Virus trojan-bnk.win32.keylogger.gen

titoune -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
Cela fait quelques semaines maintenant que je ne peut plus me servir de mon ordi à cause de ce méchant virus, on m'a proposé de télécharger combofix mais après aucunes solutions pour effacer et nettoyer mon ordi. Je joins le rapport du scan si quelqu'un peut m'aider j'en serais vraiment ravie!!!
ComboFix 11-09-07.02 - élo 07/09/2011 10:39:02.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3068.1475 [GMT 2:00]
Lancé depuis: c:\combofix\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Spyware Doctor *Disabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\élo\AppData\Local\ccm.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-08-07 au 2011-09-07 ))))))))))))))))))))))))))))))))))))
.
.
2011-09-07 08:52 . 2011-09-07 08:52 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-08-10 20:53 . 2011-08-10 20:53 -------- d-----w- c:\users\élo\AppData\Local\Threat Expert
2011-08-10 20:46 . 2010-01-22 07:55 767952 ----a-w- c:\windows\BDTSupport.dll
2011-08-10 20:46 . 2010-01-22 07:56 149456 ----a-w- c:\windows\SGDetectionTool.dll
2011-08-10 20:46 . 2010-01-22 07:56 165840 ----a-w- c:\windows\PCTBDRes.dll
2011-08-10 20:46 . 2010-01-22 07:56 1652688 ----a-w- c:\windows\PCTBDCore.dll
2011-08-10 20:21 . 2010-02-05 07:18 100136 ----a-w- c:\windows\system32\drivers\pctwfpfilter.sys
2011-08-10 20:21 . 2010-02-05 07:17 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2011-08-10 20:21 . 2010-03-10 09:36 217032 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2011-08-10 20:21 . 2009-11-23 11:54 88040 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2011-08-10 20:21 . 2010-02-05 07:25 70408 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2011-08-10 20:21 . 2011-09-07 08:34 -------- d-----w- c:\program files\Spyware Doctor
2011-08-10 20:21 . 2011-08-10 20:46 -------- d-----w- c:\program files\Common Files\PC Tools
2011-08-10 20:21 . 2011-08-10 20:21 -------- d-----w- c:\users\élo\AppData\Roaming\PC Tools
2011-08-10 20:21 . 2011-08-10 20:21 -------- d-----w- c:\programdata\PC Tools
2011-08-09 20:14 . 2011-07-13 03:39 6881616 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{27A501EB-B937-4919-8566-F7D3166087F4}\mpengine.dll
2011-08-09 20:14 . 2011-06-17 16:03 375808 ----a-w- c:\windows\system32\winsrv.dll
2011-08-09 20:14 . 2011-07-06 15:31 214016 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-06-20 955712]
"NokiaOviSuite2"="c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe" [2010-02-24 385928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\program files\Common Files\Nokia\MPlatform\NokiaMServer" [X]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1033512]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-04-15 178712]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-04-23 468264]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-03-14 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-04-15 70912]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-11-20 488752]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-03-29 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-04-15 442433]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-23 13539872]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-23 92704]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-10-30 500208]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-08 136176]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-08 136176]
R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys [2010-04-19 18432]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
R3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2010-03-11 366840]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-03-10 217032]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_030ac640\aestsrv.exe [2008-02-12 73728]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\Spyware Doctor\BDT\BDTUpdateService.exe [2010-01-22 112592]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-03-18 19456]
S2 Recovery Service for Windows;Recovery Service for Windows;c:\windows\SMINST\BLService.exe [2008-03-26 341328]
S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-02-07 193840]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-01-24 52736]
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-04-01 81296]
S3 NETw5v32;Pilote de carte Intel(R) Wireless WiFi Link pour Windows Vista 32 bits ;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-04-28 3658752]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-05-23 43552]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*Deregistered* - PCTSDInjDriver32
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 12:06 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2011-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-08 18:27]
.
2011-08-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-08 18:27]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
Trusted Zone: mtp-night.com\www
Trusted Zone: orange.fr\www
TCP: DhcpNameServer = 192.168.1.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-AdobeBridge - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-09-07 10:52
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2011-09-07 10:55:45
ComboFix-quarantined-files.txt 2011-09-07 08:55
.
Avant-CF: 102 015 127 552 octets libres
Après-CF: 101 953 875 968 octets libres
.
- - End Of File - - 2EB0D63EA62B8E3D20BFB70CC4F88AA7

15 réponses

Résumé de la discussion

Une infection par malware empêche l’utilisation de l’ordinateur sous Windows Vista, et l’utilisateur a tenté ComboFix sans obtenir de solution durable pour nettoyer le système. La première réponse récapitule le rapport ComboFix et signale des éléments suspects, notamment des DLL et pilotes, des entrées Run et des services liés à PC Tools, indiquant qu’un nettoyage complet est nécessaire. La deuxième réponse conseille d’utiliser ZHPDiag (Nicolas Coolman), d’exécuter l’analyse et de partager le rapport via un hébergeur, en précisant d’ouvrir ZHPDiag en tant qu’administrateur sur Vista et Seven. En complément, la discussion montre que les signes présentent un nettoyage guidé nécessitant des outils dédiés, et qu’une solution unique peut ne pas suffire, d’où l’intérêt d’un diagnostic approfondi et d’un second avis.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour

    Télécharger ZHPDiag (de Nicolas Coolman) sur le bureau .
    Dérouler la page et cliquer sur [Télécharger] ([ https://imageshack.com/ le bouton radio inférieur]).
    Ne pas oublier de cocher le bouton ratio en face de "Créer une icône sur le bureau".
    Se laisser guider lors de l'installation, ZHPDiag.exe se lancera automatiquement à la fin.

    ( /!\ L'outil a créé [ https://imageshack.com/ 4 icônes] , dont ZHPDiag (pour lancer l'application ultérieurement) et ZHPFix (pour le traitement du rapport) sur le bureau ) .

    /!\Utilisateur de Vista et Seven : Clic-droit sur le logo ZHPDiag2.exe > choisir, dans le menu contextuel qui s'affiche, l'option [Exécuter en tant qu'Administrateur]/!\

    - Cliquer sur le raccourci ZHPDiag du Bureau pour l'ouvrir.

    Cliquer sur l'icône représentant une loupe pour "Lancer le diagnostic".

    NOTES:
    - Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une "Disquette"

    - Héberger le rapport sur ce site https://www.cjoint.com/ ( ou sur celui-là ) > puis copier/coller le lien fourni dans la prochaine réponse vers le forum en cours.

    Merci

    PS: « ... on m'a proposé de télécharger combofix ... »
    ==> qui ça ?

    Patience-Vigilance-Amour.
    2
    1. titoune
       
      Voilà le lien où se trouve le rapport! Merçi de m'aider. Pour combofix c'est une connaissance qui s'y connait un peu dans les ordi pourquoi c'est pas ce qu'il fallait?
      0
    2. titoune
       
      http://cjoint.com/?0ItrqkkdjzP
      0
  2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Bien
    Merci
    Pas de souci avec ComboFix.

    Poursuivre comme ceci, s'il te plaît.
    (c'est une première étape)

    Désactiver l'UAC de Vista comme expliqué ICI

    Avec la souris, sélectionner toutes ces lignes en italique gras ci-dessous, en vrac;
    - puis après un clic-droit sur la sélection, les "copier" (ces lignes sont maintenant "dans la souris = le presse-papier")

    EmptyTemp
    SysRestore
    P2 - FPN: [HKLM] [@viewpoint.com/VMP] - (...) -- C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll (.not file.)
    O18 - Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} . (...) --
    O42 - Logiciel: vShare Plugin - (.Pas de propriétaire.) [HKLM] -- vShare
    [HKCU\Software\vShare]
    [HKLM\Software\OpenCandy NSIS SDK]
    O43 - CFD: 07/12/2010 - 21:48:28 - [1178922] ----D- C:\Program Files\vShare
    O69 - SBI: SearchScopes [HKCU] {043C5167-00BB-4324-AF7E-62013FAEDACF} [DefaultScope] - (Web Search...) - http://ww1.toolbarhome.com
    O87 - FAEL: "TCP Query User{30E1DA93-8CF4-45CB-AF3D-A2AD32346126}C:\program files\live-player\live-player.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\live-player\live-player.exe (.not file.)
    O87 - FAEL: "UDP Query User{3F911252-E765-425A-B709-E9707ED8C702}C:\program files\live-player\live-player.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\live-player\live-player.exe (.not file.)
    [HKLM\Software\Classes\PROTOCOLS\Handler\vsharechrome]
    [HKLM\Software\MozillaPlugins\@viewpoint.com/VMP]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\vShare]
    [HKLM\Software\Classes\vShare.ScriptHelpers]
    [HKLM\Software\Classes\vShare.ScriptHelpers.1]
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
    [HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
    [HKLM\Software\Classes\Interface\{20ED5AF7-D9C4-409E-9EB3-D2A44A77FB6D}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3475D2C4-BBD1-4255-A70D-4125A4D30956}]
    [HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]
    [HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}]
    [HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}]
    [HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}]
    [HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]
    [HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}]
    [HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare]
    [HKLM\Software\Messenger Plus!\OpenCandy]
    C:\Program Files\vShare
    C:\Users\élo\AppData\LocalLow\vShare
    [HKCU\Software\AppDataLow\Software\Conduit]
    O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (ooVoo Video Chat Customized Web Search) - http://search.conduit.com
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}]
    [HKLM\Software\Classes\CLSID\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}]
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
    [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
    [HKCU\Software\AppDataLow\Software\Conduit]
    O87 - FAEL: "{7BB60CD9-44CD-48A9-8AC2-BE2AFE4FF674}" | In - Public - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
    O87 - FAEL: "{F1FF216D-2140-44CA-8C3A-8263FE806021}" | In - Public - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
    EmptyFlash
    MBRFix
    HiddenFix


    Lancer ZHPFix à partir du raccourci sur le bureau .
    ( Pour Vista : Faire un clic-droit sur l'icône ZHPFix.exe présente sur le Bureau, et sélectionner, dans le menu contextuel qui s'affiche, l'option " Exécuter en tant qu'administrateur ").

    - Cliquer sur l'icône représentant la lettre bleue H, cela collera les lignes qui sont en mémoire dans le presse-papier.
    Vérifier que toutes les lignes prescrites de copier (et seulement elles) sont dans la fenêtre.

    * Cliquer sur GO.

    [*] Accepter la désinstallation des programmes si proposé, mais refuser le redémarrage de ton pc si également proposé, car cela stopperait ZHPFix.
    [*] Le navigateur risque de s'ouvrir pendant la désinstallation des toolbars, pas de panique c'est normal; fermer les fenêtres tout simplement.

    Le rapport de l'application va apparaître dans la fenêtre.
    * Copier/coller la totalité du rapport dans la prochaine réponse.( [CTRL+A] pour tout sélectionner, [CTRL+C] pour copier et [CTRL+V] pour coller )

    Arrêter puis redémarrer le PC.

    Relancer ensuite une analyse avec ZHPDiag comme précédemment, et poster le rapport.


    Merci
    Al.
    1
    1. titoune
       
      voici le rapport de ZHPFIX
      Rapport de ZHPFix 1.12.3361 par Nicolas Coolman, Update du 06/09/2011
      Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-19-09-2011-17-53-02.txt
      Run by élo at 19/09/2011 17:53:02
      Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

      ========== Logiciel(s) ==========
      SUPPRIME O42 - Logiciel: vShare Plugin - (.Pas de propriétaire.) [HKLM] -- vShare

      ========== Clé(s) du Registre ==========
      SUPPRIME Key: Mozilla Plugin: @viewpoint.com/VMP
      ABSENT CLSID PAPP: {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484}
      ABSENT Key: HKCU\Software\vShare
      SUPPRIME Key: HKLM\Software\OpenCandy NSIS SDK
      SUPPRIME Key: SearchScopes :{043C5167-00BB-4324-AF7E-62013FAEDACF}
      ABSENT Key: HKLM\Software\Classes\PROTOCOLS\Handler\vsharechrome
      ABSENT Key: HKLM\Software\MozillaPlugins\@viewpoint.com/VMP
      SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
      SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\vShare
      ABSENT Key: HKLM\Software\Classes\vShare.ScriptHelpers
      ABSENT Key: HKLM\Software\Classes\vShare.ScriptHelpers.1
      ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}
      ABSENT Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{043C5167-00BB-4324-AF7E-62013FAEDACF}
      SUPPRIME Key: HKLM\Software\Classes\Interface\{20ED5AF7-D9C4-409E-9EB3-D2A44A77FB6D}
      SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
      SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
      SUPPRIME Key: HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}
      SUPPRIME Key: HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}
      SUPPRIME Key: HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}
      SUPPRIME Key: HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}
      SUPPRIME Key: HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}
      SUPPRIME Key: HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}
      SUPPRIME Key: HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}
      ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare
      SUPPRIME Key: HKLM\Software\Messenger Plus!\OpenCandy
      SUPPRIME Key: HKCU\Software\AppDataLow\Software\Conduit
      SUPPRIME Key: SearchScopes :{afdbddaa-5d3f-42ee-b79c-185a7020515b}
      SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
      ABSENT Key: HKLM\Software\Classes\CLSID\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
      SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
      ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
      SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

      ========== Valeur(s) du Registre ==========
      SUPPRIME TCP Query User{30E1DA93-8CF4-45CB-AF3D-A2AD32346126}C:/program files/live-player/live-player.exe
      SUPPRIME UDP Query User{3F911252-E765-425A-B709-E9707ED8C702}C:/program files/live-player/live-player.exe
      SUPPRIME {7BB60CD9-44CD-48A9-8AC2-BE2AFE4FF674}
      SUPPRIME {F1FF216D-2140-44CA-8C3A-8263FE806021}

      ========== Dossier(s) ==========
      SUPPRIME Temporaires Windows: : 75
      ABSENT C:\Program Files\vShare
      SUPPRIME Flash Cookies: 1

      ========== Fichier(s) ==========
      SUPPRIME Temporaires Windows: : 100
      ABSENT File: c:\program files\viewpoint\viewpoint experience technology\npviewpoint.dll
      ABSENT Folder/File: c:\program files\vshare
      ABSENT Folder/File: c:\users\élo\appdata\locallow\vshare
      SUPPRIME Flash Cookies: 0

      ========== Master Boot Record ==========
      Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

      Resultat après le fix :
      Master Boot Record non infecté

      ========== Dossiers/Fichiers cachés restaurés ==========
      Mes images (My Pictures) : 329 Restauré(s) avec succès
      Ma musique (My Music) : 60 Restauré(s) avec succès
      Ma Video (My Video) : 1 Restauré(s) avec succès
      Mes Favoris (My Favorites) : 2 Restauré(s) avec succès
      Mes Documents (My Documents) : 289 Restauré(s) avec succès
      Mon Bureau (My Desktop) : 3 Restauré(s) avec succès
      Menu demarrer (Programs) : 7 Restauré(s) avec succès
      Dossier utilisateur (AppData) : 997 Restauré(s) avec succès
      Programmes (Program Files) : 0

      ========== Restauration Système ==========
      Point de restauration du système créé avec succès


      ========== Récapitulatif ==========
      32 : Clé(s) du Registre
      4 : Valeur(s) du Registre
      3 : Dossier(s)
      5 : Fichier(s)
      1 : Logiciel(s)
      1 : Master Boot Record
      1688 : Dossiers/Fichiers cachés restaurés
      1 : Restauration Système


      End of clean in 09mn 39s

      ========== Chemin de fichier rapport ==========
      C:\ZHP\ZHPFix[R1].txt - 19/09/2011 17:53:02 [4954]
      0
    2. titoune
       
      et voici la dernière analyse: http://cjoint.com/?0ItsmlDCTQG
      alors ça donne quoi?? merçi
      0
  3. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Bien
    Merci

    La suite:
    ==> Arrêter puis redémarrer le PC.
    ==> Relancer ensuite une analyse avec ZHPDiag comme précédemment, et poster le rapport.

    Je dois passer à table.
    À tout à l'heure.

    NOTE: Si trop d'attente, tu peux entamer ceci:
    Il serait souhaitable que tu supprimes AVAST4 de ton PC maintenant (utilise la page du lien, c'est plus radical et complet).
    En revanche, tu dois désinstaller l'antivirus en mode normal pour éviter que la désinstallation échoue à cause du composant "Windows Installer".
    [i]Cette version actuelle de Avast sert uniquement à t'avertir qu'il a laissé passer un élément infectieux !

    Réinstallation Avast 6 :
    Télécharger Avast, puis fais l'installation
    Tuto version 6 ici https://forums.cnetfrance.fr/tutoriels-securite-informatique/301049-tutoriel-avast-6
    Poster ensuite une analyse complète avec Avast6

    Merci
    Al.
    Patience-Vigilance-Amour.
    1
    1. titoune
       
      j'ai déjà envoyé le lien au dessus. j'avais actuellement antivir donc je l'enleve lui aussi pour remettre avast? bon appétit!
      0
    2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Re,

      Nos postes se sont chevauchés. ;)

      Oui
      Je me suis fourvoyé.
      J'ai voulu dire AntiVir de AVIRA (==> à désinstaller)
      (1°- Désactiver "guard" en faisant clic-droit sur le "Parapluie d'antivir" à coté de l'horloge, et tu décoches" guard"
      2°- Ensuite vas dans "panneau de configuration", "ajouter/supprimer un programme" et tu supprimes antivir
      )


      Et si tu as tout de même lancé la procédure de désinstallation de Avast, ce n'est rien; cela effacera sans doute les anciennes traces de Avast. Pas de souci avec ça.
      AVAST 6 est mieux maintenant, et il a une fonction de protection en temps réel (GUARD).
      ==> Donne un rapport, une fois installé.

      Tant que j'y pense, regarde dans ta liste de programmes installés, si tu trouves "Zugo" ; en ce cas, supprime-le.

      Je retourne à table.

      Al.
      0
    3. titoune
       
      Pas de souci, par contre j'ai oublié de le faire avant de lancer le scan minitieux de avast donc je le ferai après!! pour le moment j'ai encore deux fichiers infectés et j'en suis qu'à la moitié du scan donc on verra je t'envoi le rapport dès que c'est fini donc d'ici une bonne heure je pense!!!
      0
    4. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Bien,

      A)- ... et supprime ce que Avast6 détectera.

      B)- N'oublie pas de jeter "Zugo".

      C)- Question: As-tu payé "Spyware Doctor 7.0"

      D)- Si NON, tu pourras le supprimer et le remplacer par le réputé "MBAM = Malwarebyte's Anti-Malware". C'est un logiciel précieux. Il faut le mettre à jour avant CHAQUE analyse.

      Télécharger Malwarebyte's Anti-Malware depuis
      [ https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/?1 ].

      Enfoncer le bouton radio [Download Now],
      - puis sur le bouton [Enregistrer], choisir sur le bureau.
      Sur le bureau s'affiche alors l'icône "mbam-setup-1.51.2.1300.exe" .

      Une aide précieuse dans ce Tutoriel https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ .

      Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware soient cochées.

      Avant de lancer une analyse, vérifier que tous les disques amovibles soient encore branchés et sans les ouvrir.

      A la fin de l'analyse, un message s'affiche
      ==> Citation : L'examen s'est terminé normalement.
      ==> Cliquer sur "Ok" pour poursuivre.
      Si des malwares ont été détectés, cliquer sur "Afficher les résultats".
      Sélectionner tout (ou laisser coché) et cliquer sur "Supprimer la sélection" > MBAM va détruire les fichiers et clés de registre, et en mettre une copie dans la quarantaine.

      Prends ton temps.
      Comment se comporte le PC ?
      Merci.
      Al.
      0
    5. titoune
       
      alors je vais faire ce que tu viens de me donner, pour le rapport d'avast j'arrive pas à le sauvegarder par contre comme tu me le conseil j'efface les 2 menaces: win32:Hrupka-D [cryp] et la 2ème win32:adware-PT [Adw]
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    A)- Pas de souci.
    MBAM en analyse complète prend parfois plus d'1 heure.
    Il faut être patient et subir.
    Ne rien faire entretemps.

    B)- Cit. « Pour le message au démarrage de l'ordi ce n'est rien de grave? »
    Je ne vois pas que tu cites un message dans ton post initial.
    Voudrais-tu dire par là, qu'encore maintenant, et à chaque démarrage tu reçoives une alerte à propos de "Trojan-bnk.win32.keylogger.gen" ?

    Or:
    - 1°- tu as remplacé AntiVir par Avast6, et le rapport Avast 6 n'a pas signalé cette infection.
    - 2°- tu avais lancé ComboFix (je crois même 2 fois --> 10:39:02.1.2 ) ; il a supprimé "ccm.exe" ==> as-tu une explication au sujet de ce fichier (Par exemple: Aurais-tu renommé un outil de sécurité ?).
    - 3°- Peut-être également as-tu lancé d'autres outils; si c'est le cas, des "Indices" ont pu disparaître.

    Donc, je ne saisi pas bien cette dernière question que tu exposes. Désolé.

    C)- Comme écrit aux postes # 15 et 19, essaie de récupérer le rapport de la dernière analyse par Avast version 6.

    D)- Nous nous reverrons demain.
    Je dois maintenant quitter le PC.


    Poste le rapport MBAM après avoir eu soin de supprimer les éléments éventuellement trouvés.

    Ensuite, réactive l'UAC de Vista.

    Je vois que tu as Windows Defender ==> il ne sert pas à grand-chose depuis le remplacement des programmes que je t'ai suggéré de remplacer. ==> à discuter demain (à quelle heure ?)

    Merci pour ton patience et ta réactivité.
    Albert

    Patience-Vigilance-Amour.
    0
    1. titoune
       
      Oui l'analyse est toujours en route quand ça sera fini je posterai le rapport que tu pourra voir demain. pour le message au démarrage c'est le bloc-notes qui l'affiche mais ça doit pas être très important on verra ça demain! je cherche le rapport d'avast après aussi mais pour le moment je ne l'ai pas trouvé. demain je peux vers 11H du matin. bonne soirée et merçi beaucoup d'avoir consacré autant de temps.
      0
    2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Vu
      Bonne nuit
      Al.
      0
    3. titoune
       
      voilà le rapport de MBAM:
      Malwarebytes' Anti-Malware 1.51.2.1300
      www.malwarebytes.org

      Version de la base de données: 7750

      Windows 6.0.6002 Service Pack 2
      Internet Explorer 7.0.6002.18005

      19/09/2011 23:13:52
      mbam-log-2011-09-19 (23-13-52).txt

      Type d'examen: Examen complet (C:\|D:\|)
      Elément(s) analysé(s): 399007
      Temps écoulé: 1 heure(s), 40 minute(s), 13 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 1

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      c:\Qoobox\quarantine\C\Users\élo\AppData\Local\ccm.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      0
    4. titoune
       
      pour le scan avast j'ai réussi a récupérer que ça je te l'envoi par le lien en ligne:
      http://cjoint.com/?0ItxwqJeorb
      0
  6. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour élo,

    Bien
    Merci.

    As-tu encore des soucis avec le PC ce matin au démarrage ?
    As-tu réactivé l'UAC ?

    Faire cette application avec ZHPFix toujours sur le bureau:

    Avec la souris, sélectionner toutes ces lignes en italique gras ci-dessous, en vrac;
    puis après un clic-droit sur la sélection, les "copier" (ces lignes sont maintenant "dans la souris = le presse-papier")

    EmptyTemp
    O4 - Global Startup: C:\Users\élo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\avast! Antivirus.lnk . (...) -- C:\Program Files\Alwil Software\Avast4\ashAvast.exe (.not file.)
    O16 - DPF: {1C11B948-582A-433F-A98D-A8C4D5CC64F2} (20-20 3D Viewer) - http://kitchenplanner.ikea.com/fr/Core/Player/2020PlayerAX_Win32.cab
    O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    ~ Scan Objets ActiveX in 00mn 00s
    O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
    SR - | Auto 25/05/2011 349472 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
    O42 - Logiciel: Spyware Doctor 7.0 - (.PC Tools.) [HKLM] -- Spyware Doctor
    O43 - CFD: 07/09/2011 - 10:34:14 - [325846630] ----D- C:\Program Files\Spyware Doctor
    SS - | Demand 10/08/2011 366840 | (sdAuxService) . (.PC Tools.) - C:\Program Files\Spyware Doctor\pctsAuxs.exe
    SS - | Demand 10/08/2011 1142224 | (sdCoreService) . (.PC Tools.) - C:\Program Files\Spyware Doctor\pctsSvc.exe
    O43 - CFD: 12/10/2010 - 21:44:30 - [3422] ----D- C:\ProgramData\regid.1986-12.com.adobe
    O67 - Shell Spawning: <.com> <>[HKU\..\open\Command] (.Not Key.)
    O67 - Shell Spawning: <.exe> <>[HKU\..\open\Command] (.Not Key.)
    [HKCU\Software\Zugo]
    SysRestore
    EmptyFlash
    HiddenFix


    Lancer ZHPFix à partir du raccourci sur le bureau .
    ( Pour Vista : Faire un clic-droit sur l'icône ZHPFix.exe présente sur le Bureau, et sélectionner, dans le menu contextuel qui s'affiche, l'option " Exécuter en tant qu'administrateur ").

    - Cliquer sur l'icône représentant la lettre bleue H, cela collera les lignes qui sont en mémoire dans le presse-papier.
    Vérifier que toutes les lignes prescrites de copier (et seulement elles) sont dans la fenêtre.

    * Cliquer sur GO.

    [*] Accepter la désinstallation des programmes si proposé, mais refuser le redémarrage de ton pc si également proposé, car cela stopperait ZHPFix.
    [*] Le navigateur risque de s'ouvrir pendant la désinstallation des toolbars, pas de panique c'est normal; fermer les fenêtres tout simplement.

    Le rapport de l'application va apparaître dans la fenêtre.
    * Copier/coller la totalité du rapport dans la prochaine réponse.( [CTRL+A] pour tout sélectionner, [CTRL+C] pour copier et [CTRL+V] pour coller )

    <gras>Arrêter puis redémarrer le PC.

    Merci.
    Al.
    Patience-Vigilance-Amour.
    0
    1. titoune
       
      Bonjour Al,
      Au démarrage j'ai toujours le desktop- bloc-notes qui s'ouvre avec ce message dedans:

      [.ShellClassInfo]
      LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

      mais bon ça ne change rien au pc il démarre normalement pas de message d'avast ou autre.Hier soir j'ai bien r&activé l'UAC. Je lance ZHPFIX et je te tiens au courant
      0
    2. titoune
       
      Rapport de ZHPFix 1.12.3361 par Nicolas Coolman, Update du 06/09/2011
      Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-20-09-2011-10-39-31.txt
      Run by élo at 20/09/2011 10:39:31
      Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

      ========== Logiciel(s) ==========
      ABSENT Software Key: Spyware Doctor

      ========== Clé(s) du Registre ==========
      SUPPRIME Key: CLSID DPF: {1C11B948-582A-433F-A98D-A8C4D5CC64F2}
      SUPPRIME Key: CLSID DPF: {5C051655-FCD5-4969-9182-770EA5AA5565}
      SUPPRIME Key: CLSID DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072}
      SUPPRIME Key: CLSID DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48}
      SUPPRIME Key: Service: Bonjour Service
      ABSENT Key: Service: Bonjour Service
      ABSENT Key: Service: sdAuxService
      ABSENT Key: Service: sdCoreService
      SUPPRIME Key: HKCU\Software\Zugo

      ========== Dossier(s) ==========
      SUPPRIME Temporaires Windows: : 76
      ABSENT C:\Program Files\Spyware Doctor
      SUPPRIME Folder: C:\ProgramData\regid.1986-12.com.adobe
      SUPPRIME Flash Cookies: 1

      ========== Fichier(s) ==========
      SUPPRIME Temporaires Windows: : 32
      SUPPRIME Reboot c:\users\élo\appdata\roaming\microsoft\internet explorer\quick launch\avast! antivirus.lnk
      ABSENT File: c:\program files\alwil software\avast4\ashavast.exe
      SUPPRIME Reboot c:\program files\bonjour\mdnsresponder.exe
      SUPPRIME File: c:\program files\bonjour\mdnsresponder.exe
      ABSENT File: c:\program files\spyware doctor\pctsauxs.exe
      ABSENT File: c:\program files\spyware doctor\pctssvc.exe
      SUPPRIME Flash Cookies: 0

      ========== Dossiers/Fichiers cachés restaurés ==========
      Mes images (My Pictures) : 0
      Ma musique (My Music) : 0
      Ma Video (My Video) : 0
      Mes Favoris (My Favorites) : 0
      Mes Documents (My Documents) : 2 Restauré(s) avec succès
      Mon Bureau (My Desktop) : 1 Restauré(s) avec succès
      Menu demarrer (Programs) : 0
      Dossier utilisateur (AppData) : 180 Restauré(s) avec succès
      Programmes (Program Files) : 0

      ========== Restauration Système ==========
      Point de restauration du système créé avec succès

      ========== Autre ==========
      NON TRAITE ~ Scan Objets ActiveX in 00mn 00s


      ========== Récapitulatif ==========
      9 : Clé(s) du Registre
      4 : Dossier(s)
      8 : Fichier(s)
      1 : Logiciel(s)
      183 : Dossiers/Fichiers cachés restaurés
      1 : Restauration Système
      1 : Autre


      End of clean in 09mn 42s

      ========== Chemin de fichier rapport ==========
      C:\ZHP\ZHPFix[R1].txt - 19/09/2011 16:53:02 [5006]
      C:\ZHP\ZHPFix[R2].txt - 20/09/2011 10:39:31 [2452]
      0
  7. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,
    OK
    Vu, c'est plus clair avec le texte du bloc-notes.

    Tu pourras dès lors suivre ce qui est repris dans les deux liens suivants; mais je préfèrerais que tu le fasses plus tard, à l'issue de la désinfection. Merci.

    J'avais ceci en réserve : Désactiver l'ouverture du bloc-note (Notepad) à chaque démarrage; mais c'est apparemment exclusivement pour Seven.
    Donc, lis bien ce topic http://www.vista-xp.fr/forum/topic5421.html ; il devrait résoudre ce souci de message au démarrage du PC sous Vista ( pas une bonne idée ce Vista ;) ) . Suis bien les infos communiquées par Chantal11; également les précautions à prendre à la lettre.

    Al.
    Patience-Vigilance-Amour.
    0
    1. titoune
       
      pour la désinfection c'est ok? je peux résoudre le souci du message au démarrage au j'attends encore?
      0
    2. titoune
       
      ah oui tu voulais me parler hier de windows defender, justement il m'informe que certains programmes de démarrage sont bloqués
      0
    3. g3n-h@ckm@n
       
      salut Al,de passage...

      c'est HiddenFix de zhpdiag qui fait ce beug sur certains pc

      doit y avoir des entrées desktop.ini dans msconfig ^^
      0
    4. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Salut gen,
      Content de te lire.

      L'internaute aurait donc dû utiliser ZHPDiag avant l'ouverture de ce topic ?
      À confirmer par titoune ;)

      Effectivement, ce serait plus rapide à supprimer les entrées via "msconfig" en ligne de commande, plutôt que passer par 'affichage des "fichiers et dossiers cachés de système". J'y reviendrai à la fin de ce topic.

      Merci
      Amicalement
      Albert
      0
    5. titoune
       
      Rapport de ZHPFix 1.12.3361 par Nicolas Coolman, Update du 06/09/2011
      Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-20-09-2011-10-39-31.txt
      Run by élo at 20/09/2011 10:39:31
      Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

      ========== Logiciel(s) ==========
      ABSENT Software Key: Spyware Doctor

      ========== Clé(s) du Registre ==========
      SUPPRIME Key: CLSID DPF: {1C11B948-582A-433F-A98D-A8C4D5CC64F2}
      SUPPRIME Key: CLSID DPF: {5C051655-FCD5-4969-9182-770EA5AA5565}
      SUPPRIME Key: CLSID DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072}
      SUPPRIME Key: CLSID DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48}
      SUPPRIME Key: Service: Bonjour Service
      ABSENT Key: Service: Bonjour Service
      ABSENT Key: Service: sdAuxService
      ABSENT Key: Service: sdCoreService
      SUPPRIME Key: HKCU\Software\Zugo

      ========== Dossier(s) ==========
      SUPPRIME Temporaires Windows: : 76
      ABSENT C:\Program Files\Spyware Doctor
      SUPPRIME Folder: C:\ProgramData\regid.1986-12.com.adobe
      SUPPRIME Flash Cookies: 1

      ========== Fichier(s) ==========
      SUPPRIME Temporaires Windows: : 32
      SUPPRIME Reboot c:\users\élo\appdata\roaming\microsoft\internet explorer\quick launch\avast! antivirus.lnk
      ABSENT File: c:\program files\alwil software\avast4\ashavast.exe
      SUPPRIME Reboot c:\program files\bonjour\mdnsresponder.exe
      SUPPRIME File: c:\program files\bonjour\mdnsresponder.exe
      ABSENT File: c:\program files\spyware doctor\pctsauxs.exe
      ABSENT File: c:\program files\spyware doctor\pctssvc.exe
      SUPPRIME Flash Cookies: 0

      ========== Dossiers/Fichiers cachés restaurés ==========
      Mes images (My Pictures) : 0
      Ma musique (My Music) : 0
      Ma Video (My Video) : 0
      Mes Favoris (My Favorites) : 0
      Mes Documents (My Documents) : 2 Restauré(s) avec succès
      Mon Bureau (My Desktop) : 1 Restauré(s) avec succès
      Menu demarrer (Programs) : 0
      Dossier utilisateur (AppData) : 180 Restauré(s) avec succès
      Programmes (Program Files) : 0

      ========== Restauration Système ==========
      Point de restauration du système créé avec succès

      ========== Autre ==========
      NON TRAITE ~ Scan Objets ActiveX in 00mn 00s


      ========== Récapitulatif ==========
      9 : Clé(s) du Registre
      4 : Dossier(s)
      8 : Fichier(s)
      1 : Logiciel(s)
      183 : Dossiers/Fichiers cachés restaurés
      1 : Restauration Système
      1 : Autre


      End of clean in 09mn 42s

      ========== Chemin de fichier rapport ==========
      C:\ZHP\ZHPFix[R1].txt - 19/09/2011 16:53:02 [5006]
      C:\ZHP\ZHPFix[R2].txt - 20/09/2011 10:39:31 [2452]
      0
  8. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,
    @titoune

    ==> donne-moi le rapport ZHPFix, s'il te plaît.
    0
    1. titoune
       
      je l'avais posté un peu plus haut mais tiens je te le poste à nouveau
      0
  9. g3n-h@ckm@n
     
    j'ai fait ce petit truc qui vire ce probleme au demarrage avec le bloc notes

    http://dl.dropbox.com/u/21363431/Desk.ini_Search.exe
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Merci gen

      À exécuter uniquement ?

      Al.
      0
    2. g3n-h@ckm@n
       
      oui et normalement au redemarrage le beug n'est plus :)
      0
    3. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Ok
      Merci
      J'avais testé, mais pas vu assez ==> seulement la "Recherche" , suivie de l'extinction de la fenêtre.
      Merci pour cette confirmation.
      Albert
      0
  10. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    up pour test
    bug CCM ?

    OK ==>je relance pour la 4ème fois mon message

    @titoune

    Exécute l'outil de g3n-h@ckm@n ; il faut patienter le temps de la recherche.

    Ensuite terminer comme ceci:

    A)- Une chose à vérifier, comme ceci:

    ==> Télécharger AdwCleaner d'Xplode, sur le bureau à partir de ce lien http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner
    - Lancer AdwCleaner
    - Cliquer sur le bouton [Suppression]
    - Patienter ...
    Dès le scan fini, un rapport s'ouvrira; me poster son contenu dans la prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    B)- ==> Supprimer les outils utilisés lors de la désinfection; comme ceci:

    Télécharger DelFix de Xplode sur le bureau,à partir de ce lien

    1- - L'exécuter ; une page d'activation de l'outil s'affiche sur le bureau.
    - Enfoncer alors le bouton radio [Suppression].
    - Au terme de l'étape [Suppression], il faudra :
    2- Copier/Coller le contenu du rapport (Il est enregistré en C:\DelFixSuppr.txt) dans la prochaine réponse de la discussion en cours.

    3- Puis, redémarrer le PC.

    4- Ensuite, désinstaller DelFix en enfonçant le bouton radio [Désinstallation]

    C)- Télécharger OneClick2RestorePoint
    http://www.multifa7.be/Laddy/OneClick2RP.exe
    Miroirs ci-après, si le précédent n'est pas accessible:
    http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe

    1°- Double-clic sur OneClick2RP pour ensuite [Exécuter]
    (Note : Sous Vista/Seven , faire un clic-droit et, dans le menu contextuel, choisir [Exécuter en tant qu'administrateur])
    Cliquer sur le bouton "Purger", l'outil de nettoyage de Windows va s'ouvrir. Patienter pendant le scan ... Cette première étape donne ceci: https://imageshack.com/

    2°- Ensuite:
    Sur la fenêtre qui s'affiche à la fin du scan, ouvrir l'onglet "Autres options".
    - Une page s'affiche.
    - Dans la zone "Restauration système" (en bas), cliquer sur le bouton "Nettoyer", puis sur le bouton "Supprimer" > [OK] https://imageshack.com/
    - Cela terminera la mise à blanc du répertoire "Restauration Système" .

    Note</gras></souligne> : Les points de restauration système seront purgés sauf le dernier créé.

    D)- ==> Vacciner tes disques amovibles à l'aide de USBFix http://www.teamxscript.org/too/UsbFix.exe
    Au menu principal, choisis l'option 3 (Vaccination).

    E)- Windows Defender est une usine à faux-positifs.
    Activer ou désactiver Windows Defender

    F)- ==> Nettoyer avec ton CCleaner (registres et fichiers); après avoir fait sa mise à jour.

    Merci
    Al

    PS: J'ai posté mon message en 4 étapes (morceau par morceau) et ça a marché. Ouf. J'ai averti la modération.

    Patience-Vigilance-Amour.
    0
    1. titoune
       
      alors premiere étape faite voilà le rapport:
      # AdwCleaner v1.307 - Rapport créé le 20/09/2011 à 12:18:26
      # Mis à jour le 19/09/11 à 09h par Xplode
      # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
      # Nom d'utilisateur : élo - PC-DE-ÉLO (Administrateur)
      # Exécuté depuis : C:\Users\élo\Desktop\adwcleaner0.exe
      # Option [Suppression]


      ***** [KillNav] *****

      Aucun navigateur n'était en cours d'exécution.

      ***** [Processus] *****


      ***** [Services] *****


      ***** [Fichiers / Dossiers] *****


      ***** [Registre] *****

      Clé Supprimée : HKCU\Software\Zugo

      ***** [Navigateurs] *****

      -\\ Internet Explorer v7.0.6002.18005

      [OK] Le registre ne contient aucune entrée illégitime.

      *************************

      AdwCleaner[S1].txt - [722 octets] - [20/09/2011 12:18:26]

      *************************

      Dossier Temporaire : 8 dossier(s) et 19 fichier(s) supprimé(s)

      ########## EOF - C:\AdwCleaner[S1].txt - [944 octets] ##########
      0
    2. titoune
       
      Pour la 2ème étape le nettoyage des outils qu'on a utilisé il me marque un message d'erreur comme quoi il ne trouve pas le fichier spécifié
      0
    3. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Bien m
      Merci
      Ce truc "Zugo" revient toujours.
      --> Clé Supprimée : HKCU\Software\Zugo

      Il faut en venir à bout.
      Tu vas rechercher ses traces dans le PC; comme ceci:

      Télécharger SEAF ( de C__XX ) sur le bureau :
      ! Fermer toutes applications en cours !

      * Lancer "SEAF.exe" ( clic-droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) .
      * Dans l'encardré blanc intitulé " Entrez ci dessous...", il faut copier/coller Zugo


      * Au niveau des "Options des fichiers", faire les réglages suivant :

      > A "Calculer le checksum" , choisis : MD5
      > Cocher la case devant " Info. supplémentaire ".
      > Cocher la case devant " Afficher les ADS "
      > Cocher la case devant " Afficher également les dossiers "
      * Au niveau des " Options du registre " :
      > coche " chercher également dans le registre "
      > coche " chercher uniquement dans le registre "
      * Ne toucher à aucun autre réglage !

      * Cliquer sur " Lancer la recherche " et laisser travailler l'outil ...
      ( cela peut-être plus ou moins long suivant les cas ).

      --> Une fois terminé, une fenêtre avec un log .txt va s'afficher.
      Enregistrer ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ).
      Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

      --> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'hébergement comme pour ZHPDiag.

      Merci
      0
    4. titoune
       
      1. ========================= SEAF 1.0.1.0 - C_XX
      2.
      3. Commencé à: 13:00:15 le 20/09/2011
      4.
      5. Valeur(s) recherchée(s):
      6. zugo
      7.
      8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
      9.
      10. (!) --- Calcul du Hash "MD5"
      11. (!) --- Informations supplémentaires
      12. (!) --- Affichage des ADS
      13. (!) --- Affichage des dossiers
      14. (!) --- Recherche registre
      15.
      16. ====== Fichier(s) ======
      17.
      18. Aucun fichier trouvé
      19.
      20.
      21. ====== Entrée(s) du registre ======
      22.
      23. Aucun élément dans le registre trouvé
      24.
      25. =========================
      26.
      27. Fin à: 13:04:50 le 20/09/2011
      28. 575271 Éléments analysés
      29.
      30. =========================
      31. E.O.F
      0
    5. titoune
       
      aucune trace de zugo
      0
  11. titoune
     
    je continu quand même les autres étapes? je l'ai désinstallé et réinstallé mais il me marque le même message d'erreur:
    error: failed attempt to launch program or document: action: <C:\DelFixSuppr.txt>
    params: < >
    The current thread will exit.
    Specifically: Le fichier spécifié est introuvable
    Line#
    ---> 831: Run,%RapportFiles%
    0
  12. titoune
     
    je t'ai posté le rapport aucunes traces de zugo
    0
  13. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Bien.
    AdwCleaner avait bien travaillé.

    Je ne comprends pas ceci: « je l'ai désinstallé et réinstallé ... » ; je pense que tu cites DelFix
    D'accord, au post (#41) § B- 4° tu l'as supprimé.
    Mais pourquoi vouloir le réinstaller ?
    ==> essaie "clic-droit" > "exécuter en tant qu'administrateur" pour le lancer.

    Poursuis maintenant les applications du post # 41.
    Avais-tu exécuté l'outil de g3n-h@ckm@n ?

    Al.

    Patience-Vigilance-Amour.
    0
    1. titoune
       
      -oui je parlais de DelFix car il n'a pas voulu se mettre en route donc j'ai essayer de le réinstaller pour voir si ça pouvais marcher mais j'ai eu le même message d'erreur.

      -Oui j'ai fait l'application de g3n-h@ckm@n.

      -je poursuis les autres applications
      merçi
      0
    2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      ==> essaie "clic-droit" > "exécuter en tant qu'administrateur" pour lancer DelFix.
      0
    3. titoune
       
      Voilà le rapport de DelFix:
      # DelFix v8.4 - Rapport créé le 20/09/2011 à 13:54
      # Mis à jour le 16/09/11 à 21h par Xplode
      # Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
      # Nom d'utilisateur : élo - PC-DE-ÉLO (Administrateur)
      # Exécuté depuis : C:\Users\élo\Desktop\delfix.exe
      # Option [Suppression]


      ~~~~~~ Dossier(s) ~~~~~~

      Supprimé : C:\Kill'em
      Supprimé : C:\Qoobox
      Supprimé : C:\Program Files\SEAF
      Supprimé : C:\Program Files\ZHPDiag
      Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

      ~~~~~~ Fichier(s) ~~~~~~

      Supprimé : C:\AdwCleaner[S1].txt
      Supprimé : C:\ComboFix.txt
      Supprimé : C:\PhysicalDisk0_MBR.bin
      Supprimé : C:\rapport.txt
      Supprimé : C:\Windows\grep.exe
      Supprimé : C:\Windows\MBR.exe
      Supprimé : C:\Windows\NIRCMD.exe
      Supprimé : C:\Windows\PEV.exe
      Supprimé : C:\Windows\sed.exe
      Supprimé : C:\Windows\SWREG.exe
      Supprimé : C:\Windows\SWSC.exe
      Supprimé : C:\Windows\SWXCACLS.exe
      Supprimé : C:\Windows\zip.exe
      Supprimé : C:\Users\élo\Desktop\SEAF.exe

      ~~~~~~ Registre ~~~~~~

      Clé Supprimée : HKLM\Software\AdwCleaner
      Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
      Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
      Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
      ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware

      ~~~~~~ Autre ~~~~~~

      -> Prefetch vidé

      ########## EOF - "C:\DelFixSuppr.txt" - [1569 octets] ##########
      0
  14. titoune
     
    Par contre mauvaise nouvelle, le message au démarrage est toujours présent malgré l'application de gen
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Zut alors!

      Exécute la commande msconfig
      ( ==> [Démarrer] > [Exécuter] et copier/coller cette commande dans la zone de saisie : CMD )
      Valider par la combinaison de touches suivantes : [Ctrl + Shift + Entrée].
      Et dans la liste sous l'onglet "Démarrage", repère ces lignes "desktop.ini"
      [.ShellClassInfo]
      LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

      Et supprime-les.
      0
    2. g3n-h@ckm@n
       
      en fait il faut supprimer c:\ProgramData\Microsoft\windows\startmenu\programs\startup\desktop.ini
      0
    3. titoune
       
      heu je ne trouve pas exécuter dans démarrer...
      0
    4. titoune
       
      oki c'est fait
      0
    5. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Bien, mais comment ?
      Par le dernier conseil de g3n-h@ckm@n, ... ou via "msconfig" ?

      N'oublie pas # 41 § C
      0
  15. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    OK
    Bonne continuation.
    Reviens quand tu veux.
    Albert
    0
    1. g3n-h@ckm@n
       
      ;)
      0
    2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      ;)
      0