Trojware.win32.trojan.agent.@1 [Résolu/Fermé]

Signaler
-
 didine34b -
Bonjour,

mon antivirus comodo vient de détecter ça trojware.win32.trojan.agent.@1) et le pare feu windows m'a envoyé un message mais je ne me rappelle plus.
depuis j'ai un écran noir en bureau, l'ordi tourne au ralenti; tous mes fichiers (images......) sont grisés mème si je peux y accéder, je n'ai plus d'icones dans la barre des taches, ni dans le menu démarrer
si quelqu'un peut m'aider !? MERCI

18 réponses


Bonjour

* Télécharger sur le bureau RogueKiller(par Tigzy)
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 2 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
* Si le programme a été bloqué, ne pas hésiter a essayé plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe


@+
merci guillaume5188!
voici le rapport
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: sandrine [Droits d'admin]
Mode: Suppression -- Date : 21/01/2012 11:54:06

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 15 ¤¤¤
[SUSP PATH] HKCU\[...]\RunServices : PluginFlashUtil (C:\Users\sandrine\AppData\Local\Temp\0.4898568816745765.exe) -> DELETED
[SUSP PATH] HKCU\[...]\RunServices : SelfExtractingSony1.010 (c:\users\sandrine\appdata\local\temp\upgrade\packagersony.exe) -> DELETED
[SUSP PATH] HKCU\[...]\RunServices : WindowsD3DX9D (c:\users\sandrine\appdata\roaming\mozilla\plugins\google talk plugin extras\microsoftwindows9.19.949.2111.exe) -> DELETED
[SUSP PATH] HKCU\[...]\RunServices : Acceleratornpgtpo3dautoplugin (c:\users\sandrine\appdata\roaming\mozilla\plugins\npgoogletalkaccelerator.exe) -> DELETED
[SUSP PATH] HKCU\[...]\RunServices : StudioMSVCR80 (c:\users\sandrine\appdata\local\temp\._msige52\program files\google\google earth\client\msvcp80studio.exe) -> DELETED
[SUSP PATH] HKCU\[...]\RunServices : FlashPlayer (c:\users\sandrine\appdata\local\temp\692e.dir\flashutilinstalleruninstaller.exe) -> DELETED
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{079E895E-A34A-44CA-AB30-B5385D4D0B79} : NameServer (8.26.56.26,156.154.70.22) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{529A1098-CFE6-41D8-AEA5-876DE499BD63} : NameServer (8.26.56.26,156.154.70.22) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{079E895E-A34A-44CA-AB30-B5385D4D0B79} : NameServer (8.26.56.26,156.154.70.22) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{529A1098-CFE6-41D8-AEA5-876DE499BD63} : NameServer (8.26.56.26,156.154.70.22) -> NOT REMOVED, USE DNSFIX
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 0a4bf7f9f2bf71ce896f0134109fb37e
[BSP] bcaa0cd0af47bbfd4aaeafd511acd0a0 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 13631 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 26626048 | Size: 104 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 26830848 | Size: 154663 Mo
3 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 328908800 | Size: 151670 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Re

Relance Roguekiller option 6
Poste moi ce nouveau rapport;merci.

@+
VOICI LE RAPPORT:

RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: sandrine [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 21/01/2012 12:36:14

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 11 / Fail 0
Lancement rapide: Success 21 / Fail 0
Programmes: Success 833 / Fail 0
Menu demarrer: Success 41 / Fail 0
Dossier utilisateur: Success 4529 / Fail 0
Mes documents: Success 69 / Fail 0
Mes favoris: Success 207 / Fail 0
Mes images: Success 519 / Fail 0
Ma musique: Success 1063 / Fail 0
Mes videos: Success 15 / Fail 0
Disques locaux: Success 20025 / Fail 0
Sauvegarde: [FOUND] Success 179 / Fail 0

Lecteurs:
[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume4 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped

¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
hello guillaume!
depuis le second rapport je n'ai plus mes fichiers grisés, tout est réapparu dans le menu démarrer!!!! et sur le bureau
est ce que ça veut dire que tout va bien ou des problèmes persistent
merci encore

Re

Super ;-)

Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d'utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)


@+
salut guillaume
voici le rapport
MERCI ENCORE



Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.21.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
sandrine :: SANDRINE-PC [administrateur]

21/01/2012 15:53:58
mbam-log-2012-01-21 (15-53-58).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 326035
Temps écoulé: 1 heure(s), 15 minute(s), 41 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\Program Files (x86)\Windows Live\Messenger\riched20.dll (PUP.FunWebProducts) -> Aucune action effectuée.
C:\ProgramData\FpNsnrTURn.exe (Rogue.FakeHDD) -> Mis en quarantaine et supprimé avec succès.
C:\Users\sandrine\AppData\Local\Temp\0.043729234076649415.exe (Rogue.FakeHDD) -> Mis en quarantaine et supprimé avec succès.
C:\Users\sandrine\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\3c8efe06-4dccebbb (Rogue.FakeHDD) -> Mis en quarantaine et supprimé avec succès.

(fin)

Re

Inscris toi avant tout

Pour vérifications , fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/download/telecharger-34066799-zhpdiag

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :


http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

A+
VOILA GUILLAUME LE LIEN
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120121_k7s6u5e1112

ET MERCI ENCORE§

Re

Utilisation de l'outil ZHPFix :

* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
-------------------------------------------------------------------------------------------------


[HKCU\Software\AppDataLow\Software\Fun Web Products]
[HKCU\Software\AppDataLow\Software\FunWebProducts]
[HKCU\Software\AppDataLow\Software\MyWebSearch]
[HKCU\Software\FunWebProducts]
[HKCU\Software\iMesh]
O43 - CFD: 20/01/2012 - 21:11:40 - [0,004] ----D- C:\ProgramData\262EA
O43 - CFD: 19/09/2011 - 22:31:58 - [0,004] ----D- C:\ProgramData\3915A
O43 - CFD: 18/09/2011 - 17:20:14 - [0,004] ----D- C:\ProgramData\D210
[HKLM\Software\WOW6432Node\Classes\Interface\{01947140-417F-46B6-8751-A3A2B8345E1A}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{08858AF6-42AD-4914-95D2-AC3AB0DC8E28}]
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{08858AF6-42AD-4914-95D2-AC3AB0DC8E28}]
[HKLM\Software\WOW6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]
[HKLM\Software\Classes\TypeLib\{819FFE20-35C7-4925-8CDA-4E0E2DB94302}]
[HKLM\Software\WOW6432Node\Classes\Interface\{819FFE21-35C7-4925-8CDA-4E0E2DB94302}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{819FFE22-35C7-4925-8CDA-4E0E2DB94302}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKLM\Software\Classes\TypeLib\{8FFDF636-0D87-4B33-B9E9-79A53F6E1DAE}]
[HKLM\Software\WOW6432Node\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{d858dafc-9573-4811-b323-7011a3aa7e61}]
C:\Users\sandrine\AppData\LocalLow\FunWebProducts
C:\Users\sandrine\AppData\LocalLow\MyWebSearch
[MD5.00000000000000000000000000000000] [APT] [{4218309A-61BB-46C2-8217-77B8A94A6FA4}] (...) -- C:\Users\sandrine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\H69X3YK3\NetFx20SP2_ia64[1].exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{DD942050-A9A9-493D-9D03-FF8390A765A8}] (...) -- C:\Users\sandrine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A6CIKRMT\NetFx20SP2_x86[1].exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{E86EC9CE-56EA-4BA2-9A23-20D7749F4A34}] (...) -- C:\Users\sandrine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A6CIKRMT\NetFx20SP2_x64[1].exe (.not file.)
[HKLM\Software\WOW6432Node\Classes\AppID\BearShare.exe]
[HKLM\Software\WOW6432Node\Classes\AppID\WMHelper.DLL]
[HKLM\Software\WOW6432Node\Classes\CLSID\{27BF8F8D-58B8-D41C-F913-B7EEB57EF6F6}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{31F8B21E-8674-4589-A37F-31A4D4B55CC5}]
[HKLM\Software\WOW6432Node\Classes\AppID\{756C097C-6BDB-45de-A8F1-83E01AB86BA4}]
[HKLM\Software\Classes\TypeLib\{96F7FABC-5789-EFA4-B6ED-1272F4C1D27B}]
FirewallRAZ
Emptytemp

--------------------------------------------------------------------------------------------
Puis lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
« Exécuter en tant qu'administrateur »
.

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

*Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

*Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )



A+

VOICI LE RAPPORT
MERCI

Rapport de ZHPFix 1.12.3378 par Nicolas Coolman, Update du 10/01/2011
Fichier d'export Registre :
Run by sandrine at 21/01/2012 21:13:44
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\AppDataLow\Software\Fun Web Products
SUPPRIME Key: HKCU\Software\AppDataLow\Software\FunWebProducts
SUPPRIME Key: HKCU\Software\AppDataLow\Software\MyWebSearch
SUPPRIME Key: HKCU\Software\FunWebProducts
SUPPRIME Key: HKCU\Software\iMesh
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\Interface\{01947140-417F-46B6-8751-A3A2B8345E1A}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{08858AF6-42AD-4914-95D2-AC3AB0DC8E28}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{08858AF6-42AD-4914-95D2-AC3AB0DC8E28}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{819FFE20-35C7-4925-8CDA-4E0E2DB94302}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\Interface\{819FFE21-35C7-4925-8CDA-4E0E2DB94302}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{819FFE22-35C7-4925-8CDA-4E0E2DB94302}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{8FFDF636-0D87-4B33-B9E9-79A53F6E1DAE}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\AppID\{A7DDCBDE-5C86-415c-8A37-763AE183E7E4}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{d858dafc-9573-4811-b323-7011a3aa7e61}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\AppID\BearShare.exe
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\AppID\WMHelper.DLL
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{27BF8F8D-58B8-D41C-F913-B7EEB57EF6F6}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{31F8B21E-8674-4589-A37F-31A4D4B55CC5}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\AppID\{756C097C-6BDB-45de-A8F1-83E01AB86BA4}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{96F7FABC-5789-EFA4-B6ED-1272F4C1D27B}

========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIME FirewallRaz (Public) : NetPres-In-TCP
SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIME FirewallRaz (Domain) : {80D17EED-C1B0-4716-A253-560115589AC0}
SUPPRIME FirewallRaz (Public) : {BAC55FA5-4DAC-4F38-AC9F-5A036D9E4C19}
SUPPRIME FirewallRaz (Public) : {7547687C-4451-421B-90C1-F05BACA0A480}
SUPPRIME FirewallRaz (Private) : {D63D2C16-107B-4E1A-8576-AEE18B3A2872}
SUPPRIME FirewallRaz (Private) : {D6EB1C8D-EF38-4072-98D2-BDA2280E5537}
SUPPRIME FirewallRaz (None) : {F489BAD0-0886-432C-AB6F-94654D55F413}
SUPPRIME FirewallRaz (Domain) : {12BFE76C-069D-48ED-AA5C-45EF15351F46}
SUPPRIME FirewallRaz (Domain) : {AC248E32-E6EE-42D2-B869-6CB5037402E3}
SUPPRIME FirewallRaz (Private) : TCP Query User{EF96CE92-9265-4212-8F5D-B3B096792157}C:\program files (x86)\imesh applications\imesh\imesh.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{8DC5BBAA-56D0-409A-A667-CFC11E06472B}C:\program files (x86)\imesh applications\imesh\imesh.exe
SUPPRIME FirewallRaz (Public) : TCP Query User{62E4AE25-4A92-4BD3-8679-C0F8C7AC1F4F}C:\program files (x86)\imesh applications\imesh\imesh.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{9545F62C-741F-45F8-9409-1C99F3164608}C:\program files (x86)\imesh applications\imesh\imesh.exe
SUPPRIME FirewallRaz (Private) : {2ACAF7F8-4AFE-4EFD-A0C7-A3245B5B61C7}
SUPPRIME FirewallRaz (Private) : {19CAC613-A801-4288-BBA7-935FF4E9A1AB}

========== Dossier(s) ==========
SUPPRIME Folder: C:\ProgramData\262EA
SUPPRIME Folder: C:\ProgramData\3915A
SUPPRIME Folder: C:\ProgramData\D210
SUPPRIME Folder: c:\users\sandrine\appdata\locallow\funwebproducts
SUPPRIME Folder: c:\users\sandrine\appdata\locallow\mywebsearch
SUPPRIME Temporaires Windows: : 181

========== Fichier(s) ==========
ABSENT Folder/File: c:\users\sandrine\appdata\local\microsoft\windows\temporary internet files\content.ie5\h69x3yk3\netfx20sp2_ia64
ABSENT Folder/File: c:\users\sandrine\appdata\local\microsoft\windows\temporary internet files\content.ie5\a6cikrmt\netfx20sp2_x86
ABSENT Folder/File: c:\users\sandrine\appdata\local\microsoft\windows\temporary internet files\content.ie5\a6cikrmt\netfx20sp2_x64
SUPPRIME Temporaires Windows: : 1041

========== Tache planifiée ==========
SUPPRIME Task: {4218309A-61BB-46C2-8217-77B8A94A6FA4}
SUPPRIME Task: {DD942050-A9A9-493D-9D03-FF8390A765A8}
SUPPRIME Task: {E86EC9CE-56EA-4BA2-9A23-20D7749F4A34}


========== Récapitulatif ==========
22 : Clé(s) du Registre
22 : Valeur(s) du Registre
6 : Dossier(s)
4 : Fichier(s)
3 : Tache planifiée


End of clean in 00mn 29s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 21/01/2012 21:13:44 [5199]

Bonjour


1)
Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.


2) Télécharge DelFix de Xplode

* Lance le.
* A l'invite, [Suppression]
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]


3)Tu disposes de Ccleaner;met le à jour et lance le avec ces réglages.

.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
. coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.clique maintenant sur registre et puis sur rechercher les erreurs
.laisse tout coché et clique sur réparer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et une fois fermé tu vérifies en relançant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm


4)Purge la restauration sur Seven
Comment faire :

http://www.forum-seven.com/forum/

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections



@+
bonjour guillaume
voici le rapport:
merci
# DelFix v8.7 - Rapport créé le 22/01/2012 à 14:09:48
# Mis à jour le 01/12/11 à 20h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : sandrine - SANDRINE-PC (Administrateur)
# Exécuté depuis : C:\Users\sandrine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\U5MPXGND\3-delfix[1].exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Kill'em
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hijackthis
Supprimé : C:\Users\sandrine\Desktop\RK_Quarantine
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\Program Files (x86)\Trend Micro\Hijackthis

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\sandrine\Desktop\RKreport[1].txt
Supprimé : C:\Users\sandrine\Desktop\RKreport[2].txt
Supprimé : C:\Users\sandrine\Desktop\ZHPDiag.txt
Supprimé : C:\Users\sandrine\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFixSuppr.txt - [1386 octets] - [02/10/2010 10:13:37]
DelFix[S1].txt - [1573 octets] - [22/01/2012 14:09:48]

########## EOF - C:\DelFix[S1].txt - [1697 octets] ##########
re bonjour guillaume
je n'arrive pas à supprimer tous les fichiers (rapports ou programmes); ils sont sur le Bureau
créés depuis le début de la désinfection de mon ordi
je suppose que c'est Delfix
quand j'essaie de les supprimer ou déplacer j'ai une note qui dit [ elt introuvable............. que ça n'existe plus...........
il y a t'il une solution?
MERCI ENCORE POUR TOUT
Utilisateur anonyme
redémarre ton PC

Tiens moi au courant
c'est OK Guillaume depuis le redémarrage MERCI :-)
je m'attaque à la purge de windows seven
MERCI
OK ça y est j'ai effectué la marche à suivre du lien concernant la restauration du système windows 7
est ce ok?
il y a t'il autre chose à faire ?
UN GROS MERCI GUILLAUME

Re

Il n'y a plus rien à faire.

Je te propose donc de clore ce post si tu n'as plus de problèmes.

@+
ok
merci
bonne fin de journée
@ +