virus windows update help me please !Résolu/Fermé

Question

Bonjour, 

bonjour, je crois que j'ai une sorte de virus sur mon autre ordinateur portable, à chaque démarrage de l'ordinateur, j'ai un message qui me demande si je veux autoriser un programme provenant d'un éditeur inconnu, il s'appelle WindowsUpdate-D863.exe, enfin la fin change à chaque démarrage, un coup c'est D863, un coup 30b0, etc...
il se trouve dans le dossier Temp\, j'ai déjà essayer de supprimer tous les fichier qu'il y a dans le dossier (après avoir terminer les processus sur le gestionnaire de taches), je clic ensuite sur "non" (dans le message), et il ne se réaffiche plus, mais après redémarrage, le message revient(avec évidement un autre nom genre WindowsUpdate-I831)

je ne sais pas quoi faire, merci de bien vouloir m'aider !

Utilisateur anonyme · Answer

Bonjour 

On va faire une analyse de ton systéme.  


* Télécharge ZHPDiag  ( de Nicolas coolman ).  
ou 
ZHPDiag  
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe 

                                                  *********************** 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, (icône en forme de parchemin) exécuter en tant qu'Administrateur /!\  
* Laisse toi guider lors de l'installation  
* Il se lancera automatiquement à la fin de l'installation  
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

bylka019 · Answer

ok je teste et je donne réponse au plus vite

bylka019 · Answer

ah oui par contre je n'arrive pas à capter internet depuis l'ordinateur... même pas par cable Ethernet... je pensais qu'il y avait un rapport entre ces problèmes...

enfin j'sais pas ça m'avait mit une sorte d'erreur, mais j'ai quand meme fais l'analyse, et voilà le lien : 

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120320_m7s11c5j6d14

Utilisateur anonyme · Answer

* Télécharge AdwCleaner sur ton Bureau. (Merci à Xplode)

*Double-clique sur l'icône AdwCleaner située sur ton Bureau.
*Sur la page, clique sur le bouton «Suppression»
*Laisse travailler l'outil.
*Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

bylka019 · Answer

le problème persiste, mais voilà le rapport : 



# AdwCleaner v1.502 - Rapport créé le 20/03/2012 à 19:58:33
# Mis à jour le 17/03/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : blondin - BLONDIN-PC
# Exécuté depuis : C:\Users\blondin\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\Users\blondin\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\blondin\AppData\Roaming\QuickStoresToolbar
Dossier Supprimé : C:\Users\blondin\AppData\Roaming\widestream
Dossier Supprimé : C:\Users\blondin\AppData\Local\Babylon
Dossier Supprimé : C:\Users\blondin\AppData\Local\widestream6 Air
Dossier Supprimé : C:\Users\blondin\AppData\LocalLow\BabylonToolbar
Dossier Supprimé : C:\Users\blondin\Documents\WideStream
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\clickpotato
Dossier Supprimé : C:\Program Files (x86)\Ask.com
Dossier Supprimé : C:\Program Files (x86)\clickpotatolite
Dossier Supprimé : C:\Program Files (x86)\Widestream6
Dossier Supprimé : C:\Program Files (x86)\Mozilla Firefox\Extensions\{d9adb0a8-7bfb-498d-9880-ee78a81ccfa0}
Dossier Supprimé : C:\Program Files (x86)\Mozilla Firefox\Extensions\{34EFA911-B536-4C08-BECE-CD5E55C875B0}
Dossier Supprimé : C:\Windows\assembly\GAC_MSIL\QuickStoresToolbar
Fichier Supprimé : C:\Users\blondin\AppData\Roaming\Microsoft\Windows\Start Menu\QuickStores.url
Fichier Supprimé : C:\Users\blondin\Desktop\QuickStores.url
Fichier Supprimé : C:\Users\blondin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\plugins
pclntax_ClickPotatoLiteSA.dll
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\Plugins
pvsharetvplg.dll
Fichier Supprimé : C:\Users\blondin\AppData\Roaming\Mozilla\Firefox\Profiles\7o0gx11m.default\searchplugins\Askcom.xml
Fichier Supprimé : C:\Users\blondin\AppData\Roaming\Mozilla\Firefox\Profiles\7o0gx11m.default\searchplugins\Fissa.xml
Fichier Supprimé : C:\Users\blondin\AppData\Roaming\Mozilla\Firefox\Profiles\7o0gx11m.default\searchplugins\Startsear.xml
Fichier Supprimé : C:\Users\blondin\AppData\Roaming\Mozilla\Firefox\Profiles\7o0gx11m.default\searchplugins\SweetIm.xml

***** [H. Navipromo] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\clickpotatolitesa
Clé Supprimée : HKCU\Software\FissaSearch
Clé Supprimée : HKCU\Software\StartSearch
Clé Supprimée : HKCU\Software\SweetIm
Clé Supprimée : HKCU\Software\WideStream
Clé Supprimée : HKLM\SOFTWARE\ClickPotatoLite
Clé Supprimée : HKLM\SOFTWARE\Iminent
Clé Supprimée : HKLM\SOFTWARE\QuestBrowse
Clé Supprimée : HKLM\SOFTWARE\SweetIM
Clé Supprimée : HKLM\SOFTWARE\Classes\ClickPotatoLiteAx.Info
Clé Supprimée : HKLM\SOFTWARE\Classes\ClickPotatoLiteAx.Info.1
Clé Supprimée : HKLM\SOFTWARE\Classes\ClickPotatoLiteAX.UserProfiles
Clé Supprimée : HKLM\SOFTWARE\Classes\ClickPotatoLiteAX.UserProfiles.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MenuButtonIE.ButtonIE.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MenuButtonIE.ButtonIE
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\ShopperReports.Reporter
Clé Supprimée : HKLM\SOFTWARE\Classes\ShopperReports.Reporter.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\MenuButtonIE.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A6DC111-B030-4C3E-BE65-299284128B91}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1a6dc111-b030-4c3e-be65-299284128b91}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QuickStores-Toolbar_is1
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [ClickPotatoLite@ClickPotatoLite.com]

***** [Registre (x64)] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{21BA420E-161C-413A-B21E-4E42AE1F4226}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{453DB0C5-F41C-4D97-8DD6-CC72ECD5F699}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4AFC07D0-59BB-46B8-B097-1A46E88EEF71}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6511CE4C-4722-40D0-AD3D-4AFA2F50978A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8AD9AD05-36BE-4E40-BA62-5422EB0D02FB}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9BEC9B38-BF39-4899-806E-A1C5DFEB60A2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AEBF09E2-0C15-43C8-99BF-928C645D98A0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B86D82BF-D39F-439A-A07C-43EDDC6F6EA6}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DA6305B9-0869-4235-8C1D-533A65E639E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E6961C59-CFCE-4CCD-B794-BC78DB98413A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{71E02280-5212-45C3-B174-4D5A35DA254F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{65A16874-2ED0-460E-A547-5FE2EC3A13A7}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{17BF1E05-C0E8-413C-BD1F-A481EEA3B8E9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.7601.17514

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://startsear.ch/?aff=1 --> hxxp://www.google.fr
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://startsear.ch/?aff=1 --> hxxp://www.google.fr

-\ Mozilla Firefox v3.6.6 (fr)

Profil : 7o0gx11m.default
Fichier : C:\Users\blondin\AppData\Roaming\Mozilla\Firefox\Profiles\7o0gx11m.default\prefs.js

C:\Users\blondin\AppData\Roaming\Mozilla\Firefox\Profiles\7o0gx11m.default\user.js ... Supprimé !

Supprimée : user_pref("browser.search.defaultengine", "Web Search");
Supprimée : user_pref("browser.search.defaultenginename", "Web Search");
Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.sweetim.com/search.asp?src=2&q=");
Supprimée : user_pref("browser.search.order.1", "Ask.com");
Supprimée : user_pref("extensions.BabylonToolbar.bbDpng", 17);
Supprimée : user_pref("extensions.BabylonToolbar.cntry", "FR");
Supprimée : user_pref("extensions.BabylonToolbar.firstRun", false);
Supprimée : user_pref("extensions.BabylonToolbar.hdrMd5", "73F328DB8232EDD50E6F64C838232C93");
Supprimée : user_pref("extensions.BabylonToolbar.lastActv", "17");
Supprimée : user_pref("extensions.BabylonToolbar.lastDP", 17);
Supprimée : user_pref("extensions.Fissa.Uninstall.lastRunTime", "Mon, 17 Oct 2011 19:49:32 GMT");
Supprimée : user_pref("extensions.Fissa.lastRunTime", "Wed, 12 Oct 2011 07:56:20 GMT");
Supprimée : user_pref("quickstores.toolbar.affid", "2017");
Supprimée : user_pref("quickstores.toolbar.guid", "{E38B68A6-E1F1-2282-1D4F-7DF17D858346}");

*************************

AdwCleaner[S1].txt - [11047 octets] - [20/03/2012 19:58:33]

########## EOF - C:\AdwCleaner[S1].txt - [11176 octets] ##########

Utilisateur anonyme · Answer

/!\ A l'attention de ceux qui passent sur ce sujet /!\  
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.  

/!\ Désactive tous tes logiciels de protection  (Antivirus, Antispywares)  /!\  

* Télécharge combofix(de sUBs) sur ton Bureau.  
* Double-clique sur ComboFix.exe afin de le lancer.  
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème) 
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\  
* Lorsque la recherche sera terminée, un rapport apparaîtra.   
* Héberge le rapport C:\Combofix.txt  sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum 
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec . 
Tutoriel officiel de Combofix : Tuto Combofix

bylka019 · Answer

voilà c'est fait 

https://pjjoint.malekal.com/files.php?id=20120320_x6l9q14b8e11

Utilisateur anonyme · Answer

/!\ ATTENTION /!\ 
Le script qui suit a été écrit spécialement pour bylka019 , il n'est pas transposable sur un autre ordinateur !  
* Télécharge ce dossier: 
====>  bylka019.zip <====
* Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
* Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau et pas ailleurs. 
* Désactive tes logiciels de protection  
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe  
comme ceci :http://img155.imageshack.us/img155/4837/cfscriptop0.gif  
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !  
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\  
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.  
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

bylka019 · Answer

et voilà, désolé pour le retard

https://pjjoint.malekal.com/files.php?id=20120321_r8x5u5z15y12

Utilisateur anonyme · Answer

Le script a fonctionné a 50%


Télécharger AVPTool depuis l'un des liens ci dessous :

https://www.kaspersky.com/downloads/thank-you/free-virus-removal-tool?form=1
(lien direct) http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/avptool11/ (cliquez sur le dernier lien)
Placez le sur votre bureau.

Le fichier est relativement gros, soyez patient.


Double cliquez sur le programme pour l'installer. Patientez pendant l'installation :
Acceptez le contrat de licence, et vérifiez bien que la langue sélectionnée vous convient, puis cliquez sur "Démarrer l'application" :
A partir d'ici, deux solutions s'offrent à vous :
*	L'analyse automatique
*	La réparation manuelle
Dans l'onglet "Analyse automatique", cliquez sur la "roue dentelée" et cochez toutes les cases en descendant jusqu'à arriver au disque qui contient votre système d'exploitation :
Ensuite, cliquez sur l'onglet "Analyse automatique" et cliquez sur le bouton "Lancer l'analyse" et patientez. Si AVPTool détecte des infections, supprimez les.



A la fin, cliquez sur la "feuille" (le dernier onglet, en haut à droite) :
Cliquez sur "Menaces détectées", sélectionnez le rapport qui vous intéresse, puis cliquez sur "Exporter". Enregistrez le rapport sur votre bureau, puis copiez/collez le contenu du rapport sur votre forum favori .
Héberge le rapport sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

bylka019 · Answer

wow il y a marqué fin dans 6 heures... par contre il y a un virus de detecté dans le dossier temp\ dont je vous ai parlé, mais je ne peux pas supprimer le virus surement parce qu'il est en cour d'execution, dois-je peut etre arrêter un maximum de processus (ainsi que celui du virus), supprimer les fichiers du dossier temp\ et recommencer l'analyse de l'antivirus?

Virus windows update help me please !

11 réponses

Newsletters