virus W32/blaster.worm

Question

Bonjour, 
Je viens poster ici un "petit" gros problème avec ma machine, en effet j'ai un virus qui bloque l'ouverture de toutes mes appli (le W32/blaster.worm) et je ne sais absolument pas quoi faire, en effet je ne m'y connais pas vraiment en informatique (mon ordinateur est sous vista)... Je demande une aide si celà est possible, que dois-je faire?... Un grand merci d'avance...

jlpjlp · Answer

bonjour

quel logiciel t'indique cette infection ?



Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

g3n-h@ckm@n · Answer

salut

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler 

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Kris29000 · Answer

Re, et un grand merci pour votre réactivité!
En effet dès que je lance un soft il y a un logiciel antivirus qui m'envoie des messages d'erreur, le soft en question s'est installé une icone sur mon bureau, c'est "malware protection", avec un logo en forme de bouclier et avec les couleur windows, sauf que moi je ne connais absolument pas se soft qui me lance des scan à chaque fois que je démarre l'ordi... Je vais éxécuter ta manip' jlpjlp et te remerci pour ton aide.

Kris29000 · Answer

Je me suis permis d'effectuer la manip' en mode sans echec car je ne pouvais rien faire en mode normal... Je laisse donc le lien pour le rapport ZHPFix ci-dessous :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijXNZWNIz.txt

Encore merci :)

jlpjlp · Answer

colle un rapport avec pre_scan comme indiqué au dessus

Kris29000 · Answer

Voilà j'ai pu faire le scan avec pre_scan, je laisse le lien du rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201106/cijLMbn36a.txt

Merci bien à vous :)

g3n-h@ckm@n · Answer

C:\Windows\System32\compcln.exe........Impossible de télécharger le fichier , non replacé !!!!

ton windows n'est pas à jour il te faut installer le service pack superieur

jlpjlp j'avais pas vu sur le coup que tu avais posté en premier en fait tu veux continuer ?

jlpjlp · Answer

slt vas y poursuis  je suis un peu occupé :)

a plus

g3n-h@ckm@n · Answer

ok 

fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre 

selectionne ce texte sans les lignes : 
___________________________________________________ 
folder:: 
C:\Users\siro\AppData\Roaming\Desktopicon    
C:\ProgramData\Viewpoint     
C:\Users\siro\AppData\Local\Conduit     

Registry:: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]   
"TkBellExe"=- 

txt:: 
C:\Users\siro\AppData\Local\AtStart.txt       
C:\Users\siro\AppData\Local\QSwitch.txt 
C:\Users\siro\AppData\Local\DSwitch.txt             
                                            
___________________________________________________ 

copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau 

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte  

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail  

======================================== 

&#9654 Télécharge ici : USBFIX sur ton bureau  

branche tous tes periphériques sans les ouvrir 

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...."  

sur l'icône Usbfix située sur ton Bureau. 
Sur la page, clique sur le bouton : 

&#9654 choisi l option Suppression 

&#9654 UsbFix scannera ton pc , laisse travailler l outil. 

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau . 

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt ) 

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )  

=============================== 


&#9654 Télécharge ici : Ad-remover sur ton bureau :  


&#9654 Déconnecte toi et ferme toutes applications en cours !  

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...."  

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .  

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil . 
  
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] . 

&#9654 Laisse travailler l'outil et ne touche à rien ...  

&#9654 Poste le rapport qui apparait à la fin , sur le forum ... 

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )  
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )  


¤¤¤¤¤¤¤¤¤¤ g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Kris29000 · Answer

Merci pour la mise a jours du  service pack2, ça m'a déja permis d'ouvrir mes applis sans souci :) Je vais donc faire la manip' ci-dessus et envoyer le rapport. Merci!

Kris29000 · Answer

alors voici pour le rapport Pre_script : 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : siro (Administrateurs)
Ordinateur : PC-DE-SIRO
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Internet Explorer : 7.0.6002.18005
Mozilla Firefox : 3.0.19 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 18:59:43

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Fin : 18:59:43

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤





Je continu sur les autre manip'...

g3n-h@ckm@n · Answer

tu peux recommencer celle-là elle est ratée 
¤¤¤¤¤¤¤¤¤¤ g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Kris29000 · Answer

Dois-je faire ces manip' toujours en mode sans eche ou bien non? je laisse le lien du rapport UsbFix ci dessous : 

http://www.cijoint.fr/cjlink.php?file=cj201106/cijuVXRaLC.txt

Merci encore

g3n-h@ckm@n · Answer

pas obligé

faut que tu refasses l'operation avec pre_script ell est ratée

Kris29000 · Answer

j'ai recommencé le Pre_script et voici le rapport : 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : siro (Administrateurs)
Ordinateur : PC-DE-SIRO
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Internet Explorer : 7.0.6002.18005
Mozilla Firefox : 3.0.19 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 19:41:59

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

explorer.exe -> Processus redémarré

Fin : 19:41:59

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

toujours pas bon

Kris29000 · Answer

j'ai recommencé pour le Pre_script : 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : siro (Administrateurs)
Ordinateur : PC-DE-SIRO
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Internet Explorer : 7.0.6002.18005
Mozilla Firefox : 3.0.19 (fr)

Switchs possibles :

processes:: | file:: | folder::
Registry:: | Driver:: | replace::
txt:: | Host:: | DNS:: | NsLook::
Command:: | list:: | attrib::

Script : 20:11:22

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switchs :


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

explorer.exe -> Processus redémarré

Fin : 20:11:22

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤




Je laisse ci dessous le lien pour le rapport du AD-Report : 

http://www.cijoint.fr/cjlink.php?file=cj201106/cijIT2VKt4.txt

Merci bcp

g3n-h@ckm@n · Answer

je sais pas comment tu te debrouilles..;..

Kris29000 · Answer

Désolé, comme je disais je n'suis pas vraiment calé dans ce genre d'opération informatique du tout...:( je me suis rendu compte que je t'ai envoyé le mauvais rapport pour Ad-Report, je te laisse donc le lien ci-dessous mais pour ce qui est du Pre_script je ne comprend pas où je fais une erreur... je réessai une fois.

le lien pour Ad-Report : 

http://www.cijoint.fr/cjlink.php?file=cj201106/cijR5F0dfG.txt

Merci

g3n-h@ckm@n · Answer

pour Ad-remover c'est bon

===========

tu fais bien "enregistrer" tout court ?

Kris29000 · Answer

j'enregistre et je ferme... 

Je sais pas si c'est important mais je n'ai pas réactivé mes firewall et antivirus...

g3n-h@ckm@n · Answer

mets windows à jour

Kris29000 · Answer

effectivement j'ai des mises a jours importante! c'est en cours donc je revien dès que c'est fini. merci en tout cas c'est vraiment sympa de prendre du temps pour l'aide...;)

g3n-h@ckm@n · Answer

ok  à ton retour :)

Kris29000 · Answer

Bonjour, j'ai pu installer mes mises a jours (pas mal) et relancé les rapprts pour Pre_scan et Pre_script, donc je laisse les liens (encore un grand merci) : 

http://www.cijoint.fr/cjlink.php?file=cj201106/cijJWZ0NW2.txt

http://www.cijoint.fr/cjlink.php?file=cj201106/cijq1Y8qhB.txt



J'ai relu les manip' mais je ne vois toujours pas ce que j'ai raté :(

g3n-h@ckm@n · Answer

laisse tomber

============


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Kris29000 · Answer

Voilà le scan et la suppression ont été fait, je te laisse le rapport Malwarebytes :


Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6861

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

15/06/2011 16:18:38
mbam-log-2011-06-15 (16-18-38).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 388790
Temps écoulé: 1 heure(s), 35 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\siro\AppData\LocalLow\Sun\Java\deployment\cache\6.0\19\30827293-5f82437a (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\siro\Desktop\softantivirus\Keygen\malwarebytes_anti-malware_kg.exe (Malware.Tool) -> Quarantined and deleted successfully.
c:\Windows\System32\config\systemprofile\AppData\Local\microsoft\Windows	emporary internet files\Content.IE5\FZE8QR2Z\gibsvc[1].exe (Adware.Gibmedia) -> Quarantined and deleted successfully.
c:\Users\siro\AppData\Roaming\Icones\icones_pa.ico (Adware.GibMedia) -> Quarantined and deleted successfully.

g3n-h@ckm@n · Answer

refais zhpdiag

Kris29000 · Answer

Re, desolé pour le retard .... Voici le lien du rapport :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijOgel3gW.txt



Merci infiniement :)

g3n-h@ckm@n · Answer

refais ad-remover option nettoyer en mode sans echec stp

Kris29000 · Answer

Voici le lien du rapport : 


http://www.cijoint.fr/cjlink.php?file=cj201106/cijfvo2cWG.txt

g3n-h@ckm@n · Answer

desinstalle tout ce qui contient le mot toolbar

Kris29000 · Answer

tu veux dire que je vais dans "ajout/supression de programme" et desinstalle tout les softs qui contiennent le nom toolbar?

Kris29000 · Answer

pardon je met du temps a repondre mais comme j'ai un chance pas possible en ce moment j'ai une connexion assez mauvaise...

Kris29000 · Answer

Petit problème, lorsque j'essai de ésinstaller un prg contenant le mot toolbar, soit il ne se passe rien soit windows m'indique le message suivant : "Vous ne disposez pas d'un accès suffisant pour désinstaller Winamp Toolbar for Firefox. Contactez votre administrateur système."

Je suis bloqué...:(

g3n-h@ckm@n · Answer

refais zhpdiag

Kris29000 · Answer

bonjour et merci encor :)  je vous laisse le lien pour le rapport : 


http://www.cijoint.fr/cjlink.php?file=cj201106/cijnBUSers.txt

g3n-h@ckm@n · Answer

ok refais nettoyer avec ad-remover en mode sans echec stp

Kris29000 · Answer

voici le lien du rapport ad_remover : 

http://www.cijoint.fr/cjlink.php?file=cj201106/cijO9549DX.txt

g3n-h@ckm@n · Answer

super relance zhpdiag coche tout puis hebrege le rapport

Kris29000 · Answer

euh je ne comprends pas ce qu'il faut cocher dans ZHPdiag....

g3n-h@ckm@n · Answer

clic sur le tournevis

Kris29000 · Answer

et voici : 


http://www.cijoint.fr/cjlink.php?file=cj201106/cijeH52hXU.txt

g3n-h@ckm@n · Answer

sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

M2 - MFEP: prefs.js [siro - 3hu7kf6o.default\{9e96c0cd-a901-4032-9236-0e4a264aeee4}] [] NCH FR Community Toolbar v3.3.5.1 (.Conduit Ltd..)    
R3 - URLSearchHook: NCH FR Toolbar - {9e96c0cd-a901-4032-9236-0e4a264aeee4} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files\NCH_FR\prxtbNCH_.dll  
R3 - URLSearchHook: NCH FR Toolbar - {9e96c0cd-a901-4032-9236-0e4a264aeee4} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files\NCH_FR\prxtbNCH_.dll  
ProxyFix
O2 - BHO: NCH FR - {9e96c0cd-a901-4032-9236-0e4a264aeee4} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\NCH_FR\prxtbNCH_.dll  
O3 - Toolbar: NCH FR Toolbar - {9e96c0cd-a901-4032-9236-0e4a264aeee4} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\NCH_FR\prxtbNCH_.dll  
OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Common Files\Real\Update_OB\realsched.exe  
O4 - Global Startup: C:\Users\siro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\eBay.lnk - Clé orpheline 
O4 - Global Startup: C:\Users\siro\Desktop\Malware Protection.lnk . (...)  -- C:\Users\siro\AppData\Roaming\defender.exe (.not file.)  
O4 - Global Startup: C:\Users\siro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Pages Annuaire.lnk - Clé orpheline  
O4 - Global Startup: C:\Users\siro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Vos allocations.lnk - Clé orpheline   
O42 - Logiciel: Adobe Reader 8.1.2 - Français - (.Adobe Systems Incorporated.) [HKLM] -- {AC76BA86-7AD7-1036-7B44-A81200000003}  
O42 - Logiciel: Adobe Reader 8.1.2 Security Update 1 (KB403742) - (.Pas de propriétaire.) [HKLM] -- {AC76BA86-7AD7-1036-7B44-A81200000003}_Adobe Reader 8.1.2 - Français 
O42 - Logiciel: Java 6 Update 2 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160020}  
O42 - Logiciel: Java 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160070}   
O42 - Logiciel: Winamp Toolbar for Firefox - (.AOL LLC.) [HKLM] -- Winamp Toolbar for Firefox    
[HKCU\Software\702A465554278CB48C5789729220D7DB]      
[HKCU\Software\AppDataLow\Software\NCH_FR]     
[HKCU\Software\NCH_FR]    
[HKLM\Software\NCH_FR]    
O43 - CFD: 28/05/2011 - 20:55:50 - [4898597] ----D- C:\Program Files\NCH_FR  
O43 - CFD: 15/06/2011 - 21:51:50 - [4536930] ----D- C:\Users\siro\Appdata\Local\NCH_FR 
O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher  [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe  
EmptyTemp
EmptyFlash
O69 - SBI: SearchScopes [HKCU] {c3d07853-c240-4565-a805-7f7f4f84315f} - (YouGoo) - http://www.yougoo.fr  
[HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]   
[HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}]
[HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}]
[HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}]
[HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]
[HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9e96c0cd-a901-4032-9236-0e4a264aeee4}]      
[HKLM\Software\Classes\CLSID\{9e96c0cd-a901-4032-9236-0e4a264aeee4}]      
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9e96c0cd-a901-4032-9236-0e4a264aeee4}]      
[HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}]
[HKCU\Software\NCH_FR]    
[HKCU\Software\AppDataLow\Software\NCH_FR]    
[HKLM\Software\NCH_FR]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\NCH_FR Toolbar]      
C:\Program Files\NCH_FR    
C:\Users\siro\Appdata\Local\NCH_FR    
C:\Users\siro\Appdata\LocalLow\NCH_FR      
C:\Documents and Settings\siro\Local Settings\Application Data\NCH_FR    

  
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Kris29000 · Answer

lors du processus un message d'erreur s'affiche et me dit ceci : "violation d'accès à l'adresse 00427C8A dans le module 'ZHPFix.exe'. Lecture de l'adresse 0000000E." puis le processus charge sans avancer...

Devais-je appliquer cela en dans un mode particulier de windows ou  bien couper une application antivirale, quelque chose comme ça?

g3n-h@ckm@n · Answer

oui coupe les protections et execute avec le clic droit executer en tant qu'administrateur

Kris29000 · Answer

j'essai sans succès, toujours le même message...

Virus W32/blaster.worm

47 réponses

Discussions similaires

Newsletters