Sujet Précédent Sujet Suivant

PC infecté K.O.

Résolu/Fermé
brousselechato - 24 juin 2011 à 20:50
brousselechato Messages postés 5 Date d'inscription jeudi 30 juin 2011 Statut Membre Dernière intervention 30 juin 2011 - 30 juin 2011 à 18:24
Bonjour,

Mon pc portable est lourdement infecté, il démarre et affiche automatiquement sur le bureau de windows tantôt :

Un faux logiciel qui scanne les disques et nommé "windows recovery", la fenêtre a un design genre ad-aware ou soft de ce type

ou

Plusieurs fenêtre d'erreur windows exemple :
Défaillance du disque dur / Le système a détecté un problème avec un ou plusieurs disques durs IDE / SATA installés. Nous vous demandons de redémarrer votre système.
+
RUNDLL / Erreur de chargement de C:\WINDOWS\$XNTUninstall643$\hbjw.dll / le module spécifié est introuvable
+
mdm.exe - Erreur d'application / L'instruction à "0x10006c2c" emploi l'adresse memoire "0x719f4a07". La mémoire ne peut pas etre "written". Cliquer sur ok pour terminer le problème.
ETC....

Dans les 2 cas:
- mon bureau a perdu toutes ces icônes sauf la corbeille et internet explorer
- le fond d'écran a disparu, il est tout noir
- le menu déroulant de Windows (en bas à gauche) a perdu toutes ces icônes, même le bouton arrêter a disparu
- Impossible d'utiliser la commande ctrl+alt+suppr
- Avira devient tellement fou et ouvre tellement de fenêtres detectant des trojans que je suis obligé de désactiver Avira (parapluie fermé !)
- quand je veux ouvrir la page de google via la fonction "Exécuter... ", Windows répond par une fenêtre d'erreur LA MÉMOIRE LIBRE EST INSUFFISANTE POUR EXÉCUTER CE PROGRAMME, QUITTEZ UN OU PLUSIEURS PROGRAMME, PUIS ESSAYEZ A NOUVEAU

Je précise que je poste actuellement avec un autre PC, sain.

Je serai comblé si quelqu'un pouvait me guider pour "SAUVER" ce PC qui pour l'instant est K.O.

HELPPPP !!! MERCI d'avance !

Brousse le chato

A voir également:

15 réponses

Réponse 1 / 15
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
24 juin 2011 à 20:54
mode sans échec :

redémarre ton pc et tapote la touche f8 avant l'apparition du logo de windows, ensuite sélectionne le mode sans échec avec prise en charge réseau.


###############Rogue Killer ###############

[x] Télécharge sur le bureau RogueKiller (merci à tigzy)
https://www.luanagames.com/index.fr.html

[x] ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

[x] Ferme tous tes programmes
[x] Exécute RogueKiller.exe
[x] Lorsqu'il te le sera demandé, tape 2 et valide
[x] Un rapport (RKreport.txt) va apparaître sur le bureau.
* Si le programme a été bloqué, renomme le en winlogon et relance le, ne pas hésiter a essayer de le relancer plusieurs fois, si ça ne marche toujours pas, renomme le en winlogon.exe

Postes le rapport RogueKiller.



===============ZHPDIAG====================

On va faire un diagnostic du PC :

[*]Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

[*]Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

[*]Clique sur l'icône représentant une loupe en haut à gauche (« Lancer le diagnostic »)
[*]Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
[*]Héberge le rapport ZHPDiag.txt (qui se trouve sur ton bureau) sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

https://www.cjoint.com/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
1
Réponse 2 / 15
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
Modifié par crapoulou le 30/06/2011 à 15:09
Bien, on viens aussi de virer AdAware, car inutile et obsolète !

Je te propose de télécharger Avast (il suffit amplement, inutile d'installer d'autres cochonnerie par dessus) :

http://redir.iavs5x.u.avcdn.net/iavs5x/setup_av_free.exe

Puis Adobe 10.1 :

https://get2.adobe.com/fr/reader/otherversions/



commence par mettre à jour Windows c'est très très important !
Pour ce faire, va ici :
http://v4.windowsupdate.microsoft.com/windowsupdate/v6/default.aspx



1- NOUS ALLONS METTRE A JOUR TON PC

Tout dabord désinstalles tout ce qui ne te sert pas, ça te fait de l'espace en plus

Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitées par un programme malveillant.

1ère étape : Java

> Télécharge JavaRa puis décompresse le sur ton bureau.
> Ouvre le dossier JavaRa puis exécute JavaRa.exe.
> Clique sur "Search For Updates".
> Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
> Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
> Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
> Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ".
> Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message.

/!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à cette adresse puis passe directement à la partie " Remove Older Versions " /!\


2ème étape : Mise à jour des logiciels

> Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
> Télécharge le Ici
> Un tutoriel pour son utilisation est disponible Ici.


2- Vacciner les supports amovibles

> Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent.
> Télécharge USBfix puis lance le. (Clique droit/Exéuter en tant qu'administrateur pour Vista/7).
> Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option [Vacciner].
> Appuie sur [Ok] au message de confirmation.
> Une fois la vaccination terminée, relance usbfix et choisis l'option désinstaller.

Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif )


3- DelFix

> Télécharge DelFix sur ton bureau.
> Lance le.
> Clique sur Supression puis valide en appuyant sur [Entrée].
> Patiente pendant le scan jusqu'à l'ouverture du rapport.
> Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFixSearch


4- Optimisation

1ère étape : Suppression des fichiers inutiles

> Télécharge CCleaner
> Installe le, puis lance le.
> Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ".
> Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer].
> Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées].
> Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après

la suppression )
> Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer]
> Tu peux renouveller ces opérations tous les jours.

2ème étape : Défragmentation

Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.

> Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
> Clique sur [Propriété] puis sur l'onglet [Outils]
> Clique sur [Defragmenter maintenant] puis sélectionne le disque dur à défragmenter (le C:\ en temps normal).

3ème étape : Vérification des disques

> Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
> Clique sur [Propriété] puis sur l'onglet [Outils]
> Clique sur [Vérifier maintenant] puis coche les deux cases présentes.
> Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage )

4ème étape : Désactivation des programmes au démarrage

> Lance CCleaner
> Va dans [Outils] puis [Démarrage]
> Désactives les lignes que tu jugent inutiles
> Veilles à ne pas désactiver la/les lignes correspondantes à ton antivirus

4- Purge de la restauration système


La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

> Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

> Tutoriels :

- Windows XP
- Windows Vista
- Windows 7

N'oublies pas de réactiver la restauration système.


5- UAC ( Uniquement pour Vista/Seven )

Si tu as désactivé l'UAC, il est important de la réactiver.

-> Pourquoi garder l'UAC activée?


6- Secunia PSI

Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme.

->met à jour les autres avec secunia téléchargeable ici.
->TUTO, voir paragraphe Secunia Personal Software Inspector (Secunia PSI)

7- Liens utiles

Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire

Bon surf et @+++ ;)
(je te conseille de garder Malwarebyte's et de passer des scans complet de temps en temps, ne pas oublier de le mettre à jour avant un scan ;)
Et n'oublies pas de passer ton sujet en RESOLU.

[FIN]
1
Réponse 3 / 15
brousselechato
24 juin 2011 à 20:57
Merci pour la réponse,

Le pc tourne sous XP

Dois je suivre le même processus ?
0
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
24 juin 2011 à 21:05
oui
0
Réponse 4 / 15
brousselechato
24 juin 2011 à 21:48
Pas possible d'obtenir un rapport de Roguekiller meme en renommant le fichier comme expliqué.

J'ai essayé le process n°2, cela a fonctionné, mais :

CJOINT a l'air surchargé et ne peut pas héberger mon rapport pour créer un lieu pour le moment. (la connexion a été réinitialisée)
Je réessaierai demain, merci et bonne soirée !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
24 juin 2011 à 21:58
Ton PC est sur-infecté !

===============TDSSKiller====================

[X] Télécharge TDSSKiller sur ton bureau

https://support.kaspersky.com/downloads/utils/tdsskiller.zip

[X] Créer un nouveau dossier sur ton bureau puis décompresse l'archive dedans.

[X] Lance le programme en cliquant sur TDSSKiller.exe, laisse les 2 cases cochées et clique sur "start scan", attends la fin du scan, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

[X] Vérifier que l'option "Cure" est sélectionnée pour les infections (malicious).

[X] Sélectionner "Skip" pour les fichiers suspects (suspicious).

[X] Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").

[X] Le rapport tdss se trouve ici : C:\ ; Postes le dans ta prochaine réponse

[X] Informations complémentaires sur cet outil :
https://support.kaspersky.com/5350


Réessaye roguekiller est mode sans échec, tu devrais aussi pouvoir poster ton rapport ZHPDIAG.
0
Réponse 6 / 15
brousselechato
25 juin 2011 à 14:07
Voici le lien CJOINT !

http://cjoint.com/?AFzogfX26JR

Merci de ton support,
0
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
Modifié par Excessimo le 25/06/2011 à 14:18
tu as le rapport TDSS killer ?

Ton rapport zhpdiag est vide...
0
brousselechato
25 juin 2011 à 20:11
Je n'ai pas encore essayé TDSS killer.
Je vais essayé dans les prochains jours.

Encore merci, bonne soirée,
0
Réponse 7 / 15
brousselechato
25 juin 2011 à 21:44
Salut, finalement j'ai eu le temps de m'y remmettre, voici un rapport RogueKiller, en esperant que tu pourras l'exploiter !

Merci

----------------- RogueKiller V5.2.3 par Tigzy ----------------
----------- contact sur http://www.sur-la-toile.com -----------
--------------- mail: tigzyRK<at>gmail<dot>com ----------------

Recherche de processus malicieux...

Recherche de processus caches...

Recherche de services malicieux lances...

------------------------
-- 1. Recherche --
-- 2. Suppression --
-- 3. Hosts RAZ --
-- 4. Proxy RAZ --
-- 5. DNS RAZ --
-- 6. Raccourcis RAZ --
-- --
-- 0. Quitter --
------------------------

Entrer votre choix et valider par [Entree]
2

Recherche de lancements automatiques...

CLSID Info:
===========

Run:
====
[DELETED] HKLM\[...]\Run : cleanhdd (C:\Documents and Settings\Adrien Fustier P\
Application Data\cleanhdd.exe)
[DELETED] HKLM\[...]\Run : wuaucldt (c:\windows\system32\wuaucldt.exe)
[DELETED] HKLM\[...]\Run : HNUIQOXRsSc (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\w5r1r
.exe)
[DELETED] HKLM\[...]\Run : MKetc (C:\WINDOWS\sysedit.exe)
[DELETED] HKLM\[...]\Run : HNUIQOXRrrb (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\taskm
gr.exe)
[DELETED] HKLM\[...]\Run : MKerb (C:\WINDOWS\taskmgr.exe)
[DELETED] HKLM\[...]\Run : HNUIQOXRpZ (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\mdm.ex
e)
[DELETED] HKLM\[...]\Run : HNUIQOXRoMc (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\gdi32
.exe)
[DELETED] HKLM\[...]\Run : MKfPc (C:\WINDOWS\win32.exe)
[DELETED] HKLM\[...]\Run : HNUIQOXRprc (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\login
.exe)
[DELETED] HKLM\[...]\Run : HNUIQOXRsPc (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\win32
.exe)
[DELETED] HKLM\[...]\Run : MKeg (C:\WINDOWS\smss.exe)
[DELETED] HKLM\[...]\Run : HNUIQOXRnZ (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\cmd.ex
e)
[DELETED] HKLM\[...]\Run : HNUIQOXRsre (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\winin
st.exe)
[DELETED] HKLM\[...]\Run : MKee (C:\WINDOWS\user.exe)
[DELETED] HKLM\[...]\Run : HNUIQOXRrwe (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\sysmg
m.exe)
[DELETED] HKLM\[...]\Run : HNUIQOXRrse (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\svcho
st.exe)
[DELETED] HKLM\[...]\Run : MKcZ (C:\WINDOWS\mdm.exe)
[DELETED] HKLM\[...]\Run : MKZSc (C:\WINDOWS\avp32.exe)
[DELETED] HKLM\[...]\Run : HNUIQOXRota (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\insta
ll.exe)
[DELETED] HKLM\[...]\Run : HNUIQOXRptc (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\msmgm
.exe)
[DELETED] HKLM\[...]\Run : HNUIQOXRrg (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\smss.e
xe)
[DELETED] HKLM\[...]\Run : MKdw+ (C:\WINDOWS\nvsvc32.exe)
[DELETED] HKLM\[...]\Run : MKeuf (C:\WINDOWS\spoolsv.exe)
[DELETED] HKLM\[...]\Run : HNUIQOXRouqc (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\iexp
larer.exe)
[DELETED] HKLM\[...]\Run : MKese (C:\WINDOWS\svchost.exe)
[DELETED] HKLM\[...]\Run : HNUIQOXRnoc (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\debug
.exe)
[DELETED] HKLM\[...]\Run : MKcrc (C:\WINDOWS\login.exe)
[DELETED] HKLM\[...]\Run : MKWPxc (C:\WINDOWS\TEMP\smss.exe)
[DELETED] HKLM\[...]\Run : MKexe (C:\WINDOWS\system.exe)
[DELETED] HKLM\[...]\Run : MKWPwg (C:\WINDOWS\TEMP\spoolsv.exe)
[DELETED] HKLM\[...]\Run : MKWPb (C:\WINDOWS\TEMP\mdm.exe)
[DELETED] HKLM\[...]\Run : MKWPusc (C:\WINDOWS\TEMP\winlogon.exe)
[DELETED] HKLM\[...]\Run : MKctc (C:\WINDOWS\msmgm.exe)
[DELETED] HKLM\[...]\Run : MKbta (C:\WINDOWS\install.exe)
[DELETED] HKLM\[...]\Run : MKWPuf (C:\WINDOWS\TEMP\csrss.exe)
[DELETED] HKUS\.DEFAULT[...]\Run : 0ESKOMO9JO (C:\WINDOWS\TEMP\Jhr.exe)
[DELETED] HKUS\.DEFAULT[...]\Run : D1T2EUR7FZ (C:\WINDOWS\TEMP\Jhv.exe)
[DELETED] HKUS\.DEFAULT[...]\Run : MKcrc (C:\WINDOWS\login.exe)
[DELETED] HKUS\.DEFAULT[...]\Run : MKWPxc (C:\WINDOWS\TEMP\smss.exe)
[DELETED] HKUS\.DEFAULT[...]\Run : MKZSc (C:\WINDOWS\avp32.exe)
[DELETED] HKUS\.DEFAULT[...]\Run : MKexe (C:\WINDOWS\system.exe)
[DELETED] HKUS\.DEFAULT[...]\Run : MKWPwg (C:\WINDOWS\TEMP\spoolsv.exe)
[DELETED] HKUS\.DEFAULT[...]\Run : MKWPb (C:\WINDOWS\TEMP\mdm.exe)
[DELETED] HKUS\.DEFAULT[...]\Run : MKWPusc (C:\WINDOWS\TEMP\winlogon.exe)
[DELETED] HKUS\.DEFAULT[...]\Run : MKee (C:\WINDOWS\user.exe)
[DELETED] HKUS\.DEFAULT[...]\Run : MKctc (C:\WINDOWS\msmgm.exe)
[DELETED] HKUS\.DEFAULT[...]\Run : MKbta (C:\WINDOWS\install.exe)
[DELETED] HKUS\.DEFAULT[...]\Run : MKcZ (C:\WINDOWS\mdm.exe)
[DELETED] HKUS\.DEFAULT[...]\Run : MKWPuf (C:\WINDOWS\TEMP\csrss.exe)

RunOnce:
========

RunServices:
============

RunOnceEx:
==========

RunServiceOnce:
===============

Explorer\Run:
=============
[DELETED] HKLM\[...]\Run : fpact (C:\DOCUME~1\ADRIEN~1\LOCALS~1\Temp\zitui1.exe)


Shell:
======

Services:
=========

Services LEGACY:
================
0
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
25 juin 2011 à 22:08
relance roguekiller et choisit l'option 6, puis fais un nouveau zhpdiag à poster sur https://www.cjoint.com/
n'oublie pas TDSSKiller, pour vérifier...
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
28 juin 2011 à 09:26
il y avait pas un fichier texte? parce que copier la console c'est pas prévu pour à la base, surtout que là il en manque la moitié
0
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
28 juin 2011 à 09:35
j'avais remarqué aussi, mais il a un peu de mal avec les rapports, je n'ai pas insisté. Mais à mon avis il y a bien un rapport ;)
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
28 juin 2011 à 09:37
En tout cas ça c'est arrivé par un crack, c'est le fameux package "droppe tout" qui installait des adwares , des rogues et TDSS.
0
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
28 juin 2011 à 09:44
sûr et certains, t'as vu toutes les merdes qu'il avait :o
0
Réponse 8 / 15
brousselechato
27 juin 2011 à 16:01
Ok, j'ai fais roguekiller avec l'option 6,
voici le lien vers le nouveau rapport zhpdiag ;
J'ai aussi fais tourner TDSSKiller http://cjoint.com/?AFBqazjh2Y2

Merci
0
brousselechato
27 juin 2011 à 16:04
Je viens de redémarrer le PC en mode normal (pas en mode sans echec)
L'antivirus detecte toujours beaucoup de trojans...
0
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
27 juin 2011 à 18:14
Normal, on a pas finit :)
je prépare une réponse.
Evite de faire tourner ton AV ou de faire qqch que je t'ai pas dit, c'est pour éviter d'utiliser des logiciels pour rien ;)
0
Réponse 9 / 15
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
27 juin 2011 à 18:16
Ok tu es supra-infecté !!

STOP tout scan et reste en Mode sans échec :


===============COMBOFIX==================

Ce logiciel est puissant, lis bien les instructions, ne PAS utiliser SEUL ou SANS l'avis d'un helper !

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau impérativement !!

/!\Désactive les logiciels de protection (Antivirus, Antispywares), déconnecte toi d'internet /!\ puis :

Double-clic sur combofix (si tu as Vista ou windows 7 => clic droit "executer en tant que....) , accepte la licence d'utilisation et laisse toi guider.

Installe la console de récupération comme cela est conseillé (pour windows XP seulement)

Attends que combofix ait terminé (ne touche à rien durant son travail !!), en fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

Un rapport sera créé, il se trouve ici C:\Combofix.txt.
Héberge le rapport sur https://www.cjoint.com/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

tutorial pour t'aider au cas où :) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Note : si Combofix ne se lance pas, renomme le fichier winlogon et réessaye

Si malgré tout ça ne fonctionne pas, tente en mode sans échec sans prise en charge du réseau : Redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuie sur la touche entrée du clavier.
0
Réponse 10 / 15
brousselechato
27 juin 2011 à 20:33
Voici le lien vers mon rapport combofix

http://cjoint.com/?AFBuGgVswt5

Cordialement
0
Réponse 11 / 15
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
27 juin 2011 à 20:40
Bien, on enchaîne avec ceci :

=============AD-REMOVER==================

* Télécharge AD-Remover ici
ferme toutes les applications en cours !!!

Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )



############### Malwarebytes' Anti-Malware ###############

On va passer un scan généraliste,

[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

http://www.malwarebytes.org/mbam-download.php

* NB : pour lancer le téléchargement, cliquer sur Download NOW"

[x] Désactive ton Antivirus pour éviter les conflits

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, laisse les 2 cases pour l"éxécution et la mise à jour cochées.

[x] Une fois lancé, clique sur " Exécuter un examen rapide" puis sur " Rechercher "

[x] Clique ensuite sur " Afficher les résultats " puis sur " SUPPRIMER LA SELECTION !!! ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Note : Tu devra peut être redémarrer ton PC, accepte. Le rapport se trouve dans la partie " Rapports/Logs " du logiciel.

[*] Je te conseille de garder Malwarebytes' et de passer des scans de temps en temps, ne pas oublier de le mettre à jour avant un scan. Mais attention, il ne remplace pas ton antivirus, c'est un complément.

* (NB : S'il te manque"COMCTL32.OCX" lors de l'installation, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )



fais moi un nouveau zhpdiag (à poster sur https://www.cjoint.com/ ), tu as le rapport TDSSKiller ?

Si on récapitule, tu as 4 rapports à poster :)
0
brousselechato
29 juin 2011 à 16:43
Bonjour Excessimo,
Avant de poster les 4 rapports :
- dois-je faite tout ça en mode sans échec avec prise en charge réseau ?
- je signale que Windows a quitté en installant des mises à jour
- je signale que j'ai été obligé de désinstaller avira pour faire tourner combofix

J'attends des instructions master !

Merci,
0
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
29 juin 2011 à 16:49
Re,

-Le mode sans échec n'est plus nécessaire ;)
-Pour les mises à jour, on le fera à la fin
-Oui, souvent Combofix signal que l'antivirus est toujours actif alors qu'il ne l'est plus, c'est un bug, tu n'étais pas obligé de désinstaller Avira, on remettra un Antivirus à la fin aussi !
0
Réponse 12 / 15
brousselechato Messages postés 5 Date d'inscription jeudi 30 juin 2011 Statut Membre Dernière intervention 30 juin 2011
30 juin 2011 à 00:52
C'est parti, voici dans l'ordre :
rapport AD (copier coller)
rapport MALWAREBYTES (copier coller)
rapport ZHPDIAG (cjoint)
et rapport TDSSKILLER (cjoint)

On dirait que ça va déjà beaucoup mieux !

rapport AD
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:26:30 le 29/06/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Adrien Fustier P@BROUSSELECHATOD ( )

============== ACTION(S) ==============


Fichier supprimé: C:\WINDOWS\system32\ConduitEngine.tmp
Dossier supprimé: C:\Documents and Settings\Adrien Fustier P\Application Data\Mozilla\FireFox\Profiles\zidoq4yn.default\conduit
Dossier supprimé: C:\Documents and Settings\Adrien Fustier P\Application Data\Mozilla\FireFox\Profiles\zidoq4yn.default\ConduitEngine
Dossier supprimé: C:\Documents and Settings\Adrien Fustier P\Application Data\Mozilla\FireFox\Profiles\zidoq4yn.default\extensions\engine@conduit.com
Dossier supprimé: C:\Program Files\AskBarDis
Dossier supprimé: C:\Documents and Settings\Adrien Fustier P\Local Settings\Application Data\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Documents and Settings\Adrien Fustier P\Local Settings\Application Data\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Adrien Fustier P\Application Data\Mozilla\FireFox\Profiles\zidoq4yn.default\Prefs.js --
Ligne supprimée: user_pref("CT2504091.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
Ligne supprimée: user_pref("CT2504091.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT250...
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/FR", "\"0\"")...
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\...
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3...
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63...
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=3/13/20...
Ligne supprimée: user_pref("CommunityToolbar.EngineOwner", "ConduitEngine");
Ligne supprimée: user_pref("CommunityToolbar.EngineOwnerGuid", "engine@conduit.com");
Ligne supprimée: user_pref("CommunityToolbar.EngineOwnerToolbarId", "conduitengine");
Ligne supprimée: user_pref("CommunityToolbar.IsEngineShown", true);
Ligne supprimée: user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true);
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwner", "ConduitEngine");
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "engine@conduit.com");
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "conduitengine");
Ligne supprimée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr...
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList", "CT2504091,ConduitEngine");
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList2", "CT2504091");
Ligne supprimée: user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Fri Jun 24 2011 21:01:05 GMT+02...
Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoInterval", 60);
Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Mon Jun 27 2011 20:08:56 GMT+0200");
Ligne supprimée: user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
Ligne supprimée: user_pref("CommunityToolbar.alert.locale", "en");
Ligne supprimée: user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);
Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastCheckTime", "Wed Jun 29 2011 17:15:53 GMT+0200");
Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1305622559");
Ligne supprimée: user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
Ligne supprimée: user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
Ligne supprimée: user_pref("CommunityToolbar.alert.showTrayIcon", false);
Ligne supprimée: user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
Ligne supprimée: user_pref("CommunityToolbar.alert.userId", "ca8b17e2-ab61-4502-897b-27eaf12ab144");
Ligne supprimée: user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Ligne supprimée: user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Ligne supprimée: user_pref("ConduitEngine.AppTrackingLastCheckTime", "Mon Jun 27 2011 19:37:45 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.CTID", "ConduitEngine");
Ligne supprimée: user_pref("ConduitEngine.DialogsGetterLastCheckTime", "Wed Jun 29 2011 17:15:53 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.FirstServerDate", "06/24/2011 22");
Ligne supprimée: user_pref("ConduitEngine.FirstTime", true);
Ligne supprimée: user_pref("ConduitEngine.FirstTimeFF3", true);
Ligne supprimée: user_pref("ConduitEngine.HasUserGlobalKeys", true);
Ligne supprimée: user_pref("ConduitEngine.Initialize", true);
Ligne supprimée: user_pref("ConduitEngine.InitializeCommonPrefs", true);
Ligne supprimée: user_pref("ConduitEngine.InstalledDate", "Fri Jun 24 2011 21:01:07 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.IsMulticommunity", false);
Ligne supprimée: user_pref("ConduitEngine.IsOpenThankYouPage", false);
Ligne supprimée: user_pref("ConduitEngine.IsOpenUninstallPage", true);
Ligne supprimée: user_pref("ConduitEngine.LanguagePackLastCheckTime", "Wed Jun 29 2011 17:15:53 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.LastLogin_3.3.3.2", "Wed Jun 29 2011 20:25:19 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.SearchFromAddressBarIsInit", true);
Ligne supprimée: user_pref("ConduitEngine.SettingsLastCheckTime", "Wed Jun 29 2011 20:25:19 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.UserID", "UN65141288917603570");
Ligne supprimée: user_pref("ConduitEngine.componentAlertEnabled", false);
Ligne supprimée: user_pref("ConduitEngine.engineLocale", "fr");
Ligne supprimée: user_pref("ConduitEngine.enngineContextMenuLastCheckTime", "Wed Jun 29 2011 17:15:53 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.globalFirstTimeInfoLastCheckTime", "Wed Jun 29 2011 17:15:53 GMT+0200");
Ligne supprimée: user_pref("ConduitEngine.initDone", true);
Ligne supprimée: user_pref("ConduitEngine.isAppTrackingManagerOn", true);
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\CLSID\{01928F6F-8587-4B18-BA84-6C5C6FFDE215}
Clé supprimée: HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
Clé supprimée: HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
Clé supprimée: HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
Clé supprimée: HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Clé supprimée: HKLM\Software\Classes\CLSID\{2FFFEC7A-68E9-4950-91DA-97257A8E017A}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2FFFEC7A-68E9-4950-91DA-97257A8E017A}
Clé supprimée: HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
Clé supprimée: HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
Clé supprimée: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}
Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
Clé supprimée: HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin
Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
Clé supprimée: HKLM\Software\AskBarDis
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKLM\Software\AppDataLow\AskBarDis
Clé supprimée: HKCU\Software\AskBarDis
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\conduitEngine
Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
Clé supprimée: HKU\.DEFAULT\Software\Conduit
Clé supprimée: HKU\.DEFAULT\Software\conduitEngine
Clé supprimée: HKU\.DEFAULT\Software\Sky-Banners
Clé supprimée: HKU\.DEFAULT\Software\Street-Ads
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{24AAD522-FBF4-436E-A5C9-241F73C19BFD}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine

Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [4.0 (fr)] ****

Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Documents and Settings\Adrien Fustier P\Application Data\Mozilla\FireFox\Profiles\zidoq4yn.default --
Extensions\en-CA@dictionaries.addons.mozilla.org (Canadian English Dictionary)
Extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} (Vuze Remote Community Toolbar)
Extensions\{DBBB3167-6E81-400f-BBFD-BD8921726F52} (F5 Networks Host Plugin)
Prefs.js - browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
Prefs.js - browser.startup.homepage_override.buildID, 20110318052756
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0

========================================

**** Internet Explorer Version [7.0.5730.13] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\prxtbVuz0.dll)
HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=GZSX8LXo514MJwjETfPaY_ZzJoo?q={searchTerms})
HKCU_Toolbar\WebBrowser|{BA14329E-9550-4989-B3F2-9732E92D17CC} (C:\Program Files\Vuze_Remote\prxtbVuz0.dll)
HKLM_Toolbar|{ba14329e-9550-4989-b3f2-9732e92d17cc} (C:\Program Files\Vuze_Remote\prxtbVuz0.dll)
HKLM_ElevationPolicy\{16817060-ED11-4D0C-9E29-612D25B8F3DC} - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper1.exe (?)
HKLM_ElevationPolicy\{6AD4F68C-C315-44E3-8207-967F71F201CF} - C:\Documents and Settings\Adrien Fustier P\Local Settings\Application Data\Conduit\CT2504091\Vuze_RemoteAutoUpdaterHelper.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
HKLM_Extensions\{09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{1BB71A1B-B8F8-8188-BCD5-BDDE82509520} - "?" (c:\windows\system32\wispspzl.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 194 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 29/06/2011 20:26:42 (6728 Octet(s))

Fin à: 20:27:28, 29/06/2011

============== E.O.F ==============


---------------------------------------------------------------------------------------------------

rapport Malwarebytes :

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6977

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

29/06/2011 20:31:53
mbam-log-2011-06-29 (20-31-53).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 147217
Temps écoulé: 3 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


lien ZHPDIAG https://www.cjoint.com/?AFEaFtrhuTZ

lien TDSSKiller https://www.cjoint.com/?AFEaHzaLDJd
0
Réponse 13 / 15
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
Modifié par Excessimo le 30/06/2011 à 10:08
Ce script va, entre autre, lancer la désinstallation de McAfee Security Scan qui est totalement inutile et de Adobe 8 qui est obsolète, on installera la version 10

===============ZHPFIX====================

* Lance ZHPFix il se trouve sur le bureau (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).

* Copie les lignes suivantes :

--------------------------------------------------- 

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified 
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified 
O23 - Service: AMService (AMService) . (...) - C:\WINDOWS\TEMP\iasuwc\setup.exe (.not file.) 
O64 - Services: CurCS - ??/??/???? - C:\WINDOWS\TEMP\iasuwc\setup.exe (.not file.) - AMService (AMService)  .(...) - LEGACY_AMSERVICE 
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe 
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe 
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1] 
[HKLM\SYSTEM\CurrentControlSet\Services\AMService] 
C:\Program Files\Enigma Software Group\SpyHunter 
SS - | Auto 04/01/2008 0 |  (AMService) . (...) - C:\WINDOWS\TEMP\iasuwc\setup.exe 
EMPTYTEMP 
[HKLM\Software\Tymfdtcr] 
O42 - Logiciel: McAfee Security Scan Plus - (.McAfee, Inc..) [HKLM] -- McAfee Security Scan
O42 - Logiciel: Adobe Reader 8.1.4 - Français - (.Adobe Systems Incorporated.) [HKLM] -- {AC76BA86-7AD7-1036-7B44-A81300000003}
M2 - MFEP: prefs.js [Adrien Fustier P - zidoq4yn.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Community Toolbar v3.3.3.2 (.Conduit Ltd..) 
R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Vuze_Remote\prxtbVuz0.dll 
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuz0.dll 
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine] 
[HKLM\Software\Classes\toolband.easyhidebtn] 
[HKLM\Software\Classes\toolband.easyhidebtn.1] 
[HKLM\Software\Classes\toolband.skypeiehelper] 
[HKLM\Software\Classes\toolband.skypeiehelper.1] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}] 
[HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar]

---------------------------------------------------

* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur « Go » pour lancer le nettoyage.

Poste le rapport (il se trouve sur le Bureau).


===>SpyKiller Suppression<====

[X] télécharge SpyKiller de 91300

[X] redemarre ton PC en mode sans echec

[X] /!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\

[X] quand le programme est lancé, tape 2 ==> c'est le mode suppression

[X] laisse l'outil travailler
/!\ tes processus vont tous se coupé et disparaitre, pas de panique, ils réaparaitront automatiquement à la fin /!\

[X] a la fin, un rapport s'affiche, ferme le et heberge le sur ce site: https://www.cjoint.com/

[X] donne moi le lien que tu obtiendras.
0
Réponse 14 / 15
brousselechato Messages postés 5 Date d'inscription jeudi 30 juin 2011 Statut Membre Dernière intervention 30 juin 2011
30 juin 2011 à 14:14
Salut, j'ai viré McAfee + Adobe 8 , MERCI !

rapport SpyKiller : https://www.cjoint.com/?AFEoohS3pCE

Rapport ZHPFIX :

Rapport de ZHPFix 1.12.3325 par Nicolas Coolman, Update du 23/06/2011
Fichier d'export Registre :
Run by Adrien Fustier P at 30/06/2011 13:59:06
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: McAfee Security Scan
ABSENT Software Key: {AC76BA86-7AD7-1036-7B44-A81300000003}

========== Clé(s) du Registre ==========
SUPPRIME Key: Service: AMService
ABSENT Key: Service Legacy: LEGACY_AMSERVICE
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1
ABSENT Key: HKLM\SYSTEM\CurrentControlSet\Services\AMService
ABSENT Key: Service: AMService
SUPPRIME Key: HKLM\Software\Tymfdtcr
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
SUPPRIME Key: HKLM\Software\Classes\toolband.easyhidebtn
SUPPRIME Key: HKLM\Software\Classes\toolband.easyhidebtn.1
SUPPRIME Key: HKLM\Software\Classes\toolband.skypeiehelper
SUPPRIME Key: HKLM\Software\Classes\toolband.skypeiehelper.1
ERREUR Key**: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar

========== Valeur(s) du Registre ==========
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
SUPPRIME URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc}
SUPPRIME Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc}

========== Elément(s) de donnée du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
SUPPRIME [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified

========== Préférences navigateur ==========
ABSENT C:\Documents and Settings\Adrien Fustier P\Local Settings\Application Data\Mozilla\Firefox\Profiles\zidoq4yn.default\prefs.js

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 85

========== Fichier(s) ==========
ABSENT File: c:\windows\temp\iasuwc\setup.exe
SUPPRIME Temporaires Windows: : 35
SUPPRIME c:\program files\vuze_remote\prxtbvuz0.dll
ABSENT File: c:\program files\vuze_remote\prxtbvuz0.dll


========== Récapitulatif ==========
14 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
1 : Dossier(s)
4 : Fichier(s)
2 : Logiciel(s)
1 : Préférences navigateur


========== Chemin du fichier rapport ==========
C:\Documents and Settings\Adrien Fustier P\Menu Démarrer\ZHPDiag\ZHPFixReport.txt


End of the scan
0
Réponse 15 / 15
brousselechato Messages postés 5 Date d'inscription jeudi 30 juin 2011 Statut Membre Dernière intervention 30 juin 2011
30 juin 2011 à 17:05
Bonjour,

Merci pour tout, je vais faire les mises à jour.

Comment passer le sujet en RESOLU ?
0
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
30 juin 2011 à 17:17
tout en haut, juste en dessous du titre ;)
0
brousselechato Messages postés 5 Date d'inscription jeudi 30 juin 2011 Statut Membre Dernière intervention 30 juin 2011
30 juin 2011 à 17:39
Je trouve pas !!
Vu le service rendu je tiens à trouver ce bouton !
0
Excessimo Messages postés 2111 Date d'inscription jeudi 15 juillet 2010 Statut Membre Dernière intervention 30 novembre 2012 157
30 juin 2011 à 18:10
:)
Pas de soucis, le meilleur service que tu pourrais me rendre c'est de ne pas te réinfecter surtout via P2P :)
0
brousselechato Messages postés 5 Date d'inscription jeudi 30 juin 2011 Statut Membre Dernière intervention 30 juin 2011
30 juin 2011 à 18:24
Ça y est, c'est notifié RÉSOLU !
0