Virus "Vista Antispyware 2012"

Question

Bonjour, 

J'ai un problème de virus qui ait apparu depuis hier.
Le "Vista Antispyware 2012" s'est incrusté dans mon portable.
J'ai faite le scan du Malwarebytes et du ZHPDiag2(zhpfix)
Je vous demanderez votre aide. S.V.P.
Vous envoie les 2 scan
Merci

Configuration: Windows Vista / Firefox 3.6.10

yankuan · Answer

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Database version: 8323

Windows 6.0.6000
Internet Explorer 8.0.6001.18904

2011-12-06 16:31:10
mbam-log-2011-12-06 (16-31-10).txt

Scan type: Full scan (C:\|D:\|E:\|F:\|)
Objects scanned: 456093
Time elapsed: 1 hour(s), 57 minute(s), 57 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 1
Registry Keys Infected: 36
Registry Values Infected: 17
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 5

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
c:\Users\teti\AppData\Roaming\Sun\frenjrupf6.dll (Trojan.Ambler) -> Delete on reboot.

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF6-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07AA283A-43D7-4CBE-A064-32A21112D94D} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100EB1FD-D03E-47FD-81F3-EE91287F9465} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A26F07F-0D60-4835-91CF-1E1766A0EC56} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{25560540-9571-4D7B-9389-0F166788785A} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{343CE214-9998-4B21-A151-FFE970167297} (Rogue.Installer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEBF} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEC0} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{41C29B07-6F91-4966-91BE-2E2841643C83} (Adware.Adssite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{54A3F8B7-228E-4ED8-895B-DE832B2C3959} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E} (Adware.Fotomoto) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8BCB5337-EC01-4E38-840C-A964F174255B} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9FF05104-B030-46FC-94B8-81276E4E27DF} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (Adware.VideoEgg) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5041FD9-4819-4DC4-B20E-C950B5B03D2A} (Adware.VideoEgg) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E3EA4FD1-CADE-4AE5-84F7-086EEE888BE4} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\The Weather Channel (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\AdvRemoteDbg (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VideoEgg (Adware.VideoEgg) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\clickpotatolitesa (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\epk_extr (Trojan.Skintrim) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\hotbarsa (Adware.Hotbar) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Value: {B7D3E479-CC68-42B5-A338-938ECE35F419} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{00A6FAF6-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Value: {00A6FAF6-072E-44CF-8957-5838F569A31D} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07AA283A-43D7-4CBE-A064-32A21112D94D} (Adware.Zango) -> Value: {07AA283A-43D7-4CBE-A064-32A21112D94D} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Value: {07B18EA9-A523-4961-B6BB-170DE4475CCA} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Value: {B7D3E479-CC68-42B5-A338-938ECE35F419} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07AA283A-43D7-4CBE-A064-32A21112D94D} (Adware.Zango) -> Value: {07AA283A-43D7-4CBE-A064-32A21112D94D} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Value: {07B18EA9-A523-4961-B6BB-170DE4475CCA} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{00A6FAF6-072E-44cf-8957-5838F569A31D} (Adware.MyWebSearch) -> Value: {00A6FAF6-072E-44cf-8957-5838F569A31D} -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\(default) (Adware.Hotbar) -> Value: (default) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Value: host-domain-lookup.com -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Value: www.host-domain-lookup.com -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> Value: mysearchnow.com -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> Value: www.mysearchnow.com -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ADP (Rogue.Multiple) -> Value: ADP -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WeatherDPA (Adware.SeekMo) -> Value: WeatherDPA -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lpc (Trojan.Ambler) -> Value: lpc -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (PUM.Hijack.DisplayProperties) -> Bad: (2) Good: (0) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn (PUM.Hijack.Desktop) -> Bad: (1) Good: (0) -> Delete on reboot.

Folders Infected:
(No malicious items detected)

Files Infected:
c:\Users\teti\AppData\LocalLow\Sun\Java\deployment\cache\6.0\22\5c6f0816-6a01913c (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\teti\Desktop\document maman\crazysetup.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\Users\teti\AppData\Roaming\Sun\mxd1.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\teti\AppData\Roaming\Sun\cetw.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\teti\AppData\Roaming\Sun\frenjrupf6.dll (Trojan.Ambler) -> Quarantined and deleted successfully.

yankuan · Answer

lien pour le ZHPFix: https://www.casimages.com/f.php?f=111207124904581767.txt

yankuan · Answer

Petit note: Le virus est sur mon ordi de table et non sur mon portable.

Lyonnais92 · Answer

Bonsoir,

coller dans ZHPFix les lignes d'un rapport MBAM a peu de chances de produire de bons résultats.

===

Fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.



Pour transmettre le rapport clique sur pjjoint

Suis les instructions pour déposer le fichier (ZHPDiag.txt est dans C:\ZHP).

Copie le lien obtenu dans ta réponse.

Lyonnais92 · Answer

Bonjour, Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. Lance le, clique sur [Suppression] puis patiente le temps du scan. Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse. Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt === Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C) M3 - MFPP: Plugins - [teti] -- C:\Program Files\Mozilla FireFox\searchplugins\babylon.xml R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0 O4 - HKCU\..\Run: [teambias] . (...) -- C:\ProgramData hecitycity.i1j629 O4 - HKCU\..\Run: [Grey pop cake audio] . (...) -- C:\ProgramData\Debug loud glue.yss9ni O4 - HKUS\S-1-5-21-3265737798-2268617280-2785917639-1003\..\Run: [teambias] . (...) -- C:\ProgramData hecitycity.i1j629 O4 - HKUS\S-1-5-21-3265737798-2268617280-2785917639-1003\..\Run: [Grey pop cake audio] . (...) -- C:\ProgramData\Debug loud glue.yss9ni O39 - APT:Automatic Planified Task - C:\Windows\Tasks pc.job O43 - CFD: 2008-11-10 - 07:41:06 - [0] ----D- C:\ProgramData\Part Hide Grey Pop O69 - SBI: SearchScopes [HKCU] {C164F506-7563-4ADA-B037-4997A39BE897} - (Recherche de Yoog) - http://www28.yoog.com Déconnecte toi d'Internet et ferme toutes les applications ouvertes. Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau. Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau, puis sélectionne 'Exécuter en tant qu'administrateur'. Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne. Clique sur "Tous" puis sur "Nettoyer". Laisse l'outil travailler. Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement. Le rapport d'exécution va apparaître dans la fenêtre. Copie le dans ta réponse. === Fais redémarrer l'ordi, relance ZHPDiag et poste le rapport dans un lien pjjoint.

Lyonnais92 · Answer

Bonjour,

même dans ce cas, il faut que tu exécutes à partir d'une copie faite sur le Bureau de l'ordi malade (pas directement à partir du fichier de la clé).

Tu as un souci de connexion Internet ?

Lyonnais92 · Answer

Re,

essaye de le copier sur le Bureau et de l'exécuter à partir de là.

Si il bloque toujours, fais la suite.

Lyonnais92 · Answer

Re,

ne cherche pas le Presse Papier, c'est là où Windows stocke ce que tu viens de Copier.

Tu fais Coller (ou Ctrl V) et ça te restitue le contenu du Presse-Papier (dans une réponse, le Bloc Notes, un traitement de texte ou une fenêtre de ZHPFix).

Tant que tu n'as pas Copier autre chose, ta dernière copie reste dans le Presse-Papier.

Lyonnais92 · Answer

Re,

pour la déconnexion d'Internet, ferme tous tes navigateurs et toutes les autres applications juste avant d'exécuter ZHPFix et ça devrait suffire.

Pour le reste, je ne vois pas bien pourquoi tu passes par ta clé USB.

Tu ouvres ta session sur l'ordi malade, tu ouvres CCM.

Tu sélectionnes les lignes pour ZHPFix que je t'ai donné.

Tu fais CTRL C pour les "copier dans le Presse-Papier.

Tu lances ZHPFix.

Tu copies les lignes dans la fenêtre par CTRL V.

Tu vérifies que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Tu fermes tout sauf ZHPFix.

Tu cliques sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

Lyonnais92 · Answer

Re,

alors on change.

Tu commences par ça :

Avec Internet Explorer - Télécharge Roguekiller : https://www.luanagames.com/index.fr.html

Si il est bloqué à l'exécution, supprime le et recommence le téléchargement.

A ce moment là, tu le renommes en winlogon ou iexplore.

Lance en option 2 (Suppression).

Poste le rapport ici.

===

Ensuite, tu relances Malwarebytes et tu postes le rapport.

Lyonnais92 · Answer

Re,

tu enchaineras avec AdwCleaner puis ZHPFix.

Lyonnais92 · Answer

Re,

donc AdwCleaner puis ZHPFix.

Ensuite, tu fais redémarrer l'ordi et tu refais tourner ZHPDiag.

Tu postes le rapport dans un lien pjjoint.

Lyonnais92 · Answer

Re,

tu supprimes AdwCleaner que tu as téléchargé.

Tu relances RogueKiller en option Suppression.

Tu relances Malwarebytes.

Tu fais redémarrer l'ordi.

Tu relances RogueKiller en option Suppression.

Tu postes les 3 rapports.

Lyonnais92 · Answer

Re,

un scan rapide.

yankuan · Answer

Le scan du RogueKiller RogueKiller V6.1.12 [02/12/2011] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version Demarrage : Mode normal Utilisateur: teti [Droits restreints] Mode: Suppression -- Date : 07/12/2011 18:14:36 ¤¤¤ Processus malicieux: 54 ¤¤¤ [WINDOW : Vista Antispyware 2012] yla.exe -- C:\Users\teti\AppData\Local\yla.exe -> KILLED [TermProc] [HJ NAME] smss.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] wininit.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] services.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] lsass.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] lsm.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] winlogon.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] spoolsv.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] SearchProtocolHost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] SearchFilterHost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] dllhost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] smss.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] wininit.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] services.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] lsass.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] lsm.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] winlogon.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] spoolsv.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] SearchProtocolHost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] SearchFilterHost.exe -- LOCKED -> NOT KILLED [0x5] ¤¤¤ Entrees de registre: 46 ¤¤¤ [] HKLM\[...]\Run : () -> ACCESS DENIED [] HKLM\[...]\RunOnce : () -> ACCESS DENIED [] HKLM\[...]\Winlogon : () -> ACCESS DENIED [] HKLM\[...]\Windows : () -> ACCESS DENIED [] HKLM\[...]\services : () -> ACCESS DENIED [] HKLM\[...]\services : () -> ACCESS DENIED [] HKLM\[...]\Root : () -> ACCESS DENIED [] HKLM\[...]\Root : () -> ACCESS DENIED [] HKLM\[...]\Internet Settings : () -> ACCESS DENIED [] HKLM\[...]\Parameters : () -> ACCESS DENIED [] HKLM\[...]\Parameters : () -> ACCESS DENIED [] HKLM\[...]\Image File Execution Options : () -> ACCESS DENIED [] HKCU\[...]\System : () -> ACCESS DENIED [] HKCU\[...]\System : () -> ACCESS DENIED [] HKCU\[...]\System : () -> ACCESS DENIED [] HKCU\[...]\Explorer : () -> ACCESS DENIED [] HKCU\[...]\Explorer : () -> ACCESS DENIED [] HKLM\[...]\System : () -> ACCESS DENIED [] HKLM\[...]\System : () -> ACCESS DENIED [] HKLM\[...]\System : () -> ACCESS DENIED [] HKCU\[...]\Explorer : () -> ACCESS DENIED [] HKLM\[...]\SystemRestore : () -> ACCESS DENIED [] HKLM\[...]\System : () -> ACCESS DENIED [] HKLM\[...]\System : () -> ACCESS DENIED [] HKLM\[...]\System : () -> ACCESS DENIED [] HKCU\[...]\ActiveDesktop : () -> ACCESS DENIED [] HKLM\[...]\Security Center : () -> ACCESS DENIED [] HKLM\[...]\Security Center : () -> ACCESS DENIED [] HKLM\[...]\Security Center : () -> ACCESS DENIED [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED [FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\teti\AppData\Local\yla.exe" -a "%1" %*) -> REPLACED ("%1" %*) [] HKLM\[...]\command : () -> ACCESS DENIED [FILE ASSO] HKCR\.exe : (ah) -> REPLACED (exefile) [] HKLM\[...]\command : () -> ACCESS DENIED [] HKLM\[...]\command : () -> ACCESS DENIED [] HKLM\[...]\command : () -> ACCESS DENIED [] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED [] HKLM\[...]\Windows : () -> ACCESS DENIED [] HKLM\[...]\ShellServiceObjectDelayLoad : () -> ACCESS DENIED [] HKLM\[...]\SharedTaskScheduler : () -> ACCESS DENIED [] HKLM\[...]\Browser Helper Objects : () -> ACCESS DENIED ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NOT LOADED] ¤¤¤ ¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

yankuan · Answer

Scan du Malwarebytes

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8327

Windows 6.0.6000
Internet Explorer 8.0.6001.18904

2011-12-07 19:24:41
mbam-log-2011-12-07 (19-24-41).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 203552
Temps écoulé: 8 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (PUM.Hijack.DisplayProperties) -> Bad: (2) Good: (0) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn (PUM.Hijack.Desktop) -> Bad: (1) Good: (0) -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

yankuan · Answer

Et le dernier scan du RogueKiller RogueKiller V6.1.12 [02/12/2011] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version Demarrage : Mode normal Utilisateur: teti [Droits restreints] Mode: Suppression -- Date : 07/12/2011 19:32:22 ¤¤¤ Processus malicieux: 48 ¤¤¤ [HJ NAME] smss.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] wininit.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] services.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] lsass.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] lsm.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] winlogon.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] spoolsv.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5] [HJ NAME] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] smss.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] wininit.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] services.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] lsass.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] lsm.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] winlogon.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] spoolsv.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5] [RESIDUE] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5] ¤¤¤ Entrees de registre: 44 ¤¤¤ [] HKLM\[...]\Run : () -> ACCESS DENIED [] HKLM\[...]\RunOnce : () -> ACCESS DENIED [] HKLM\[...]\Winlogon : () -> ACCESS DENIED [] HKLM\[...]\Windows : () -> ACCESS DENIED [] HKLM\[...]\services : () -> ACCESS DENIED [] HKLM\[...]\services : () -> ACCESS DENIED [] HKLM\[...]\Root : () -> ACCESS DENIED [] HKLM\[...]\Root : () -> ACCESS DENIED [] HKLM\[...]\Internet Settings : () -> ACCESS DENIED [] HKLM\[...]\Parameters : () -> ACCESS DENIED [] HKLM\[...]\Parameters : () -> ACCESS DENIED [] HKLM\[...]\Image File Execution Options : () -> ACCESS DENIED [] HKCU\[...]\System : () -> ACCESS DENIED [] HKCU\[...]\System : () -> ACCESS DENIED [] HKCU\[...]\System : () -> ACCESS DENIED [] HKCU\[...]\Explorer : () -> ACCESS DENIED [] HKCU\[...]\Explorer : () -> ACCESS DENIED [] HKLM\[...]\System : () -> ACCESS DENIED [] HKLM\[...]\System : () -> ACCESS DENIED [] HKLM\[...]\System : () -> ACCESS DENIED [] HKCU\[...]\Explorer : () -> ACCESS DENIED [] HKLM\[...]\SystemRestore : () -> ACCESS DENIED [] HKLM\[...]\System : () -> ACCESS DENIED [] HKLM\[...]\System : () -> ACCESS DENIED [] HKLM\[...]\System : () -> ACCESS DENIED [] HKCU\[...]\ActiveDesktop : () -> ACCESS DENIED [] HKLM\[...]\Security Center : () -> ACCESS DENIED [] HKLM\[...]\Security Center : () -> ACCESS DENIED [] HKLM\[...]\Security Center : () -> ACCESS DENIED [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED [] HKLM\[...]\command : () -> ACCESS DENIED [] HKLM\[...]\command : () -> ACCESS DENIED [] HKLM\[...]\command : () -> ACCESS DENIED [] HKLM\[...]\command : () -> ACCESS DENIED [] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED [] HKLM\[...]\Windows : () -> ACCESS DENIED [] HKLM\[...]\ShellServiceObjectDelayLoad : () -> ACCESS DENIED [] HKLM\[...]\SharedTaskScheduler : () -> ACCESS DENIED [] HKLM\[...]\Browser Helper Objects : () -> ACCESS DENIED ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NOT LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Lyonnais92 · Answer

Re,

tu fais ce qui est dit là :

https://forums.commentcamarche.net/forum/affich-23834398-virus-vista-antispyware-2012#6

Ensuite,

il faut vérifier un fichier.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Users	eti\AppData\Local\yla.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Lyonnais92 · Answer

Bonjour,

saute l'étape AdwCleaner et continue.

Lyonnais92 · Answer

Re, on va essayer comme ça : 1) tu relances RogueKiller mode suppression 2) tu lances ZHPFix avec ces lignes M3 - MFPP: Plugins - [teti] -- C:\Program Files\Mozilla FireFox\searchplugins\babylon.xml R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0 O4 - HKCU\..\Run: [teambias] . (...) -- C:\ProgramData hecitycity.i1j629 O4 - HKCU\..\Run: [Grey pop cake audio] . (...) -- C:\ProgramData\Debug loud glue.yss9ni O4 - HKUS\S-1-5-21-3265737798-2268617280-2785917639-1003\..\Run: [teambias] . (...) -- C:\ProgramData hecitycity.i1j629 O4 - HKUS\S-1-5-21-3265737798-2268617280-2785917639-1003\..\Run: [Grey pop cake audio] . (...) -- C:\ProgramData\Debug loud glue.yss9ni O39 - APT:Automatic Planified Task - C:\Windows\Tasks pc.job O43 - CFD: 2008-11-10 - 07:41:06 - [0] ----D- C:\ProgramData\Part Hide Grey Pop O69 - SBI: SearchScopes [HKCU] {C164F506-7563-4ADA-B037-4997A39BE897} - (Recherche de Yoog) - http://www28.yoog.com [MD5.2EF8C01D6ED381216094906F9DB04E2C] [SPRF][2011-12-05] (.Microsoft Corporation - Microsoft DirectPlay8 Lobby.) -- C:\Users eti\AppData\Local\yla.exe [280064] O67 - Shell Spawning: <.exe> [HKCU\..\open\Command] (.Microsoft Corporation - Microsoft DirectPlay8 Lobby.) -- C:\Users eti\AppData\Local\yla.exe O67 - Shell Spawning: <.exe> [HKCR\..\open\Command] (.Microsoft Corporation - Microsoft DirectPlay8 Lobby.) -- C:\Users eti\AppData\Local\yla.exe 3) tu relances MBAM en scan rapide; 4) tu fais redémarrer l'ordi, tu relances ZHPDiag. Tu postes : - le rapport de RogueKiller - le rapport de ZHPFix - le rapport de MBAM - le rapport de ZHPDiag (lui, dans un lien pjjoint). === Il y a un mécanisme qui regénère l'infection. Ma première hypothèse est que ça passe par le fichier que je voulais te faire analyser. Si elle se révèle fausse, on ira chercher du côté des rootkits.

Lyonnais92 · Answer

Re,

relance ZHPFix avec ces lignes :

M3 - MFPP: Plugins - [teti] -- C:\Program Files\Mozilla FireFox\searchplugins\babylon.xml
O39 - APT:Automatic Planified Task  - C:\Windows\Taskspc.job
[HKCU\Software\AppDataLow\HavingFunOnline]    => Infection BT (Adware.BHO.FL)
[HKCU\Software\AppDataLow\Software\FocusInteractive]
[HKCU\Software\AppDataLow\Software\Fun Web Products]
[HKCU\Software\AppDataLow\Software\FunWebProducts]
[HKCU\Software\AppDataLow\Software\Hotbar]
[HKCU\Software\AppDataLow\Software\MyWebSearch]
[HKCU\Software\AppDataLow\Software\PandoBar]
[HKCU\Software\AppDataLow\Software\ShopperReports3]
[HKCU\Software\AppDataLow\Software\Smart-Shopper]
[HKCU\Software\AppDataLow\Software\VideoEgg]
[HKCU\Software\BitLord]
[HKCU\Software\Dcads ToolBar]
[HKCU\Software\FunWebProducts]
[HKCU\Software\Spointer]
O43 - CFD: 2011-04-13 - 22:00:56 - [163,991] ----D- C:\Program Files\BitLord
O43 - CFD: 2011-10-04 - 21:52:22 - [27,140] ----D- C:\Program Files\CrazyLoader
O43 - CFD: 2007-11-26 - 14:45:46 - [0] ----D- C:\Program Files\Dcads Advanced Toolbar
O43 - CFD: 2010-10-05 - 16:46:08 - [50,554] ----D- C:\Program Files\Fluendo
O43 - CFD: 2007-11-26 - 14:47:06 - [0] ----D- C:\Program Files\Freeze.com
O43 - CFD: 2008-11-10 - 07:41:06 - [0] ----D- C:\ProgramData\Part Hide Grey Pop
O43 - CFD: 2009-11-16 - 10:21:12 - [0,000] ----D- C:\ProgramData\PopCap Games
O43 - CFD: 2011-07-10 - 08:49:54 - [0] ----D- C:\ProgramData\Trymedia
O43 - CFD: 2010-10-05 - 16:57:38 - [0,555] ----D- C:\Users	eti\AppData\Roaming\moovida-1
O43 - CFD: 2010-10-05 - 16:57:40 - [0,016] ----D- C:\Users	eti\AppData\Local\moovida Air
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\mywebsearch bar uninstall]
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\62119ef862c6b3a0d853419b87eb3e2f6c78640a]
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7ee743314c844c7f445b8b1d7617612df1fdd50f]
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8ca5ed52-f3fb-4414-a105-2e3491156990}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8ca5ed52-f3fb-4414-a105-2e3491156990}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{df780f87-ff2b-4df8-92d0-73db16a1543a}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{f6d63a65-bd23-46f3-b9a3-87f442423481}]
[HKCU\Software\Microsoft\Internet Explorer\MenuExt\&search]
[HKCU\Software\bitlord]
[HKCU\Software\AppDataLow\Software\focusinteractive]
[HKCU\Software\AppDataLow\Software\Fun Web Products]
[HKCU\Software\FunWebProducts]
[HKCU\Software\AppDataLow\Software\FunWebProducts]
[HKCU\Software\AppDataLow\HavingFunOnline]
[HKCU\Software\AppDataLow\Software\hotbar]
[HKCU\Software\AppDataLow\Software\ShopperReports3]
[HKCU\Software\AppDataLow\Software\Smart-Shopper]
[HKCU\Software\Spointer]
C:\Program Files\Fluendo\Moovida
C:\Program Files\BitLord
C:\Program Files\Crazyloader
C:\Program Files\Dcads Advanced Toolbar
C:\ProgramData\PopCap Games
C:\ProgramData\Trymedia
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BitLord
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dcads Games Collection
C:\Users	eti\AppData\Local\moovida air
C:\Users	eti\AppData\LocalLow\Fun Web Products
C:\Users	eti\AppData\LocalLow\FunWebProducts
C:\Users	eti\AppData\LocalLow\Hotbar
C:\Users	eti\AppData\LocalLow\MyWebSearch
C:\Users	eti\AppData\LocalLow\ShopperReports3

Poste le rapport dans ta réponse.

Lyonnais92 · Answer

Re,

tu fais redémarrer l'ordi.

Tu relances ZHPDiag et tu postes le rapport dans un lien pjjoint.

===

Tu as encore des soucis ?

(il me semble que tu as un problème d'antivirus)

Il reste encore des choses à éliminer (toolbars, clés orphelines, ...)

Lyonnais92 · Answer

Re,

le rapport ne montre pas Avast dans les logiciels installés et aucun processus n'est lancé.

Il vaudrait mieux que tu le réinstalles.

===

Tu relances ZHPFix avec :

M3 - MFPP: Plugins - [teti] -- C:\Program Files\Mozilla FireFox\searchplugins\babylon.xml
O39 - APT:Automatic Planified Task  - C:\Windows\Taskspc.job
O43 - CFD: 2011-12-08 - 15:49:34 - [0,922] ----D- C:\Program Files\BitLord
O43 - CFD: 2011-10-04 - 21:52:22 - [27,140] ----D- C:\Program Files\CrazyLoader
O43 - CFD: 2007-11-26 - 14:45:46 - [0] ----D- C:\Program Files\Dcads Advanced Toolbar
O43 - CFD: 2010-10-05 - 16:46:08 - [50,554] ----D- C:\Program Files\Fluendo
O43 - CFD: 2007-11-26 - 14:47:06 - [0] ----D- C:\Program Files\Freeze.com
O43 - CFD: 2008-11-10 - 07:41:06 - [0] ----D- C:\ProgramData\Part Hide Grey Pop
O43 - CFD: 2011-12-08 - 15:50:26 - [0] ----D- C:\ProgramData\PopCap Games
O43 - CFD: 2011-07-10 - 08:49:54 - [0] ----D- C:\ProgramData\Trymedia
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8ca5ed52-f3fb-4414-a105-2e3491156990}]
C:\Program Files\Fluendo\Moovida
C:\Program Files\BitLord
C:\Program Files\Crazyloader
C:\Program Files\Dcads Advanced Toolbar
C:\ProgramData\PopCap Games
C:\ProgramData\Trymedia
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BitLord
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dcads Games Collection
EmptyTemp
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} . (...) (No version) -- (.not file.)
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (...) (No version) -- (.not file.)
O8 - Extra context menu item: Add to Windows &Live Favorites - (.not file.) - http:\favorites.live.com\quickadd.aspx
[HKCU\Software\AppDataLow\Software\SKYROCKTBAR]
[HKCU\Software\SWEETIE]
[HKCU\Software\XBTB03021]
O43 - CFD: 2010-04-25 - 19:54:12 - [0,001] ----D- C:\Program Files\DAEMON Tools Toolbar
O43 - CFD: 2008-07-05 - 13:57:56 - [0,364] ----D- C:\Program Files\Freeze.com Toolbar
O69 - SBI: prefs.js [teti - eh6cajpo.default] user_pref("CT2269050.SearchEngine", "Search||https://www.bing.com/search?q=UCM_SEARCH_TERM&pc=cosp&ptag=G6C999A892CD84FE5&form=CONORG&conlogo=CT3210127
O69 - SBI: prefs.js [teti - eh6cajpo.default] user_pref("CT2269050.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=");
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{06663B51-0D73-4f9f-BCC5-4AA941470AFD}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847}]
[HKCU\Software\SWEETIE]
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{bc4ffe41-de9f-46fa-b455-aad49b9f9938}
[HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks]:{bc4ffe41-de9f-46fa-b455-aad49b9f9938}
C:\Program Files\DAEMON Tools Toolbar
C:\Users	eti\AppData\Roaming\Mozilla\Firefox\Profiles\eh6cajpo.default\Conduit
O4 - Global Startup: C:\Users	eti\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Apple Safari.lnk - Clé orpheline

Poste le rapport dans ta réponse.

Lyonnais92 · Answer

Re,

le classique :

fais redémarrer l'ordi, relance ZHPDiag et poste le rapport dans un lien pjjoint.

Lyonnais92 · Answer

Re,

tu lances ZHPFix par clic droit et Exécuter en tant qu'administrateur ?

Si oui, à partir d'une session qui a les droits d'administrateur, donne les à ta session actuelle.

Tu les enlèveras en fin de désinfection.

Lyonnais92 · Answer

Bonjour,

tu as réinstallé Avast ?

Lance AdwCleaner et choisis l'option de suppression.

Poste le rapport dans ta réponse.

Lyonnais92 · Answer

Re,

désactive l'UAC :

https://labo-microsoft.supinfo.com/tips-23933-desactiver-uac-vista.html/

Pour des raisons de sécurité, tu le réactiveras en fin de désinfection.

Lyonnais92 · Answer

Re,

nos réponses se sont croisées.

Désactive l'UAC comme indiqué ci-dessus.

Lyonnais92 · Answer

Re,

relance ZHPDiag, clique sur la flèche verte.

Accepte le téléchargement et l'installation de la nouvelle version.

Relance ZHPDiag, clique sur la loupe pour lancer l'analyse.


Pour transmettre le rapport clique sur la flèche bleue.

Ton navigateur par défaut va s'ouvrir sur la page pjjoint.malekal.com (si il était resté ouvert, un onglet supplémentaire s'ouvre sur cette page).

Clique sur Parcourir et cherche le répertoire C:\ZHP

Sélectionne le fichier ZHPDiag.txt et clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Donne moi le lien qui figure dans la zone "L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est :"

Ce lien est de la forme https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111209_j10f7x12v13v

Lyonnais92 · Answer

Re,

on reverra après.

Exécute la version actuelle.

Lyonnais92 · Answer

Re,

ouvre une session qui a les droits d'administrateur.

Supprime (clic droit et Supprimer)  C:\Windows\Tasks\rpc.job 

Vide ta Corbeille.

Installe (ou réinstalle) Avast.

Mets à jour Vista (installe le SP1 par Windows update).

Quand tout est fait, fais redémarrer l'ordi sur la session avec les droits d'administrateur et exécute ZHPDiag.

Lyonnais92 · Answer

Re,

à partir de cette session (Carole),

relance Malwarebytes, sélectionne tout ce qu'il trouve et mets les en quarantaine

relance AdwCleaner en mode suppression,

fais redémarrer l'ordi,

relance ZHPDiag

poste les 3 rapports (celui de ZHPDiag dans un lien pjjoint).

Lyonnais92 · Answer

Re,

tu fermes.

Tu postes le rapport de Malwarebytes,

tu relances ZHPDiag et tu postes un nouveau rapport dans un lien pjjoint.

Lyonnais92 · Answer

Re,

toujours sur la session Carole,

tu relances ZHPFix par clic droit sur le raccourci sur le Bureau.

Tu utilises ces lignes :

M0 - MFSP: prefs.js [Carole - rofli583.default] http://www28.yoog.com/
O2 - BHO: IEHlprObj Class - {8CA5ED52-F3FB-4414-A105-2E3491156990} . (.iWin Inc. - iWin Games manager helper for IE.) -- C:\Program Files\iWin Games\iWinGamesHookIE.dll
O2 - BHO: Interest recogniser for Moovida (powered by Spointer) - {E2A7BD67-0EAF-497f-B05B-748D7BF3C421} . (.Moovida - Interest Recognizer for Moovida.) -- C:\Program Files\Fluendo\Moovida\spointer\extensions\moovida_air_ie.dll
O4 - HKCU\..\Run: [teambias] . (...) -- C:\ProgramData	hecitycity.i1j629
O4 - HKCU\..\Run: [Grey pop cake audio] . (...) -- C:\ProgramData\Debug loud glue.yss9ni
O4 - HKUS\S-1-5-18\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe (.not file.)
O4 - HKUS\S-1-5-21-3265737798-2268617280-2785917639-1000\..\Run: [teambias] . (...) -- C:\ProgramData	hecitycity.i1j629
O4 - HKUS\S-1-5-21-3265737798-2268617280-2785917639-1000\..\Run: [Grey pop cake audio] . (...) -- C:\ProgramData\Debug loud glue.yss9ni
O4 - Global Startup: C:\Users\Carole\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Moovida.lnk . (.Fluendo Embedded.)  -- C:\Program Files\Fluendo\Moovida\Moovida.exe
O4 - Global Startup: C:\Users\Carole\Desktop\Moovida.lnk . (.Fluendo Embedded.)  -- C:\Program Files\Fluendo\Moovida\Moovida.exe
[MD5.00000000000000000000000000000000] [APT] [rpc] (.Pas de propriétaire.) -- C:\Program Files\Winferno\RegistryPowerCleaner\RegPowerClean.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{F04E1E79-5719-4525-8931-C7B58BAFC9F8}] (.Pas de propriétaire.) -- C:\Program Files\SpyShredder\Uninstall.exe (.not file.)
O42 - Logiciel: Moovida - (.Secure Digital Services.) [HKLM] -- {6084C211-01A1-464E-97A0-09772E122B50}
O42 - Logiciel: iWin Games (remove only) - (.Pas de propriétaire.) [HKLM] -- iWinArcade
[HKCU\Software\AppDataLow\HavingFunOnline]
[HKCU\Software\AppDataLow\Software\FocusInteractive]
[HKCU\Software\AppDataLow\Software\Smart-Shopper]
[HKCU\Software\AppDataLow\Software\VideoEgg]
[HKCU\Software\BitLord]
[HKCU\Software\Dcads ToolBar]
[HKCU\Software\Freeze.com]
[HKCU\Software\FunWebProducts]
[HKCU\Software\LanConfig]
[HKCU\Software\PopCap]
[HKCU\Software\Spointer]
[HKCU\Software\WebMediaPlayer]
[HKCU\Software\iWinArcade]
[HKLM\Software\CrazyLoader]
[HKLM\Software\Freeze.com]
[HKLM\Software\Moovida]
[HKLM\Software\PopCap]
O43 - CFD: 2011-12-08 - 15:49:34 - [966443] ----D- C:\Program Files\BitLord
O43 - CFD: 2007-11-26 - 14:45:46 - [0] ----D- C:\Program Files\Dcads Advanced Toolbar
O43 - CFD: 2010-10-05 - 16:46:08 - [53009552] ----D- C:\Program Files\Fluendo
O43 - CFD: 2007-11-26 - 14:47:06 - [0] ----D- C:\Program Files\Freeze.com
O43 - CFD: 2008-11-10 - 07:41:06 - [0] ----D- C:\ProgramData\Part Hide Grey Pop
O43 - CFD: 2011-12-08 - 15:50:26 - [0] ----D- C:\ProgramData\PopCap Games
O43 - CFD: 2011-07-10 - 08:49:54 - [0] ----D- C:\ProgramData\Trymedia
O43 - CFD: 2007-11-26 - 14:12:40 - [285] ----D- C:\Users\Carole\AppData\Roaming\Dcads Advanced Toolbar
O43 - CFD: 2011-04-05 - 12:59:32 - [22] ----D- C:\Users\Carole\AppData\Roaming\Desktopicon
O43 - CFD: 2010-10-05 - 16:51:24 - [553985] ----D- C:\Users\Carole\AppData\Roaming\moovida-1
O69 - SBI: prefs.js [Carole - rofli583.default] user_pref("browser.search.defaultenginename", "Recherche de Yoog");
O69 - SBI: prefs.js [Carole - rofli583.default] user_pref("browser.search.defaulturl", "http://www28.yoog.com/search.php?q=");
O69 - SBI: prefs.js [Carole - rofli583.default] user_pref("browser.search.selectedEngine", "Recherche de Yoog");
O69 - SBI: prefs.js [Carole - rofli583.default] user_pref("browser.startup.homepage", "http://www28.yoog.com/");
O69 - SBI: prefs.js [Carole - rofli583.default] user_pref("keyword.URL", "http://www28.yoog.com/search.php?q=");
O69 - SBI: SearchScopes [HKCU] {C164F506-7563-4ADA-B037-4997A39BE897} - (Recherche de Yoog) - http://www28.yoog.com
O87 - FAEL: "TCP Query User{A383EEF7-E01D-4C14-B06B-2B6E7569E474}C:\program files\bitlord\bitlord.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\bitlord\bitlord.exe (.not file.)
O87 - FAEL: "UDP Query User{91883DA6-4DC3-4C34-A393-947ED9FACA7B}C:\program files\bitlord\bitlord.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\bitlord\bitlord.exe (.not file.)
O87 - FAEL: "TCP Query User{990AF9F2-FB3B-48FC-BB77-58E646FB8880}C:\program files\webmediaplayer\webmediaplayer.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\webmediaplayer\webmediaplayer.exe (.not file.)
O87 - FAEL: "UDP Query User{14D9AE4B-ACDB-47F9-809F-CD352DDE3B8C}C:\program files\webmediaplayer\webmediaplayer.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\webmediaplayer\webmediaplayer.exe (.not file.)
O87 - FAEL: "TCP Query User{D3B172A7-291A-43C1-98B1-41B6E5055089}C:\program files\bitlord\bitlord.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\bitlord\bitlord.exe (.not file.)
O87 - FAEL: "UDP Query User{C73CCA29-0130-4E09-8A07-F43AB143686F}C:\program files\bitlord\bitlord.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\bitlord\bitlord.exe (.not file.)
O87 - FAEL: "{6E33E695-08D1-46CB-8BCB-0472F37E77FA}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\CrazyLoader\crazyloader.exe (.not file.)
O87 - FAEL: "{2DE0DF8F-D1B5-445D-AB76-85DE5C4A6F5E}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\CrazyLoader\crazyloader.exe (.not file.)
[HKCR\.bc!]
[HKCR\bitlordunfinishedfile]
[HKCU\Software\AppDataLow\HavingFunOnline]
[HKLM\Software\Classes\bitlordunfinishedfile]
[HKLM\Software\Classes\CLSID\{58EFBE9C-4621-4d79-90E7-8BEE265CA951}]
[HKLM\Software\Classes\CLSID\{7935436E-8F14-4C84-9ECF-BEB791296619}]
[HKLM\Software\Classes\CLSID\{B3DBB2D5-5F06-4EC2-904D-812ECE520509}]
[HKLM\Software\Classes\CLSID\{C4A743DE-EAAC-4cd0-9BF6-378E8141868B}]
[HKLM\Software\Classes\CLSID\{DCE997C8-5920-4c09-99EE-59F46634FE2C}]
[HKLM\Software\Classes\Interface\{7935436E-8F14-4C84-9ECF-BEB791296619}]
[HKLM\Software\Classes\Interface\{B3DBB2D5-5F06-4EC2-904D-812ECE520509}]
[HKLM\Software\freeze.com]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C4A743DE-EAAC-4cd0-9BF6-378E8141868B}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DCE997C8-5920-4c09-99EE-59F46634FE2C}]
C:\Users\Carole\AppData\Roaming\Desktopicon
M3 - MFPP: Plugins - [Carole] -- C:\Users\Carole\AppData\Roaming\Mozilla\Firefox\Profilesofli583.default\searchplugins\Recherche de Yoog.xml

Fais redémarrer l'ordi et poste le rapport dans ta réponse.

Relance ZHPDiag par clic droit et Exécuter en tant qu'administrateur et poste le rapport dans un lien pjjoint.

Lyonnais92 · Answer

Bonjour,

on ne change pas de session.

Tu relances ZHPFix (clic droit et Exécuter en tant qu'administrateur) avec ces lignes :

[HKLM\Software\iWinArcade]
[MD5.5D700E61836D968DC16F68D2DB34886F] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Carole\AppData\Local\Temp\iWinArcadeAutocleanup.bat   [120]
[MD5.FAA9F9A13E2616E885883E2C739F2630] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Carole\AppData\Local\Temp\Uninst.bat   [471]
P2 - FPN: [HKCU] [@tools.google.com/Google Update;version=2] - (.Pas de propriétaire - Pas de description.) -- C:\Users\Carole\AppData\Local\Google\Update\1.2.121.9
pGoogleOneClick.dll (.not file.)
O4 - Global Startup: C:\Users\Carole\Desktop\Google SketchUp.lnk . (...)  -- C:\Users\Carole\Desktop\SketchUp.exe (.not file.)
O4 - Global Startup: C:\Users\Carole\Desktop\Pogo Jeux.lnk - Clé orpheline
O4 - Global Startup: C:\Users\Carole\Desktop\Propriétés du Volet Windows - Raccourci.lnk - Clé orpheline
O4 - Global Startup: C:\Users\Carole\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Bee Movie(TM) Game.LNK - Clé orpheline
O4 - Global Startup: C:\Users\Carole\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Corbeille - Raccourci.lnk - Clé orpheline
O4 - Global Startup: C:\Users\Carole\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\iTunes (3).lnk - Clé orpheline
O4 - Global Startup: C:\Users\Carole\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Vegas Movie Studio 8.0.lnk . (...)  -- C:\Program Files\Sony\Vegas Movie Studio 8.0\VegasMovieStudio80.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{00B09106-99A6-49D6-8AA3-0CB9D2E51297}] (.Pas de propriétaire.) -- c:\Users\Carole\Downloads\limewire_limewire_4.14.10_francais_42255.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{36CF4DB2-02EB-4D53-8B9B-F0A6F1A9A9D1}] (.Pas de propriétaire.) -- c:\Users\Carole\AppData\Roaming\LimeWire\.NetworkShare\LimeWireWin4.16.6.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{58EE8DDC-54AC-436B-8B1E-DBF170D145FC}] (.Pas de propriétaire.) -- C:\Program Files\Netlog Music Tool\Uninstaller.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{C3BA30BC-C2A7-461F-9C22-A49BEF8E3F8E}] (.Pas de propriétaire.) -- c:\Users\Carole\Documents\BearShareV6fr.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{D2F18BD2-B99C-4FF8-A428-38EC139CB10C}] (.Pas de propriétaire.) -- C:\Program Files\The Weather Channel FW\Desktop Weather\TheWeatherChannelCustomUninstall.exe (.not file.)
O43 - CFD: 2010-10-08 - 12:16:16 - [17787277] ----D- C:\Program Files\iWin.com
O51 - MPSK:{cf05da6a-71c6-11dc-ad37-001aa00736a8}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe (.not file.)
O87 - FAEL: "TCP Query User{A7E96C54-E896-4AF8-ADAD-31FEF003D8C3}C:\program files\sony\vegas 7.0\vegsrv70.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\sony\vegas 7.0\vegsrv70.exe (.not file.)
O87 - FAEL: "UDP Query User{5722ECA3-C409-4FA5-8A89-1A709EFA59BF}C:\program files\sony\vegas 7.0\vegsrv70.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\sony\vegas 7.0\vegsrv70.exe (.not file.)
O87 - FAEL: "{E0095EC9-54EE-4522-ADBE-EF2748E7C881}" |In - Private - P6 - FALSE | .(...) -- C:\Program Files\IncrediMail\bin\ImpCnt.exe (.not file.)
O87 - FAEL: "{E9BAB546-B49D-491F-B90C-870AF31C7EFC}" |In - Private - P17 - FALSE | .(...) -- C:\Program Files\IncrediMail\bin\ImpCnt.exe (.not file.)
O87 - FAEL: "{1F8AD569-2F88-468E-AB98-899AAD25033C}" |In - Private - P6 - FALSE | .(...) -- C:\Program Files\IncrediMail\bin\ImApp.exe (.not file.)
O87 - FAEL: "{8AC3F2A6-DECB-4F53-99B3-D7FE213687B2}" |In - Private - P17 - FALSE | .(...) -- C:\Program Files\IncrediMail\bin\ImApp.exe (.not file.)
O87 - FAEL: "TCP Query User{77957A57-E2B6-477A-85D8-D1C6CB13282D}C:\users	eti\desktop\pack.hello.kittymsn-maniac.over-blog.com.exe" |In - Private - P6 - TRUE | .(...) -- C:\users	eti\desktop\pack.hello.kittymsn-maniac.over-blog.com.exe (.not file.)
O87 - FAEL: "UDP Query User{BF754E53-6DC1-4352-AB62-1FFEE22DD5AC}C:\users	eti\desktop\pack.hello.kittymsn-maniac.over-blog.com.exe" |In - Private - P17 - TRUE | .(...) -- C:\users	eti\desktop\pack.hello.kittymsn-maniac.over-blog.com.exe (.not file.)
O87 - FAEL: "TCP Query User{2CA966FC-DF1F-4F27-8226-0E2F7D9A6856}C:\program files\infogrames\monopoly\monopoly.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\infogrames\monopoly\monopoly.exe (.not file.)
O87 - FAEL: "UDP Query User{75989A07-E942-44BD-A5BA-21312F4D2977}C:\program files\infogrames\monopoly\monopoly.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\infogrames\monopoly\monopoly.exe (.not file.)
O87 - FAEL: "{D6DD489A-5FE4-47E9-9680-B48AA7F9E78D}" |In - Private - P6 - TRUE | .(...) -- C:\Users\Carole\AppData\Local\Temp\Update_3b9f.exe (.not file.)
O87 - FAEL: "{1F12B415-23F7-45F0-91AC-DE57769F1AE9}" |In - Private - P17 - TRUE | .(...) -- C:\Users\Carole\AppData\Local\Temp\Update_3b9f.exe (.not file.)
O87 - FAEL: "TCP Query User{88CF0D63-A4F0-4ECA-98F4-890D826D68D1}C:\users\carole\appdata\local	emp\jdic_0_9_5\ieembed.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\carole\appdata\local	emp\jdic_0_9_5\ieembed.exe (.not file.)
O87 - FAEL: "UDP Query User{D12F1E7B-0BA8-4CAC-BE51-E5BA97288D57}C:\users\carole\appdata\local	emp\jdic_0_9_5\ieembed.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\carole\appdata\local	emp\jdic_0_9_5\ieembed.exe (.not file.)
O87 - FAEL: "TCP Query User{E549CA59-6005-4804-BD6F-1A0B514463A4}C:\program files\bitcomet\bitcomet.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\bitcomet\bitcomet.exe (.not file.)
O87 - FAEL: "UDP Query User{E10B3540-F007-4040-AF53-5D0044820D0D}C:\program files\bitcomet\bitcomet.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\bitcomet\bitcomet.exe (.not file.)
O87 - FAEL: "TCP Query User{D1A95478-C5CD-422D-B241-6ABE8FE129E8}C:\program files\utorrent\utorrent.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\utorrent\utorrent.exe (.not file.)
O87 - FAEL: "UDP Query User{AC4D501E-A1FE-4296-9604-FC64EB469764}C:\program files\utorrent\utorrent.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\utorrent\utorrent.exe (.not file.)
O87 - FAEL: "TCP Query User{564D3BAF-845E-4F2F-81FD-E11D06E55687}C:\program files\emule\emule.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\emule\emule.exe (.not file.)
O87 - FAEL: "UDP Query User{0C2FE110-0965-444E-8CE0-BEAE6CC7742C}C:\program files\emule\emule.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\emule\emule.exe (.not file.)    => eMule®PeerToPeer
O87 - FAEL: "TCP Query User{E0A7BC04-6981-4E58-8C3E-2577CCC4D79C}C:\program files\bearshare applications\bearshare\bearshare.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\bearshare applications\bearshare\bearshare.exe (.not file.)
O87 - FAEL: "UDP Query User{2565B1EE-F031-4A0B-961A-0398AEFE9CDA}C:\program files\bearshare applications\bearshare\bearshare.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\bearshare applications\bearshare\bearshare.exe (.not file.)
O87 - FAEL: "TCP Query User{B0AF1BB3-728C-4850-A6A5-CF2FB67D3E7D}C:\program files\bearshare applications\bearshare\bearshare.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\bearshare applications\bearshare\bearshare.exe (.not file.)
O87 - FAEL: "UDP Query User{AE9C30A2-AA7D-45E6-A07E-815872CE46D7}C:\program files\bearshare applications\bearshare\bearshare.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\bearshare applications\bearshare\bearshare.exe (.not file.)
O87 - FAEL: "TCP Query User{C97E1E94-7042-4E1A-BD0C-B4C984ECDB1F}C:\program files\limewire\limewire.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\limewire\limewire.exe (.not file.)
O87 - FAEL: "UDP Query User{F8B1B5AB-C353-40CC-97E3-096FA1EF8E38}C:\program files\limewire\limewire.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\limewire\limewire.exe (.not file.)
O87 - FAEL: "TCP Query User{C1E3D3C1-F309-426C-842B-90A496298287}C:\program files\shareaza\shareaza.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\shareaza\shareaza.exe (.not file.)
O87 - FAEL: "UDP Query User{96EF1001-76A0-4148-BD6B-3E1493787E60}C:\program files\shareaza\shareaza.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\shareaza\shareaza.exe (.not file.)
O87 - FAEL: "TCP Query User{1E5FAF68-452B-4943-99CA-5532362F26FD}C:\program files\utorrent\utorrent.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\utorrent\utorrent.exe (.not file.)
O87 - FAEL: "UDP Query User{C2B7CBB3-680F-4A22-8802-50DB4151C1A6}C:\program files\utorrent\utorrent.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\utorrent\utorrent.exe (.not file.)
O87 - FAEL: "{B9914EA3-DEFE-48C4-81F9-8FBAC1C411A7}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\LimeWire\LimeWire.exe (.not file.)
O87 - FAEL: "{8823D1FE-FD59-475B-B5C8-E7E5FD0E13D9}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\LimeWire\LimeWire.exe (.not file.)
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline
O43 - CFD: 2010-04-25 - 19:54:12 - [729] ----D- C:\Program Files\DAEMON Tools Toolbar
O43 - CFD: 2008-07-05 - 13:57:56 - [381489] ----D- C:\Program Files\Freeze.com Toolbar
[HKLM\Software\Classes\TypeLib\{96F7FABC-5789-EFA4-B6ED-1272F4C1D27B}]

Tu postes le rapport.

Tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport dans un lien.

Lyonnais92 · Answer

Re,

en même temps que le rapport ZHPDiag, tu peux me dire comment va l'ordi ?

Lyonnais92 · Answer

Re,

l'écran noir, c'est que explorer.exe n'a pas redémarré.

Tu peux faire Ctrl Alt Suppr pour faire apparaître le Gestionnaire des tâches.

Là, tu peux arrêter proprement l'ordi.

Tu peux aussi relancer explorer.exe : tu cliques sur Fichier puis Nouvelle tâche (Exécuter) et tu trapes explorer.exe puis OK.

Le Bureau devrait réapparaître.

===

Soit tu désinstalles Firefox, soit tu le mets à jour (on en est à la version 8, pas 5).

===

Serait-il possible d'avoir un rapport ZHPDiag à partir de la session Kevin  (dans un lien) ?

Lyonnais92 · Answer

Re,

on a un peu de temps devant nous :

il est vers midi chez toi et 18 h chez moi. Ca nous laisse 6 heures de temps pour avancer.

Lyonnais92 · Answer

Re,

tu peux télécharger sans crainte firefox 8 du lien que tu as donné.

===

Pourquoi as tu refait un ZHPDiag sous la session Carole alors que j'en voudrais un sous Kevin ?

Lyonnais92 · Answer

Re,

pour firefox, il est probable que c'est le chemin d'enregistrement des téléchargements par défaut.

Si tu regardes le rapport ZHPDiag, il dit qu'il a été exécuté sous la session Carole.

Lyonnais92 · Answer

Re,

bizarre cette histoire de session. Il me semble que, au départ, sur la session teti on n'avait pas ce problème.

Il y a longtemps que l'ordi n'a pas été défragmenté ?

Fais le.

Il faudrait installer aussi le SP2 de Vista (tu devrais le trouver par Windows update).

Pour hprb.exe, tu pourrais être plus précis ?

Tu as du matériel HP ?

Lyonnais92 · Answer

Re,

tu peux accepter que le programme s'installe.

Lyonnais92 · Answer

Bonsoir,

dans la session de Germain (alias kevin), UAC désactivé, 

tu relances ZHPFix avec ces lignes :

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} Clé orpheline
O8 - Extra context menu item: &Search - (.not file.) - http:\edits.mywebsearch.com	oolbaredits\menusearch.jhtml?p=ZCxdm491MXCA
O42 - Logiciel: VideoEgg Publisher - (.Pas de propriétaire.) [HKCU] -- VideoEgg
[HKCU\Software\AppDataLow\HavingFunOnline]
[HKCU\Software\AppDataLow\Software\FocusInteractive]
[HKCU\Software\AppDataLow\Software\Fun Web Products]
[HKCU\Software\AppDataLow\Software\FunWebProducts]
[HKCU\Software\AppDataLow\Software\MyWebSearch]
[HKCU\Software\AppDataLow\Software\PandoBar]
[HKCU\Software\AppDataLow\Software\Smart-Shopper]
[HKCU\Software\AppDataLow\Software\VideoEgg]
[HKCU\Software\BitLord]
[HKCU\Software\Dcads ToolBar]
[HKCU\Software\FunWebProducts]
[HKCU\Software\MediaHoldings]
[HKCU\Software\MyWebSearch]
[HKCU\Software\epk_extr]
O69 - SBI: SearchScopes [HKCU] {56256A51-B582-467e-B8D4-7786EDA79AE0} - (My Web Search) - http://www.mywebsearch.com
O69 - SBI: SearchScopes [HKCU] {C164F506-7563-4ADA-B037-4997A39BE897} - (Recherche de Yoog) - http://www28.yoog.com
[HKCU\Software\AppDataLow\HavingFunOnline]    => Infection BT (Adware.BHO.FL)
[HKCU\Software\Microsoft\Internet Explorer\menuext\&search]
[HKCU\Software\Microsoft\Internet Explorer
ew windows\allow]:host-domain-lookup.com
[HKCU\Software\Microsoft\Internet Explorer
ew windows\allow]:mysearchnow.com
[HKCU\Software\Microsoft\Internet Explorer
ew windows\allow]:www.host-domain-lookup.com
[HKCU\Software\Microsoft\Internet Explorer
ew windows\allow]:www.mysearchnow.com
[HKCU\Software\Microsoft\Internet Explorer\searchscopes\{56256a51-b582-467e-b8d4-7786eda79ae0}]
[HKCU\Software\Microsoft\Internet Explorer	oolbar\webbrowser]:{07aa283a-43d7-4cbe-a064-32a21112d94d}
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{07b18ea1-a523-4961-b6bb-170de4475cca}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{07b18ea9-a523-4961-b6bb-170de4475cca}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb}]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{54a3f8b7-228e-4ed8-895b-de832b2c3959}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{af2e62b6-f9e1-4d4f-a10a-9dc8e6dcbcc0}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\videoegg]
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} Clé orpheline
R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} Clé orpheline
[HKCU\Software\AppDataLow\Software\SKYROCKTBAR]
[HKCU\Software\SWEETIE]
[HKCU\Software\XBTB03021]
[HKCU\Software\Microsoft\Internet Explorer\searchscopes\{eee6c360-6118-11dc-9c72-001320c79847}]
O4 - HKCU\..\Run: [teambias] C:\ProgramData	hecitycity.i1j629 (.not file.)
O4 - HKCU\..\Run: [Grey pop cake audio] C:\ProgramData\Debug loud glue.yss9ni (.not file.)

Tu postes le rapport dans ta réponse.

===

C'est quoi GLOBALBROWSEMODE ?

Lyonnais92 · Answer

Re,

reste dans la session, réactive l'UAC,

relance ZHPFix avec les lignes.

Poste le rapport.

Lyonnais92 · Answer

Bonjour,

si tu lances le même script ZHPFix sous la session Carole, tu obtiendras le même résultat : clés absentes.

Pour tes autres questions, je les fait remonter dans mon réseau car je les trouve très pertinentes.

Je ne suis pas sûr de pouvoir te donner une réponse dans la journée (je ne suis pas là cet après-midi (pour moi)).

===

Tu peux me confirmer que le répertoire C:\ProgramData\GLOBALBROWSEMODE est vide ?

J'ai aussi 2 paramètres "non standard" sur la session de Carole :

O56 - MWPE:[HKCU\...\policies\Explorer] - "ClassicShell"=2    => 
O56 - MWPE:[HKCU\...\policies\Explorer] - "NoActiveDesktop"=2 

Son Bureau a une apparence différente de celle des autres sessions ?

Lyonnais92 · Answer

Re,

c'est récent ces problèmes sur le Bureau de Carole ?

Lyonnais92 · Answer

Bonsoir,

le conseil de nardino est bon.

Pour attribuer des droits d'administrateur, ouvre la session Carole.

Démarrer, Panneau de configuration, Comptes utilisateurs, Modifier un compte.

Tu fermes la session Carole et tu ouvres celle que tu viens de modifier (compte = session)

Lyonnais92 · Answer

Re,

on m'a fait remarquer que ta version de ZHPFix est très ancienne.

Tu supprimes tous les ZHPFix.exe que tu trouves sur l'ordi.

Tu ouvres ZHPDiag, tu cliques sur la flèche verte.

Tu acceptes le téléchargement et l'installation de la dernière version, ce qui va installer ZHPFix aussi.

Tu fais ça après avoir donné les droits d'administrateur à la session de Germain (alias Kevin).

Lyonnais92 · Answer

Re,

tu fais redémarrer l'ordi dans la session de Germain en mode normal.

Tu relances ZHPDiag et tu postes le rapport dans un lien.

Lyonnais92 · Answer

Re,

en mode normal,

UAC désactivée.

On verra le résultat.

Lyonnais92 · Answer

Re,

Relance ZHPFix (sans rien changer) avec ces lignes :

[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\mywebsearch bar uninstall]
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\62119ef862c6b3a0d853419b87eb3e2f6c78640a]
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7ee743314c844c7f445b8b1d7617612df1fdd50f]
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A]
[HKLM\Software\Classes\TypeLib\{14816CF6-426C-40D7-904C-E5600F015EC2}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25560540-9571-4d7b-9389-0f166788785a}]
[HKLM\Software\Classes\TypeLib\{282D18C0-5424-44F4-A531-55F9AC5B8FD8}]
[HKLM\Software\Classes\TypeLib\{495874fe-4a82-4ad1-9476-0b957e0b95eb}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fc3c36d-7635-4d43-ba62-0d9d2f2cd06e}]
[HKLM\Software\Classes\Interface\{7CF4E72E-C9C0-4CA8-A039-1F5BAD426CCE}]
[HKLM\Software\Classes\Interface\{81B32B9F-AFDC-4F7E-8F13-E39BB8ECF638}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8bcb5337-ec01-4e38-840c-a964f174255b}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8ca5ed52-f3fb-4414-a105-2e3491156990}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8ca5ed52-f3fb-4414-a105-2e3491156990}]
[HKLM\Software\Classes\CLSID\{8ca5ed52-f3fb-4414-a105-2e3491156990}]
[HKLM\Software\Classes\Interface\{925C24DC-0C0B-4AE7-98F5-18252822C89C}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df}]
[HKLM\Software\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B7D3E479-CC68-42B5-A338-938ECE35F419}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B7D3E479-CC68-42B5-A338-938ECE35F419}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5041fd9-4819-4dc4-b20e-c950b5b03d2a}]
[HKLM\Software\Classes\Interface\{CA1BC665-4B6B-435C-80C1-0E12D993ED49}]
[HKLM\Software\Classes\Interface\{D5AB027D-C91A-4324-8C78-12CF1A588C48}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{df780f87-ff2b-4df8-92d0-73db16a1543a}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}]
[HKLM\Software\Classes\CLSID\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}]
[HKLM\Software\Classes\Interface\{E5DB89B8-5BE1-461C-A7EF-89B68211889D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{f6d63a65-bd23-46f3-b9a3-87f442423481}]
[HKLM\Software\Classes\Interface\{f8b4ec8a-2407-4be0-aee2-0f430d65a90d}]
[HKLM\Software\Classes\TypeLib\{FD06B491-1EA6-4F5C-86D2-C86D3A3A3731}]
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{07b18ea9-a523-4961-b6bb-170de4475cca}
[HKLM\Software\Mozilla\Firefox\Extensions]:moovida@spointer.com
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BitLord
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dcads Games Collection
C:\Users\Kevin\AppData\LocalLow\Fun Web Products
C:\Users\Kevin\AppData\LocalLow\FunWebProducts 
C:\Users\Kevin\AppData\LocalLow\MyWebSearch
C:\Users\Kevin\AppData\LocalLow\PandoBar

Poste le rapport dans ta réponse.

Lyonnais92 · Answer

Re,

redémarrage sur cette session et nouveau rapport ZHPDiag.

Lyonnais92 · Answer

Bonjour,

tu relances ZHPFix sur la même session, avec les mêmes droits avec ces lignes :

O4 - Global Startup: C:\Users\Kevin\Desktop\Hijackthis Version Française.lnk . (.Soeperman Enterprises Ltd..)  -- C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
O56 - MWPE:[HKCU\...\policies\Explorer] - "ClassicShell"=2
O56 - MWPE:[HKCU\...\policies\Explorer] - "NoActiveDesktop"=2
[MD5.00000000000000000000000000000000] [APT] [{598A6C59-1DD9-400B-B666-96BD98470BE8}] (...) -- c:\Users\Kevin\Saved Games\Sudoku3D_install.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{BB857DE7-791F-4060-BCC7-E627BD03CDBC}] (...) -- C:\Users\Kevin\Documents\pf-plug.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{EAAB0C4D-2523-4835-9C29-B0313FA398D7}] (...) -- C:\Users\Kevin\Documents\smart.exe (.not file.)
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (...) (No version) -- (.not file.)
[HKLM\Software\Classes\AppID\WMHelper.DLL]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{06663B51-0D73-4f9f-BCC5-4AA941470AFD}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5DB24F50-8C65-4772-9844-47FE8701BE57}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{bc4ffe41-de9f-46fa-b455-aad49b9f9938}

===

Tu fais redémarrer l'ordi sur la session Carole.

Tu peux remettre la session Kevin en "utilisateur".

Tu relances ZHPDiag et tu postes le rapport dans un lien.

===

Tu peux faire un point sur les problèmes qui restent ?

Lyonnais92 · Answer

Re,

oui, on continue comme ça (UAC désactivé).

Je voudrais que tu me dises où tu en est de tes soucis (et des changements qui se sont passés).

Lyonnais92 · Answer

Re,


 
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

O43 - CFD: 2010-12-28 - 12:23:28 - [0,016] ----D- C:\Users\Carole\AppData\Local\moovida Air
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\mywebsearch bar uninstall]
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\62119ef862c6b3a0d853419b87eb3e2f6c78640a]
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7ee743314c844c7f445b8b1d7617612df1fdd50f]
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1648E328-3E5A-4EA5-A9C6-E5F09EE272DA}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{6084C211-01A1-464E-97A0-09772E122B50}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8ca5ed52-f3fb-4414-a105-2e3491156990}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8ca5ed52-f3fb-4414-a105-2e3491156990}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{df780f87-ff2b-4df8-92d0-73db16a1543a}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{f6d63a65-bd23-46f3-b9a3-87f442423481}]
C:\Users\Carole\AppData\Local\moovida air
C:\Users\Carole\AppData\LocalLow\Fun Web Products
C:\Users\Carole\AppData\LocalLow\ShopperReports3
O43 - CFD: 2008-12-30 - 21:04:04 - [0] ----D- C:\ProgramData\GLOBALBROWSEMODE
O43 - CFD: 2009-02-12 - 17:44:50 - [0,000] ----D- C:\Users\Carole\AppData\Roaming\System
[HKCU\Software\AppDataLow\Software\{66BF773B-96CD-CC6F-5D56-6BEC0C1B7128}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{06663B51-0D73-4f9f-BCC5-4AA941470AFD}]
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
[HKCU\Software\BIKE THIS EXIT]
O4 - Global Startup: C:\Users\Carole\Desktop\Hijackthis Version Française.lnk . (...)  -- C:\Program Files\Hijackthis Version Française\hijackthis vf.exe (.not file.)
O4 - Global Startup: C:\Users\Carole\Desktop\Kids Cam Show And Share Creativity Center.lnk . (...)  -- C:\Program Files\Kids Cam Show And Share Creativity Center\Photags.exe (.not file.)
O4 - Global Startup: C:\Users\Carole\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Bee Movie(TM) Game.LNK - Clé orpheline
O43 - CFD: 2007-07-24 - 21:25:14 - [0] ----D- C:\Users\Carole\AppData\Local\The Weather Channel


Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Toutes les sessions sont lentes ? Seulement en administrateur ? Seulement la session Carole ?

Il faudrait faire du ménage (désinstallation des logiciels, jeux, ...) inutiles.

Il doit y avoir aussi du ménage à faire au démarrage.

Lyonnais92 · Answer

Re,

tu refais un ZHPDiag sur la session Carole.

Tu postes le rapport dans un lien pjjoint.

Lyonnais92 · Answer

Re,

relance ZHPFix avec ces lignes :

[MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task] (...) -- c:\program files\iwin games\iWinGames.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task for VeohWebPlayer] (...) -- C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe (.not file.)
O56 - MWPE:[HKCU\...\policies\Explorer] - "ClassicShell"=2
O56 - MWPE:[HKCU\...\policies\Explorer] - "NoActiveDesktop"=2

Poste le rapport, fais redémarrer l'ordi et dis moi si tu vois du changement.

Lyonnais92 · Answer

Re,

il est lent sur toutes les sessions ?

Je peux avoir un ZHPDiag sur teti ? (UAC désactivé)

Lyonnais92 · Answer

Re,

cette session est aussi lente que les autres ?

Lyonnais92 · Answer

Bonjour,

pour le compte Invité, son activation n'est nécessaire que si l'ordi est dans un réseau;

Sinon, il suffit de le désactiver (pas de le supprimer).

Ca se fait dans la session de Carole, Panneau de configuration, Gestion des comptes, Gestion d'un Autre compte, choisir l compte Invité et le désactiver.

===

L'ordi gèle.

Tu peux être plus précis.

Il gèle "définitivement" et il faut le redémarrer en l'éteignant ou il suffit d'attendre ?

Il gèle en surfant sur Internet ou dans un programme ?

Il est impossible d'ouvrir le Gestionnaire de tâches ou celui-ci s'ouvre (par Ctrl Alt Suppr) ?

Virus "Vista Antispyware 2012"

60 réponses

Votre réponse

Discussions similaires

Newsletters