Virus ukash

céline17000 Messages postés 107 Statut Membre -  
céline17000 Messages postés 107 Statut Membre -
Bonsoir,

comme pas mal de personnes je suis infectée de ce fichu virus ukash. n'y connaissant presque rien en informatique je viens vous demander de l'aide !

j'ai donc essayé demarrer en mode sans echec avec prise en charge, tenter malawarebites et entre autres spyhunter, ccleaner... mais dès que je redemarre normalement, l'écran se fige à nouveau sur ukash.

j'ai téléchargé les logiciel via mon autre pc, mis sur usb pour l'ouvrir sur pc infecté.

si quelqu'un a une idée....

merci d'avance

26 réponses

  • 1
  • 2
Résumé de la discussion

Le fil porte sur une infection par le rançongiciel Ukash sur Windows 7, qui bloque le démarrage et laisse l’ordinateur figé après redémarrage, malgré des tentatives en mode sans échec et des outils anti-malware. Plusieurs solutions visent la récupération des données et l’accès au système, notamment déconnecter le disque dur et le connecter comme esclave sur un autre ordinateur, ou recourir à des outils et environnements de démarrage avancés. Pour conclure, certaines propositions soulignent l’importance de récupérer les données avant toute réparation et d’éviter les réinitialisations qui pourraient aggraver le rançongiciel, afin de limiter les pertes irrémédiables.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Hello,

    Ne pas oublier la suggestion de Jacques :

    « ... la perso je sais plus quoi te dire perso je sortirais le dd du pc le connecterais en esclave sur un autre et récupérerais mes choses perso , ... »

    C'est ce que j'avais fait chez ma fille "Comptable indépendante". ;)
    ... avec succès .

    Al.

    Salut Jacques. ;)
    1
    1. céline17000 Messages postés 107 Statut Membre
       
      salut Afideg, pour moi ce serait faire de la chirurgie alors que je monitrice auto école lol du chinois
      0
  2. céline17000 Messages postés 107 Statut Membre
     
    arffff je m'attendais à une autre réponse lol j'ai toute ma compta sur ce pc....
    0
  3. céline17000 Messages postés 107 Statut Membre
     
    ah oui, je précise aussi, config vista et explorer. et j'ai aussi tenté un point de restauration
    0
  4. den3van Messages postés 159 Date d'inscription   Statut Membre Dernière intervention   25
     
    DSL ^^ je pense que ça doit être un virus du genre gendarmerie et même moi qui suis informaticien c'est assez difficile à enlever car il évoluent le plus souvent plus vite que les antivirus

    PS: Faites attentions a vos données je vous conseil d'aller voir un informaticien car il seras vous sauvegarder vos données et peut -être vous les fournir sur une clé usb ou un disque dur externe et vous déviruser tout ça
    0
    1. céline17000 Messages postés 107 Statut Membre
       
      oui c'est le virus type gendarmerie, et merci pour les infos
      0
    2. den3van Messages postés 159 Date d'inscription   Statut Membre Dernière intervention   25
       
      Derien Bonne soirée
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Le mode sans échec est accessible mais sans accès au réseau, c'est ça ?
    0
    1. céline17000 Messages postés 107 Statut Membre
       
      oui je peux mettre le mode sans echec mais pas de réseau internet, donc quand j'ai essayé un logiciel avec clé usb, ça n'a pas fonctionné
      0
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Désinstalle Spyhunter, ce logiciel n'est pas du tout recommandable.

    Télécharge OTL (de OldTimer) depuis un ordinateur sain et transfère le via une clé usb sur ton Bureau du pc infecté.

    ● Lance OTL.exe, l'interface principale s'ouvre.
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    ● Coche la case Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    netsvcs 
    drivers32 
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %SYSTEMDRIVE%\*.exe 
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    ▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    Aide : Tutorial OTL (par Malekal)

    A +

    0
    1. céline17000 Messages postés 107 Statut Membre
       
      ok, alors, quand j'ai essayé OTL cet aprem, ça ne devait pas etre la bonne version car impossible de l'ouvrir, tu n'aurais pas un lien par hasard?
      0
    2. céline17000 Messages postés 107 Statut Membre
       
      et je le fais sous quel mode? le sans echec normal?
      0
    3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Tu cliques sur le OTL dans mon message.
      Ne le lance pas depuis la clé mais transfère l'outil sur le bureau du pc infecté.

      A +
      0
    4. céline17000 Messages postés 107 Statut Membre
       
      encore désolée mais ça me met : access violation at address CCCC0460.read of address CCCC0460
      0
    5. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      bon, tu as sauvegarder tes documents ?
      0
  8. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Télécharge RogueKiller (par Tigzy) sur ta clé pour tranfèrer l'outil sur le bureau du pc infecté.

    ● Lance RogueKiller.exe
    Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
    ● Laisse le prescan se terminer, clique sur Scan
    ● Clique sur Rapport pour l'ouvrir puis copie/colle le dans ton prochain message.

    A +
    0
    1. céline17000 Messages postés 107 Statut Membre
       
      ah merde je suis allée plus vite que ta réponse ! j'avais réussi a mettre Roguekiller sur mon bureau, je l'ai ouvert, 4 fichier, mais avant que tu ne me répondes j'ai supprimé
      0
    2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Poste le rapport de suppression alors :)
      0
    3. céline17000 Messages postés 107 Statut Membre
       
      RogueKiller V8.1.0 [28/09/2012] par Tigzy
      mail: tigzyRK<at>gmail<dot>com
      Remontees: https://www.luanagames.com/index.fr.html
      Website: https://www.luanagames.com/index.fr.html
      Blog: http://tigzyrk.blogspot.com

      Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
      Demarrage : Mode sans echec avec prise en charge reseau
      Utilisateur : ordi [Droits d'admin]
      Mode : Recherche -- Date : 01/10/2012 22:51:32

      ¤¤¤ Processus malicieux : 0 ¤¤¤

      ¤¤¤ Entrees de registre : 5 ¤¤¤
      [RUN][SUSP PATH] HKCU\[...]\Run : werdiagcontroller (C:\Users\ordi\AppData\Local\Microsoft\Windows\1334\werdiagcontroller.exe) -> TROUVÉ
      [RUN][SUSP PATH] HKUS\S-1-5-21-854245398-436374069-1606980848-1004[...]\Run : werdiagcontroller (C:\Users\ordi\AppData\Local\Microsoft\Windows\1334\werdiagcontroller.exe) -> TROUVÉ
      [PROXY FF] da9rimuo.default\ 127.0.0.1:51152 -> TROUVÉ
      [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
      [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

      ¤¤¤ Driver : [NON CHARGE] ¤¤¤

      ¤¤¤ Fichier HOSTS: ¤¤¤
      --> C:\Windows\system32\drivers\etc\hosts

      127.0.0.1 localhost
      ::1 localhost


      ¤¤¤ MBR Verif: ¤¤¤

      +++++ PhysicalDrive0: SAMSUNG SP2504C ATA Device +++++
      --- User ---
      [MBR] cceb747cd9f20b34f86b8e8ebf7cbbc2
      [BSP] 0670ea46a6e43ba98dd207bbaf53a080 : Windows Vista MBR Code
      Partition table:
      0 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 16065 | Size: 232754 Mo
      1 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 476696745 | Size: 5710 Mo
      User = LL1 ... OK!
      User = LL2 ... OK!

      +++++ PhysicalDrive1: VBTM Store 'n' Go USB Device +++++
      --- User ---
      [MBR] 02017e623a401026f708883e9eb9f1d2
      [BSP] 096ca65415799301792a33c93b5e78da : Windows XP MBR Code
      Partition table:
      0 - [ACTIVE] FAT16-LBA (0x0e) [VISIBLE] Offset (sectors): 32 | Size: 982 Mo
      User = LL1 ... OK!
      Error reading LL2 MBR!

      Termine : << RKreport[5].txt >>
      RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
      0
    4. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      L'outil ne trouve pas cette variante de l'infection gendarmerie, étrange.
      Tu peux graver un CD ?
      0
    5. céline17000 Messages postés 107 Statut Membre
       
      pas sur le pc infecté car graveur HS. et là je n'ai pas de CD sous le coude
      0
  9. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    bon, on respire, on va dire que tout se passe bien :)

    Imprime la procédure ou affiche-la sur un autre PC

    Télécharge Farbar Recovery Scan Tool
    ● Enregistre-le sur une clé USB.

    ● Redémarre le système, tapote la touche F8 (ou F5 pour certains PC)
    ● La fenêtre des Options de démarrage avancées apparaît.
    ● En utilisant les flèches haut et bas du clavier, sélectionne Réparer l''ordinateur
    ● Valide par Entrée
    ● Choisis la langue, ton compte administrateur habituel
    (renseigne le mot de passe si c'est le cas)
    ● Sélectionne Invite de commandes
    ● Dans la fenêtre de commande, tape notepad, valide sur Entrée.
    ● Le bloc-notes s'ouvre. Sous le menu Fichier, sélectionne Ouvrir.
    ● Sélectionne "Ordinateur" (ou Poste de travail sur XP) et trouve la lettre de la clé, referme le bloc-notes.
    ● Dans la fenêtre de commande x:\frst.exe et appuie sur Entrée
    Remarque : Remplace la lettre x avec la lettre de la clé.
    ● Patiente puis clique sur Oui au message Disclaimer of warranty
    ● Appuie sur le bouton Scan.
    ● Un rapport FRST.txt sera créé dans la clé usb.

    A+
    0
    1. céline17000 Messages postés 107 Statut Membre
       
      ok, je respire ! café clope et c'est parti ! je vais devenir une pro !!
      0
    2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      avec OTL, on aurait déjà plié le bidule mais ton pc n'en fait qu'à sa tête ;p
      0
    3. céline17000 Messages postés 107 Statut Membre
       
      bon ça se complique déjà, j'ai pas réparer ordinateur lol j'ai : dernière config valide connue, mode débogage...
      0
    4. céline17000 Messages postés 107 Statut Membre
       
      tu dois bien te marrer en me voyant si peu dégourdie !! bon je réitère !
      0
  10. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Nous allons créer un CD bootable à partir du pc sain qui va nous permettre dans un premier temps d'effectuer une analyse du PC.

    Il est préférable d'imprimer ces instructions, afin de faciliter les manipulations sur le pc malade. Suivant ton type de connexion, tu auras accès au net depuis l'environnement du CD, la clé usb n'est pas indispensable.

    Sur le pc sain

    1. Télécharge OTLPENet.exe sur le Bureau

    ● Insère un CD vierge dans le graveur
    ● Double-clique sur OTLPENet.exe, imgburn s'ouvre pour graver le fichier .iso sur CD, suis les indications afin de réaliser la gravure.

    2. Ouvre le Bloc-note, copie les instructions suivantes et sauvegarde les sur une clé usb sous le nom OTLPE_1.txt

    Sur le pc infecté

    1. Redémarre en utilisant le CD que nous avons créé.

    Aide : comment configurer ton ordinateur pour démarrer à partir d'un CD

    Comme le CD doit détecter le matériel et charger le système d'exploitation, le démarrage est parfois plus long.

    ● Il doit maintenant afficher un Bureau REATOGO-X-PE
    ● Double-clique sur l'icône jaune OTLPE.
    ● Sélectionne le dossier Windows du disque infecté si un emplacement est demandé.
    ○ A la question "Do you wish to load the remote registry", répond Yes
    ○ A la question "Do you wish to load remote user profile(s) for scanning", Yes
    ○ Vérifie que la case "Automatically Load All Remaining Users" soit cochée, OK

    ● L'interface s'ouvre, vérifie que les paramètres soient identiques à cette l'image.

    2. Insère la clé USB et ouvre le fichier OTLPE_1.txt
    ● Copie/colle son contenu dans le cadre blanc sous "Custom Scans/Fixes"
    ● Clique sur le bouton Run Scan, patiente pendant le balayage du système.
    ● Un rapport va s'ouvrir au format bloc-note, sauvegarde le sur ta clé USB sous le nom OTLPE_2.txt

    3. Sur le pc sain (ou directement depuis le pc infecté si tu as accès au net)
    ● Héberge le rapport OTLPE_2.txt sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    ● Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

    A +
    0
    1. céline17000 Messages postés 107 Statut Membre
       
      wouah bah là tu m'as tuée !! j'ai refais une restauration(le 18/09/2012), j'attends la fin et j'abdique pour ce soir ! demain est un autre jour !! lol
      0
    2. céline17000 Messages postés 107 Statut Membre
       
      bon je rentre du taf, alors je vais essayer tout ça !
      0
    3. céline17000 Messages postés 107 Statut Membre
       
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 14:49:44, on 02/10/2012
      Platform: Windows Vista SP2 (WinNT 6.00.1906)
      MSIE: Internet Explorer v9.00 (9.00.8112.16450)
      Boot mode: Safe mode with network support

      Running processes:
      C:\Windows\Explorer.EXE
      C:\Program Files\Windows Media Player\wmpnscfg.exe
      C:\Windows\system32\wbem\unsecapp.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Internet Explorer\iexplore.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://french.icrfast.com/fr/index.php?rvs=hompag/&%s=
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=110823&tt=300912_TORP_4012_2&babsrc=HP_ss&mntrId=98ae446a0000000000000016ec7e9dad
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://french.icrfast.com/fr/index.php?rvs=hompag/&%s=
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=98ae446a0000000000000016ec7e9dad&tlver=1.4.19.19&ss=1&affID=18026
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O1 - Hosts: ::1 localhost
      O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
      O2 - BHO: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\ordi\AppData\Roaming\Complitly\Complitly.dll
      O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O2 - BHO: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll
      O2 - BHO: Interest recogniser for Widestream6 (powered by Spointer) - {2BEFBCCE-46A6-4950-BCB5-7062EAC6C9C9} - C:\Program Files\Widestream6\spointer\extensions\widestream6_air_ie.dll
      O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.0.7\bh\BabylonToolbar.dll
      O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
      O2 - BHO: UrlHelper Class - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\IEBHO.dll
      O2 - BHO: Softonic_France - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\tbSoft.dll
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
      O2 - BHO: Incredibar.com Helper Object - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files\Incredibar.com\incredibar\1.5.3.27\bh\incredibar.dll
      O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office14\GROOVEEX.DLL
      O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Wajam IE BHO - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files\Wajam\IE\priam_bho.dll
      O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~3\Office14\URLREDIR.DLL
      O2 - BHO: Wincore Mediabar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll
      O2 - BHO: Interest recogniser for Crazyloader (powered by Spointer) - {C5F65718-341D-4e7d-9842-FCB9CC89527E} - C:\Program Files\CrazyLoader\spointer\extensions\crazyloader_air_ie.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
      O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll
      O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\tbSoft.dll
      O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
      O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
      O3 - Toolbar: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll
      O3 - Toolbar: Incredibar Toolbar - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files\Incredibar.com\incredibar\1.5.3.27\incredibarTlbr.dll
      O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll
      O3 - Toolbar: Wincore Mediabar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll
      O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.0.7\BabylonToolbarTlbr.dll
      O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
      O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
      O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\DATAMN~1.EXE
      O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
      O4 - HKLM\..\Run: [BboxUpdate] C:\Program Files\BboxUpdate\eStantAutoRunV.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
      O4 - HKCU\..\Run: [werdiagcontroller] C:\Users\ordi\AppData\Local\Microsoft\Windows\1334\werdiagcontroller.exe
      O4 - HKCU\..\Run: [UniblueRegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000
      O4 - HKCU\..\Run: [RegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000
      O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - HKCU\..\Run: [KiesTrayAgent] C:\Program Files\Samsung\Kies\KiesTrayAgent.exe
      O4 - HKCU\..\Run: [KiesPDLR] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
      O4 - HKCU\..\Run: [KiesHelper] C:\Program Files\Samsung\Kies\KiesHelper.exe /s
      O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
      O4 - HKCU\..\Run: [Driver Mender] C:\Program Files\Driver Mender\Driver Mender\DriverMender.exe /applicationMode:systemTray /showWelcome:false
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
      O4 - Startup: OpenOffice.org 3.3.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
      O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
      O9 - Extra button: PartyPoker.fr - {725EC34E-943C-4df6-B0B2-FBDE7F242276} - C:\Programs\PartyFrance\PartyPokerFr\RunApp.exe (file missing)
      O9 - Extra 'Tools' menuitem: PartyPoker.fr - {725EC34E-943C-4df6-B0B2-FBDE7F242276} - C:\Programs\PartyFrance\PartyPokerFr\RunApp.exe (file missing)
      O9 - Extra button: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
      O9 - Extra 'Tools' menuitem: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\Windows\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\Windows\Network Diagnostic\xpnetdiag.exe
      O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
      O13 - Gopher Prefix:
      O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.7.cab
      O16 - DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} (FTMediaPlayer Class) - http://webtv.guidetv.orange.fr/resources/OCS_9418.cab
      O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
      O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
      O23 - Service: eStantLaunchService - TechCity Solutions France - C:\Program Files\BboxUpdate\eSRunService.exe
      O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
      O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
      O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
      O23 - Service: Common Client Job Manager Service (PCCUJobMgr) - Symantec Corporation - C:\Program Files\Norton PC Checkup\Engine\2.0.17.20\ccSvcHst.exe
      O23 - Service: SpyHunter 4 Service - Enigma Software Group USA, LLC. - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE
      O23 - Service: WajamUpdater - Wajam - C:\Program Files\Wajam\Updater\WajamUpdater.exe
      0
  11. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Ton pc est une véritable collection de logiciels malveillants, potentiellement indésirables ou peu recommandables.

    1. Désinstalle si possible :

    Agence-Exclusive
    Babylon ou Babylon Toolbar / Browser Manager
    Crazyloader
    Complitly
    Conduit Engine
    Incredibar
    Mediabar
    RegistryBooster
    Softonic_France Toolbar
    SpyHunter 4 
    SweetIM Toolbar for Internet Explorer
    SweetIM / Imminent
    Windows Searchqu Toolbar 
    Wajam
    Widestream6
    Yontoo Layers 

    Aide : Comment désinstaller un programme

    2. Relance HijackThis
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

    ● Clique sur le bouton Scan
    ● Après le balayage, coche les cases des lignes indiquées si toujours présentes :

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://french.icrfast.com/fr/index.php?rvs=hompag/&%s=
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=110823&tt=300912_TORP_4012_2&babsrc=HP_ss&mntrId=98ae446a0000000000000016ec7e9dad
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://french.icrfast.com/fr/index.php?rvs=hompag/&%s=
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=98ae446a0000000000000016ec7e9dad&tlver=1.4.19.19&ss=1&affID=18026 
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\ordi\AppData\Roaming\Complitly\Complitly.dll
    O2 - BHO: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll
    O2 - BHO: Interest recogniser for Widestream6 (powered by Spointer) - {2BEFBCCE-46A6-4950-BCB5-7062EAC6C9C9} - C:\Program Files\Widestream6\spointer\extensions\widestream6_air_ie.dll
    O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.0.7\bh\BabylonToolbar.dll
    O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
    O2 - BHO: UrlHelper Class - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\IEBHO.dll
    O2 - BHO: Softonic_France - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\tbSoft.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Incredibar.com Helper Object - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files\Incredibar.com\incredibar\1.5.3.27\bh\incredibar.dll
    O2 - BHO: Wajam IE BHO - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files\Wajam\IE\priam_bho.dll
    O2 - BHO: Wincore Mediabar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll
    O2 - BHO: Interest recogniser for Crazyloader (powered by Spointer) - {C5F65718-341D-4e7d-9842-FCB9CC89527E} - C:\Program Files\CrazyLoader\spointer\extensions\crazyloader_air_ie.dll
    O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
    O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll
    O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\tbSoft.dll
    O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
    O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
    O3 - Toolbar: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll
    O3 - Toolbar: Incredibar Toolbar - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files\Incredibar.com\incredibar\1.5.3.27\incredibarTlbr.dll
    O3 - Toolbar: Wincore Mediabar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll
    O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.0.7\BabylonToolbarTlbr.dll
    O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
    O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\DATAMN~1.EXE
    O4 - HKCU\..\Run: [werdiagcontroller] C:\Users\ordi\AppData\Local\Microsoft\Windows\1334\werdiagcontroller.exe
    O4 - HKCU\..\Run: [UniblueRegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000
    O4 - HKCU\..\Run: [RegistryBooster] "C:\Program Files\Uniblue\RegistryBooster\launcher.exe" delay 20000 
    

    ! Ferme toutes les applications en cours et surtout le navigateur Internet !

    ● Clique ensuite sur le bouton Fix checked
    ● Répond "Oui" dans la fenêtre d'avertissement, referme le programme après la suppression.

    Redémarre en mode normal, A +
    0
    1. céline17000 Messages postés 107 Statut Membre
       
      merci, je viens d'en enlever 7 déjà, mais là desinstaller registrybooster rame !!!
      0
    2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      Tu désinstalles ce que tu peux, si ça coince tu passes au suivant.
      0
    3. céline17000 Messages postés 107 Statut Membre
       
      ok reste plus que "agence exclusive" "registrybooster" et "windows toolbar"

      je passe à l'étape suivante
      0
    4. céline17000 Messages postés 107 Statut Membre
       
      dans "main menu" je clik sur "scan and save a logfile" ou "scan only" ?
      0
    5. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      "scan only"
      0
  12. céline17000 Messages postés 107 Statut Membre
     
    explorer ne fonctionne pas
    0
  13. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Tu veux dire que tu n'a pas le bureau ?
    0
    1. céline17000 Messages postés 107 Statut Membre
       
      si c'est bon, jai lancé OTL j'ai le rapport, mais comment je fais pour l'heberger car il est trop long
      0
  14. céline17000 Messages postés 107 Statut Membre
     
    j'ai un rapport, mais je ne sais pas comment faire pour l'heberger sur un autre lien
    0
  15. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    regarde ici > Pour transmettre les rapports :
    https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc#5-avis-d-un-expert

    «La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
    0
  16. céline17000 Messages postés 107 Statut Membre
     
    msconfig
    netsvcs
    drivers32
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %temp%\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    CREATERESTOREPOINT
    0
  17. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Tu n'arrives toujours à désinstaller Registry Booster ?
    Désinstalle Driver Mender sauf si utile pour toi.

    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    ● Lance AdwCleaner
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Clique sur Suppression
    ● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
    ● Le rapport doit s'ouvrir spontanément.

    Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt

    Poste le rapport, A +
    0
  18. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Réponds moi stp pour registry booster et driver mender :)

    Supprime les résidus de l'adware Babylon dans Google Chrome: https://www.malekal.com/reparer-google-chrome/?t=35837&start=

    A +
    0
    1. céline17000 Messages postés 107 Statut Membre
       
      oups, registry booster et driver mender ok, supprimés.
      0
    2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      ok, je prépare un script OTL pour supprimer les nombreux résidus restants.
      0
    3. céline17000 Messages postés 107 Statut Membre
       
      la seule extension que j'ai dans google, c'est avast
      0
    4. céline17000 Messages postés 107 Statut Membre
       
      c'est normal que je n'ai plus internet explorer?
      0
    5. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      la seule extension que j'ai dans google, c'est avast
      Alors AdwCleaner a bien fait son travail

      c'est normal que je n'ai plus internet explorer?
      Non, on va réparer.
      Il ne fonctionne plus ou tu ne vois plus comment le lancer ?

      Je vois un proxy sur Firefox, c'est toi qui l'a installé ?

      A +
      0
  • 1
  • 2