W7 Freeze.. Virus? Résolu

Question

Bonjour, 
j'ai fait l'acquisition en octobre dernier d'un portable Acer aspire 5742ZG mais depuis quelques semaines, j'ai des soucies de type "Freeze" (l'écran ce fige et je ne peut plus faire aucune action pendant 30sec a 1mn).
Je ne suis pas un spécialiste en info, et je pense bien entretenir mon PC (voir configuration plus bas..) et mes pilotes sont a jours. 
J'ai lu sur des forums que cela pourrais venir de certaines MAJ type "KBxxxx"?
Cela pourrait-il venir d'un virus?
Merci de me venir en aide.

configuration: W7 home premium 64bits, firefox 12, Avira antivir, Ccleaner, Tuneup 2012..


Configuration: Windows 7 / Firefox 12.0

Fish66 · Answer

Salut,
* Télécharge puis enregistre sur le bureau de ton PC ZHPDiag
(de Nicolas Coolman) à partir l'un des deux liens : Lien 1 ou Lien 2
* Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)
* Clique sur l'icône en forme de loupe pour lancer le diagnostique
* Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com
* Fais copier/coller le lien fourni dans ta prochaine réponse
* Aide ZHPDiag : <<< ICI >>>

@+

arkane69 · Answer

Salut Fish66,
merci pour ta réponse rapide ;)
Voici le lien:
https://www.cjoint.com/?3FfqkX8J83t

Fish66 · Answer

Re,

Avant d'utiliser ComboFix :  
	
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :  

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix  

* Télécharge Defogger (de jpshortstuff) sur  ton Bureau  
* Lance le  

* Une fenêtre apparait : clique sur "Disable"  

* Fais redémarrer l'ordinateur si l'outil te le demande  

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"  

===================================================  

Attention, avant de commencer, lis attentivement la procédure  

******************************************************** 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »  
Voici Aide combofix 

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  
 

*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)  

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

*Note : Le rapport se trouve également là : C:\ComboFix.txt

@+

arkane69 · Answer

Salut et désolé de ne pas t'avoir répondu plus tôt.

Petit soucie, lors de l'instal de combofix, il ne m'as pas proposer d'installé la console de récupération et est passé directement au scan. (j'espère que ça ne posera pas de problème..)
Voici le raport:
https://www.cjoint.com/?3FgpVPymaAD

arkane69 · Answer

Bonjour,
J'ai suivi a la lettre tes instructions, mais au redémarrage de Windows, ce message apparait:
[URL=http://imageshack.com/f/g4debogueurp][IMG]http://img580.imageshack.us/img580/1980/debogueur.png[/IMG][/URL]

dans le doute, j'ai cliqué "annuler"

Je te poste tous de même le rapport:
https://www.cjoint.com/?BFhaOPe3zzL

PS: toujours pas possible de démarrer Holdem Manager.

Fish66 · Answer

Bonjour,

Je vais voir s'il existe d'autres avis...

@+

juju666 · Answer

Salut pour avancer

fais ce CFScript arkane69 : 

DeQuarantine::
C:\Qoobox\c:\users\BrainWashr\AppData\Roaming\Roaming\HoldemManager\config\FTPRushTables.xml 
Quit::

arkane69 · Answer

Bonjour,
voici le rapport Juju666:
https://www.cjoint.com/?BFhlyFWYFNq

toujours le même message d'erreur concernant HM (Holdem Manager)

juju666 · Answer

.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe

Antivir toujours pas désactivé ....

Fais mon CFScript depuis le mode sans échec STP

arkane69 · Answer

voici le rapport:
https://www.cjoint.com/?BFhnocuZTpA

juju666 · Answer

va voir si c'est bien remis en place ?

c:\users\BrainWashr\AppData\Roaming\Roaming\HoldemManager\config\FTPRushTables.xml

arkane69 · Answer

hmmm..
Sur le chemin que tu me donne, je ne trouve pas le 2eme dossier "Roaming"..(c:\users\BrainWashr\AppData\Roaming\Roaming\HoldemManager\config\FTPRushTables.xml )

sinon, sur ce chemin là... c:\users\BrainWashr\AppData\Roaming\HoldemManager\config\FTPRushTables.xml 
.. je ne trouve rien.
http://imageshack.com/f/niroamingp

juju666 · Answer

Okok ....

fais ce CFScript alors :


DeQuarantine::

C:\Qoobox\c:\users\BrainWashr\AppData\Roaming\Roaming
C:\Qoobox\c:\users\BrainWashr\AppData\Roaming\Roaming\HoldemManager\config\FTPRushTables.xml

Quit::

arkane69 · Answer

de nouveau, au redemarage du PC, j'ai ce message.

[URL=http://imageshack.com/f/g4debogueurp][IMG]http://img580.imageshack.us/img580/1980/debogueur.png/IMG/URL 

J'ai "annuler"

et le rapport:
https://www.cjoint.com/?BFhobCnja11

juju666 · Answer

démarrer / tous les programmes / accessoires

clic droit -> exécuter en tant qu'administrateur sur " Invite de commande "

dans la fenetre noire tu copie-colles (avec la souris) :

dir /A/B/S %Homedrive%\Qoobox >> %Homedrive%\Qoobox.txt

puis entrée

ensuite tu fermes cette fenêtre et tu colles le contenu de Qoobox.txt que tu trouveras dans C:\

arkane69 · Answer

contenu de Qoobox.txt:

C:\Qoobox\Add-Remove Programs.txt
C:\Qoobox\BackEnv
C:\Qoobox\CFScript_used_2012-06-06_23.44.30.txt
C:\Qoobox\CFScript_used_2012-06-07_00.09.46.txt
C:\Qoobox\CFScript_used_2012-06-07_11.10.48.txt
C:\Qoobox\CFScript_used_2012-06-07_11.52.42.txt
C:\Qoobox\CFScript_used_2012-06-07_13.48.50.txt
C:\Qoobox\ComboFix-quarantined-files.txt
C:\Qoobox\ComboFix2.txt
C:\Qoobox\Quarantine
C:\Qoobox\SnapShot@2012-06-06_13.37.09.dat
C:\Qoobox\Quarantine\C
C:\Qoobox\Quarantine\catchme.log
C:\Qoobox\Quarantine\catchme.txt
C:\Qoobox\Quarantine\Registry_backups
C:\Qoobox\Quarantine\C\ProgramData
C:\Qoobox\Quarantine\C\Users
C:\Qoobox\Quarantine\C\ProgramData\FullRemove.exe.vir
C:\Qoobox\Quarantine\C\Users\BrainWashr
C:\Qoobox\Quarantine\C\Users\BrainWashr\AppData
C:\Qoobox\Quarantine\C\Users\BrainWashr\AppData\Roaming
C:\Qoobox\Quarantine\C\Users\BrainWashr\AppData\Roaming\Roaming
C:\Qoobox\Quarantine\C\Users\BrainWashr\AppData\Roaming\Roaming\HoldemManager
C:\Qoobox\Quarantine\C\Users\BrainWashr\AppData\Roaming\Roaming\HoldemManager\config
C:\Qoobox\Quarantine\C\Users\BrainWashr\AppData\Roaming\Roaming\HoldemManager\config\FTPRushTables.xml.vir
C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-ETDWare.reg.dat
C:\Qoobox\Quarantine\Registry_backups	cpip.reg
C:\Qoobox\Quarantine\Registry_backups\Toolbar-10.reg.dat
C:\Qoobox\Quarantine\Registry_backups\Toolbar-Locked.reg.dat
C:\Qoobox\Quarantine\Registry_backups\Wow6432Node-Toolbar-10.reg.dat
C:\Qoobox\Quarantine\Registry_backups\Wow6432Node-Toolbar-Locked.reg.dat

juju666 · Answer

lolilol *se tire une balle*

ça fonctionnera un poil mieux ça :

DeQuarantine::

C:\Qoobox\Quarantine\C\Users\BrainWashr
C:\Qoobox\Quarantine\C\Users\BrainWashr\AppData
C:\Qoobox\Quarantine\C\Users\BrainWashr\AppData\Roaming
C:\Qoobox\Quarantine\C\Users\BrainWashr\AppData\Roaming\Roaming
C:\Qoobox\Quarantine\C\Users\BrainWashr\AppData\Roaming\Roaming\HoldemManager
C:\Qoobox\Quarantine\C\Users\BrainWashr\AppData\Roaming\Roaming\HoldemManager\config
C:\Qoobox\Quarantine\C\Users\BrainWashr\AppData\Roaming\Roaming\HoldemManager\config\FTPRushTables.xml.vir

Quit::

arkane69 · Answer

lol a ce point???! reste avec moi j'ai besoin de toi moi!!! mdr ;)

contenu de DeQuarantine.txt:

C:\Qoobox\Quarantine\C\Users\BrainWashr\AppData\Roaming\Roaming\HoldemManager\config\FTPRushTables.xml.vir -> C:\Users\BrainWashr\AppData\Roaming\Roaming\HoldemManager\config\FTPRushTables.xml
C:\Qoobox\Quarantine\C\Users\BrainWashr\AppData\Roaming\Roaming\HoldemManager\config\FTPRushTables.xml -> C:\Users\BrainWashr\AppData\Roaming\Roaming\HoldemManager\config\FTPRushTables.xml
1 fichier(s) copi'(s)

juju666 · Answer

la suite avec Fish66 ^^

arkane69 · Answer

en revanche, je souhaitais te montrer quelque chose.
HM fonctionne avec "Postgres". 

Quand HM n'est pas en cour de fonctionnement, voici ce que ça donne dans le gestionnaire de tache/processus:

[URL=http://imageshack.com/f/1gpostgres1p][IMG]http://img52.imageshack.us/img52/889/postgres1.png[/IMG][/URL]

..Et voici ce que ça donne quand HM a démarrer:

[URL=http://imageshack.com/f/0bpostgresp][IMG]http://img11.imageshack.us/img11/1592/postgres.png[/IMG][/URL]

Pense tu que cela soit normal?

juju666 · Answer

ah ben ça j'en sais rien, puisque tu as acheté leur logiciel, fait leur un support pour voir ce qu'ils diront

Fish66 · Answer

Re, Merci Juju pour le coup de main :-) @ arkane69, On continue alors.. ===================== 1/ Télécharge AdwCleaner (merci à Xplode) Lance AdwCleaner Clique sur le bouton [Recherche ] Patiente... Poste le rapport qui apparait en fin de recherche. (Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt) 2/ * Telecharge et install link officiel : >>>USBFix ICI<<< ou : >>> ICI <<< (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir * Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris :exécuter en tant qu'administrateur pour vista/seven), l'installation se fera automatiquement * Clique sur "Recherche" * Laisse travailler l'outil * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt ) @+

arkane69 · Answer

rapport AdwCleaner:
https://www.cjoint.com/?BFhppGeUFq8

rapport USBFix:
https://www.cjoint.com/?BFhpqvTcCsP

Fish66 · Answer

1/ 
Lance AdwCleaner 
Clique sur le bouton [ Suppression ]  
Patiente...  
Poste le rapport qui apparait en fin de recherche.  
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt) 

2/ 
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir    

* Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris    

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera    

automatiquement    

* Clique sur "Suppression"    

* Laisse travailler l'outil  

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi  sauvegardé a la racine du disque dur : C:\UsbFix.txt  )  

@+ 


_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

arkane69 · Answer

rapport adwCleaner suppression:
https://www.cjoint.com/?BFhqgTkIlLV

Rapport USBFix suppression:
https://www.cjoint.com/?BFhqibaOu7Z

Fish66 · Answer

1/ Lance mbam pour une analyse complète après avoir effectué la mise à jour puis poste le rapport

2/
Même chose pour Avira antivir

Fish66 · Answer

Démarrage  en Mode sans échec avec prise en charge réseau :
Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter 
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau 
puis tape entrée. 
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal ! 
(Si F8 ne marche pas utilise la touche F5)
 Dans ce mode tu lances mbam puis tu postes le rapport

Fish66 · Answer

Salut,
 * Télécharge sur le bureau RogueKiller (par tigzy)     
https://www.luanagames.com/index.fr.html     
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )     
* Quitte tous tes programmes en cours     
* Lance RogueKiller.exe    
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe    
* Laisse le prescan se terminer, clique sur Scan    
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message

arkane69 · Answer

rapport de rogukiller: RogueKiller V7.5.4 [07/06/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: BrainWashr [Droits d'admin] Mode: Recherche -- Date: 08/06/2012 12:19:22 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 7 ¤¤¤ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND [] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK7559GSXP +++++ --- User --- [MBR] 8a6aefd08c7acede77b73274a5a00dd9 [BSP] e91732c25081bc656307d81d31f47305 : Windows 7 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15360 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 31664128 | Size: 699942 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt

Fish66 · Answer

Relance RogueKiller puis choisis "Suppression" et poste le rapport stp

Ensuite tu relances mbam et supprime ce qu'il trouve et poste aussi le rapport

arkane69 · Answer

RogueKiller V7.5.4 [07/06/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: BrainWashr [Droits d'admin] Mode: Suppression -- Date: 08/06/2012 12:38:32 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 7 ¤¤¤ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1) [] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK7559GSXP +++++ --- User --- [MBR] 8a6aefd08c7acede77b73274a5a00dd9 [BSP] e91732c25081bc656307d81d31f47305 : Windows 7 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15360 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 31664128 | Size: 699942 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

juju666 · Answer

Salut,

[] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED 

A vérifier ...

arkane69 · Answer

Bon je viens de retenté un scan de mbam en mode sns échec + résau, ça ne fonctionne pas.
au bout d'un certain temps, ça freeze et je ne peu plus rien faire...

juju666 · Answer

c'était pour le poisson que je disais ça :)

pour avancer :

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau (et pas ailleurs!) :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

ou lien alternatif : 

https://toolslib.net

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

arkane69 · Answer

rapport pre-scan:
https://www.cjoint.com/?BFin50uXiLl

g3n-h@ckm@n · Answer

salut JUJU a dit "j'aime pas scripter avec pre_scan" ^^

donc je le fais pour lui :D

=================

desinstalle daemon tools toolbar
desinstalle tout Java
tu te sers reellement de tous ces jeux de poker ? quelle horreur !! lol ^^
vire ceux qui te servent pas , c'est deja assez des ramasse-merd$ comme ca ^^

=================

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BD51B2AD-AC70-4D3E-A757-A2620D41F1EA}]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=-
"10"=-
[HKU\S-1-5-21-2897472633-7703228-3389863151-1000\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=-
[HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]    
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]    
[-HKU\S-1-5-21-2897472633-7703228-3389863151-1000\Software\Grand Virtual]     

File::
C:\Windows\äõ... 

Folder::
C:\PROGRA~2\SEARCH~1
C:\Windows\assembly	mp\F23BR2H8 
C:\Program Files (x86)\DAEMON Tools Toolbar     

MBR::

Clean::

Reboot::
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

arkane69 · Answer

pre script text:
https://www.cjoint.com/?BFirrPcdhB3

g3n-h@ckm@n · Answer

supprime ca :

C:\Windows\äõ...

l'outil ne l'a pas trouvé dû aux caractères bizarres

g3n-h@ckm@n · Answer

voilà je vous laisse continuer

Fish66 · Answer

Bon, merci à JUJU et GEN

===============================
Après ce nettoyage :
Lance de nouveau mbam en mode normal, en cas de problème lance le en mode sans  échec et poste le rapport

juju666 · Answer

Le PC est mal en point.

Tente un sfc /Scannow : http://wikise.com/showthread.php?2493-SFC-SCANNOW-sur-Windows-7

juju666 · Answer

c'est bizarre que MBAM ne fonctionne pas.

lance ça : https://data-cdn.mbamupdates.com/v1/tools/mbam-clean/data/mbam-clean-2.3.0.1001.exe

redémarre puis re-télécharge mbam et réinstalle-le, vois si son scan s'effectue ?

arkane69 · Answer

Bon c'est passé ce coup ci :)
Voici le rapport:
https://www.cjoint.com/?BFjuKfL14x0

Je lance Antivir..

Fish66 · Answer

Bonjour,

Tu vas suivre : ce tutoriel pour réparer ton windows 7

Bonne chance

@+

arkane69 · Answer

OK opération effectuer avec succès!
W7 s'allume et s'éteint correctement, le "gestionnaire de tache" est de retour! :)

Puis-je désinstaller ZHPDiag, rogueKiller ect ect?? (ps: j'ai aussi sur mon bureau un dossier: RK_Qarantine. Que dois-je en faire?)

Fish66 · Answer

Avant de finaliser, on va faire une petite vérification!

Lance ZHPDiag depuis le bureau et prépare un dernier rapport ZHPDiag

arkane69 · Answer

rapport ZHPDiag:
https://www.cjoint.com/?BFknxksevIN

Fish66 · Answer

1/ 
* Télécharge OTM (OldTimer) sur ton Bureau  

ICI >> OTM (OldTimer)  
* Double clic "OTMoveIt3.exe"  
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.  

- Copie (Ctrl+C) le texte suivant en gras ci-dessous :  



:Reg  
[-HKCU\Software\Grand Virtual] 
[-HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}     
[-HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}    

:commands  
[emptytemp]  
 


- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.  
- Clique maintenant sur le bouton MoveIt!  
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\  
Le nom du rapport correspond au moment de sa création : date_heure.log 

2/ 
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  


[MD5.00000000000000000000000000000000] [APT] [{1DF01F14-796A-4688-B03C-BE9C58387AB4}] (...) -- C:\Users\BrainWashr\Downloads\PokerStoveSetup124.exe (.not file.) 
O3 - Toolbar: (no name) [64Bits] - [HKLM]{32099AAC-C132-4136-9E9A-4E364A424E17} . (...) --  (.not file.)    => Toolbar.DAEMON Tools 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified      
 


Puis Lance ZHPFix depuis le raccourci du bureau .  

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

Clique sur le bouton  GO 

Copie/Colle le rapport à l'écran dans ton prochain message. 

3/ 
Est ce que c'est toi qui a désactivé la restauration du système ? 

=========================== 

On a presque terminé, on va finaliser juste après avoir effectué les  

étapes citées ci-dessus.. :-) 


_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

arkane69 · Answer

rapport OTM
https://www.cjoint.com/?BFks2AOauPT

Rapport ZHPFix
https://www.cjoint.com/?BFks4h1Se1H

pour la restauration système je n'est rien touché, donc non.

Fish66 · Answer

Pour finir :

 Updatechecker :
Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour   
Tu peux l'utiliser une fois par semaine           
=========================================== 
**Nettoyage 

Suppression des outils de désinfections:
* Télécharge  Delfix   sur ton bureau.          
* Lance le, tape suppression puis valide          
* Patiente pendant le scan jusqu'à l'ouverture du rapport.          
* Copie/Colle le contenu du rapport dans ta prochaine réponse.          
Note : Le rapport se trouve également sous C:\DelFix.txt          
* Tu peux le desinstaller          

===========================================         
<code>Défragmentation : :
Défragmente tes disques dur par defraggler  
Tu peux lutiliser une fois par trimestre    
===========================================    

Nettoyage des fichiers et des clés de registre :
* Télécharge et installe CCleaner version Slim               
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis         
* Avancé et décoche la case Effacer uniquement les fichiers etc....         
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.         
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .         
** Aide ici : https://www.malekal.com/tutoriel-ccleaner/         
Tu peux utiliser Ccleaner une fois par semaine        

===========================================    
Purger les points de restauration système:   

* Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :   

Windows XP    

Windows Vista    

Windows 7    

* Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...   

===========================================    
Conseils :       
1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules          
complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...         

2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.          

3/ Un peu de lecture :        
* Les dangers du Peer-To-Peer, Emule etc..         
* Comment Sécuriser son ordinateur...        
*Pourquoi et comment je me fais infecter   
 *pourquoi maintenir son navigateur à jour

arkane69 · Answer

Salut,
Voici le rapport delfix
https://www.cjoint.com/?BFldIMVVQkq

j'aurai encore une chose ou deux a te demandé:
J'ai un programme que je n'arive pas a desinstaller.
Il n'apparait plus dans Ccleaner (comme si je l'avais deja desinstaler), mais il est toujour là. Comment puis-je fair pour le virer?

Et j'ai sans arret un messsage de antivir guard me disant:
Autorun bloqué: C:\Autorun.inf
Puis-je y faire quelque chose?
Merci :)

Fish66 · Answer

Bonjour, 1/ J'ai un programme que je n'arive pas a desinstaller. Est ce que tu as utilisé Revo-uninstaller pour le désinstaller : Télécharge Revo-uninstaller Exécute ce fichier pour installation *******Aide Revo-uninstaller******* 2/ Concernant Avira et l'autorun.inf :Il y'a 2 solutions ( je te conseille le 2-2/ :-) ) 2-1/ * Ouvrir Antivir * Clique sur Configuration * Coche le Mode Expert * Sur le volet droit, clique sur Guard (à chaque fois, tu devras cliquer sur le petit +) >Recherche>action si résultat positif * Décoche Bloquer la fonction d''autodémarrage * Clique sur Accepter, puis sur OK * Tu peux fermer Antivir Aide en images : >>> ICI <<< Ou >>> ICI <<< 2-2/ Désinstaller l'ancienne et installer la dernière version d'avira Antivir (V 12) Désinstallation propre Avira : 1* Télécharge Avira antivir V12 à partir ce lien : http://www.commentcamarche.net/download/telecharger-55-antivir 2* Désinstalle ta version d'Avira via panneau de configuration 3* Télécharge avira-registrycleaner à partir ce lien : https://www.avira.com/fr/download/product/avira-registry-cleaner Exécute le en suivant les instructions * Exécute le fichier téléchargé en 1* pour installation (A ne pas cocher la case Askbar ) et en choisissant : la configuration optimale 3/ Sois prudent et bon surf ... :-) Si tu n'as pas de souci pense à mettre ton sujet comme résolu @+ _ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _ ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Fish66 · Answer

Salut,

Est ce que tu as suivi les procédures exactement comme il est indiqué ?
=========================

Tu vas refaire les procédures exactement comme indiqué ci-dessous :
1* Télécharge Avira antivir V12 à partir ce lien : 
http://www.commentcamarche.net/download/telecharger-55-antivir
2* Désinstalle ta version d'Avira via panneau de configuration 
3* Télécharge avira-registrycleaner à partir ce lien : 
https://www.avira.com/fr/download/product/avira-registry-cleaner
  Exécute le en suivant les instructions 
* Exécute le fichier téléchargé en 1* pour installation 
(A ne pas cocher la case Askbar )  et en choisissant : la configuration optimale

============================
Lance Avira antivir puis poste le rapport stp

@+

arkane69 · Answer

j'ai refait l'operation minutieusement mais il m'est toujour impossible de lancer le scan systeme..

Fish66 · Answer

Désinstalle complétement Avira via panneau de configuration puis exécute Avira registery cleaner ensuite prépare un nouveau rapport ZHPDiag comme expliqué :<<< ICI >>> _ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _ ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

arkane69 · Answer

rapport ZHPDiag:
https://www.cjoint.com/?BFmoNpXZ4QB

Fish66 · Answer

Re,  
1/  
Télécharge, enregistre puis installe Avira à partir :ce lien ( site officiel )  
puis fais une analyse de ton PC avec Avira et  postes le rapport stp

================================== 
 
2/ Ensuite 
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   



[MD5.197215658B8015182192E1EBCA3BBCC3] [SPRF][07/01/2012] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\BrainWashr\AppData\Local\Temp\AskSLib.dll   [246440]  
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}    => Toolbar.DaemonTools  
  



Puis Lance ZHPFix depuis le raccourci du bureau .   

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .   

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .   

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.   

Clique sur le bouton  GO  

Copie/Colle le rapport à l'écran dans ton prochain message.  

_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _   
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Fish66 · Answer

On va réinstaller la version 10!  

* Tu désinstalles la version 12 (panneau de configuration puis Avira registery cleaner)  
* Télécharges, enregistres puis exécute  :ce fichier (Avira v10)  
* Lance un scan puis poste le rapport stp  

@+  

_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _   
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

arkane69 · Answer

Grrr..
Meme probleme pour la version 10... :/

Fish66 · Answer

L'essentiel c'est que tous les clés de registre liés à Avira doivent être supprimés.  
Est ce que tu veux installer Avast pour vérification ? 

_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Fish66 · Answer

* Supprime Avira registery cleaner puis retélécharge le.
* On ne va pas garder Avast, mais juste on va l''utiliser pour une phase intermédiaire!
* Désinstalle alors Avira puis installe Avast ici, fais une analyse et tiens moi au courant.

====================================
On va après le désinstaller en utilisant son utilitaire de désinstallation

@+

Fish66 · Answer

Re,

Télécharge TDSSKiller sur ton Bureau.

# Décompresse le (clic droit sur le fichier et extraire) sur le bureau.
# dans le dossier crée, déplacer le fichier TDSSKiller.exe pour le mettre sur le Bureau
# Faire un double clic sur TDSSKiller.exe pour le lancer.
# Cliquer sur Start scan pour lancer l'analyse,

# Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option Cure est sélectionnée,
# Si des objects suspects "Suspicious objects" ont été détectés, sur l'écran de demande de confirmation, laisser l'option sur Skip.
# Puis cliquer sur le bouton Continue.
# Attendre l'affichage du fichier rapport.
# Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton Reboot computer.

Envoyer en réponse le rapport de TDSSKiller

Note : Il se trouve aussi en C:\TDSSKiller.Version_Date_Heure_log.txt

Fish66 · Answer

Re, Il reste à vérifier avec cet outil! Télécharge Dr Web CureIt sur ton Bureau : ? redemarre en mode sans échec ?- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ?- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ?- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ?- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ?- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ?- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ?- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ?- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ?-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite héberge le rapport sur : http://pjjoint.malekal.com/ ?- Ferme Dr.Web Cureit ?- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

Fish66 · Answer

Salut,

* Télécharge WinChk (d'Xplode) sur ton bureau
 * Double clique sur winchk.exe
 * Clique sur le bouton Exécuter
 * Patiente durant la création du rapport..
 * Celui-ci s'affiche à l'écran à la fin de l'analyse. Si rien n'apparaît, le rapport est présent à la racine de votre disque dur : C:\WinChk.txt
  * Poste le rapport sur le forum.

@+

Fish66 · Answer

Bonsoir, 
Euffffff, c'est bizarre!
1/ 
Relance mbam pour une analyse complète puis poste le rapport 

2/ 
* Ouvre ton menu démarrer   

-> Si tu es sur XP, ouvre exécuter, tape cmd et valide par pression sur la touche Enter   

-> Sur Vista/Seven, dans le champ "Recherche" tape cmd , sur le résultat qui apparait, clic droit > exécuter en tant qu'administrateur   

* Dans la fenêtre noire, tape sfc /scannow et laisse Windows réparer les fichiers. 

_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Fish66 · Answer

Bonjour,
L'essentiel c'est que ton problème est résolu!  ;-)
===================
Sois prudent et bon surf
Pour désinstaller les outils de désinfections: 
* Télécharge  Delfix   sur ton bureau.          
* Lance le, tape suppression puis valide          
* Patiente pendant le scan jusqu'à l'ouverture du rapport.          
* Copie/Colle le contenu du rapport dans ta prochaine réponse.          
Note : Le rapport se trouve également sous C:\DelFix.txt          
* Tu peux le desinstaller

W7 Freeze.. Virus?

66 réponses

Discussions similaires

Newsletters