A voir également:
- Xp antispyware 2012...
- Cle windows xp - Guide
- Antispyware gratuit - Télécharger - Antivirus & Antimalwares
- Windows live mail 2012 - Télécharger - Mail
- Telecharger windows xp - Télécharger - Systèmes d'exploitation
- Word 2012 - Télécharger - Traitement de texte
3 réponses
Utilisateur anonyme
12 janv. 2012 à 15:56
12 janv. 2012 à 15:56
salut
OTL montre les fichiers infectieux et ils ne partiront pas en desinstallant le programme (ce qui n'est pas possible d'ailleurs)
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
OTL montre les fichiers infectieux et ils ne partiront pas en desinstallant le programme (ce qui n'est pas possible d'ailleurs)
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
Utilisateur anonyme
12 janv. 2012 à 20:37
12 janv. 2012 à 20:37
touche windows+R puis tape regedit
deplie à l'aide des peitits "+" l'arborescence suivante :
HKCU
Software
fAfvfSfP [fVf#f" fEfBfU [fh'Å ¶ ¬'³'ê'½f [fJf<fAfvfSfP [fVf#f"]
clic droit sur les caractères bizarres => exporter => sur le bureau du nom que tu veux
ensuite reclic droit dessus puis => supprimer
=====================================
clic droit sur la clé créée sur ton bureau => modifier
puis colle son contenu qui s'ouvre dans ta reponse
ensuite , ferme et supprime
=====================================
desinstalle adobe reader 9
desinstalle babylon toolbar
desinstalle clickpotatoeSA
desinstalle Shopper/shoppingReport
desinstalle QuestScan
=================================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
Lance Pre_script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"=-
"HP Software Update"=-
"QuickTime Task"=-
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BrowserChoice]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck]
[-HKEY_CLASSES_ROOT\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BabylonToolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ClickPotatoLiteSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ShopperReportsSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ShoppingReport2]
[-HKEY_CLASSES_ROOT\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
[-HKCR\Applications\mediaget.exe]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{4B8C28A7-A9BC-45F8-990D-21499EED643C}]
[-HKCU\Software\BabylonToolbar]
[-HKCU\Software\Freeze.com]
[-HKCU\Software\Mediaget]
[-HKCU\Software\TBSB06155]
[-HKLM\Software\Babylon]
[-HKLM\Software\BabylonToolbar]
[-HKLM\Software\BrowserChoice]
[-HKLM\Software\Freeze.com]
[-HKLM\Software\QuestScan]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Documents and Settings\Usuario\Configuración local\Datos de programa\MediaGet2\mediaget.exe"=-
file::
C:\Documents and Settings\Usuario\Escritorio\explorer1.exe
C:\Documents and Settings\All Users\Datos de programa\580g3r5s2317
C:\Documents and Settings\All Users\Datos de programa\667qlt8d2t7io111bougy5342
C:\Documents and Settings\All Users\Datos de programa\eaef42d14800d95a4f63da2968a901b6_c
folder::
C:\Documents and Settings\Usuario\Configuración local\Datos de programa\MediaGet2
C:\WINDOWS\$NtUninstallKB38221$
C:\Documents and Settings\All Users\Menú Inicio\Programas\ClickPotato
C:\Documents and Settings\Usuario\Datos de programa\Babylon
C:\Documents and Settings\Usuario\Datos de programa\BabylonToolbar
C:\Documents and Settings\Usuario\Datos de programa\Media Get LLC
C:\Documents and Settings\Usuario\Datos de programa\Toolbar4
C:\Documents and Settings\All Users\Datos de programa\Babylon
C:\Documents and Settings\All Users\Datos de programa\Media Get LLC
C:\Archivos de programa\BabylonToolbar
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
======================================
Télécharge et enregistre ADWcleaner sur ton bureau :
ADWCleaner (Merci à Xplode)
Lance le,
clique sur suppression et poste son rapport.
=====================================
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
===================================
▶ Télécharge Reload_TDSSKiller
▶ Lance le
choisis : lancer le nettoyage
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
deplie à l'aide des peitits "+" l'arborescence suivante :
HKCU
Software
fAfvfSfP [fVf#f" fEfBfU [fh'Å ¶ ¬'³'ê'½f [fJf<fAfvfSfP [fVf#f"]
clic droit sur les caractères bizarres => exporter => sur le bureau du nom que tu veux
ensuite reclic droit dessus puis => supprimer
=====================================
clic droit sur la clé créée sur ton bureau => modifier
puis colle son contenu qui s'ouvre dans ta reponse
ensuite , ferme et supprime
=====================================
desinstalle adobe reader 9
desinstalle babylon toolbar
desinstalle clickpotatoeSA
desinstalle Shopper/shoppingReport
desinstalle QuestScan
=================================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
Lance Pre_script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"=-
"HP Software Update"=-
"QuickTime Task"=-
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BrowserChoice]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck]
[-HKEY_CLASSES_ROOT\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BabylonToolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ClickPotatoLiteSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ShopperReportsSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ShoppingReport2]
[-HKEY_CLASSES_ROOT\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
[-HKCR\Applications\mediaget.exe]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{4B8C28A7-A9BC-45F8-990D-21499EED643C}]
[-HKCU\Software\BabylonToolbar]
[-HKCU\Software\Freeze.com]
[-HKCU\Software\Mediaget]
[-HKCU\Software\TBSB06155]
[-HKLM\Software\Babylon]
[-HKLM\Software\BabylonToolbar]
[-HKLM\Software\BrowserChoice]
[-HKLM\Software\Freeze.com]
[-HKLM\Software\QuestScan]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Documents and Settings\Usuario\Configuración local\Datos de programa\MediaGet2\mediaget.exe"=-
file::
C:\Documents and Settings\Usuario\Escritorio\explorer1.exe
C:\Documents and Settings\All Users\Datos de programa\580g3r5s2317
C:\Documents and Settings\All Users\Datos de programa\667qlt8d2t7io111bougy5342
C:\Documents and Settings\All Users\Datos de programa\eaef42d14800d95a4f63da2968a901b6_c
folder::
C:\Documents and Settings\Usuario\Configuración local\Datos de programa\MediaGet2
C:\WINDOWS\$NtUninstallKB38221$
C:\Documents and Settings\All Users\Menú Inicio\Programas\ClickPotato
C:\Documents and Settings\Usuario\Datos de programa\Babylon
C:\Documents and Settings\Usuario\Datos de programa\BabylonToolbar
C:\Documents and Settings\Usuario\Datos de programa\Media Get LLC
C:\Documents and Settings\Usuario\Datos de programa\Toolbar4
C:\Documents and Settings\All Users\Datos de programa\Babylon
C:\Documents and Settings\All Users\Datos de programa\Media Get LLC
C:\Archivos de programa\BabylonToolbar
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
======================================
Télécharge et enregistre ADWcleaner sur ton bureau :
ADWCleaner (Merci à Xplode)
Lance le,
clique sur suppression et poste son rapport.
=====================================
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
===================================
▶ Télécharge Reload_TDSSKiller
▶ Lance le
choisis : lancer le nettoyage
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
amd64
Messages postés
5342
Date d'inscription
mardi 17 juillet 2007
Statut
Membre
Dernière intervention
13 octobre 2015
549
12 janv. 2012 à 15:48
12 janv. 2012 à 15:48
regarde dans ajou sup de prog si il y est
si oui tu desinstal
sa c'est pour commencer
si non tu me tien au courent
si oui tu desinstal
sa c'est pour commencer
si non tu me tien au courent
12 janv. 2012 à 17:22
voila le lien : http://pjjoint.malekal.com/files.php?read=20120112_k10b12s14l10c6
a tt de suite...