6960A770CCB724B43]
[HKCU\Software\TBSB07183]
O47 - AAKE:Key Export SP - "E:\SetupWizard\stInstall.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- E:\SetupWizard\stInstall.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-frFR-downloader.exe" [Enabled] .(.Pas de propriétaireC:\Program Files\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-frFR-downloader.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-frFR-downloader.exe" [Enabled] .(.Pas de propriétaireC:\Program Files\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-frFR-downloader.exe (.not file.)
O64 - Services: CurCS - (.not file.) - 19729244 (19729244) .(...) - LEGACY_19729244
O64 - Services: CurCS - (.not file.) - 3889c1a8 (3889c1a8) .(...) - LEGACY_3889C1A8
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]
[HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook]
[HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[HKCR\Interface\{4897bba6-48d9-468c-8efa-846275d7701b}]
[HKCR\TypeLib\{6C9945B7-1D19-46CB-88C0-45A24DF6CD6E}]
[HKCR\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
[HKCR\TypeLib\{84B9B044-17C0-48FB-A300-C9747D5DF29C}]
[HKCR\Interface\{9ebb289a-2d7b-465b-825f-1530b813e95a}]
[HKCR\Interface\{cd5c92ae-97b0-4bc3-ba65-ba0308d543bf}]
[HKCR\AppID\{F54A0D21-6A53-460C-8301-C694EC9E1033}]
[HKCR\AppID\{F7BCCFD4-2FA6-477D-A1B0-EF7500B3C49E}]
[HKLM\Software\Classes\AppID\{F7BCCFD4-2FA6-477D-A1B0-EF7500B3C49E}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
[HKCR\Installer\Features\5B4758C25396ECF468E04F8E063287FF]
[HKCR\Installer\UpgradeCodes\5B4758C25396ECF468E04F8E063287FF]
[HKCR\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]
[HKCU\Software\TBSB07183]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\TBSB07183.TBSB07183Toolbar]
C:\Documents and Settings\xxx\Application Data\Mozilla\Firefox\Profiles\hkch1bfe.default\Conduit


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Lillydolly · Answer

Dis je bosse tôt demain, donc je vais me pieuter. 
Merci pour toute l'aide apportée!
J'espère qu'il n'y a plus de problème... Je t'avoue que j'en ai marre ^^
Encore merci et à demain s'il y a encore des choses à régler...

Lillydolly · Answer

Arf j'avais pas actualisé la page donc pas vu le message avant de dire que j'allais au lit, donc je continue vite ce qu'il y a à faire. 
Petite précision: le logiciel "Puntenboek" c'est mon carnet de cotes en ligne (je suis prof) donc à moins que l'école essaie de me virusser le pc je pense pas qu'il soit dangereux ^^ 
Enfin je fais quand même l'analyse.

gen-hackman · Answer

non ok laisse tomber le truc si tu le connais bien ^^

Lillydolly · Answer

Le lien pour Puntenboek:

http://www.virustotal.com/file-scan/report.html?id=98e54383aac36af7873f20b993d7b6f2854548d6dee4e1cc50f7a1a92c1afa21-1307059813

Le lien pour iaStor:

http://www.virustotal.com/file-scan/report.html?id=62f2faf027c217a3a035759af47d848aeffa7a94c54b4c424b67459d464b8aa8-1307059590

gen-hackman · Answer

ok la suite

Lillydolly · Answer

Le rapport ZHPFix:

http://www.cijoint.fr/cjlink.php?file=cj201106/cij4zkc0qH.txt

gen-hackman · Answer

pourquoi t'as deplacé les cracks ? tu veux garder les infections ? ca sert à rien de desinfecter sic'esst pour reinstaller des merd$$ derriere

Lillydolly · Answer

Mais j'ai rien touché :'(

Lillydolly · Answer

Les seules choses que j'ai téléchargé depuis que j'ai chopé le rogue c'est les anti-malware, et j'ai pas remis les cracks...

Lillydolly · Answer

Je ne tiens plus debout, on continuera ça demain (si tu veux bien). 
Et je jure que je n'ai rien remis-touché-modifié-téléchargé au niveau des cracks :s

gen-hackman · Answer

pas de soucis à demain bonne nut :)

Lillydolly · Answer

Rebonsoir,

Je n'ai pas eu l'occasion de me connecter du week-end, d'où le délai depuis le dernier message. Par contre, j'ai refait une analyse avec MBAM et il n'a détecté aucun fichier infecté, de plus, je n'ai plus aucun problème avec le pc (en tout cas pour les programmes que j'utilise, rien à signaler).
Je suppose donc que le rogue a été supprimé, encore merci pour tes multiples conseils qui m'ont bien aidée à récupérer un pc (semble-t-il) sain.
Si tu as encore un doute sur la question, dis-le moi, mais sinon je pense être débarrassée du rogue.

gen-hackman · Answer

Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace _________________________________________________ Telecharge ici : PureRa (par l'editeur de JavaRa) Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7) => Configuration clique sur "Clean" L'outil va faire son scan puis son nettoyage à la fin du rapport tu auras une ligne comme ca : Total space cleaned: 8140878 bytes transmets juste cette ligne , le reste importe peu __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Ferme tous tes navigateurs Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels nettoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista/7) => Configuration fais le nettoyage dans le registre et dans le nettoyeur autant de fois qu'il trouve des choses à l analyse __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) et pense à decocher l'installation de McAfee proposée discrêtement __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Lien Win7 ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système à lire aussi Et ceci sujet intéressant à lire : https://www.luanagames.com/index.fr.html ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

Lillydolly · Answer

Oulala, c'est long tout ça! Je commencerai demain, là il faut que je termine des corrections et préparations d'examen. 
Encore un énorme merci!

gen-hackman · Answer

ok à lire au moins le rapport de delfix :)

Lillydolly pour gen-hackman

74 réponses

Votre réponse

Discussions similaires

Newsletters