virus, mes icones se reorganisent seules Résolu/Fermé

Question

Bonjour à tous, 

Je crois avoir le même genre de problème que nicopol qui a posté sur le forum hier: 
à chaque allumage de mon PC mes icones se déplacent à gauche du bureau.

Ca s'est produit il y a 3 a 4 jours après que j'ai eu plusieurs alertes antivirus et m'ettre rendu compte que mon logiciel antivirus avait expiré.

Apres avoir scané et nettoyé plusieurs fois avec avast cela continue, j'ai essayé aussi spybot, mais rien n'y fait. 

J'ai bien tenté de suivre les posts entre nicopol et juju666 pour essayer de me débrouyer seul mais j'avoue m'y etre un peu perdu et avoir peur de faire une mauvaise manip...

Aidez moi s'il vous plaît...

D'avance merci! 






Configuration: Windows 7 / Internet Explorer 9.0

Fish66 · Answer

Salut, * Télécharge puis enregistre sur le bureau de ton PC ZHPDiag (de Nicolas Coolman) à partir l'un des deux liens : Lien 1 ou Lien 2 * Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7) * Clique sur l'icône en forme de loupe pour lancer le diagnostique * Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com * Fais copier/coller le lien fourni dans ta prochaine réponse * Aide ZHPDiag : <<< ICI >>>

Dam's · Answer

Salut et déjà merci de ta réponse rapide!   

Voici le résultat de ZHpdiag:    
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120616_q9p7b15m5n5   

Pour infos entre temps j'avais aussi téléchargé malwarebytes et effectué un nettoyage (mais sans résultats sur mon problème :o(

Fish66 · Answer

Re,
Toujours dans ce mode :

 * Télécharge sur le bureau RogueKiller (par tigzy)     
https://www.luanagames.com/index.fr.html     
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )     
* Quitte tous tes programmes en cours     
* Lance RogueKiller.exe    
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe    
* Laisse le prescan se terminer, clique sur Scan    
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message   

@+

Dam's · Answer

Re, Je n'ai pas réussit à télécharger rogueKiller sur mon bureau et n'ai donc pas pu le lancer en mode administrateur (si ca a son importance...) Voici le rapport de son scan: RogueKiller V7.5.4 [07/06/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: Maison Dam's & Laure [Droits d'admin] Mode: Recherche -- Date: 16/06/2012 18:16:51 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 3 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD5000AAKS-00V1A0 ATA Device +++++ --- User --- [MBR] 494babf9252bfb930b6f9e4c90988f2d [BSP] 5b9372ecd2ebe52e249886e329340ea8 : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt

Dam's · Answer

En fait j'ai réussi a le lancer en mode administrateur et voici le nouveau rapport dans ce mode (désolé je suis pas tres doué ;op) RogueKiller V7.5.4 [07/06/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: Maison Dam's & Laure [Droits d'admin] Mode: Recherche -- Date: 16/06/2012 18:23:57 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 3 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD5000AAKS-00V1A0 ATA Device +++++ --- User --- [MBR] 494babf9252bfb930b6f9e4c90988f2d [BSP] 5b9372ecd2ebe52e249886e329340ea8 : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 476838 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Fish66 · Answer

Re,
1/
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND 
Est ce que c'est toi qui a créé ce proxy ?

2/
Télécharge AdwCleaner (merci à Xplode) 
Lance AdwCleaner
Clique sur le bouton [ Suppression ] 
Patiente... 
Poste le rapport qui apparait en fin de recherche. 
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

@+

Dam's · Answer

Salut,

1/ non je ne pense pas avoir créé ce proxy ou alors involontairement (je ne suis même pas sûr de savoir ce que c'est q'un proxy! ;op )

2/ voici le rapport de AdwCleaner:

# AdwCleaner v1.609 - Rapport créé le 16/06/2012 à 21:31:34
# Mis à jour le 10/06/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Maison Dam's & Laure - MAISON
# Exécuté depuis : C:\Users\Maison Dam's & Laure\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3VYSAZ8D\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : supdate

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Maison Dam's & Laure\AppData\Local\AskToolbar
Dossier Supprimé : C:\Users\Maison Dam's & Laure\AppData\Local\Google\Chrome\User Data\Default\Extensions\jeaihkehdlhkocphopopahkfjcfcphef
Dossier Supprimé : C:\Users\MAISON~1\AppData\Local\Temp\AskSearch
Dossier Supprimé : C:\Users\MAISON~1\AppData\Local\Temp\BabylonToolbar
Dossier Supprimé : C:\Users\Maison Dam's & Laure\AppData\LocalLow\AskToolbar
Dossier Supprimé : C:\Users\Maison Dam's & Laure\AppData\LocalLow\BabylonToolbar
Dossier Supprimé : C:\Users\Maison Dam's & Laure\AppData\LocalLow\pdfforge
Dossier Supprimé : C:\Users\Maison Dam's & Laure\AppData\LocalLow\Search Settings
Dossier Supprimé : C:\Users\Maison Dam's & Laure\AppData\LocalLow\ShoppingReport2
Dossier Supprimé : C:\Users\Maison Dam's & Laure\AppData\Roaming\FREEzeFrog
Dossier Supprimé : C:\Users\Maison Dam's & Laure\AppData\Roaming\pdfforge
Dossier Supprimé : C:\Program Files (x86)\Ask.com
Dossier Supprimé : C:\Program Files (x86)\Boxore
Dossier Supprimé : C:\Program Files (x86)\FREEzeFrog
Dossier Supprimé : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registre] *****

Clé Supprimée : HKCU\Software\Ask.com
Clé Supprimée : HKCU\Software\AskToolbar
Clé Supprimée : HKCU\Software\APN
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\AppDataLow\AskToolbarInfo
Clé Supprimée : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\pdfforge
Clé Supprimée : HKCU\Software\AppDataLow\Software\Search Settings
Clé Supprimée : HKCU\Software\AppDataLow\Software\ShoppingReport2
Clé Supprimée : HKLM\SOFTWARE\APN
Clé Supprimée : HKLM\SOFTWARE\AskToolbar
Clé Supprimée : HKLM\SOFTWARE\Boxore
Clé Supprimée : HKLM\SOFTWARE\FREEzeFrog
Clé Supprimée : HKLM\SOFTWARE\pdfforge
Clé Supprimée : HKLM\SOFTWARE\Search Settings
Clé Supprimée : HKLM\SOFTWARE\Software
Clé Supprimée : HKLM\SOFTWARE\Classes\b
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Software.OneClickCtrl.8
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass.1
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine.1.0
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\64A6E60055D801F4BB8AC269354B72B8
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\64A6E60055D801F4BB8AC269354B72B8
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\1C875DDE39636004CA8CDAEC335B4160
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\BA086F2D38A8E1A47912955A68B3AD24
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Classes\MIME\Database\Content Type\application/x-vnd.software.oneclickctrl.8
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jeaihkehdlhkocphopopahkfjcfcphef
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{006E6A46-8D55-4F10-BBA8-2C9653B4278B}
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@www.dlmanager.net/omaha/tools//Software Update;version=8
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Boxore Client]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{9CD2384C-143B-4790-A075-E7FEFE2A554B}]
[x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\1C875DDE39636004CA8CDAEC335B4160
[x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\BA086F2D38A8E1A47912955A68B3AD24
[x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{32451DFC-C23B-4E12-866C-FC7982238504}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{092A2C6B-43EE-4F9F-8F8E-14ED5E11C14B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{257A6158-1416-4B31-9BF8-29FF49F3814F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{32451DFC-C23B-4E12-866C-FC7982238504}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7555B87D-D711-48B2-B97D-04DF700652BA}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AC5C4189-A8A0-4C9D-8910-C9CEF8360077}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{736EF78E-5A04-46F9-893E-EDEC6EA5DF45}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7A1BCE27-099C-4628-B63A-AEC00C6376B3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AF3AFF7C-B9E9-48DD-9002-212B6DEAAC02}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DBE82879-914A-422F-BAE9-2ECC80BE536F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E12D7149-73EF-45E4-A1E9-99FD7DAE62D3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F2B184F1-547C-4EE9-BFC4-AC489C7077D9}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7555B87D-D711-48B2-B97D-04DF700652BA}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\{4B8C28A7-A9BC-45F8-990D-21499EED643C}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7555B87D-D711-48B2-B97D-04DF700652BA}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [13712 octets] - [16/06/2012 21:31:00]
AdwCleaner[S1].txt - [9437 octets] - [16/06/2012 21:31:34]

########## EOF - C:\AdwCleaner[S1].txt - [9565 octets] ##########

@+

Fish66 · Answer

Re,
1/
Désinstalle Spybot, il ne sert à rien!

2/
Poste moi le rapport mbam stp

3/
Evite de télécharger depuis Sotonic et 01Net ce sont des sources d'infections!

4/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


[MD5.1DE92915148A17AA1DFDECF722A4DD1B] [SPRF][14/06/2012] (...) -- C:\Users\Maison Dam's & Laure\AppData\Local\Temp\sh4plist.dat   [148]
[MD5.BFE94A86CE15AF0633416D4169790050] [SPRF][23/03/2010] (...) -- C:\Users\Maison Dam's & Laure\AppData\Local\Temp\Softonic_France.exe   [1644368]
[MD5.00000000000000000000000000000000] [APT] [{11DD5642-B598-4BF7-A856-CDD0C75E4182}] (...) -- C:\Users\Maison Dam's & Laure\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B1T91YKO\XvidSetup.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{1759C7F7-5AC6-4869-948B-C1C93512D729}] (...) -- C:\Users\Maison Dam's & Laure\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GEQO0C2X\XvidSetup (1).exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{77F67BF2-AE08-4831-B28B-DA1B37D82007}] (...) -- C:\Users\Maison Dam's & Laure\Desktop\Windows7FirewallControl-Setup-i386.exe (.not file.)

FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

@+

Dam's · Answer

Re salut, 

1/ok spybot désinstallé, merci du conseil! 

2/voilà le dernier rapport de mbma (fallait il que je refasse un scan ou ce rapport te suffit?): 

Malwarebytes Anti-Malware 1.61.0.1400 
www.malwarebytes.org 

Version de la base de données: v2012.06.16.05 

Windows 7 Service Pack 1 x64 NTFS 
Internet Explorer 9.0.8112.16421 
Maison Dam's & Laure :: MAISON [administrateur] 

16/06/2012 17:23:55 
mbam-log-2012-06-16 (17-23-55).txt 

Type d'examen: Examen rapide 
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM 
Options d'examen désactivées: P2P 
Elément(s) analysé(s): 211798 
Temps écoulé: 3 minute(s), 5 seconde(s) 

Processus mémoire détecté(s): 0 
(Aucun élément nuisible détecté) 

Module(s) mémoire détecté(s): 0 
(Aucun élément nuisible détecté) 

Clé(s) du Registre détectée(s): 13 
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{4B8C28A7-A9BC-45F8-990D-21499EED643C} (Adware.QuestScan) -> Mis en quarantaine et supprimé avec succès. 
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Mis en quarantaine et supprimé avec succès. 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1602F07D-8BF3-4c08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès. 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA} (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès. 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AC6D819E-AA8F-4418-A3BB-D165C1B18BB5} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès. 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès. 
HKCR\FREEzeFrogAx.Info (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès. 
HKCR\FREEzeFrogAx.Info.1 (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès. 
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès. 
HKCU\SOFTWARE\FREEZEFROGSA (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès. 
HKLM\SOFTWARE\FREEzeFrog\FREEzeFrog (Adware.HotBar) -> Mis en quarantaine et supprimé avec succès. 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FREEzeFrogSA (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès. 
HKLM\SOFTWARE\QUESTSCAN (Adware.QuestScan) -> Mis en quarantaine et supprimé avec succès. 

Valeur(s) du Registre détectée(s): 2 
HKCU\Software\freezefrogsa|actionurl_current_version (Adware.FreezeFrog) -> Données: 799 -> Mis en quarantaine et supprimé avec succès. 
HKLM\SOFTWARE\QuestScan|DllPath (Adware.QuestScan) -> Données: C:\Program Files (x86)\QuestScan\questscan.dll -> Mis en quarantaine et supprimé avec succès. 

Elément(s) de données du Registre détecté(s): 0 
(Aucun élément nuisible détecté) 

Dossier(s) détecté(s): 2 
C:\ProgramData\FREEzeFrogSA (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès. 
C:\Program Files (x86)\FREEzeFrog\bin\1.0.670.0 (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès. 

Fichier(s) détecté(s): 10 
C:\Users\Maison Dam's & Laure\AppData\Local\Temp\01net\01NET.com.exe (PUP.Toolbar.Repacked) -> Aucune action effectuée. 
C:\Users\Maison Dam's & Laure\AppData\Local\Temp	ool.exe (Adware.Dropper) -> Mis en quarantaine et supprimé avec succès. 
C:\ProgramData\FREEzeFrogSA\FREEzeFrogSA.dat (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès. 
C:\ProgramData\FREEzeFrogSA\FREEzeFrogSAAbout.mht (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès. 
C:\ProgramData\FREEzeFrogSA\FreezeFrogSAau.dat (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès. 
C:\ProgramData\FREEzeFrogSA\FREEzeFrogSAEULA.mht (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès. 
C:\ProgramData\FREEzeFrogSA\FreezeFrogSA_hpk.dat (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès. 
C:\ProgramData\FREEzeFrogSA\FreezeFrogSA_kyf.dat (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès. 
C:\Program Files (x86)\FREEzeFrog\bin\1.0.670.0\FREEzeFrogSAHook.dll (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès. 
C:\Program Files (x86)\FREEzeFrog\bin\1.0.670.0\LaunchHelp.dll (Adware.FreezeFrog) -> Mis en quarantaine et supprimé avec succès. 

(fin) 


3/Encore merci du conseil, je ne connais pas sotonic mais c'est vrai que j'ai deja souvent utilisé 01.net 

4/voilà le rapport de ZHPfix: 

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012 
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-16-06-2012-22-09-02.txt 
Run by Maison Dam's & Laure at 16/06/2012 22:09:02 
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601) 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 
Web site : http://nicolascoolman.skyrock.com/ 

========== Processus mémoire ========== 
SUPPRIME Memory Process: C:\Users\Maison Dam's & Laure\AppData\Local\Temp\Softonic_France.exe 

========== Valeur(s) du Registre ========== 
ABSENT Valeur Standard Profile: FirewallRaz :  
ABSENT Valeur Domain Profile: FirewallRaz :  
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz) 

========== Dossier(s) ========== 
SUPPRIME Temporaires Windows: 
SUPPRIME Flash Cookies: 

========== Fichier(s) ========== 
SUPPRIME File: C:\Users\Maison Dam's & Laure\AppData\Local\Temp\sh4plist.dat 
SUPPRIME File: c:\users\maison dam's & laure\appdata\local	emp\softonic_france.exe 
SUPPRIME Temporaires Windows: 
SUPPRIME Flash Cookies: 

========== Tache planifiée ========== 
SUPPRIME Task: {11DD5642-B598-4BF7-A856-CDD0C75E4182} 
SUPPRIME Task: {1759C7F7-5AC6-4869-948B-C1C93512D729} 
SUPPRIME Task: {77F67BF2-AE08-4831-B28B-DA1B37D82007} 


========== Récapitulatif ========== 
1 : Processus mémoire 
3 : Valeur(s) du Registre 
2 : Dossier(s) 
4 : Fichier(s) 
3 : Tache planifiée 


End of clean in 00mn 13s 

========== Chemin de fichier rapport ========== 
C:\ZHP\ZHPFix[R1].txt - 16/06/2012 22:09:02 [1466]

@+

Fish66 · Answer

Re,
Lance ZHPDiag depuis le bureau et prépare stp un nouveau rapport ZHPDiag (à héberger)

@+

Dam's · Answer

Re, 
Voici le rapport ZHPDiag:

 http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120616_k14p13d13w12o6

@+

Fish66 · Answer

Re, 
1/ 
Désinstalle le logiciel: pdfforge Toolbar v4.6  

2/ 
Que contient ce dossier stp: C:\ProgramData\F4D55F3BBE4B87DA00013C83B4EB2367 

3/ 
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  



[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified      
O51 - MPSK:{a9658558-8f48-11df-9119-e0cb4ec337e5}\AutoRun\command. (...) -- G:\LaunchU3.exe (.not file.)      
[MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task] (...) -- C:\Program Files (x86)\FREEzeFrog\bin\1.0.670.0\FREEzeFrogSA.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{2D235C98-D3DB-4188-A521-755206314AAF}] (...) -- C:\Users\Maison Dam's & Laure\AppData\Local\Babylon\Setup\Setup.exee (.not file.)     
O42 - Logiciel: pdfforge Toolbar v4.6 - (.Spigot, Inc..) [HKLM] -- {E6098043-1183-4580-89EF-423CBF807188}     
[MD5.9495FF73014B8A17BD4798911AD097FA] [SPRF][20/09/2011] (...) -- C:\Users\Maison Dam's & Laure\AppData\Local\Temp\Extract.bat   [87] 
[HKLM\Software\Wow6432Node\Martin Prikryl\OpenCandy] 
[MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files (x86)\Ask.com\UpdateTask.exe (.not file.)    => Toolbar.Ask 
O43 - CFD: 13/01/2012 - 22:16:16 - [2,993] ----D C:\Program Files (x86)\Software    => Toolbar.Agent 
O43 - CFD: 13/01/2012 - 22:16:16 - [0] ----D C:\Users\Maison Dam's & Laure\AppData\Local\Software    => Toolbar.Agent 
O43 - CFD: 13/01/2012 - 22:16:16 - [2,993] ----D C:\Program Files (x86)\Software    => Toolbar.Agent 
[MD5.710626F0C8B94C9CF89458409E3EE12E] [SPRF][14/06/2012] (.Conduit - Pas de description.) -- C:\Users\Maison Dam's & Laure\AppData\Local\Temp\conduitinstaller.exe   [211792] 
[MD5.7C90F77D368CABEA7B726A3758D6D761] [SPRF][07/12/2011] (.Babylon Ltd. - Babylon Client Setup.) -- C:\Users\Maison Dam's & Laure\AppData\Local\Temp\MyBabylonTB.exe   [919664] 
C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar     
[MD5.00000000000000000000000000000000] [APT] [{11DD5642-B598-4BF7-A856-CDD0C75E4182}] (...) -- C:\Users\Maison Dam's & Laure\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B1T91YKO\XvidSetup.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{1759C7F7-5AC6-4869-948B-C1C93512D729}] (...) -- C:\Users\Maison Dam's & Laure\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GEQO0C2X\XvidSetup (1).exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{77F67BF2-AE08-4831-B28B-DA1B37D82007}] (...) -- C:\Users\Maison Dam's & Laure\Desktop\Windows7FirewallControl-Setup-i386.exe (.not file.) 
O43 - CFD: 16/06/2012 - 22:02:59 - [4,907] ----D C:\Program Files (x86)\Spybot - Search & Destroy    => Spybot - Search & Destroy 
O43 - CFD: 16/06/2012 - 22:02:59 - [6,012] ----D C:\ProgramData\Spybot - Search & Destroy    => Spybot - Search & Destroy 
O43 - CFD: 16/06/2012 - 22:02:59 - [4,907] ----D C:\Program Files (x86)\Spybot - Search & Destroy    => Spybot - Search & Destroy 




Puis Lance ZHPFix depuis le raccourci du bureau .  

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

Clique sur le bouton  GO 

Copie/Colle le rapport à l'écran dans ton prochain message. 

4/ 
Relance mbam pour une analyse complète après avoir fait la mise à jour, puis poste le rapport stp 

5/ 
A demain et bonne nuit !  :-) 

_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Dam's · Answer

Re,
1/ Ok pdfforge tool bar désinstallée;

2/Je ne sais pas il contenait un fichier du meme nom que j'ai supprimé

3/voici le rapport de ZHPFix:

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-16-06-2012-23-32-24.txt
Run by Maison Dam's & Laure at 16/06/2012 23:32:24
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Logiciel(s) ==========
ABSENT Software Key: {E6098043-1183-4580-89EF-423CBF807188}

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Maison Dam's & Laure\AppData\Local\Temp\conduitinstaller.exe
SUPPRIME Memory Process: C:\Users\Maison Dam's & Laure\AppData\Local\Temp\MyBabylonTB.exe

========== Clé(s) du Registre ==========
SUPPRIME CLSID MPSK: {a9658558-8f48-11df-9119-e0cb4ec337e5}
SUPPRIME Key*: HKLM\Software\Wow6432Node\Martin Prikryl\OpenCandy

========== Elément(s) de donnée du Registre ==========
REMPLACE Value NoActiveDesktopChanges :   Good (0) - Bad (1)

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files (x86)\Software
SUPPRIME Folder: C:\Users\Maison Dam's & Laure\AppData\Local\Software
SUPPRIME Folder: C:\Program Files (x86)\Spybot - Search & Destroy
ABSENT C:\ProgramData\Spybot - Search & Destroy

========== Fichier(s) ==========
SUPPRIME File: C:\Users\Maison Dam's & Laure\AppData\Local\Temp\Extract.bat
SUPPRIME File: c:\users\maison dam's & laure\appdata\local	emp\conduitinstaller.exe
SUPPRIME File: c:\users\maison dam's & laure\appdata\local	emp\mybabylontb.exe
ABSENT Folder/File: c:\windows\system32	asks\scheduled update for ask toolbar

========== Tache planifiée ==========
SUPPRIME Task: RunAsStdUser Task
SUPPRIME Task: {2D235C98-D3DB-4188-A521-755206314AAF}
SUPPRIME Task: Scheduled Update for Ask Toolbar
SUPPRIME Task: {11DD5642-B598-4BF7-A856-CDD0C75E4182}
SUPPRIME Task: {1759C7F7-5AC6-4869-948B-C1C93512D729}
SUPPRIME Task: {77F67BF2-AE08-4831-B28B-DA1B37D82007}


========== Récapitulatif ==========
2 : Processus mémoire
2 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
4 : Dossier(s)
4 : Fichier(s)
1 : Logiciel(s)
6 : Tache planifiée


End of clean in 00mn 06s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 16/06/2012 21:09:02 [1518]
C:\ZHP\ZHPFix[R2].txt - 16/06/2012 23:32:24 [2261]

4/Voilà les rapports de mbma:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.16.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Maison Dam's & Laure :: MAISON [administrateur]

16/06/2012 23:37:48
mbam-log-2012-06-17 (02-50-15).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 507043
Temps écoulé: 1 heure(s), 49 minute(s), 10 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Users\Maison Dam's & Laure\AppData\Local\Temp\01net\01NET.com.exe (PUP.Toolbar.Repacked) -> Aucune action effectuée.
C:\Users\Maison Dam's & Laure\Desktop\Sauvegarde Disque dur externe\A CONSERVER Médical Air\Mes documents\Mes Programmes\Jeux\warcraft iii sur mac rezdal (Macrezdal)\warcraft3 reign of chaos key\warcraft3 keygen.exe (Trojan.Agent) -> Aucune action effectuée.
C:\Users\Maison Dam's & Laure\Desktop\Sauvegarde Disque dur externe\A CONSERVER Médical Air\Mes documents\Mes Programmes\Jeux\warcraft iii sur mac rezdal (Macrezdal)\War_III_ROC_1.14b_NOCD\war3.org (Malware.Gen) -> Aucune action effectuée.

(fin)

et

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.16.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Maison Dam's & Laure :: MAISON [administrateur]

16/06/2012 23:37:48
mbam-log-2012-06-16 (23-37-48).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 507043
Temps écoulé: 1 heure(s), 49 minute(s), 10 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Users\Maison Dam's & Laure\AppData\Local\Temp\01net\01NET.com.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Maison Dam's & Laure\Desktop\Sauvegarde Disque dur externe\A CONSERVER Médical Air\Mes documents\Mes Programmes\Jeux\warcraft iii sur mac rezdal (Macrezdal)\warcraft3 reign of chaos key\warcraft3 keygen.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Maison Dam's & Laure\Desktop\Sauvegarde Disque dur externe\A CONSERVER Médical Air\Mes documents\Mes Programmes\Jeux\warcraft iii sur mac rezdal (Macrezdal)\War_III_ROC_1.14b_NOCD\war3.org (Malware.Gen) -> Mis en quarantaine et supprimé avec succès.

(fin)


5/ Merci pour le temps que je te prends et bonne nuit a toi aussi!
A demain!

Fish66 · Answer

Bonjour,

Comment se comporte ton PC maintenant ?

Dam's · Answer

Bonjour,

Et bien toujours ce problème sur le bureau, lorsque je réorganise mes icones sur le bureau et que je redémarre, à l'allumage elles reviennent se caler a gauche de l'écran dans un ordre différent à chaque fois.

Si ce n'était qu'un souci d'icône ça ne serait pas le plus grave, mais je suspecte que cela cache autre chose de plus "désagreable"

Tu ne vois rien d'autre de suspect sur les derniers rapports que je t'ai envoyés?

Merci @+

Fish66 · Answer

Re, Tu vas organiser ton bureau d'une façon automatique comme expliqué : <<< ICI (étape 1 )>>> pour vérifier ce qui se passe! Tiens moi au courant... @+ _ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _ ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Dam's · Answer

Re,    

J'ai essayé la première méthode en cochant réorganisation automatique: les icônes se sont donc rangées à gauche du bureau, classées par ordre alphabétique et par type.    

Lorsque je redémarre elle n'ont pas changées de place mais l'option "réorganiser automatiquement les icônes" n'est plus cochée.   

J'ai donc réessayé de les organiser manuellement en laissant l'option "réorganiser automatiquement les icônes" non cochée et lors du réallumage du PC elle sont de nouveau toutes à gauche, comme lors de la réorganisation automatique. 

Es-ce que ça t'aide à comprendre ce qui peu se produire?   

@+

Fish66 · Answer

Re,

Lance ZHPDiag depuis le bureau, clique sur la flèche verte (mise à jour) 
Ensuite coche tout au tournevis puis lance l'analyse, ferme le et héberge le rapport. colle le lien dans  ta prochaine réponse

@+

Dam's · Answer

Re,  

Apparement il est déjà a jour. 

Non sans mal voici le résultat de ZHPdiag, j'ai du recommencé deux fois car il a bloqué à 45% la première fois, et chose étrange par rapport aux autres fois il m'a affiché un message autour de 80% avec une fenêtre à cliquer sur ok (pas d'autre choix) avec quelque chose comme "validation check ... accéptée". 

Cela vient-il du fait d'avoir cochée toutes les options? 

 http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120617_g9s12l9y15y6 

@+

Fish66 · Answer

Re,

Avant d'utiliser ComboFix :  
	
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :  

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix  

* Télécharge Defogger (de jpshortstuff) sur  ton Bureau  
* Lance le  

* Une fenêtre apparait : clique sur "Disable"  

* Fais redémarrer l'ordinateur si l'outil te le demande  

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"  

===================================================  

Attention, avant de commencer, lis attentivement la procédure  

******************************************************** 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »  
Voici Aide combofix 

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  
 

*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)  

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

*Note : Le rapport se trouve également là : C:\ComboFix.txt

@+

Dam's · Answer

Re,  

voici le rapport de combofix: 

http://pjjoint.malekal.com/files.php?id=20120617_i7t10t14e7x9 

Pour infos, ca y est mes icônes restent à nouveau à la place que je leur donne: aurions nous enfin complètement désinfecté mon PC? 

Je peux déjà te dire un grand MERCI!!!! 

Encore quelques questions pour éviter au maximum ce genre d'infections à l'avenir quels conseils pourrais tu me donner en terme d'antivirus (car apparement en lisant des forums, AVAST ne serait pas top?), d'antispyware, et de choses à faire au ne pas faire? 

@+

Fish66 · Answer

Re, De rien :-) Il nous reste pas beaucoup! A la fin de la désinfection, je vais te donner des conseils pour sécuriser ton PC! 1/ * Télécharge OTM (OldTimer) sur ton Bureau ICI >> OTM (OldTimer) * Double clic "OTMoveIt3.exe" * Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer. - Copie (Ctrl+C) le texte suivant en gras ci-dessous : :files c:\program files\Enigma Software Group\SpyHunter :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"=- "iTunesHelper"="- :services esgiguard :commands [emptytemp] - Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved. - Clique maintenant sur le bouton MoveIt! Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES. - Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ Le nom du rapport correspond au moment de sa création : date_heure.log 2/ * Télécharge Adobe reader à partir :>>>>Ce lien<<<< en décochant la case : installer McAfee Security Scan Plus (facultatif) * Désinstalle ta version d'adobe par : ajout/suppression de programme * Exécute le fichier téléchargé pour installation en suivant les instructions. @+

Dam's · Answer

Re,
1/
Désolé je doit etre miro :-P mais je ne trouve pas le rapport de OTMoveit dans C:\ (soit dit en passant le programme que j'ai lancé s'appelle "OTM.exe" et pas "OTMoveIt3.exe" ai je fais une erreur?)
Le programme s'est bien lancé avec les lignes de commandes que tu m'a donné, mais une fois terminé le rapport s'est affiché dans la fenetre de gauche et tout s'est fermé avant que je ne puisse le copier. Et maintenant je ne le trouve pas... je n'ai pas de dossier OTmoveIt dans C:\

 2/
Ok c'est fait Merci

Dis-moi ou trouver ce rapport autrement?
@+

Fish66 · Answer

Re,
1/
Est ce que tu trouves ce dossier : c:\program files\Enigma Software Group\SpyHunter 

2/
Lance ZHPdiag depuis le bureau et prépare stp un nouveau rapport ZHPDiag

Dam's · Answer

Re, 

1/ Je ne trouve pas ce dossier même en lançant une recherche dans le menu démarrer windows. 

2/ Voici le rapport ZHPdiag: 

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120617_b8b12x7i125 

@+

Fish66 · Answer

Re,
1/
Je ne trouve pas ce dossier meme en lancant une recherche dans le menu demarrer windows. 
Donc OTM a fait son boulot avec succès  :-)

2/
* Désinstalle :  Logiciel: Java 6 Update 30 
* Télécharges et enregistre ce fichier java sur le bureau de ton PC
* Exécutes le pour installer la dernière version de Java  

==============================
Pour finir :
 Updatechecker :
Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour   
Tu peux l'utiliser une fois par semaine           
=========================================== 
**Nettoyage 

Suppression des outils de désinfections:
* Télécharge  Delfix   sur ton bureau.          
* Lance le, tape suppression puis valide          
* Patiente pendant le scan jusqu'à l'ouverture du rapport.          
* Copie/Colle le contenu du rapport dans ta prochaine réponse.          
Note : Le rapport se trouve également sous C:\DelFix.txt          
* Tu peux le desinstaller          

===========================================         
<code>Défragmentation : :
Défragmente tes disques dur par defraggler  
Tu peux lutiliser une fois par trimestre    
===========================================    

Nettoyage des fichiers et des clés de registre :
* Télécharge et installe CCleaner version Slim               
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis         
* Avancé et décoche la case Effacer uniquement les fichiers etc....         
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.         
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .         
** Aide ici : https://www.malekal.com/tutoriel-ccleaner/         
Tu peux utiliser Ccleaner une fois par semaine        

===========================================    
Purger les points de restauration système:   

* Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :   

Windows XP    

Windows Vista    

Windows 7    

* Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...   

===========================================    
Conseils :       
1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules          
complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...         

2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.          

3/ Un peu de lecture :        
* Les dangers du Peer-To-Peer, Emule etc..         
* Comment Sécuriser son ordinateur...        
*Pourquoi et comment je me fais infecter   
 *pourquoi maintenir son navigateur à jour

Dam's · Answer

Re, 

J'avais préparé ma réponse avec le rapport delfix mais je ne l'ai pas envoyée, et j'ai redémarré mon PC suite aux mises à jours détectées par Update checker, et du coup je ne le trouve plus! (Je sais je suis un boulet!)

J'ai donc réinstallé delfix et refait un scan et il ne trouvait plus rien.

Je te disais donc dans mon message effacé: Merci pour cette aide précieuse et efficace ainsi que ces conseils avisés!

Encore merci pour le temps passé à m'aider à désinfecter mon PC (qui doit être bien clean maintenant?!)

Si j'ai bien lu les liens que tu m'as envoyé il ne me reste plus qu'à être beaucoup plus prudent à l'avenir et à me familiariser avec firefox! (habitude quand tu nous tiens...)

Une dernière petite chose qui me titille,  lors du dernier redémarrage, Windows  n'a pas redémarré correctement (écran bleu) et j'ai été obligé d'accepter de lancer "l'outil Windows de redémarrage système" afin que Windows se ré-ouvre normalement. 
Es-ce dû aux suppressions de points de restaurations système? Ou y aurait il encore un souci??

Je tente de redémarrer une dernière fois afin de vérifier si tout redémarre de nouveau correctement, et de lancer la défragmentation, avant d'aller au dodo ;o)

Si j'ai encore quelques chose à faire, dis le moi!

Encore 1000 Mercis, bonne nuit et @++

Fish66 · Answer

Bonjour,
1/
Une dernière petite chose qui me titille, lors du dernier redémarrage, Windows n'a pas redémarré correctement (écran bleu) et j'ai été obligé d'accepter de lancer "l'outil Windows de redémarrage système" afin que Windows se ré-ouvre normalement. 
Es-ce dû aux suppressions de points de restaurations système? Ou y aurait il encore un souci?? 
Ça peut être du au mises à jour effectuées, tiens moi au courant si tu rencontreras ce problème!  :-)

2/
Soiis prudent et bon surf ...  :-)
Si tu n'as pas de souci pense à mettre ton sujet comme résolu

@+

Dam's · Answer

Salut,

Du coup après ce redémarrage particulier, les mises à jour n'étaient du coup pas passées, j'ai du toutes les refaire!

Rapport aux mises à jours, une dernière question: faut il se contenter des mises à jour classiques ou faut il aussi faire les mises à jour version Bêta?

Sinon depuis plus de soucis au démarrage, et mes icônes restent toujours à leur place :o))

Merci encore pour ces précieux conseils de sécurité et pour cette patience!!

@+

Fish66 · Answer

Salut,
Non, ce n'est pas la peine de faire la mise à jour des logiciels de version Betta, puisque ces versions ne sont pas définitives ...

Dam's · Answer

Salut,
Ok! Merci encore pour tout
@+

Fish66 · Answer

Re,
De rien et sois prudent  :-)

Virus, mes icones se reorganisent seules

32 réponses

Discussions similaires