Avast détecte des virus dans service.exe

Infrared -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
Voila, toute les cinq minute a peut près ne même temps, il ya des pop-up de
deux virus détecter par avast:
L'un:Win32:maleware-gen
et l'autre juste après:win32:DNSChanger-VJ [trj]
Ils sont dans le processus en cour d'éxécution "service.exe",
viennent de C:/Windows/installer/.../00000032.@
et sont mis en quarantaine.
J'ai fais un scan, 3 virus trouvés et supprimer mais toujours la même chose.
Comment faire pour ne plus qu'il reviennent?

35 réponses

  • 1
  • 2
Résumé de la discussion

Des pop-ups répétées signalent deux détections antivirus, Win32:maleware-gen et Win32:DNSChanger-VJ [trj], associées au processus en cours service.exe et à un fichier suspect situé dans C:/Windows/installer/.../00000032.@.

Les conseils privilégient la prudence vis‑à‑vis des fichiers système et recommandent un pré‑scan avec Pre_Scan, la génération d’un rapport, puis l’élimination des proxies éventuels et l’utilisation guidée d’outils comme Combofix et Defogger.

D'autres messages proposent des vérifications supplémentaires via VirusTotal et ZHPDiag, ainsi que la collecte de rapports sur des services de partage de logs pour évaluer l'infection et nettoyer le système.

En complément, certains intervenants évoquent la nécessité d’un contrôle post‑désinfection et d’un nettoyage en profondeur des clés de registre et éléments persistant dans les dossiers de configuration, afin d’éviter de futures redondances.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello,

    Ne supprime surtout pas services.exe !!!

    Scan préalable :

    Télécharge et enregistre Pre_Scan sur ton bureau :

    http://www.forums-fec.be/gen-hackman/Pre_Scan.exe

    Avertissement : Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois téléchargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    Note : si l'outil est lancé plusieurs fois , il te proposera un menu, choisi alors l'option "Kill"

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange

    ~~

    Une fois fait :


    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

    A+
    1
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    OK.

    fais passer ces 2 DLL sur https://www.virustotal.com/gui/

    C:\Windows\System\rnaph.dll
    C:\Windows\System\url.dll


    ====================================================

    Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [-HKU\S-1-5-21-765537286-748891208-1332264742-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
    [-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
    [-HKU\S-1-5-21-765537286-748891208-1332264742-1000\Software\1ClickDownload]
    [-HKU\S-1-5-21-765537286-748891208-1332264742-1000\Software\SweetIM]
    [-HKLM\Software\Iminent]
    [-HKLM\Software\SweetIM]

    File::
    C:\Windows\Assembly\GAC_32\Desktop.ini
    C:\Windows\Assembly\GAC_64\Desktop.ini

    Folder::
    C:\Windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}
    C:\Users\All Users\SweetIM
    C:\Users\All Users\Tarma Installer
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\µå·¡°ïº¼ ¿Â¶óÀÎ
    C:\Users\antoine\AppData\Roaming\LOVE
    C:\ProgramData\SweetIM
    C:\Users\antoine\AppData\Local\Chris_Pietschmann_(http__
    C:\Users\antoine\AppData\Local\vghd
    C:\Program Files (x86)\SweetIM

    MBR::

    clean::

    Reboot::

    ___________________________________________________

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    1
  3. Infrared
     
    Voila le lien du résultat après avoir redémarrer:
    http://pjjoint.malekal.com/files.php?id=20120612_b9g6h15s12k9
    Je peut passer a la deuxième étapes maintenant?
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      yes tu peux y aller

      Pre_Scan a repéré l'infection mais n'a pas su la supprimer :

      Erreur de suppression : C:\Windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}

      Par hasard, t'aurais pas laissé l'autosandbox d'avast! en route ?
      désactive-la aussi pour combofix ... sinon ça n'ira pas ... ainsi que la protection en temps réel !
      0
  4. Infrared
     
    J'ai lancer combofix.exe renommé en mon nom.exe après
    avoir lancer deffoger.exe et désactiver l'antivirus.
    mais rien ne s'est passé a part une fenêtre de commande qui s'est
    ouverte et ensuite fermé et pas de combofix.txt a la racine du disque dur C
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    combofix contré... ça s'annonce mal ...

    je te prépare un script je reviens
    0
  7. Infrared
     
    J'ai scannée les deux dll et aucun virus n'a été trouvé.
    J'ai relancé pre scan avec le script, windows explorer a du être désactiver car le bureau a disparu, ensuite il a réapparu après 2 minutes et l'ordinateur a
    redémarrer.Sinon visiblement plus de pop up de avast mais je ne suis pas sur.
    Voila le Pre_Script.txt:

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.611 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    antoine : Windows 7 Home Premium (64 bits)

    Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

    Script : 11:52:32

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Modification du registre effectuée

    ¤

    Non Supprimé : C:\Windows\Assembly\GAC_32\Desktop.ini
    Non Supprimé : C:\Windows\Assembly\GAC_64\Desktop.ini

    ¤

    Supprimé : C:\Windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}
    Supprimé : C:\Users\All Users\SweetIM
    Supprimé : C:\Users\All Users\Tarma Installer
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\µå·¡°ïº¼ ¿Â¶óÀÎ
    Supprimé : C:\Users\antoine\AppData\Roaming\LOVE
    Absent : C:\ProgramData\SweetIM
    Supprimé : C:\Users\antoine\AppData\Local\Chris_Pietschmann_(http__
    Supprimé : C:\Users\antoine\AppData\Local\vghd
    Supprimé : C:\Program Files (x86)\SweetIM

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | MBR

    Windows Version: Windows 7 Home Premium Edition
    Windows Information: Service Pack 1 (build 7601), 64-bit
    Base Board Manufacturer: Gigabyte Technology Co., Ltd.
    BIOS Manufacturer: Award Software International, Inc.
    System Manufacturer: Gigabyte Technology Co., Ltd.
    System Product Name: GA-880GM-UD2H
    Logical Drives Mask: 0x0000001d

    Analysis of file "C:\Pre_Scan\MBR.bin":
    Windows 7 MBR code detected

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

    Nettoyage du disque effectué

    ¤

    explorer.exe -> Processus redémarré

    Fin : 11:53:09

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
    1. Infrared
       
      Toujours pas de pop-up d'avast signalent de virus, je pense que le problème est
      régler, merci pour toute vos réponse.
      Je vais refaire un scan minutieux d'avast.
      0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello,

    J'aimerais avoir les rapports de virustotal quand même stp, merci.

    Vois si tu peux supprimer ces 2 desktop.ini ils appartiennent au rootkit :

    Non Supprimé : C:\Windows\Assembly\GAC_32\Desktop.ini
    Non Supprimé : C:\Windows\Assembly\GAC_64\Desktop.ini 


    ==============================================

    ▶ Télécharge Malwarebytes' Anti-Malware (MBAM).

    ▶ enregistre l'exécutable sur le bureau.

    ▶ Installe-le puis configure-le comme ceci :

    Configuration

    si tu n'as rien modifié fais directement quitter sinon enregistrer

    Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

    ▶▶▶ Ce logiciel gratuit est à garder.

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Uniquement en cas de problème de mise à jour:

    Télécharger mises à jour manuelles MBAM

    ▶ Exécute le fichier après l'installation de MBAM

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

    ▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
    ▶ Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
    ▶ Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ▶ Ferme tes navigateurs.
    ▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", tu ouvres le dernier et le colle dans ta prochaine réponse.

    A+
    0
  9. Infrared
     
    Salut,
    Voila les deux liens du scan des dll:

    https://www.virustotal.com/file/a72e6d59937affc14ceaf55bd5663968c4e78c1399d45c55283552e23a8a86be/analysis/

    https://www.virustotal.com/file/b00a7034f2e34350f9c2efd402f786716994fee98d7ae26c9b0ff59dfa8c1fa5/analysis/

    Ensuite le rapport du scan complet:
    http://pjjoint.malekal.com/files.php?id=20120613_l14n13q14b10y15

    Je ne savais pas que j'avais autant de virus, il est plus rapide et en détecte plus
    que avast.
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello,

    OK tu as supprimé les deux desktop.ini comme demandé ?
    0
    1. g3n-h@ckm@n
       
      coucou manuellement en Live PE tu l'as dit toi même ^^
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      coucou oui en effet :p
      0
  11. Infrared
     
    Oui, je les ai bien supprimé.

    Merci pour tout, et surtout pour vos réponse.
    Je ne penserai pas qu'il faudrait faire tout ça pour supprimer un
    un virus récalcitrant;le problème est régler grâce a vous.

    Cordialement.
    0
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Je serais toi je passerais quand même combofix ...
    0
    1. Infrared
       
      Je dois relancer combofix et donner les résultats c'est ça?
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      oui
      0
    3. Infrared
       
      Voila le rapport de combofix:
      http://pjjoint.malekal.com/files.php?id=20120615_y13s14x13q6n5

      En plus cela a réglé mon problème avec le par-feu windows!
      0
  13. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello,

    Je te l'avais dis que l'infection avait pris un coup mais été toujours présente !

    Tout ça :
    c:\windows\assembly\GAC_32\Desktop.ini
    c:\windows\assembly\GAC_64\Desktop.ini
    c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\@
    c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\L\00000004.@
    c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\L\1afb2d56
    c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\U\00000004.@
    c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\U\00000008.@
    c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\U\000000cb.@
    c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\U\80000000.@
    c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\U\80000032.@
    c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\U\80000064.@
    
    Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée 
    Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe 


    c'était encore le rootkit Zero Access.

    ====================================================

    Tu peux envoyer ça sur virustotal STP ? (comme tu as fait avec les DLL)

    c:\users\antoine\AppData\Roaming\Microsoft\Installer\{4835750F-F8A7-4D3C-A6A9-123E31C12AF8}\NewShortcut3_9B25FD3A1D3B44859FFDB0C3A11BA476.exe

    A+
    0
    1. Infrared
       
      ok ça marche, je donne le résultat.
      0
  14. Infrared
     
    Voila le scan du fichier:
    https://www.virustotal.com/file/d7f182d4d04197b06dcb65a47e6322676e03283ef457492ad3fb1343202f10e1/analysis/1339866167/

    Je ne savais pas que c'était encore infecté,désolait.
    0
  15. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    OK :)

    On va contrôler tout ça.

    ▶ Télécharge ZHPDiag (de Nicolas Coolman)

    ou :ZHPDiag

    Enregistre le sur ton Bureau.

    Une fois le téléchargement achevé,

    ▶ Installe et lance ZHPDiag.exe

    ▶ Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

    ▶ Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse,

    ▶ Pour me transmettre ton rapport utilise le site http://pjjoint.malekal.com

    ▶ Clique sur Parcourir et cherche le fichier C:\ZHP\ZHPDiag.txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Envoyer le fichier".

    Un lien de cette forme :

    https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120312_q15b11x7g11u5

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
  16. Infrared
     
    Et voila le lien:
    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120616_j7m7l15d6y8
    0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Mozilla pas à jour (12 => 13)

    Java pas à jour (7u4 => 7u5)

    Désinstalle Spybot il sert à rien

    ==================================================
    Copie ces lignes :

    [HKLM\Software\Iminent]    => Infection PUP (Adware.IMBooster)
    [HKLM\Software\WOW6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}]    => Infection BT (Adware.Agent)
    [HKLM\Software\WOW6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}]    => Infection BT (Adware.Agent)
    [HKLM\Software\WOW6432Node\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}]    => Infection BT (Toolbar.Babylon)
    [HKLM\Software\WOW6432Node\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}]    => Infection BT (Toolbar.Babylon)
    [HKLM\Software\WOW6432Node\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}]    => Infection BT (Toolbar.Babylon)
    [HKLM\Software\WOW6432Node\Iminent]    => Infection PUP (Adware.IMBooster)
    O8 - Extra context menu item: Rechercher sur le Web - (.not file.) - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html    => SweetIM Toolbar
    [HKLM\Software\SweetIM]    => Toolbar.SweetIM
    [HKLM\Software\WOW6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}]    => Toolbar.Agent
    [HKLM\Software\Classes\TypeLib\{4d3b167e-5fd8-4276-8fd7-9df19c1e4d19}]    => Toolbar.SweetIM
    [HKLM\Software\WOW6432Node\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}]    => Toolbar.Babylon
    [HKLM\Software\WOW6432Node\Classes\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d}]    => Toolbar.Agent
    [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A7BC02AF-1128-4A31-BCF8-1A3EE803D3B3}]    => Toolbar.SweetIM
    [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A81A974F-8A22-43E6-9243-5198FF758DA1}]    => Toolbar.SweetIM
    [HKLM\Software\WOW6432Node\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}]    => Toolbar.Agent
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}]    => Toolbar.Agent
    [HKLM\Software\WOW6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}]    => Toolbar.Agent
    [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}]    => Toolbar.Agent
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847}]    => Toolbar.SweetIM
    [HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847}]    => Toolbar.SweetIM
    [HKCU\Software\SweetIM]    => Toolbar.SweetIM
    [HKLM\Software\WOW6432Node\SweetIM]    => Toolbar.SweetIM
    EMPTYTEMP
    EMPTYFLASH
    EMPTYCLSID


    ouvre ZHPFIX
    Clique sur le H, les lignes copiées vont apparaître
    clique sur GO
    poste le rapport.
    0
  18. Infrared
     
    Les deux programmes sont a jour et Spybot désinstallé.

    Voila le résultat du rapport de ZHPFIX:

    Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-17-06-2012-12-14-30.txt
    Run by antoine at 17/06/2012 12:14:30
    Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Web site : http://nicolascoolman.skyrock.com/

    ========== Clé(s) du Registre ==========
    ABSENT Key: HKLM\Software\Iminent
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Iminent
    SUPPRIME Key*: Menu Contextuel: Rechercher sur le Web
    ABSENT Key: HKLM\Software\SweetIM
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
    SUPPRIME Key*: HKLM\Software\Classes\TypeLib\{4d3b167e-5fd8-4276-8fd7-9df19c1e4d19}
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d}
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A7BC02AF-1128-4A31-BCF8-1A3EE803D3B3}
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A81A974F-8A22-43E6-9243-5198FF758DA1}
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
    SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
    SUPPRIME Key*: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847}
    SUPPRIME Key*: HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847}
    SUPPRIME Key*: HKCU\Software\SweetIM
    SUPPRIME Key*: HKLM\Software\WOW6432Node\SweetIM

    ========== Dossier(s) ==========
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{0119A8C0-B8FA-4732-BDF3-0393B7D1B614}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{0516392D-7C11-4DBB-85ED-ED7E0206AB02}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{07F83971-0CEC-4F04-AEE3-B9C226CF2411}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{10279634-6644-48E4-B015-4AAEB8096398}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{108F7CBA-3FBE-43FE-A1D1-62B85CD44EBD}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{10E700DB-1EC9-4DE8-B6BA-59F0CF0A5F80}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{13BDEA67-C8FF-4B29-87A9-E3308DE32C98}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{13BE4E9D-1B9E-4137-8B38-792B25868954}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{18BAF073-D220-45F7-8C96-F8700240C208}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{18F6C4A9-20E4-4E50-95BE-369107078E4B}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{1C65AD11-7AD3-4BC9-86FB-834A1B6A84A6}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{1E063E4C-D3AE-4D55-BA9E-604F5DFFAE2A}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{222D7EDA-5FE1-4D21-A71A-3B5C3527F50E}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{2747F0BD-85CE-46CF-876E-15046CB53942}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{29BA6EC2-3B9F-489E-AC1E-DC12A7699B38}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{2D74D628-09FC-4A8F-A759-3FAFA7AEF71B}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{30D4C8D3-8246-409E-93D3-7AECA9B3BB30}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{32802041-18DC-4824-B946-77F9A8619DA6}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{364302D5-FF3D-4F03-B7F1-959B7FDAAE01}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{4019C989-A143-4360-A491-86A993528585}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{46D82686-1C2D-4597-BE3A-9AA49607012D}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{492D113A-4777-4BE1-BFA1-CA892A03A164}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{4DBBE4A5-73BE-4652-8460-9CAFAA7713AD}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{4F25283A-B4FE-4CDA-8125-BD77A15BEC10}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{54E5A53C-8BE3-4BA4-8840-1229EDD4753B}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{57EC1BB2-914A-4EB0-AD61-E522798E29B4}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{5D8600EA-E89E-489A-BF2E-B0933BD4200E}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{5E15433E-BA10-4C22-ADE0-F7574587DBDF}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{60B96BF6-5359-4A66-9734-5466C5412A41}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{679E6B63-F0F3-449B-9F00-5380ED0646AB}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{68BAFA50-47CC-4E17-BCA9-5F938C20226D}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{6B28954C-A23F-49A8-BB18-E74C24C0D7EC}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{6FCCE47A-C668-470B-96FF-587E4824E0C8}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{75178C4A-179C-412A-B37B-9FD713F643B9}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{79A96F84-75C3-4121-B260-1204D74F96D2}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{79C559B5-3C5D-4F56-8B86-419FF7DA6A86}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{7A2B85E1-0272-4F14-AC29-2F1CE29F89C0}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{7E1AD48B-6179-4F5C-873B-B2B66101748F}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{898C1DC1-C52F-4130-9A77-75F1FE768FFE}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{A7D68F38-F13F-437F-B81A-06DF6BE4C8CC}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{A8084DF3-1426-4ED0-A43D-93CAB9C32B87}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{B68AB66D-B6BE-483E-BA27-B8552DED07E7}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{B6AAEACB-9EB9-4E65-9D95-4A2AB90A1206}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{C7A624A0-8D7B-4A5A-BF2B-3AA87F9544FB}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{CAE3AD72-FEDA-4F97-8521-45AFC2F1ADCD}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{CC692564-D9F1-489F-810A-B1CB8C87F243}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{D7F62EBC-FB08-4714-9EF8-E4EC9C7BDD2A}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{D803203F-D3DE-46E2-B814-9813A8792E7A}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{E00DFE27-F89E-428D-B7E3-B0559C271A9F}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{E04329F1-F1FC-4E49-8911-DE44C8A34C01}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{E26B0CF1-92DC-44E7-A5B8-CF664C6B391F}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{E34DE5F0-76ED-44DF-8042-7586BC1A9A8E}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{E8813519-3109-421B-918F-4AD8AC77B120}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{E8BF1EBB-B719-41C5-B347-7656A88A161D}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{E9BDC4F6-E8A0-4F62-9FBB-D407D6516AF0}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{EFB41FF8-1FE7-444C-A9AE-8DAACF2F97A9}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{F19C129F-964F-4CDC-B2C7-E93A58BFDD27}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{F5FA7C93-94C3-4626-8A89-84F2DE136957}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{FB7F08D1-9CEF-4324-A13C-3F92060A737D}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{FD41191D-8AA8-4224-A212-0F9B2FE1BE20}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{FD71F470-4FAA-4179-A16F-4C92F53FBFC0}
    SUPPRIME Folder: C:\Users\antoine\AppData\Local\{FF5A05CD-3995-4094-BB9B-9292D48452F8}

    ========== Fichier(s) ==========
    ABSENT File: c:\program files (x86)\sweetim\toolbars\internet explorer\resources\menuext.html
    SUPPRIME Temporaires Windows:
    SUPPRIME Flash Cookies:

    ========== Récapitulatif ==========
    23 : Clé(s) du Registre
    62 : Dossier(s)
    3 : Fichier(s)

    End of clean in 00mn 05s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 17/06/2012 12:14:30 [8261]
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Nickel :-)

    Plus de soucis ? On peut finaliser ?
    0
  20. Infrared
     
    Non,visiblement,plus de soucis.
    Le virus est complétement désintégrer?Car j'ai fait un scan avec avast et Spybot
    et il n'on rien trouvé.Je pense que le problème est régler.
    Si il n'y a aucune autre chose a faire,oui.

    Et surtout merci pour tout! :)
    Je continuerai de poser des questions sur ce super site!
    0
  21. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Spybot -> poubelle (2ème fois)

    ============================================

    Le ménage : https://gen-hackman.kanak.fr/

    Poste le rapport DelFix en suivant l'ordre du tuto :)
    0
  • 1
  • 2