Ordi piraté - dossier inacessible Résolu/Fermé

Question

Bonjour, 

J'ai été piraté à distance par je ne sais pas qui, et mon répertoire le plus important, qui contient mes datas, a été renommé et je n'ai pas accès au répertoire ni aux sous répertoires qui ont été renommés. Je suis pourtant le seul user administrateur sur ce PC sous Windows 7 x64 SP1.

Merci aux personnes compétentes de répondre, pas besoin de mauvaises pistes! :)

Configuration: Windows 7 / Firefox 6.0.2

Lyonnais92 · Accepted Answer

Re,

je ne pense pas qu'il y ait des réponses éffacées.

Suivant la manière dont on réponds, la réponse ne s'inscrit pas au même endroit (en fin de topic ou en dessous du post auquel on répond).

Quand il y a plusieurs pages, la lecture peut être compliquée.
 
===

Il n'y a aucune connotation morale à mes questions.

il peut y avoir, par contre, une mise en évidence de contradiction ou de facteurs de risques (exemple type, accepter d'installer un codec quand un site porno le suggère a toutes les chances d'aboutir à une infection).

Par contre, techniquement, j'ai besoin de comprendre ce qui s'est passé.

Il ne servirait à rien de "remettre en l'état" (si on y arrive) si le mécanisme de la modification est encore actif);

J'ai besoin de connaître l'état des lieux.

Je suis d'autant plus dans le bleu, ici, que rien dans ton rapport, si le chat est clean, ne me semble pouvoir expliquer les modifications que tu indiques.

Et, il ne semble pas y avoir eu de revendication d'un ransonware.

===

Aucun répertoire ne s'appelle DATA. Au plus court, C:\DATA, mais ça peut être C:\users\DATA.

Donc je veux le nom complet.

===

Si tu fais clic droit et Propriétés sur le nom du répertoire (à partir de l'explorateur Windows), il se passe quoi ?

dna.factory · Answer

"pas besoin de mauvaises pistes"
tu ne peux pas savoir si c'est une mauvaise piste avant d'avoir essayé, c'est en testant les mauvaises pistes qu'on trouve la bonne...

pour commencer : tu dis avoir été piraté... en es tu sur ?
parce qu'un piratage à distance, c'est extrêmement compliqué, et ça nécessite généralement que tu installe quelque chose sur le pc.

Que te mets-il comme message quand tu essaye d'accéder au dossier ?

as tu vérifié que ton compte est toujours administrateur ?
as tu essayer de créer un autre compte administrateur ?

Avec un compte utilisateur, essaye le 'take ownership' (devenir propriétaire) du dossier, je saurais te guider vers ça pour XP, mais pas pour seven.

antipolis a · Answer

Pour vous donner quelques bonnes pistes :
https://forum.malekal.com/viewtopic.php?t=3259&start=

Et comme je ne suis pas un spécialiste du "dévirussage", ce sera ma seule intervention.

Cordialement.

KRitchie · Answer

"pas besoin de mauvaises pistes"
tu ne peux pas savoir si c'est une mauvaise piste avant d'avoir essayé, c'est en testant les mauvaises pistes qu'on trouve la bonne...

pas faux


pour commencer : tu dis avoir été piraté... en es tu sur ?
parce qu'un piratage à distance, c'est extrêmement compliqué, et ça nécessite généralement que tu installe quelque chose sur le pc.

Sûr et certain, d'où cela viendrait alors?

Que te mets-il comme message quand tu essaye d'accéder au dossier ?

Que je n'ai pas les droits suffisants etc, continuer et Fenetre symbole rouge.

as tu vérifié que ton compte est toujours administrateur ?
as tu essayer de créer un autre compte administrateur ?

Je vais essayer ça.

Avec un compte utilisateur, essaye le 'take ownership' (devenir propriétaire) du dossier, je saurais te guider vers ça pour XP, mais pas pour seven. 

Je suis sous 7 pas sous XP.

dna.factory · Answer

https://www.blogsdna.com/2159/how-to-take-ownership-grant-permissions-to-access-files-folder-in-windows-7.htm

Lyonnais92 · Answer

Bonsoir,

quel était le nom du répertoire ?

Et le nom actuel ?

Fais ceci que l'on ait une vue de l'état de l'ordi :

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse. 
 
 (si Cijoint ne fonctionne pas, essaye ici : http://pjjoint.malekal.com/ )

KRitchie · Answer

Je n'ai pas le fichier .txt dans le répertoire mais apparemment mon pc est bien infecté par des trojans si j'en crois le rep liste speciale.

ps: l'informatique sous windows c'est devenu vraiment de la m....

Lyonnais92 · Answer

Re,

regarde si tu n'as pas un fichier ZHPDiag.txt dans C:\ZHP

KRitchie · Answer

Non je ne 'ai pas ce répertoire, peut-être que le logiciel n'a pas les droits pour le créer. Mon pc me paraît bien vérolé, j'aimerais le nettoyer.

Lyonnais92 · Answer

Bonjour,

pour avancer avec un minimum de sécurité, j'ai besoin de ce rapport.

A la fin de l'analyse par ZHPDiag, clique sur la disquette (à droite de la loupe) et enregistre le rapport. Conserve le nom que tu lui as donné.

Fais la procédure avec Cijoint pour le transmettre.

KRitchie · Answer

ok merci bien voilà le lien:

http://www.cijoint.fr/cjlink.php?file=cj201110/cijOyq2rko.txt

les hackers et créateurs de virus/trojan sont des malades.

Lyonnais92 · Answer

Re,

quel est le nom du répertoire renommé (ancien et nouveau) ?

C'est toi qui as installé  BeNaughtyChat ?

===


les hackers et créateurs de virus/trojan sont des malades.

non, ce sont aujourd'hui des "industriels" qui font du fric. 


-

KRitchie · Answer

ancien: DATA
nouveau: 3917b391b8b06ff22b1c  tous les sous répertoires ont été réorganisés et renommés.

pour le chat ce n'est pas moi qui l'ai installé directement mais c'est normal qu'il soit là.

Lyonnais92 · Answer

Re,

c:\DATA renommé en C:\3917b391b8b06ff22b1c ?

 KRitchie n'est pas administrateur ?

Ca s'est produit quand ?

Pas de message à ce moment là?

KRitchie · Answer

Si KRitchie est admin mais ne peux agir sur ce rep.

Sinon ça s'est produit en tâche de fond.

Lyonnais92 · Answer

Re,

c:\DATA renommé en C:\3917b391b8b06ff22b1c ? 

Ca s'est produit quand ?

KRitchie · Answer

Il y a qq jours mais maintenant que j'ai posté le rapport je voudrais une solution svp, merci.

Lyonnais92 · Answer

Re,

Re,

c:\DATA renommé en C:\3917b391b8b06ff22b1c ?

Ca s'est produit quand ? 

Tu avais écrit : Je suis pourtant le seul user administrateur or il y a 2 sessions de users ayant le statut d'administrateur. Tu es le seul à utiliser les 2 sessions ?

Tu as écrit : pour le chat ce n'est pas moi qui l'ai installé directement mais c'est normal qu'il soit là. Ce qui est une formulation bizarre.

Ton rapport ne montre aucune trace d'intrusion (hormis le chat).

Avant d'aller voir comment est organisé le répertoire aujourd'hui, qui a des droits d'accès, .... je me demande si ce n'est pas une action interne.

KRitchie · Answer

Oui je suis le seul à me logger en admin sur les deux.

pour le chat, oublie.....

action interne de windows 7????  kezako

Lyonnais92 · Answer

Re,

pas une action interne de Windows mais une action interne entre les utilisateurs de l'ordi.

Piste oubliée si tu es le seul utilisateur.

Le chat reste, à ce jour, la seule ouverture évidente et non contrôlée sur l'extérieur.

===

c:\DATA renommé en C:\3917b391b8b06ff22b1c ?  (ter)

Qui est propriétaire actuel de ce répertoire ?

Qui a des droits dessus et lesquels ?

dna.factory · Answer

"pour le chat, oublie..... "

dans la mesure ou il y a 95% de chance que ce genre de programme soit à l'origine de tes soucis, ça a son importance.
on ne juge pas, si tu veux tu peux nous dire que c'est ton petit frère ou ton chien qui l'a installé, on fera mine de te croire.
c'est juste pour savoir si c'est une cause ou une conséquence.

Comme je l'ai dit plus haut, un piratage nécessite que tu installe quelque chose sur ton pc.

KRitchie · Answer

Ok le chat est désintallé et les 4 utilisateurs sont Système, Dijkstra KRitchie et un dernier "Administrateurs^Dijsktra... etc".

De toute façon je pense que je ne pourrai pas récupérer mes répertoires comme avant..... A moins que vous ayez une super solution mais ça m'étonnerait.

KRitchie · Answer

Non effet je n'aime pas les leçons de morale venant de gens qui souvent ne font pas leur introspection.

Sinon reste à savoir comment j'accède à mes répertoires puisque j'ai la fenêtre L'accès vous est refusé qui s'affiche.

Notons que j'ai déjà eu ce souci sans avoir installé l'appli de chat qui m'a été imposée par le site.

Lyonnais92 · Answer

Re,


c:\DATA renommé en C:\3917b391b8b06ff22b1c ? (quater)

Qui est propriétaire actuel de ce répertoire ?

Qui a des droits dessus et lesquels ?

KRitchie · Answer

Maintenant que j'ai répondu aux questions et que vous avez le rapport que vous vouliez, je voudrais que quelqu'un me réponde sur la procédure avec laquelle je peux récupérer mes droits sur les répertoires. C'est un ordinateur personnel qui m'appartient et qui appartient à personne d'autre.

dna.factory · Answer

Le problème, justement, c'est que ça fait 4 fois que Le lyonnais te pose la même question, et que tu n'y réponds pas...
donc ne dis pas que tu as répondu aux questions

KRitchie · Answer

Quelle est la procédure à appliquer pour retrouver mes droits sur mes répertoires? Merci.

dna.factory · Answer

Si tu ne comprends pas une question, dis le nous au lieu de l'ignorer.
Si tu ne sais pas comment faire ce qu'on te demande, dis le nous.
Si tu n'arrive pas à le faire, dis le nous en indiquant le message.


Si tu ne comprends pas ce dont je parle, relis TOUS les messages de ce sujet, en particulier celui là : 
https://forums.commentcamarche.net/forum/affich-23423951-ordi-pirate-dossier-inacessible?page=2#25

on ne pourra pas résoudre la situation d'un coup de baguette magique, il n'y a pas de procédure 'magique'. Il va falloir qu'on te pose plein de question, qu'on te demande de faire des tests, des bidouilles.

Si tu ignores la moitié des questions, on ne pourra pas avancer, et on finira par en avoir marre et te laisser te débrouiller.

Lyonnais92 · Answer

Re,

1) quel est le nom complet du répertoire ? (cinquième demande)

2) quel est le propriétaire actuel et qui a des droits et lesquels (si tu ne sais pas faire, tu dis).

dna.factory · Answer

"Notons que j'ai déjà eu ce souci sans avoir installé l'appli de chat qui m'a été imposée par le site."

désolé d'insister sur ce 'chat', ce n'est pas du harcellement, tout le monde à bien compris qu'en vrai c'est le chat de My Little Poney : Frienship is Magic mais qu'il s'appelle comme ça pour ne pas mettre la honte.

Ce sur quoi je veux insister c'est le 
J'ai déja eu ce soucis.
on a besoin de chronologie là

tu utilisé le passé composé  ce qui sous entends que tu avais le problème, et qu'il a été résolu.
merci de nous éclaircir sur ce point.

même en considérant que le problème a eu lieu en continu (auquel cas il fallait utiliser le passé simple, mais je vais pas faire mon grammar nazi). Auquel cas ce soucis ne te bloque pas...

maintenant, ta situation me rappelle curieusement une situation que j'ai eu il y a quelque temps.

un horrible virus dénomé Windows créait des répertoires avec des noms en hexa (un peu comme ceux que tu as donné) a la racine de mon disque dur. (que ce soit mon C ou mon Téra externe).

J'insiste, ces dossiers étaient crées, il ne s'agissait pas de renommage ou autres, mais de pure création.

Je pense que ces dossiers étaient liés à des mises à jour windows qui n'arrivaient pas à s'installer, généralement lié à un espace disque insuffisant.

Ces fichiers étant considérés comme des fichirs systèmes, ils étaient verrouillés, et impossible à supprimer, j'ai du télécharger un outil de suppression forcé pour m'en débarasser.

cependant, ces dossier ne m'empechait en aucun cas de travailler.

Voila pourquoi dès le début je te demandais ce qui te faisait dire qu'il s'agissait de piratage.

Lyonnais92 · Answer

Re,

on s'en f... de ta vie. C'est pas le sujet.

===

C'était D:\DATA si je ne me trompe pas, sur la seconde partition logique du DD

Il faudrait savoir.

Parce que ZHPDiag ne "voit" pas de partition D.

Ce qui veut dire que D:\3917b391b8b06ff22b1c n'existe pas et que ce qui s'est passé ne correspond pas exactement à ce que tu as décrit.

====

Si tu fais démarrer, Panneau de configuration, Outils d'administration, Créer et formatter des partitions de disques dur, tu vois quoi dans Disque 0 ?

===

Sur l'objet dont tu as examiné les propriétés, tu fais propriétés, Sécurité, avancé, propriétaire.

Qui est Propriétaire ?

dna.factory · Answer

Pour quelqu'un qui commencer par dire 'pas de fausse piste'... c'est pas malin de mettre une fausse piste dans le titre du message.

Alors, je vais te reposer la question que j'ai posé dans mon premier message : 
'Qu'est ce qui te fait dire qu'il s'agit de piratage et non d'un bug windows ?'

Je comprends que tu n'ait pas le niveau pour répondre à cette question, car si tu l'avais, tu n'aurais pas besoin de nous. 
Mais quand on ne sait pas, quand on est pas "compétent(e) de répondre", on explique le problème sans "donner de fausse pistes"

Pour ma part, au vu de mon expérience personnelle et de mes talents de voyant, je suis persuadé qu'il s'agit d'un bug.

C'est pourquoi, afin d'avancer un peu, il va falloir etre précis sur ce qui ce passe, avec les infos exact, pas du 'si je me trompes pas, ça devrait avec un peu de chance peut-etre approximativement etre ça'

Il va falloir que tu répondes aux question qu'on te pose, même si tu as l'impression de subir un interrogatoire.

Si tu ne sais pas faire, ou si tu ne comprends pas, il faudra le dire.
Si tu n'as pas envie de faire les manips, alors il faudra le dire, et on arreteras de chercher à t'aider.

donc pour commencer : il nous faut : nombre, lettre et espace disque sur les disques dur, 
soit tu utilise la méthode indiqué par Lyonnais, soit tu vas simplement dans l'espace de travail, et tu liste les disques dur.

KRitchie · Answer

Désole pour la fausse piste mais quand il y a un contrôle à distance c'est une piste possible. Je ne pense pas que Windows soit assez "fou" pour renommer un répertoire comme ça et tout modifier.

Alors puisque je voudrais récupérer mes droits sur ce directory:

C: Disque Local : 146 Go
D: DATA  319 Go pour un DD de 500 Go au départ.

DATA contient un répertoire au premier niveau qui a été renommé 3917b391b8b06ff22b1c.

Voilà j'espère que cela suffira!

Peudo.. · Answer

slt

http://www.cijoint.fr/cj201110/cijOyq2rko.txt

Le fait que avast et avira tourne en même temps, ça ne vous gêne pas ?

---\ Processus lancés

[MD5.4C6898F15701AE7C41775C14E423FE25] - (.AVAST Software - avast! Antivirus.) -- C:\Program Files\AVAST Software\Avast\AvastUI.exe [3459712] [PID.3508]
[MD5.C983E62B6FB74457D173BA93F66F6068] - (.Avira GmbH - Antivirus System Tray Tool.) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [281768] [PID.3516]

[MD5.7DE3EE7DBEE14C1F8375CB82466C9321] - (.AVAST Software - avast! Service.) -- C:\Program Files\AVAST Software\Avast\AvastSvc.exe   [42184] [PID.]
[MD5.B4837FE56D76B2E9EA90E5365CF6A2BE] - (.Avira GmbH - Antivirus Scheduler.) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe   [136360] [PID.]

Non inscrit, ne veut pas dire que vous devez nous mépriser ; merci.

Lyonnais92 · Answer

Bonjour,

ZHPDiag voit en F:\ ce que tu donnes en D:\

===

Si tu fais démarrer, Panneau de configuration, Outils d'administration, Créer et formatter des partitions de disques dur, tu vois quoi dans Disque 0 ?

===

Sur 3917b391b8b06ff22b1c, tu fais propriétés, Sécurité, avancé, propriétaire.

Qui est Propriétaire ?

KRitchie · Answer

Propriétaires: les 4 users que j'ai donné dans l'onglet sécurité,

il y a: controle total pour tous les utilisateurs sauf Christophe, mais même en passant en admin (l'équivalent d'un su - en unix), je ne peux pas y accèder.
Pour Christophe il y a autorisation spéciale sinon tout est <non hérité>.


Sinon le propriétaire affiché est Système, et le disque logique affiché est F:

J'avoue que je connais pas comment windows 7 gère les droits mais ça me paraît trop compliqué.

jean76570 · Answer

salut
sa donne quoi ci tu fais une restauration de systeme

KRitchie · Answer

Non on peut avoir plusieurs anti virus sans que cela gêne....

Lyonnais92 · Answer

Re,

Propriétaires: les 4 users que j'ai donné dans l'onglet sécurité,

non.

Comme tu le dis plus bas, il y a un seul propriétaire qui est Système.

Est ce que tu peux changer le Propriétaire et mettre un des user administrateur à la place ? 

Si oui, est ce que cette modification survit à un redémarrage de l'ordi ?

dna.factory · Answer

on commence à avancer, même si ce n'est pas facile, à faire le tri entre les fausses pistes que tu n'arretes pas de nous mettre entre les pates :  

"quand il y a un contrôle à distance " : il y a-t-il eu controle à distance à un moment, ou parles-en tu simplement parce que l'option existe dans windows ? 
et quand je parle de controle à distance, je veux dire : as tu vu la souris boger, cliquer, etc... 
Si ce n'est pas le cas, n'en parlons pas, comme tu l'as dit, évitons les fausses pistes. 

"que Windows soit assez "fou" pour renommer " : c'est le point qui me chiffone depuis le début : ton repertoire a t il réellement été renommé ? 
en es tu sur.. Depuis le début tu nous parles d'un répertoire data renommé en quelque chose, or DATA n'est pas un répertoire, mais le nom du disque. 
et je doutes que tu ait crée dedans un répertoire nommé data (j'ai mes raisons pour supposer cela.) 

ce qui signifie donc qu'il n'y avait pas de répertoire data. 

donc si ce répertoire n'existe pas, comment a t il été renommé ? 
si tu avais un répertoire dans d (et tu en as un vu qu'il manque plus de 100 Go) comment était-il nommé ? 

Au passage, je ne suis pas le seul à te poser des questions (même si les miennes ne sont pas techniques et donc facile à répondre), n'oublie pas de répondre aux question de Lyonnais qu'il doit te poser à chaque fois deux ou trois fois...


Stop failing the turing test !

KRitchie · Answer

Cela a fonctionné mais je ne peux supprimer le repertoire en question, il me met un accès refusé (super cohérent au passage). J'ai des tas de sous repertoires qui servent a rien et qui ont installer un virus ou le chat.... Faut que je les supprime un par un.

Donc mon répertoire le plus important a été effacé par je ne sais quel logiciel ou pirate.

Lyonnais92 · Answer

Re,

si tu scannes ce répertoire avec ton antivirus, il dit quoi ?

(règle le pour ne rien mettre en quarantaine, juste examiner les fichiers. Après ce scan tu remettras les paramètres actuels)

dna.factory · Answer

pour moi tu as deux problèmes distinct.
tu as des répertoires bidons qui se créent.
cela m'est déja arrivé, pour arriver à les supprimer, j'ai été obligé d'utiliser un logiciel 'unlocker'.

comme indiqué dans un de mes messages précédents dans une tentative d'humour probablement mal interpretée : pour moi ces dossiers sont liés à un bug windows. ils ne sont pas importants (et je les supprime sans vergonne)

-----

Au dela de ça, tu as apparement perdu un dossier important, comment se nommais ce dossier, te rappelle tu du nom d'un fichier qui était dedans ?
tu as peut-etre déplacé ce dossier dans un autre en faisant un mauvaise manip

au vu de l'état de ton disque, tu as beaucoup de données, dans ce cas, fait un clic droit sur chaque répertoire, propriétés, et regarde la taille du dossier

quand tu auras trouvé celui qui est très gros, ce que tu cherches est probablement dedans.

si tu cherches juste ton cv, fait une recherche de CV.doc ou docx dans ton disque, et regarde ce que tu trouves

KRitchie · Answer

Justement le répertoire DATA était dans le disque logique F:\DATA.

Dommage tout ce temps perdu pour juste changer le propriétaire du rép, vous auriez pu le dire tout de suite.

Et vous n'êtes pas assez malin pour savoir qui ou quoi m'a fait perdre ce répertoire.

Lyonnais92 · Answer

Re,

KRitchie, tu en fais un peu beaucoup.

===

Regarde dans les Corbeilles (de C:\ et de F:\) si il n'y a pas ce que tu cherches.

===

Est ce que tu confirmes ce que dit Gen (il y a un fichier setup.exe et un fichier update.exe) ?

===

Que donne le scan de ce répertoire par ton antivirus ?

===

On n'est pas devin.

On a 2 sources d'information :

- les rapports d'un certain nombre d'outils qui nous informe sur une partie de l'état du système

- les déclarations de l'internaute qui demande de l'aide.

Il n'y a rien dans les rapports qui montrerait une intrusion.

Il n'y a rien dans ce que tu dis qui orienterait vers un rootkit (mais je peux vérifier) encore présent.

La seule chose "bizarre" est ce répertoire dont on ne sait pas d'où il vient.

Mais qui ne semble pas être la transformation du répertoire disparu.

C'est pourtant sur cette piste que tu nous a lancé.

Le moins que l'on puisse dire est que pour avoir des infos pour confirmer ou infirmer ça, il a fallu batailler.


===

Ce que je vais ajouter ne concerne pas que toi, mais te concerne.

Les documents personnels importants font l'objet d'une sauvegarde régulière sur un autre support que le DD (pas seulement sur une partition, sur un autre support physique).

Les erreurs de manip, ça existe.

Les disques durs qui deviennent illisibles, ça existe.

Les infections qui mettent en danger les données persos, ça existe.

Faites des sauvegardes.

Faites des sauvegardes.

Faites des sauvegardes.

KRitchie · Answer

Ok merci mais pour les sauvegardes, on est au courant presque tout le monde possède des clés et des DD externes.
Comme j'ai déjà eu des hackers mauvais qui prenaient le contrôle de ma bécane, je t'ai donné cette piste.
Il reste que Windows est une passoire coté sécu, c'est connu, et la dernière fois que j'ai eu un virus/trojan/pirate j'ai dû acheter un autre DD car le truc a bousillé l'ancien DD.
Je n'ai pas de virus détecté pour le moment alors c'est ok.
Merci pour toutes les infos maintenant je ne suis plus loggé en admin, ça vaut mieux.
bonne soirée.

Lyonnais92 · Answer

Re,

j'en conclus que tu as une sauvegarde.

===

il reste des toolbars.

 
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

M2 - MFEP: prefs.js [Dijkstra - n6qr59ef.default\{91da5e8a-3318-4f8c-b67e-5964de3ab546}] [] ZoneAlarm Security Community Toolbar v3.7.0.6 (.Conduit Ltd..)
R3 - URLSearchHook: ZoneAlarm Security Toolbar [64Bits] - {91da5e8a-3318-4f8c-b67e-5964de3ab546} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.4.1) -- C:\Program Files (x86)\ZoneAlarm_Security\prxtbZone.dll
R3 - URLSearchHook: ZoneAlarm Security Toolbar [64Bits] - {91da5e8a-3318-4f8c-b67e-5964de3ab546} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.4.1) -- C:\Program Files (x86)\ZoneAlarm_Security\prxtbZone.dll
O2 - BHO: Conduit Engine  [64Bits] - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\ConduitEngine\prxConduitEngin.dll
O2 - BHO: ZoneAlarm Security [64Bits] - {91da5e8a-3318-4f8c-b67e-5964de3ab546} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\ZoneAlarm_Security\prxtbZone.dll
O42 - Logiciel: Conduit Engine  - (.Conduit Ltd..) [HKLM] -- conduitEngine
[HKCU\Software\AppDataLow\Software\Conduit]
[HKCU\Software\AppDataLow\Software\conduitEngine]
[HKCU\Software\AppDataLow\Toolbar]
[HKLM\Software\Conduit]
O43 - CFD: 29/08/2011 - 16:14:04 - [65832] ----D- C:\Users\Dijkstra\AppData\Local\Conduit
O43 - CFD: 29/08/2011 - 16:14:08 - [635488] ----D- C:\Program Files (x86)\Conduit
O43 - CFD: 29/08/2011 - 16:14:06 - [4844061] ----D- C:\Program Files (x86)\ConduitEngine
O69 - SBI: prefs.js [Dijkstra - n6qr59ef.default] user_pref("CT2645238.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2645238&SearchSource=2&q=");
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (ZoneAlarm Security Customized Web Search) - http://search.conduit.com
[MD5.ED92900BF225E26A4E54C2C14FA1424F] [SPRF][09/09/2011] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Dijkstra\AppData\Local\Temp\AskSLib.dll   [246440]
[HKCU\Software\AppDataLow\Software\conduitEngine]
[HKLM\Software\WOW6432Node\conduitEngine]
[HKCU\Software\AppDataLow\Toolbar]
C:\Users\Dijkstra\AppData\Local\Conduit
C:\Users\Dijkstra\AppData\LocalLow\Conduit
C:\Users\Dijkstra\AppData\LocalLow\ConduitEngine
C:\Program Files (x86)\Conduit
C:\Program Files (x86)\ConduitEngine

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

KRitchie · Answer

Ok chef voilà le ménage a été fait:

Rapport de ZHPFix 1.12.3365 par Nicolas Coolman, Update du 18/10/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-20-10-2011-21-45-46.txt
Run by Dijkstra at 20/10/2011 21:45:46
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: conduitEngine

========== Module(s) mémoire ==========
SUPPRIME Memory Module: C:\Users\Dijkstra\AppData\Local\Temp\AskSLib.dll

========== Clé(s) du Registre ==========
ABSENT Key: CLSID BHO: {30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT Key: CLSID BHO: {91da5e8a-3318-4f8c-b67e-5964de3ab546}
SUPPRIME Key: HKCU\Software\AppDataLow\Software\Conduit
SUPPRIME Key: HKCU\Software\AppDataLow\Software\conduitEngine
SUPPRIME Key: HKCU\Software\AppDataLow\Toolbar
ABSENT Key: HKLM\Software\Conduit
SUPPRIME Key: SearchScopes :{afdbddaa-5d3f-42ee-b79c-185a7020515b}
SUPPRIME Key: HKLM\Software\WOW6432Node\conduitEngine

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {91da5e8a-3318-4f8c-b67e-5964de3ab546}

========== Préférences navigateur ==========
SUPPRIME Mozilla Pref: user_pref("CT2645238.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2645238&SearchSource=2&q=");

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Dijkstra\AppData\Roaming\Mozilla\Firefox\Profiles
6qr59ef.default\extensions\{91da5e8a-3318-4f8c-b67e-5964de3ab546}
SUPPRIME Folder: C:\Users\Dijkstra\AppData\Local\Conduit
SUPPRIME Folder: C:\Program Files (x86)\Conduit
SUPPRIME Folder: C:\Program Files (x86)\ConduitEngine
SUPPRIME Folder: c:\users\dijkstra\appdata\locallow\conduit
SUPPRIME Folder: c:\users\dijkstra\appdata\locallow\conduitengine

========== Fichier(s) ==========
SUPPRIME File: c:\program files (x86)\zonealarm_security\prxtbzone.dll
ABSENT File: c:\program files (x86)\zonealarm_security\prxtbzone.dll
SUPPRIME File: c:\users\dijkstra\appdata\local	emp\askslib.dll
ABSENT Folder/File: c:\users\dijkstra\appdata\local\conduit
ABSENT Folder/File: c:\program files (x86)\conduit


========== Récapitulatif ==========
1 : Module(s) mémoire
8 : Clé(s) du Registre
1 : Valeur(s) du Registre
6 : Dossier(s)
5 : Fichier(s)
1 : Logiciel(s)
1 : Préférences navigateur


End of clean in 00mn 16s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 20/10/2011 21:45:46 [2373]


Thx.

Lyonnais92 · Answer

Re,

on enlève les outils :

 Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

Ordi piraté - dossier inacessible

49 réponses

Discussions similaires

Newsletters