Virus Police Nationale Résolu/Fermé

Question

Bonjour, 

il y a deux semaines mon ordi a été infecté par le virus police nationale alors que j'étais sur un site de streaming. 
Je ne peux utiliser mon ordi qu'en mode sans échec. Sinon la fenêtre Police Nationale bloque toute utilisation. 
J'ai maintenant du temps à consacrer à la résolution de ce problème, sans en avoir les connaissances... mais on peut toujours essayer ! J'ai vu sur votre forum ce lien avec la marche à suivre : 
https://forums.commentcamarche.net/forum/affich-23364954-virus-police-nationale

Puis-je procéder de cette façon ? 
merci pour votre aide ! 

Pat
 

Configuration: Windows 7 / Internet Explorer 8.0

g3n-h@ckm@n · Answer

salut

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

si le lien ne fonctionne pas :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

madrid23 · Answer

merci, je m'y mets...

g3n-h@ckm@n · Answer

lance le programme comme ca on avisera

madrid23 · Answer

le bureau est censé s'éteindre longtemps ? Car là après avoir lancé Pre Scan il a travaillé plusieurs minutes et maintenant j'ai juste un écran noir avec inscrit "Mode sans échec" au quatre coins de l'écran :-/ depuis au moins 10 minutes

g3n-h@ckm@n · Answer

fais ctrl+alt+supp et dans le gestionnaire des taches => onglet fichier => nouvelle tache => puis tape : explorer

puis valide

madrid23 · Answer

ça ne valide pas, je tape explorer puis ok mais ça ne valide rien cette fenêtre reste ouverte

madrid23 · Answer

ah pardon avec l'option administration ça marche

madrid23 · Answer

j'ai aide et support Windows avec statut " en cours"

g3n-h@ckm@n · Answer

je n'ai pas compris...ton bureau est revenu ou pas ?

madrid23 · Answer

oui.. désolée... je continue pour récupérer le lien du rapport, je le poste dans 2 mn
merci

madrid23 · Answer

voilà le lien : http://www.cijoint.fr/cjlink.php?file=cj201110/cijJ4JRzMN.txt 

merci

madrid23 · Answer

j'ai fait deux scan car je n'étais pas sure du premier... donc au cas où je t'envoies aussi le 1er rapport : http://www.cijoint.fr/cjlink.php?file=cj201110/cijm5J1wSQ.txt 

Celui envoyé avant est celui du 2eme rapport. 

merci

g3n-h@ckm@n · Answer

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"Adobe Reader Speed Launcher"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-      
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}]
[-HKCU\Software\Ask.com.tmp] 
[-HKLM\Software\MetaStream] 
[-HKLM\Software\Viewpoint]

folder::
C:\ProgramData\Viewpoint    
C:\Program Files (x86)\Viewpoint    

Host::   
  
attrib::                                    
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

madrid23 · Answer

hop le voilà ! 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.96 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mise à jour : 17/10/2011 | 00.40 Par g3n-h@ckm@n
Utilisateur : patricia (Administrateurs)
Ordinateur : PATRICIA-TOSH
Système d'exploitation : Windows 7 Home Premium (64 bits)
Internet Explorer : 8.0.7600.16385
Mozilla Firefox : 4.0 (fr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command:: 
attrib:: | txt:: | Host:: | NsLook::
list:: | IP:: | ADS:: | Kill:: | clean::

Script : 16:29:32

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Supprimé : C:\ProgramData\Viewpoint 
Supprimé : C:\Program Files (x86)\Viewpoint 

¤


¤ Hosts

#	127.0.0.1       localhost
#	::1             localhost

¤ Hosts Fix

madrid23 · Answer

Rebonjour 

En relancant mon ordi il n'est plus bloqué par le message police nationale.
Mais est-ce que ces manips ont suffit à résoudre le problème complètement ? 
Aurais-tu des conseils à me donner en terme de protection antivirus / parefeu pour éviter que je rencontre denouveau ce genre de problème ? 

En tout cas merci pour ton aide cet aprem !!

g3n-h@ckm@n · Answer

salut on a pas fini :)

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.

============


&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

=================

madrid23 · Answer

Hello 

je me disais bien aussi que je n'allais pas m'en tirer comme ça :-)

voilà le rapport ADWcleaner et je continue avec Ad-remover


# AdwCleaner v1.313 - Rapport créé le 24/10/2011 à 20:15:37
# Mis à jour le 24/10/11 à 19h par Xplode
# Système d'exploitation : Windows 7 Home Premium  (64 bits)
# Nom d'utilisateur : patricia - PATRICIA-TOSH (Droits Limités)
# Exécuté depuis : C:\Users\patricia\Desktop\adwcleaner0.exe
# Option [Suppression]


***** [KillNav] *****

Aucun navigateur n'était en cours d'exécution.

***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1

***** [Navigateurs] *****

madrid23 · Answer

et voilà pour Ad-remover ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 ======= Mis à jour par TeamXscript le 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com Site web: http://www.teamxscript.org C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:22:44 le 24/10/2011, Mode sans echec Microsoft Windows 7 Édition Familiale Premium (X64) patricia@PATRICIA-TOSH (TOSHIBA Satellite L670) ============== ACTION(S) ============== (!) -- Fichiers temporaires supprimés. Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E} Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD} Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E} Clé supprimée: HKLM\Software\MozillaPlugins\@viewpoint.com/VMP Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|HWSetup ============== SCAN ADDITIONNEL ============== **** Mozilla Firefox Version [4.0 (fr)] **** FIREFOX.EXE\Shell\Open\Command - "C:\Program Files (x86)\Mozilla Firefox\Firefox.exe" Searchplugins\bing.xml ( hxxp://www.bing.com/search) Components\browsercomps.dll (Mozilla Foundation) HKLM_Extensions|msntoolbar@msn.com - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1399.0\Firefox -- C:\Users\patricia\AppData\Roaming\Mozilla\FireFox\Profiles\zneza82r.default -- Prefs.js - browser.startup.homepage_override.buildID, 20110318052756 Prefs.js - browser.startup.homepage_override.mstone, rv:2.0 ======================================== **** Internet Explorer Version [8.0.7600.16385] **** HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896 HKCU_Main|Start Page - hxxp://fr.msn.com/ HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Start Page - hxxp://fr.msn.com/ HKCU_SearchScopes\{80DA982A-AF3C-41CB-AB1F-439D02ECEEB6} - "?" (?) HKCU_SearchScopes\{87831507-95D5-42D0-AF18-8D31A493DC31} - "eBay" (hxxp://rover.ebay.com/rover/1/709-44555-9400-8/4?satitle={searchTerms}) HKCU_SearchScopes\{F3EA901F-1D1D-4114-BA87-BB5AC5986825} - "?" (?) HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} (C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1399.0 pwinext.dll) HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x) HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x) HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x) HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x) HKLM_ElevationPolicy\{EE0DF950-5C7F-4261-8CFA-AE01D71FD9BD} - C:\Program Files (x86)\TOSHIBA\TOSHIBA Media Controller Plug-in\SetupUtility.exe () HKLM_ElevationPolicy\{F3C88694-EFFA-4d78-B409-54B7B2535B14} - C:\Program Files (x86)\TOSHIBA\TOSHIBA Media Controller Plug-in\MTSProc.exe () BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll) BHO\{F3C88694-EFFA-4d78-B409-54B7B2535B14} - "TOSHIBA Media Controller Plug-in" (C:\Program Files (x86)\TOSHIBA\TOSHIBA Media Controller Plug-in\TOSHIBAMediaControllerIE.dll) ======================================== C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s) C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s) C:\Ad-Report-CLEAN[1].txt - 24/10/2011 20:23:42 (0 Octet(s)) Fin à: 20:24:21, 24/10/2011 ============== E.O.F ==============

g3n-h@ckm@n · Answer

^re

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

madrid23 · Answer

Rebonjour 

voilà le rapport OTL.
une remarque tout de même : c'est très  bizarre, je n'ai pas accès à C:\Documents and settings 
l'accès est refusé et le dossier vérouillé.... 

voilà pour le rapport : 
http://www.cijoint.fr/cjlink.php?file=cj201110/cijzNxkJgM.txt 

et voilà pour Extra.txt 
http://www.cijoint.fr/cjlink.php?file=cj201110/cijZyH1Qsx.txt 

et mercii pour le temps que tu y passes !

g3n-h@ckm@n · Answer

salut c'est un raccourci systeme normalement il est caché , pour toi c'est c:\users\etc..... 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

madrid23 · Answer

d'accord merci. 
Mais est-ce que tout est ok dans les rapports que j'ai postés ? 

Y a--t-il une prochaine étape ? 

merci !!

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...."  

sur OTL.exe pour le lancer. 


&#9654Copie la liste qui se trouve en gras ci-dessous, 

&#9654 colle-la dans la zone sous "Personnalisation" : 


:processes 
explorer.exe 
iexplore.exe 
firefox.exe 
msnmsgr.exe 
Teatimer.exe 

:OTL 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found 
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)   
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)    
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)   
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)   

:commands 
[CLEARALLRESTOREPOINTS] 
[emptytemp] 
[start explorer] 
[reboot] 


&#9654 Clique sur "Correction" pour lancer la suppression. 


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage. 

¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

madrid23 · Answer

merci, voilà le rapport 

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\Locked not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
C:\Windows\Downloaded Program Files\gp.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
========== COMMANDS ==========
Restore point Set: OTL Restore Point
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56504 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: patricia
->Temp folder emptied: 166957 bytes
->Temporary Internet Files folder emptied: 115555189 bytes
->Java cache emptied: 902814 bytes
->FireFox cache emptied: 45271611 bytes
->Flash cache emptied: 16455160 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 18500465 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50540 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 188,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 10262011_204539

Files\Folders moved on Reboot...
C:\Users\patricia\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Windows	emp\GUMF7C6.tmp\GoogleUpdate.exe not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\GoogleUpdateBroker.exe not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\GoogleUpdateHelper.msi not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\GoogleUpdateOnDemand.exe not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdate.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_am.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_ar.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_bg.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_bn.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_ca.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_cs.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_da.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_de.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_el.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_en-GB.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_en.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_es-419.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_es.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_et.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_fa.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_fi.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_fil.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_fr.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_gu.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_hi.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_hr.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_hu.dll not found!
File\Folder C:\Windows	emp\GUMF7C6.tmp\goopdateres_id.dll not found!

Registry entries deleted on Reboot...

g3n-h@ckm@n · Answer

ok hello si tu n'as plus de soucis on peut faire le menage je pense non ?

madrid23 · Answer

hello 

oui tout semble fonctionner merci ! 
Je peux supprimer les logiciels que tu m'as demandé de télécharger et supprimer les rapports ? 
Partante pour le ménage ! 

merci d'avance pour les infos

g3n-h@ckm@n · Answer

alors feu : Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace _________________________________________________ Telecharge ici : PureRa (par l'editeur de JavaRa) Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7) => Configuration clique sur "Clean" L'outil va faire son scan puis son nettoyage à la fin du rapport tu auras une ligne comme ca : Total space cleaned: 8140878 bytes transmets juste cette ligne , le reste importe peu __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista/7) => Configuration fais le nettoyage dans le registre et dans le nettoyeur autant de fois qu'il trouve des choses à l analyse __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est. desinstalle les anciennes versions : voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Ferme l'application. Note : tu peux supprimer son rapport dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) et pense à decocher l'installation de McAfee proposée discrêtement __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Lien Win7 ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système à lire aussi Et ceci sujets intéressants à lire : https://www.luanagames.com/index.fr.html https://forum.malekal.com/viewtopic.php?t=13629&start= il ne faut jamais accepter l'installation de toobars, adwares, moteurs de recherches lorsqu'on installe un logiciel gratuit. Ceux-ci corrompent les navigateurs et dirigent les recherches sur des sites publicitaires, malveillants etc et affichent des pubs intempestives. Il ne faut jamais télécharger le logiciel à partir des pubs sur les pages web, ne jamais cliquer sur les liens genre "boostez votre pc" ou "avant de télécharger le logiciel, faites un balayage rapide blabla", et éviter les sites de vidéos/séries en streaming dont les vidéos sont parfois piégées par des malwares sous la forme de modules complémentaires à installer pour voir la vidéo. ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

madrid23 · Answer

Bonjour, 

merci
eh bien  j'ai du boulot ! Je m'y mets. 

voilà déjà pour PureRa : 
Total space cleaned: -1959317312 bytes

et je fais la suite...

madrid23 · Answer

Et voilà pour Delfix, par contre je n'ai pas l'iimpression qu'il y ait eu vraiment de scan. 
Après avoir cliqué sur "Suprression" le rapport s'est ouvert quasi tout de suite.
Le voilà : 

# DelFix v8.6 - Rapport créé le 01/11/2011 à 14:32:59
# Mis à jour le 13/10/11 à 18h par Xplode
# Système d'exploitation : Windows 7 Home Premium  (64 bits)
# Nom d'utilisateur : patricia - PATRICIA-TOSH (Administrateur)
# Exécuté depuis : C:\Users\patricia\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\_OTL
Supprimé : C:\Kill'em
Supprimé : C:\Program Files (x86)\Ad-Remover

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\Users\patricia\Desktop\AD-R.lnk
Supprimé : C:\Users\patricia\Desktop\adwcleaner0.exe
Supprimé : C:\Users\patricia\Desktop\Extras.Txt
Supprimé : C:\Users\patricia\Desktop\OTL.exe
Supprimé : C:\Users\patricia\Desktop\OTL.Txt
Supprimé : C:\Users\patricia\Desktop\Pre_scan.exe
Supprimé : C:\Users\patricia\Desktop\Pre_Scan_23_10_2011_15_07_51.txt
Supprimé : C:\Users\patricia\Desktop\Pre_Scan_23_10_2011_15_36_27.txt
Supprimé : C:\Users\patricia\Desktop\Pre_Script.exe
Supprimé : C:\Users\patricia\Desktop\Pre_script.txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\Ad-Remover
Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1500 octets] - [01/11/2011 14:32:59]

########## EOF - C:\DelFix[S1].txt - [1624 octets] ##########

g3n-h@ckm@n · Answer

re

non c'est ca nickel :)

il est tres rapide cet outil en general :)

madrid23 · Answer

merci c'est super long mais j'avance. 
Une question pour la suite : pour le parefeu je vais suivre tes consignes mais par contre je ne fais pas bien la différence entre Antivirus et Anti Spyware. 
Que me conseilles-tu sachant que j'ai actuellement Avira Antivir ? 
Pour le Anti Spyware je ne sais pas... comment puis-je vérifier ?
Je n'utilise pas MalwareByte's, est-ce que je l'installe ? 

merci bcp !

g3n-h@ckm@n · Answer

oui en complement avec antivir c'est bon :) 

pour le parefeu , si tu n'es pas un utilisateur averti un minimum je te conseille de te contenter de celui de windows 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

madrid23 · Answer

encore une petite question... comment je fais pour "recrer un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur"

:-)
merci

g3n-h@ckm@n · Answer

regarde ici :

http://www.libellules.ch/restauration_system_seven.php

madrid23 · Answer

je pense que tout est ok 
je nai pas réussi à éxecuter Wot pour Firefox mais tant pis ! 

Un grand merci pour ton aide et ta disponibilité ! :-)

je vais passer le message en résolulé !

g3n-h@ckm@n · Answer

ok explique tes soucis avec wot , c'est dommage il est bien ce truc !

madrid23 · Answer

je l'ai téléchargé mais ensuite impossible de l'éxécuter, Windows ne l'ouvre pas
(fiichier .xpi)
j'ai télécharger la dernière version de Firefox pour voir si ça venait de là mais ça ne change rien

g3n-h@ckm@n · Answer

il faut que tu y ailles avec firefox le chercher :)

madrid23 · Answer

forcément ! :-)
mais il me dit qu'il ne peut etre installé car pas compatoble avec Firefox 7.0.1
j'aurais peut etre mieuxx fait de ne pas télécharger cette version là !

madrid23 · Answer

je vais tenter de restaurer la version précédente..

madrid23 · Answer

bon tant pis... rien à faire :-)

g3n-h@ckm@n · Answer

pas normal pour moi ca a marché nickel.....

SPY-CONTROL · Answer

Bonjour,

Calmez-vous, je vais vous expliquer ma démarche. En informatique il faut toujours appliquer la loi du moindre effort en priorité avant de faire trop compliqué et se prendre le teston! :)

  1- Redémarrez votre PC tout en restant appuyé sur la touche 'F8' 
      (ou  'F5') jusqu'à l'apparition de la console noir et blanc Windows

  2- Sélectionnez le mode "Sans Échec" et faites "Entrée" (le PC redémarre) Si 
       vous n'avez pas de mode sans échec passez directement à l'étape n°3
  
  3- Lancez une Session Administrateur si étape n°2 effectuée, sinon lancez une 
      Session Administrateur autre que celle où vous avez été infecté par le 'spam'
      (compte utilisateur Windows)
  
  4- Menu Démarrer => Panneau de Configuration => Sauvegarder votre 
      ordinateur (affichage classique)

  5- Cliquez en haut à gauche de l'écran "Réparer Windows en utilisant la 
      restauration du  système"

  6- Sélectionnez un Point de Restaurant antérieur à votre infection 'spam' ou un 
       Point de Contrôle Planifié par Windows c'est mieux.

  7- Attendez patiemment, puis exécutez une analyse complète antivirus de
      votre PC en ayant pris le soin au préalable de mettre à jour votre fichier de 
      définitions antivirales...

                                                ...ET LE TOUR EST JOUE !! :) 

La procédure peu sembler un peu longue, mais elle vous assurera qu'aucun résidu n'a été laissé dans un coin par ce 'spam'. D'ailleurs j'en profite pour vous dire que l'antivirus n'y est pour rien ici! Par exemple le mien (Webroot Internet Security Essentials) a détecté la menace de ce 'spam' qui a un comportement qui se calque au notre, puisqu'il est du à nos propres manipulations web à travers des sites de streaming par exemple :). 

Votre AV ne pourra que le détecter et le mettre en quarantaine par la suite. Pour ma part, je ne les supprime JAMAIS de ma base Antivirus. Pourquoi? Parce que j'ai un filtrage sur mon Antivirus lié à une fonctionnalité qui permet d'automatiser la mise en quarantaine d'éléments ou de traces que j'ai pointé manuellement.

SPY-CONTROL · Answer

Bonjour,
Un complément d'information qui vous sera j'espère utile une fois la restauration du système Windows effectuée correctement ou en "mode sans échec" via un compte Utilisateur Administrateur (autre que celui infecté par le spam). Normalement vous devez pouvoir redémarrer en mode sans échec avec votre compte Utilisateur Administrateur habituel, si tel n'est pas le cas lancez la commande "Exécuter" dans le Menu Démarrer en bas à droite de votre écran, et tapez la commande "msconfig" puis 'Ok', puis cliquez sur l'onglet "Services" et décochez tous les Services autres que ceux certifiés Windows et validez. Ensuite redémarrez votre ordinateur. Normalement vous devriez prendre le contrôle de votre PC. Une fois redémarré, lancez une restauration système à une date antérieure via votre compte Utilisateur Windows Administrateur. Une fois votre PC restauré, vous ne devriez plus avoir de blocage avec ce "virus spam".

Ensuite lancez un bon nettoyage "CCLEANER" (applications + registres), c'est recommandé! :) 

Au terme de toutes ces manipulations, mettez à jour votre base de définitions antivirus et exécutez une analyse complète de votre machine (PC), et TOUT BAIGNE !!! :)

Voici ce qu'il est recommandé de faire, une fois la réinstallation accomplie de votre point de restauration système Windows, et l'analyse complète antivirus de votre PC.

Vérifiez les mises à jour de Java et de Fash Player sur votre ordinateur, en vous rendant sur les pages web officielles des constructeurs Java et Flash Player. Pourquoi? Tout simplement parce que ce "virus spam" transite par des sites de "streaming vérolés" via des séquences vidéos codées qui infectent votre ordinateur (pour faire simple). Il se pourrait qu'en fonction de la version de votre Système d'Exploitation vous ne puissiez pas mettre à jour Flash Player. Dans ce cas, no souci!, il vous suffira de faire une petite manip en mode manuelle pour finaliser la mise à jour de votre version Flash Player, en vous rendant sur le site web Flash Player qui l'explique très bien (c'est très simple!). 

PS: Pensez à supprimer les anciens programmes d'installations de Java! C'est mieux et plus sécurisé pour votre PC! (style de programme ancien Java: "Java (TM) 6 update 4 ou 7..." qui s'affiche dans votre menu de suppression de programmes Windows.Le plus récent à ce jour pour Windows Vista Intégrale est la version "Java (TM) 6 Update 30" (par exemple)

Généralement, et paradoxalement, peu d'ordinateur sont à jour avec Java et Flash Player. Cela aura pour effet de protéger beaucoup mieux votre PC par la suite.

Virus Police Nationale

44 réponses

Discussions similaires