Ouverture intempestive sites de jeu (aussi !)

Question

Bonjour, 

Il semble que le sujet empoisonne pas mal de monde !
Suite à diverses recherches sur les forums, j'ai scanné avec Navigo1 et voila le rapport:

Fix Navipromo version 4.1.0 commencé le 24/08/2011  9:37:34,40

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 20.04.2011 à 09h00 par IL-MAFIOSO

Microsoft Windows 7 Professionnel  ( v6.1.7600 ) 
x64-based PC ( Multiprocessor Free : Intel(R) Core(TM) i3 CPU       M 370  @ 2.40GHz )
BIOS : Default System BIOS
USER : CORESTA ( Administrator )
BOOT : Normal boot

C:\ (Local Disk) - NTFS - Total:115 Go (Free:82 Go)
D:\ (Local Disk) - NTFS - Total:102 Go (Free:75 Go)
E:\ (CD or DVD)

Recherche executée en mode normal 

[b]Aucune Infection Navipromo/Egdaccess trouvée/b


*** Scan terminé 24/08/2011  9:38:56,54 ***

Je suis en Windows 7 / Firefox 6.0 depuis août 2010 mais le problème n'est apparu que cette semaine, après ré-installation de W7, Office, FileMaker11, Bit Defender et Gimp 2.6, suite à un problème sur le PC.  J'ai aussi passé un coup de CCleaner sans succès. Et bing, une autre fenêtre PlayBoy vient justement de m'interrompre dans mon message.
C'est grave, docteur ? En tout cas, c'est pénible.
Merci de vos conseils zavizés

Fish66 · Answer

Bonjour,  

Navilog est destiné pour les infections Navipromo!  

--------------------------------------------------------------------------------------  
Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://pjjoint.malekal.com/ 

Si indisponible: 

http://ww38.toofiles.com/fr/documents-upload.html 

ou : 

https://www.casimages.com/

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com 

* Rends toi sur http://pjjoint.malekal.com/ 
* Clique sur le bouton Parcourir 
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir 
*Clique sur le bouton Envoyer 
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse.


_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _   
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Fish66 · Answer

Re,

Oui c'est bien EoRezo et PCTuto  :-)

Télécharge AdwCleaner (merci à Xplode) 
Lance AdwCleaner
Clique sur le bouton [chercher] 
Patiente... 
Poste le rapport qui apparait en fin de recherche. 
Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)

Fish66 · Answer

Tu as installé des programmes PCTuto, cet adware peut transmettre certaines 

informations personnelles (Adresse, Numéro téléphone...) et comme tu as 

remarqué il affiche aussi des popups de publicité...  

Pour plus d'informations clique sur  ce lien...  

========================  
1/  
Lance AdwCleaner   
Clique sur le bouton [suppression]   
Patiente...   
Poste le rapport qui apparait en fin de recherche.   
Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)   

2/  
* Télécharge de AD-Remover sur ton Bureau.   
http://www.teamxscript.org/adremoverTelechargement.html   

/!\ Ferme toutes applications en cours /!\   

- Double-clique sur l'icône Ad-remover située sur ton Bureau.   
- Sur la page, clique sur le bouton «chercher »   
- Confirme lancement du scan   
- Laisse travailler l'outil.   
- Poste le rapport qui apparaît à la fin.   

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)   

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c  



_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _   
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Coresta · Answer

Pour l'étape 1, ok, voir le rapport ci-dessous, mais pour l'étape 2, le double-clic me donne une petite fenêtre : ERROR: NOT_ADMINISTRATOR.
Damned, ça allait bien jusque là.

Donc le rapport adwcleaner:

# AdwCleaner v1.3 - Rapport créé le 24/08/2011 à 14:00:42
# Mis à jour le 23/08/11 à 17h par Xplode
# Système d'exploitation : Windows 7 Professional  (64 bits)
# Nom d'utilisateur : CORESTA - COR-PORTABLE (Administrateur)
# Exécuté depuis : C:\Users\CORESTA\Desktop\adwcleaner.exe
# Option [Suppression]


***** [KillNav] *****

Aucun navigateur n'était en cours d'exécution.

***** [Processus] *****

Tué : [PID:3824] autoupdater.exe
Tué : [PID:3544] pctuto.exe

***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\CORESTA\AppData\Local\Agence-Exclusive
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PCTuto
Dossier Supprimé : C:\Program Files (x86)\Agence-Exclusive
Dossier Supprimé : C:\Program Files (x86)\PCTuto

***** [Registre] *****

Clé Supprimée : HKCU\Software\Agence-Exclusive
Clé Supprimée : HKLM\SOFTWARE\Agence-Exclusive
Clé Supprimée : HKLM\SOFTWARE\Classes\PCTutoBHO.PCTBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\PCTutoBHO.PCTBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\PCTutoBHO.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{759F1421-4D31-4c1f-8C51-E4956A037676}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PcTuto_is1
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [PcTuto]

***** [Registre (64 bits)] *****


***** [Navigateurs] *****

-\ Internet Explorer v8.0.7600.16385

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v6.0 (fr)

Profil : c6wmi8s8.default
Fichier : C:\Users\CORESTA\AppData\Roaming\Mozilla\Firefox\Profiles\c6wmi8s8.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [2779 octets] - [24/08/2011 13:10:04]
AdwCleaner[S1].txt - [2240 octets] - [24/08/2011 14:00:42]

########## EOF - C:\AdwCleaner[S1].txt - [2368 octets] ##########

Coresta · Answer

??? Ad-remover ne démarre pas du tout. Pourtant je suis l'administrateur, c'est même écrit dans le rapport.

Cela dit, le PCtuto semble avoir été "tué" et plein d'autres clés etc supprimées, si j'en juge adwcleaner. 

Est-ce suffisant ?

Si non, y a-t'il une alternative à AD-remover ?
Si oui, merci de ces procédures et du tapage sur les doigts pour n'avoir pas lu les conditions d'utilisations que je signe à la légère.

Puis-je aussi supprimer tous ces petits outils (ADW, ZHP, ...) ou au contraire les utiliser régulièrement ?

Fish66 · Answer

Re,

Non, on n'a pas terminé  :-)


Clique avec le bouton droit de la souris sur Ad-remover et choisis "exécuter en tant qu'administrateur" et tu termines le reste des procédures!

@+

Coresta · Answer

AH ben zut, j'ai voulu répondre et voila qu'on me demande un titre au message alors qu'il n'y a pas de champ pour ça !
Ou alors message trop lourd ? Je fais un premier envoi juste comme ça, si ça marche, je coupe l'autre en deux.
À suivre!

Coresta · Answer

Bon, ça a marché, voici donc le rapport du clic droit qui sauve. Partie 1/2 pas passionnant, c'est du connu.
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 16:56:55 le 24/08/2011, Mode normal

Microsoft Windows 7 Professionnel   (X64) 
CORESTA@COR-PORTABLE (Dell Inc. Latitude E6410) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\Users\CORESTA\AppData\Roaming\Agence-Exclusive

Coresta · Answer

Allons bon, ça recommence.. pas de titre, pas d'envoi, mais pas de champ, pas de titre, on n'en sort pas !

Coresta · Answer

Ou bien il y a un morceau du rapport que le forum ne digère pas ?
Je saute le chapitre Firefox, pour voir...
========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKCU_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Toolbar|{381FFDE8-2394-4F90-B10D-FC6124A40F8C} (C:\Program Files\BitDefender\BitDefender 2011\Antispam32\IEToolbar.dll)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{6A7C9604-8A57-4B28-821B-BDEDF0E04788} - C:\Program Files\Microsoft Office\Office14\winproj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{80B84A0A-EDA4-47FD-8BE1-6B49F4197BE6} - C:\Program Files\BitDefender\BitDefender 2011\Antispam32\about.exe\about.ex (x)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 0 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 24/08/2011 16:57:23 (2643 Octet(s)) 

Fin à: 16:58:00, 24/08/2011 
 
============== E.O.F ==============

Coresta · Answer

Ah, ça a marché. Voyons ce qu'il y a dans le chapitre incriminé:

**** Mozilla Firefox Version 6.0 fr
HKLM_MozillaPlugins\Adobe Reader (x)

puis un truc de searchplugins\bing.xml
puis des components\browsercomps.dll
puis un HKLM_Extensions FFToolbar@bitdefender et où ça se trouve sur le disque C:

et derrière une ligne C:\users\CORESTA etc qui se termine par \Profiles\c6wmi8s8.default

et enfin, 3 lignes qui commencent par Prefs.js-browser.
la première envoie sur la partition D:\
les deux autres sur browser.startup.homepage_override

j'hésite à tout recopier car ça ne passe pas...

Coresta · Answer

j'espère que ça va t'aider à m'aider !

Fish66 · Answer

Re,

1/
* inscris  toi sur le forum afin de rendre tes liens lisibles 

* ICI >> Forum comment ca marche

2/
/!\ Ferme toutes applications en cours /!\

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton «Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c


@+

CORESTA · Answer

Voili voila (inscription faite):

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:35:50 le 24/08/2011, Mode normal

Microsoft Windows 7 Professionnel   (X64) 
CORESTA@COR-PORTABLE (Dell Inc. Latitude E6410) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Users\CORESTA\AppData\Roaming\Agence-Exclusive

(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [6.0 (fr)] ****

HKLM_MozillaPlugins\Adobe Reader (x)
Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)
HKLM_Extensions|FFToolbar@bitdefender.com - C:\Program Files\BitDefender\BitDefender 2011\bdaphffext\

-- C:\Users\CORESTA\AppData\Roaming\Mozilla\FireFox\Profiles\c6wmi8s8.default --
Prefs.js - browser.download.lastDir, D:\°PMG\MUSIQUE
Prefs.js - browser.startup.homepage_override.buildID, 20110811165603
Prefs.js - browser.startup.homepage_override.mstone, rv:6.0

========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Toolbar|{381FFDE8-2394-4F90-B10D-FC6124A40F8C} (C:\Program Files\BitDefender\BitDefender 2011\Antispam32\IEToolbar.dll)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{6A7C9604-8A57-4B28-821B-BDEDF0E04788} - C:\Program Files\Microsoft Office\Office14\winproj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{80B84A0A-EDA4-47FD-8BE1-6B49F4197BE6} - C:\Program Files\BitDefender\BitDefender 2011\Antispam32\about.exe\about.ex (x)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 5 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 24/08/2011 18:35:53 (2914 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 24/08/2011 16:57:23 (2781 Octet(s)) 

Fin à: 18:36:35, 24/08/2011 
 
============== E.O.F ==============

Fish66 · Answer

Re,

Lance ZHPDiag depuis ton bureau et prépare un nouveau rapport 

ZHPDiag (à l'héberger )

@+

CORESTA · Answer

Bonjour, c'est reparti pour un tour :-)
https://pjjoint.malekal.com/files.php?id=ZHPDiag_x12n11d7s11o14d11y8j6z14t13i14j7k11u13z11q10u12y12m11n14

Fish66 · Answer

Bonjour, 

* Télécharge MBAM et installe le selon l'emplacement par défaut  
https://www.malwarebytes.com/mwb-download/ 
 * Fais la mise à jour  
* Lance Malwarebytes' Anti-Malware  
* Clique dans l'onglet  "Recherche"  
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"  
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"  

A la fin de l'analyse, si MBAM n'a rien trouvé :  

* Clique sur OK, le rapport s'ouvre spontanément  

Si des menaces ont été détectées :  

* Clique sur OK puis "Afficher les résultats"  
* Choisis l'option "Supprimer la sélection"  
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"  
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"  

* Copie/colle le rapport dans le prochain message  

 
Remarque : 
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant  ce fichier
 puis en l'exécutant. 

@+ 

_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

CORESTA · Answer

Et voila le travail. J'ai supprimé la sélection (Trojan.Eorezo) mais pas les deux autres qui n'étaient pas cochés.


Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7561

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

25/08/2011 10:46:26
mbam-log-2011-08-25 (10-46-26).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 319418
Temps écoulé: 40 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files (x86)\ad-remover\quarantine\C\Users\CORESTA\AppData\Roaming\agence-exclusive\agence-exclusive\autoupdater.exe.vir (PUP.Tuto4PC) -> Not selected for removal.
c:\program files (x86)\ad-remover\quarantine\C\Users\CORESTA\AppData\Roaming\agence-exclusive\agence-exclusive\updatepctuto.exe.vir (PUP.Tuto4PC) -> Not selected for removal.

Fish66 · Answer

Re,

Ah, pourquoi tu n'as pas coché ?

Reprend l'analyse stp et coche toutes lignes affichées à fin de supprimer toutes les infections !

@+

CORESTA · Answer

Pourquoi ? Mais parce que tes explications sont si précises qu'il n'était pas question pour moi de m'écarter des instructions. Cela dit, j'aurais pu te signaler la chose et te demander avant. 
Bref, j'ai relancé, puis interrompu dès que les 2 éléments ont été annoncés, et j'ai coché et supprimé. Ce qui a été confirmé dans le rapport "quarantined and suppressed successfully" . Ensuite, il y a eu demande de redémarrage.

Fish66 · Answer

Re, 

C'est pas un problème, j'ai ajouté ce détail à mon canned  :-) 

===================================== 
1/ 
 McAfee®Security Scan n'est pas bien désinstallé  

   * Cliquez sur Démarrer, Rechercher, tapez Programmes et fonctionnalités et  cliquez sur OK. 
  * Double-cliquez sur Programmes et fonctionnalités. 
   * Sélectionnez le produit McAfee SecurityCenter. 
   * Cliquez sur Désinstaller . 

Ensuite 

Télécharge l'utilitaire de désinstallation de McAfee 

Exécute le pour la désinstallation complète. 

2/ 
Désinstalle ce logiciel stp : Tuto The Gimp1.0.0.0 -  

3/ 
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified      
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}]      
[HKLM\Software\WOW6432Node\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]      

FirewallRAZ 
EmptyTemp 
EmptyFlash 
 


Puis Lance ZHPFix depuis le raccourci du bureau .  

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

Clique sur le bouton  GO 

Copie/Colle le rapport à l'écran dans ton prochain message. 

_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

CORESTA · Answer

Ah oui, McAfee, c'était mon prochain sujet de discussion, bien content qu'il soit traité en route !
Et devine quoi, j'avais déjà désinstallé Tuto The Gimp1, daingh!

Bon, le rapport:

Rapport de ZHPFix 1.12.3357 par Nicolas Coolman, Update du 23/08/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-25-08-2011-15-09-01.txt
Run by CORESTA at 25/08/2011 15:09:01
Windows 7 Business Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}

========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 

========== Elément(s) de donnée du Registre ==========
REMPLACE Value NoActiveDesktopChanges :   Good (0) - Bad (1)

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 52
SUPPRIME Flash Cookies: 3

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 342
SUPPRIME Flash Cookies: 2


========== Récapitulatif ==========
2 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)
2 : Fichier(s)


End of the scan in 00mn 03s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 25/08/2011 15:09:01 [1220]

Fish66 · Answer

Re,

Avant d'utiliser ComboFix : 

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : 

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix 

. Télécharge Defogger (de jpshortstuff) sur ton Bureau 

. Lance le 

Une fenêtre apparait : clique sur "Disable" 

. Fais redémarrer l'ordinateur si l'outil te le demande 

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"  

Attention, avant de commencer, lit attentivement la procédure 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\ 

? Fais un clic droit sur ce lien, enregistre le dans ton bureau 

Voici Aide combofix 


? /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\ 
 

? Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven) 

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

? ? SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets internet) 

? Mets-le en langue française F 

? Tape sur la touche 1 (Yes) pour démarrer le scan. 


? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

?En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

? Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

? ? /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

? Note : Le rapport se trouve également là : C:\ComboFix.txt  

@+

CORESTA · Answer

Bon, alors, pas top, cette fois.

Il n'y a pas de rapport, mais j'ai pris des notes !

Combofix ne m'a ni demander la langue (c'était en F), ni proposé d'installer la console de récup, ni de taper sur la touche 1.

à l'étape 50 j'ai eu une fenêtre disant:
"the procedure * could not be located in the DLL_VERSION.dll" 

j'ai attendu un peu puis j'ai cliqué sur le OJ. La fenêtre est réapparue, clic, fenêtre, clic fenêtre plusieurs fois, avec des espaces de temps différents entre les apparitions.
Dans la fenêtre noire du logiciel le texte suivant est apparu (je n'ai pas fait gaffe à quel moment):
System file is infected !! Attempting to restore
 puis "C:\Windows\SysWoW64\Version.dll
         successfully restored
puis fenêtre blanche "procédure" re-clic, nouveau texte:

System file is infected !! Attempting to restore
      "C:\Windows\SysWoW64\drivers
tfs.sys"
re fenêtre procédure une douzaine de fois, nouveau texte

Suppression de fichiers 
re fenêtre, 2 clics, nouveau texte :
      "C:\users\CORESTA\GoToAssistDownloadHe1per.exe"

re fenêtre, 1 clic, nouveau texte :
System file is infected !! Attempting to restore
      "C:\Windows\SysWoW64	askmgr.exe"
re fenêtre procédure 4 clics, nouveau texte :

System file is infected !! Attempting to restore
      "C:\Windows\SysWoW64\msgsvc.dll"
re fenêtre procédure 2 clics, pause, 5 clics, nouveau texte

System file is infected !! Attempting to restore
      "C:\Windows\SysWoW64\comres.dell"
re fenêtre procédure 34 clics immédiats puis trois clics séparés, nouveau texte :

Redémarrage de Windows
re fenêtre 3 clics puis redémarrage effectif et encore une fenêtre blanche :
"L'application n'a pas réussi à redémarrer correctement (0xc000007b)
cliquer sur OK pour fermer l'application" 
clic, la même fenêtre apparapît derrière, puis celle de la procédure * une fois.
Ouf.
Là-dessus je remets mon Bitdefender car la connection internet s'est remise d'office, mais je n'ai pas accès à Firefox, ni en lancement direct ni en cliquant sur le lien du mail. 
Heureusement, je passe par Explorer pour retrouver le forum.
Hébé, on va s'en sortir ?

Fish66 · Answer

Re,  

*Avant d'utiliser combofix : 
1/ 
*Télécharge Rkill (de Grinler) depuis l'un des liens ci dessous :  

http://download.bleepingcomputer.com/grinler/rkill.pif  
https://download.bleepingcomputer.com/grinler/rkill.scr  
https://download.bleepingcomputer.com/grinler/rkill.com  
https://download.bleepingcomputer.com/grinler/rkill.exe  

*Enregistrer le fichier sur le Bureau.  
*Désactive ton antivirus et/ou antispyware .  
*Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.  
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.  
*Une fenêtre à fond noir va apparaître brièvement, puis disparaître.  

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution. Un fichier log a du être créé sur le bureau, le coller dans la réponse 

2/ Ensuite

Supprime combofix et télécharge le de nouveau sur le bureau de ton PC en le renommant par CORESTA.exe puis tu le lances de nouveau en prenant toutes les précautions déjà indiquées!  

S'il y'a encore de problème, lance le en mode sans échec avec prise en charge réseau comme suit :  

Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter   
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer enMode sans échec avec prise en charge réseau   
puis tape entrée.   
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !   
(Si F8 ne marche pas utilise la touche F5)   

@+  


_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _   
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

CORESTA · Answer

Bonjour,
Alors, état des lieux.

Au démarrage de l'ordi ce matin :
- fenêtre blanche "L'application n'a pas réussi à redémarrer correctement (0xc000007b) cliquer sur OK pour fermer l'application"

Essai sur le premier lien Rkill : page not found.
Essai sur le second lien : lancement direct sans placement sur le bureau
- petite fenêtre noire 
- une vingtaine de fois la fenêtre "Appl.error - The procedure * could not be located in the DLL_VERSION.dll"
- dans la fenêtre noire: "preparing Rkill"

puis 3 fois la fenêtre "l'application n'a pas pu démarrer etc."
- dans la fenêtre noire : "terminating known malware processes. Be patient"

puis plusieurs fois les deux fenêtres blanches en ordre dispersé.
- dans la fenêtre noire:
sed.exe: can't read C;\users\CORESTA\appData\local\Temp\rks1.log: No such file or directory
sed.exe: can't read C;\users\CORESTA\appData\local\Temp\rke1.log: No such file or directory
FINDSTR: Pas de chaines pour a recherche

rebelote, 4 fois la fenêtre "l'application n'a pu démarrer"
fermeture de la fenêtre noire. 
encore une fois l'application n'a pu démarrer.

ENSUITE,
Relance de Combofix en CORESTA.  
- fenêtre "l'application n'a pas pu démarrer..."

Démarrage en mode sans échec = idem pareil la même chose.

Ah, j'oubliais:
1) En arrivant, j'ai ouvert ton mail, qui commenaçat par "supprime Combofix". Ce que j'ai fait.  Or, sur le forum, il y avait le chapitre Rkill en amont. J'ai donc supprimé Combofix AVANT de faire la procédure Rkill.
2) J'avais omis de désactiver Bitdefender, j'ai donc recommencé après désactivation, et le troisième lien proposé, même effet.
3) Cette fois, il y a quand même un rapport, que voici, mais bon...:

This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you. 
Otherwise you can close this log when you wish. 

Rkill was run on 26/08/2011 at  8:57:52. 
Operating System:  


Processes terminated by Rkill or while it was running: 



Rkill completed on 26/08/2011 at  8:59:52.

Fish66 · Answer

Bonjour, 

Ce qui nous intéresse c'est le rapport Combofix, on a utilisé Rkill juste pour pouvoir passer combofix! 

Au démarrage de l'ordi ce matin :  
- fenêtre blanche "L'application n'a pas réussi à redémarrer correctement (0xc000007b) cliquer sur OK pour fermer l'application"  


Après avoir cliqué sur "OK" est ce que ton PC fonctionne correctement ? 


_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

CORESTA · Answer

Oui, tout fonctionne, Office 2010 Word, Excel, Outlook, PowerPoint sans souci. FileMaker 11 aussi.
Le seul truc, c'est que je ne peux plus utiliser ni réinstaller Firefox.

Fish66 · Answer

Re,

Utilise le logiciel ci-dessous pour la désinstallation de Firefox, ensuite

 réinstalle le de nouveau

Télécharge Revo-uninstaller 
	
Exécute ce fichier pour installation

*******Aide Revo-uninstaller*******

CORESTA · Answer

Raté ! Damned !
Téléchargement OK (sur le bureau)
mais au double clic sur l'icône, apparition de la fameuse fenêtre "l'application n'a pas réussi à démarre correctement (xc000007b) etc"

Fish66 · Answer

Essais de cliquer avec le bouton droit de la souris et choisis exécuter en tant qu'administrateur! 
_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

CORESTA · Answer

C'est ce que j'ai fait, puisqu'il semble que ce soit la procédure sous W7

Fish66 · Answer

Est ce que tu as essayé de le désinstaller en utilisant la méthode habituel ? (Démarrer / panneau de configuration ...)

CORESTA · Answer

Voui, mais j'ai la même fenêtre qui s'ouvre...

Fish66 · Answer

Re, Télécharge Dr Web CureIt sur ton Bureau : ? redemarre en mode sans échec ?- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ?- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ?- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ?- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ?- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ?- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ?- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ?- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ?-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : http://www.cijoint.fr/ ? Clique sur Parcourir et cherche le fichier ci-dessus. ? Clique sur Ouvrir. ? Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ? Copie ce lien dans ta réponse. ?- Ferme Dr.Web Cureit ?- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). @+

CORESTA · Answer

Téléchargeent ok
redémarrage en mode sans échec
Dbe clic droit : OK
2 fenêtres de mise en garde : OK
Au lieu de 'Analyse' j'ai "commencer le scan" : ok
et boum fenêtre d'erreur d'application avec 13ff4_xp.exe dans le bandeau.
et "l'application n'a pas réussi à démarrer..."

nouvelle fenêtre :
Attention! lors du scan, des virus on été détectés (RC=3221225595) 
le chemin de quarantaine se situe dans 
C:\Users\CORESTA\ DoctorWeb\Quarantine
le fichier du rapport est écrit dans
C:\Users\CORESTA\ DoctorWeb\CureIt.log
Il est recommandé de réaliser une analyse complète.
Pour définir les actions à réaliser lors de la détection de virus, sélectionner :
Options > Changer la config.. (bref comme dans ton post.
Clic sur OK
Fenêtre SrWeb Kit de Désinfection
- Testez gratuitement DrWeb antivirus version complète
- DrWeb Security Space

Là, j'ai cliqué sur X pour quitter.
Pas de menu Options, et pas de fichier de quarantaine dans C: (même pas de dossier Doctor Web!)

Au redémarrage normal, 
Fenêtre noire avec bandeau indiquant C:\Combofix\per.3XE
+ fenêtre erreur d'appli avec bandeau Adobe ARM.exe (OK pour fermer)
+ fenêtre erreur d'appli avec bandeau BrStMonW.exe (OK pour fermer)
+ fenêtre Application error : "the procedure * could not be located in the DLL_VERSION.dll"  (OK pour fermer)

et le reste va, sauf que si je clique sur le lien de réponse sur le mail, j'ai une demande d'installation. Alors je vais sur le forum et là ça marche mais on me dit que c'est sécurisé. Ça c'est nouveau!

CORESTA · Answer

Voici ce que ça dit :
Un site web veut ouvrir un contenu web en utilisant ce programme sur votre ordinateur (acroRd32.exe). Autoriser ou pas
Autoriser:
Impossible d'ouvrir l'application Adobe Reader en pode protégé en raison d'un pb lié à la configuration de votre système. Voulez-vous ouvrir Adobe Reader maintenant en désactivant le mode protégé ?
- option 1 : ouvrir en désactivant
- option 2 : toujours ouvrir en mode désactivé
- option 3 (cochée) Ne pas ouvrir.
Choix option 1 affiche "Adobe failed to load its Core DLL"

idem si j'essaie depuis le raccourci bureau ou en dbe cliquant sur un pdf.

J'ai essayé de désinstaller Acrobat Reader (v.10) 
"voulez-vous vraiment ?"
oui
"There is a pb with this Windows Installer package. A DLL required for this install to complete could not be run. Contact your support.
Action Applicable in use, entry:
ProcessAppsAndModulesInUse.library:
C:\Windows\Installer\MSIADE.tmp"

Le plus drôle c'est qu'il n'y a pas de dossier Installer dans C:\Windows...!

Fish66 · Answer

Re,
1/
As tu le rapport de Dr Web CureIt ?
2/
As tu le cd d'installation de ton windows ?

CORESTA · Answer

1/
Eeh non, voir on message de 13:37 je n'ai même pas de dossier DrWeb là où il me dit avoir déposé le rapport...

2/ 
j'ai mon CD W7

CORESTA · Answer

Bonjour ! 
Je viens aux nouvelles, car si je peux travailler correctement avec Office et ma messagerie, j'ai quand même deux soucis: 
- je ne peux pas accéder à Acrobat Reader, ni le désintaller, quelle que soit la méthode utilisée pour essayer (au fait, sur le forum, la recherce pour désinstaller (faq/10139/) fourni un lien qui ne s'ouvre pas).  
- je travaille avec Explorer puisque Firefow ne veut pas s'installer, et je suis coincé quand j'ai besoin de Flash qui ne veut pas fonctionner en navigateur 64bits. 

Pas vital, mais gênant quand même. 

Bon, je vais devoir partir vers 17h aujourd'hui,  et serai indisponible demain. Donc, si je dois me lancer dans un nettoyage complet avec réinstall de W7, Office et tutti quanti,  j'aimerais autant le savoir et y travailler mercredi matin en arrivant. 

Merci de ton aide

Ouverture intempestive sites de jeu (aussi !)

40 réponses

Votre réponse

Discussions similaires

Newsletters