Trace de malware....

Résolu/Fermé
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 - 11 oct. 2012 à 15:26
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 - 21 oct. 2012 à 19:43
Bonjour,

que dois-je faire maintenant ? là je bloque....

voici le rapport d'ad remover, que dois je faire maintenant s'il vous plaît.

un grand merci à vous.

====== RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:55:18 le 11/10/2012, Mode normal

Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X64)
regis@REGIS-PC (ASUSTeK Computer Inc. K73SD)

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

**** Google Chrome Version [22.0.1229.94] ****

Extension\icmlaeflemplmjndnaapfdbbnpncnbda (C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx) (?)

-- C:\Users\regis\AppData\Local\Google\Chrome\User Data\Default --
Preferences - homepage: hxxp://search.iminent.com/
Preferences - urls_to_restore_on_startup: hxxp://search.iminent.com/
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://search.iminent.com/
Plugin - Shockwave Flash (Activé: true) (C:\Users\regis\AppData\Local\Google\Chrome\Application\22.0.1229.94\PepperFlash\pepflashplayer.dll)
Plugin - Chrome Remote Desktop Viewer (Activé: true) (internal-remoting-viewer) (x)
Plugin - "Chrome Remote Desktop Viewer" (Activé: true)
Plugin - Native Client (Activé: true) (C:\Users\regis\AppData\Local\Google\Chrome\Application\22.0.1229.94\ppGoogleNaClPluginChrome.dll)
Plugin - "Native Client" (Activé: true)
Plugin - "Java" (Activé: true)
Plugin - "Silverlight" (Activé: true)
Plugin - Zeon Plus (Activé: true) (C:\Program Files (x86)\Nuance\PDF Reader\bin\nppdf.dll)
Plugin - "Zeon Plus" (Activé: true)
Plugin - VLC Web Plugin (Activé: true) (C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll)
Plugin - "VLC Web Plugin" (Activé: true)
Plugin - Windows Live\u0099 Photo Gallery (Activé: true) (C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll)
Plugin - "Windows Live\u0099 Photo Gallery" (Activé: true)
Preferences - urls_to_restore_on_startup: hxxp://search.iminent.com/

========================================

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{1C306DF7-2171-45c8-9324-D36448104BD5} - C:\Program Files (x86)\Free Download Manager\fdm.exe (FreeDownloadManager.ORG)
HKLM_ElevationPolicy\{44D1B085-E495-4b5f-9EE6-34795C46E7E7} - C:\Program Files (x86)\Java\jre7\bin\jp2launcher.exe (Oracle Corporation)
HKLM_ElevationPolicy\{5852F5ED-8BF4-11D4-A245-0080C6F74284} - C:\Windows\SysWOW64\javaws.exe (Oracle Corporation)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files (x86)\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_ElevationPolicy\{ba20b5da-0f48-40c5-b8c9-2cda4ecf75c2} - C:\Program Files (x86)\Toolbar Cleaner\ToolbarCleaner.exe (x)
HKLM_ElevationPolicy\{C8FE2181-CAE7-49EE-9B04-DB7EB4DA544A} - C:\Program Files (x86)\Java\jre7\bin\ssvagent.exe (Oracle Corporation)
HKLM_Extensions\{7815BE26-237D-41A8-A98F-F7BD75F71086} - "?" (?)
BHO\{8D10F6C4-0E01-4BD4-8601-11AC1FDF8126} - "CIESpeechBHO Class" (C:\Program Files (x86)\Bluetooth Suite\IEPlugIn.dll)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
BHO\{CC59E0F9-7E43-44FA-9FAA-8377850BF205} - "Free Download Manager" (C:\Program Files (x86)\Free Download Manager\iefdm2.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 11/10/2012 14:55:54 (4791 Octet(s))

Fin à: 14:56:34, 11/10/2012

============== E.O.F ==============


17 réponses

cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
Modifié par cabrier le 11/10/2012 à 15:45
Bonjour,



Je vais t'aider à résoudre ton problème.
Quelques précisions :
- N'ouvre pas d'autre sujet sur ce forum ou sur un autre sur la même affaire.
- La désinfection ne sera terminée que lorsque je te le dirai même s'il te semble que ta machine est "clean" sinon il te faudra sûrement tout recommencer.
- Tu auras des rapports à me transmettre par l'intermédiaire d'un dépôt de fichier, note la procédure à suivre, je ne te la rappellerai pas ultérieurement et ne colle pas tes rapports directement dans ta réponse par copier/coller (sauf s'ils sont très courts!)
Dépôt de fichiers :
- Pour transmettre les rapports que tu obtiens à la suite du passage d'outils tu cliques sur un de ces liens :
cijoint ou pjoint ou RC
- Tu cliques ensuite sur Parcourir et cherches le fichier du rapport, en principe on t'indique ou il est.
- Tu cliques sur Ouvrir puis sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme: http://cjoint.com/index.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page ou (suivant le site) il faut cliquer sur "créer le lien".
- C'est ce lien que tu as à transmettre et uniquement cela.


Commence par utiliser ce logiciel de diagnostic :

* Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau,
/!\Il est très important de l'enregistrer sur le bureau / !\
* Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation

/!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
/!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\
*/!\Utilisateur de Vista et Seven : Si l'UAC est active sur ton ordinateur un mesage va apparaitre demandant ton autorisation pour ZHPDiag.exe ---> cliques sur "Oui".
L'activation de l'UAC gène l'analyse de ZHPDiag sur certains modules (O18,O23,O42,...).
* Clique également sur l'icône du <gras>"tournevis"
et dans la fenêtre d'options qui apparait coche "Tous"
* Clique sur la loupe pour « lancer le diagnostic » .
* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
* En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
* Laisse l'outil travailler, il peut être assez long.
* Le rapport s'enregistre sur ton bureau et dans le dossier où est installé ZHPDiag (en général C:\ZHP\).
* Transmets moi le lien du fichier.
* Rappel des dépôts : cijoint ou pjjoint


A+

----------Contributeur Sécurité-----------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
11 oct. 2012 à 21:36
excuse-moi je me suis trompé, c'est ici que j'aurais dû répondre!

voilà, excuse-moi si j'ai fait des erreurs mais l'adresse ou est mon fichier est :https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121011_z98o7q8s7
le mot de passe est: natatione
j'espère que ce n'est pas grave....

Cordialement.
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
11 oct. 2012 à 21:59
Inutile de mettre des mots de passe !
Je les vois et tous ceux qui parcourent ce forum les voient aussi !

Bon j'examine et te tiens au courant pour la suite !
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
11 oct. 2012 à 15:49
Et puis désinstalle :

*Spybot est obsolète, peut ralentir la navigation et gêner les désinfections.
Tu peux le désinstaller >
Effectue ceci pour une désinstallation totale et propre de Spybot S&D :

1/. Désactiver Tea Timer si activé :
[*]Lancer Spybot
[*]Cliquer sur Mode, puis cocher Mode avancé
[*]Cliquer sur Outils puis sur Résident
[*]Décocher la case Résident "Tea Timer"

2/. Retirer la vaccination de Spybot :
[*] Ferme tes navigateurs.
[*]Lance Spybot S&D, et va à l'onglet "vaccination" : clique sur "Vaccination" dans la colonne sur la gauche :
[*]Clique sur le bouton annuler (la flèche bleue qui part vers la gauche) pour annuler la vaccination.
[*]Confirme si demandé.
[*]Ferme Spybot.

3/. Désinstaller Spybot par le panneau de configuration
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
11 oct. 2012 à 21:02
il m'avait pourtant semblé désinstallé sbybot depuis longtemps car il n'apparaît plus sur "revo" et dans "ajouts-suppressions" de programmes....
où vois tu que je l'ai encore??
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
11 oct. 2012 à 22:04
nancy100,

Dans le rapport je vois encore des références à Spybot. Pas grave on enlèvera !
O43 - CFD: 15/08/2012 - 03:34:34 - [0,021] ----D C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy

Utilise cet outil de désinfection spécifique aux logiciels publicitaires :

* Télécharge sur ton bureau AdwCleaner ( d'Xplode )
* Lance le, clique sur [Recherche] puis patiente le temps du scan.
* Une fois le scan fini, un rapport s'ouvrira.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt
sauvegarde ce rapport sur ton bureau
* Héberge-le sur ce site
* Envoie-moi le lien fourni par l'hébergeur dans ta prochaine réponse sur le forum

------
Si tu es bloqué par le filtre SmartScreen pour le téléchargement d'"AdwCleaner" c'est un bug de Internet Explorer.
Voici comment s'en affranchir :
https://toolslib.net

A+
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 11/10/2012 à 23:06
Voici le lien cher ami !

https://pjjoint.malekal.com/files.php?id=20121011_h5d15k10r12n7

Je trouve ça tellement bien que l'on puisse trouver des réponses aussi bien expliquées en détail pour des novices comme moi que cela me donne envie de faire un don utile pour l'une de ces "boîtes", une idée à m'avancer peut-être ? je connais Malekal qui est dans mes favoris mais il yen a tellement d'autres et quand on connaît pas, on a du mal a choisir.
En tout cas merci pour tout ton travail et tu me diras à la fin ce que j'ai fait de pas sécurisant n'est-ce pas ?!....
a Bientôt!
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
11 oct. 2012 à 23:15
j'ai eu un malaise qui m'a fait percuter un platne à 70km/h alors je suis désolé si je sui long à la détente; c'est en partie dû au traumatisme crânien....
J'avais ma ceinture comme toujours mais comme il y avait eu de grosses pluies ça déconnecté le potentiomètre qui règle la ceinture et les airs bags et ça fait deux ans que je passe dechirurgie en chirurgie , la prochaine sera la septième. voilà c'es tout, ça m'aide à prendre du recul surtout que j'ai un très beau nez maintenant!
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
12 oct. 2012 à 08:13
Hello Nancy, bonjour,

Tu es pleines d'attention et je t'en remercie.
Je suis un bénévole mais ai suivi une très longue formation sur ce site:
http://www.security-domain.be/helper-formation/
car ça ne s'apprend pas tout seul.

Je suis désolé pour toi et espère que tu seras bientôt sortie du milieu médical.

Ceci dit, ta machine ne présente pas grand chose de grave et en fin de désinfection je te donnerai de la lecture pour comprendre comment on se fait infecter.

Maintenant :

Relances AdwCleaner et cette fois cliques sur [Suppression] et postes moi le rapport, il n'est pas long.

Ensuite :
Il y a une infection de disques amovibles :

¶ Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
¶ Branche TOUTES tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
¶ Fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'.
¶ Au menu principal, clique sur "Suppression"
¶ Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
¶ Laisse travailler l'outil jusqu'au bout
¶ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse.

A+
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 12/10/2012 à 12:33
ok je fais ça !
comme il est pas long je me suis permise de le mettre ici : (j'espère que ça va... <)

# AdwCleaner v2.004 - Rapport créé le 12/10/2012 à 11:41:34
# Mis à jour le 06/10/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : regis - REGIS-PC
# Mode de démarrage : Normal
# Exécuté depuis : D:\adwcleaner (2).exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Fichier Supprimé : C:\user.js

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

à bientôt !
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 12/10/2012 à 12:48
je ne comprends pas mais téléchargé usb fix de El desaparecido est placé avec un rond jaune de WOT et Avast me l'a bloqué !
même sur "comment ça marche avast me dit que c'est un logiciel malveillant! je n'y comprend rien !!!!
Donc je vais essayé de le télécharger avec changelog team..
Là je n'y comprends vraiment plus rien car usb fix veut arrêter tous les processus vitaux après s'être arrêter à 10% de recherche et quand je cjique sur ok peut tu me dire combien de temps cela peut durer pour qu'il vérifie mes périphériques : un disque dur de 500giga et pas complet ! plus une petite clé USB de 4G. MERCI je continue le processus.... mais j'ai déjà déjà du arrêter mon ordi à l'arrache comme on dit et c'est pas bon du tout je crois!
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
12 oct. 2012 à 14:51
le site que tu m'as conseillé à une très bonne réputation sur WOT donc ça c'est déjà un gage de fiabilité ! pour en revenier avec mon problème d'usb fix quand j'arrive à le télécharger par changelogteam il est bien écrit que c'est une création de El desaparecido alors je ne comprends pas pourquoi Avast m'a bloqué le lien que tu m'avais donné plus celui de "Comment ça marche" ! comme je ne veux plus devoir arrêter mon ordi "à l'arrach" comment faire?

De plus à d'autres moments des parties d'écritures ou par exemple des mots se mettent en surbrillance plus pleins d'autres phénomènes que je ne maîtrise pas du tout!
là, tu dois savoir que tous mes périphériques sités plus haut sont connectés!
là!!!!!! par exemple je venais d'écrire quelque chose et tout s'est effacé!!!!!!!
help me !!!
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
12 oct. 2012 à 15:51
ça n'a rien à voir, mais là par exemple le temps que je remonte dans nos discussions afin de mettre ppjoite en favori tout avait disparu de la discussion que javais démarré de ce site !
va comprendre !?

voilà le lien de usbfix....

Le voilà :
https://pjjoint.malekal.com/files.php?id=20121012_j10o10k14h14x5
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 12/10/2012 à 18:33
es-tu là où encore au boulot?
IL apparaît parfois regis PC mais ce n'es plus à lui ! cela te doit paraître confus !
et désolée pour les fautes d'ortographes par avance merci!

par exemple quand tu vas voir mon email c'est encore un autre nom do MAIS NANCY
dont je ne suis pas fière est correct .
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
12 oct. 2012 à 19:19
nancy,

Maintenant refais moi un ZHPDiag pour dernier contrôle.

Je te donnerai vraisemblablement un script a exécuter avec ZHPFix puis nous pourrons conclure !

A+
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
12 oct. 2012 à 19:26
j'ai connecté mes périphériques et ai vacciné pour le res te je m'en occupe!
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 12/10/2012 à 19:48
voilà enfin le lien , désolé si tu l'attendais mais je sais que tu as aussi une vie de famille pas comme d'autres.....

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121012_n14p12w5j11t15

je sais que ça te prends un temps fou alors vraiment merci; thanks; dankesehr; gracias; graziemille.
quand tu auras la solution , donne-moi les détails car je suis pas une "flèche"; je comprends pas pourquoi mon ordi n'écrit pas ce que je tape exactement parfois, c'est démoralisant !
à bientôt mon "Précieux"......
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
12 oct. 2012 à 22:26
Hello nancy,

Qu'as tu fait ou téléchargé depuis le premier scan avec ZHPDiag ?

Ce nouveau scan te trouve un Rootkit et ça c'est une méchante bête !

Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection (antivirus et pare-feu) et ferme toutes les fenêtres ouvertes avant de l'utiliser.

¶ Télécharge ComboFix (de sUBs) sur ton Bureau.
¶ Double-clique sur ComboFix.exe afin de le lancer.
Ne touche à rien pendant le scan.
¶ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuie sur la touche entrée du clavier.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

A+
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 12/10/2012 à 23:14
voila ce que j'ai reçu,
https://pjjoint.malekal.com/files.php?id=20121012_x14z6t5i15d15

c'est grave?
qu'est ce que je fais car tout est éteint parefeu et avast désactivé....

MERCI !!!!!
là j'ai tout réactivé....
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 13/10/2012 à 00:57
que va dire combofix ?? .......
je vais me coucher car tu dois être occuppé.
a bientôt j'espère....

ah oui !! j'oubliais!!! y a t il un risque de faire sescourses quand on a un rootkit par le num de sa carte bleue.....

et pourquoi la lumière verte de mon disque dur s'allume à épisode régulier quand toute les pages sont éteintes et qu'il ne reste que le bureau? c'est peut être la question la plus conne qu'on t'ai posée ?!!!
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
13 oct. 2012 à 07:41
Bonjour nancy,

Vu le rapport de Combofix, c'est bon !

Donc pas de souci avec ta CB.
La petite lumière qui s'allume indique un accès à ton disque dur. Ce n'est pas anormal si par ailleurs tout fonctionne correctement.


J'aimerai toutefois que tu vérifie un fichier.

Rends-toi sur cette page
Clique sur "Choose File"
Vas sur ton disque chercher ce fichier à cet emplacement :

c:\windows\SysWow64\acovcnt.exe 

Clique ensuite sur le bouton "Scan It"

comme_ceci

Patiente le temps de l'analyse qui dépend de la taille du fichier

Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio):

exemple

Communique-le dans ta prochaine réponse sur le forum et communique en même temps le lien de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse :

lien
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 13/10/2012 à 16:06
bonjour!
je suis désolé mais je ne trouve pas ce fichier ! j'arrive juste jusque là : c:\windows\SysWow64
après, acovcnt.exe ne s'affiche nulle part ! et j'ai tout regardé !
Bien à toi,
NY
qu'est-ce-que je fais?
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
13 oct. 2012 à 16:59
nancy,

On va essayer de trouver ce fichier !


¶ Télécharge http://general-changelog-team.fr/fr/downloads/viewdownload/14-outils-de-c-xx/6-seaf SEAF] (de C_XX) sur ton Bureau.
¶ Lance SEAF
¶ coches "Informations supplémentaires"
¶ Tape acovcnet.exe dans le champs de recherche, cliques sur "Lancer la recherche" et patiente.
¶ Postes dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.

A+
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 13/10/2012 à 18:35
voilà monsieur ce qu'il est apparu:

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 18:30:45 le 13/10/2012
4.
5. Valeur(s) recherchée(s):
6. acovcnet.exe
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Informations supplémentaires
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16. =========================
17.
18. Fin à: 18:30:52 le 13/10/2012
19. 156997 Éléments analysés
20.
21. =========================
22. E.O.F

qu'est-ce qu'en dis ?......
dis-donc changelog team il faut l'avoir dans ses favoris mais savoir s'en servir aussi ce qui n'es pas mon cas malheureusement.
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 13/10/2012 à 20:08
qu'est ce que tu en dis ?

voilà ce rapport

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 20:00:16 le 13/10/2012
4.
5. Valeur(s) recherchée(s):
6. c:\windows\SysWow64
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Informations supplémentaires
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16. =========================
17.
18. Fin à: 20:00:24 le 13/10/2012
19. 156933 Éléments analysés
20.
21. =========================
22. E.O.F

@ PLUS !
ET MERCI ENCORE ET TOUJOURS......
ce que je voulais dire aussi c'est chapeau a "General chagelog Team" mais il faut savoir s'en servir pas donné à tous !

je me permets de t'embrasser amicalement......
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
13 oct. 2012 à 20:45
Bonsoir nancy,

Bon le fichier que nous recherchions est un fichier caché appartenant a ton ASUS, donc pas grave.

Après le passage de Combofix, tu me fais un dernier ZHPDiag s'il te plait.

A +
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 13/10/2012 à 21:04
Et voilà mon cher Monsieur ce que j'obtiens, mon disque dur était branché au PC , j'espère que c'était pas grave....

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121013_v15w11m15t7f11

bon courage pour déchiffrer tout cela.
à bientôt !
NY.
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
13 oct. 2012 à 21:20
nancy,

bon courage pour déchiffrer tout cela.

Pas de problème avec l'habitude et....certains outils !

Ce script va cibler certains éléments à supprimer :

* Copie tout le texte ci-dessous (en gras et italique) tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C

[HKCU\Software\TeleCharger]
[HKLM\Software\Wow6432Node\Swearware]
G0 - GCSP: Preference [User Data\Default][HomePage] http://search.iminent.com
G0 - GCSP: Preference [User Data\Default] http://search.iminent.com
O4 - HKLM\..\Wow6432Node\Run: [Wireless Console 3] . (.ASUS - Wireless Console 3.) -- C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe
O41 - Driver: (SBRE) . (. - .) - C:\Windows\system32\drivers\SBREdrv.sys (.not file.)
O43 - CFD: 15/08/2012 - 03:34:34 - [0,021] ----D C:\ProgramData\Spybot - Search & Destroy
O44 - LFC:[MD5.F042EE4C8D66248D9B86DCF52ABAE416] - 26/06/2011 - 07:45:56 ---A- . (...) -- C:\Windows\PEV.exe [256000]
O44 - LFC:[MD5.0277C027A26428DB64EF4F64F52BB4FD] - 07/11/2010 - 18:20:24 ---A- . (...) -- C:\Windows\MBR.exe [208896]
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ


* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPFix.exe, « exécuter en tant qu'Administrateur »/ !\
* Clique sur la 2ème icône en haut à gauche ("coller le presse-papier")
Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Clique sur le bouton «GO » pour lancer le nettoyage
* Le rapport s'ouvre automatiquement après l'exécution du script. Il se trouve aussi sous C:\ZHP\ZHPPFixReport.txt
* Transmets-moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
*Rappel des dépôts : cijoint ou pjjoint
-------------------------------------------------------------
Lors de l'utilisation de Zhpfix le processus "explorer exe" peut se fermer.
Ton bureau apparaitra sans icones et sans barre des taches.
Pour relancer "explorer.exe" appuie simultanément sur les touches ctrl+alt+suppr pour ouvrir le gestionnaire de tâches.
Cliques sur "fichier" et sur "nouvelle tâche" et dans le champ de saisie, tu tapes explorer.exe et cliques sur OK.

Je pense que cette fois c'est bon.


A la suite du rapport, si c'est ok, on désinstalle tous les outils et rapports et je te donne de la lecture !!!

A+
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 13/10/2012 à 23:17
Là, il y a un "gros" soucis parce que j'ai tout fait comme tu me l'as très bien expliqué mais après avoir cliqué sur " GO " on me demande si je veux vraiment nettoyé toutes les erreurs ce à quoi je réponds oui, puis sur la page de Zhpdiag , il n'y a plus rien !
je suis allé dans C:\ZHP\ZHPPFixReport.txt mais tout ce que je trouve dans ce dossier c'est pas cela mais ça : un dossier nommé "Quarantine" ; log ; ZHPADSReport et enfin ZHPDiag. Et c'est tout....
y-a-t-il péril en la demeure ?? quand je peux je prends des titres de films, c'est plus marrant !

A quand tu le souhaites...

j'attends tes idées de lecture avec impatience !!!!

Pour l'instant j'ai rien enlevé de tout ce que tu m'as dit de faire.

"Glary utilities", je peux l'enlever ???
Au fait il parait que " </gras<gras>>AVIRA ANTI VIRUS" serait mieux qu'"Avast" même s'il est en Anglais? je confond peut-être?
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 14/10/2012 à 02:25
suite..... comme antivirus gratuit j'entendais par là où vaut-il mieux investir dans "KAPERSKY" qui est très bien noté mais plus cher....
see you my friend !
S'il te plaît explique-moi comment voir si un film que je télécharge comporte des risques d'attraper un virus ? ce serait vraiment gentil de ta part.

je suis vraiment désolée mais je me demande si j'ai pas fait une bêtise en voulant télécharger un film sur Red List puis en l'annulant en cours de chargement , c'est pourquoi je me permets de te ré-envoyer du travail dont tu serais bien passé !

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121014_y15x8q15g8q7

j'espère qu'iln'y a rien de grave !....??!!!!
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 14/10/2012 à 02:40
je reviens vers toi car j'utilise "Chrome" principalement, une habitude peut-être et là tout d'un coup j'avais créé un dossier nommé " Sécurité PC" et il a disparu !
j'ai dû aller dans activités récentes et importer manuellement tous les sites liés à la sécurité dans uns un dossier que j'ai renommé. je deviens folle ou quoi !!!


NY.
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
14 oct. 2012 à 09:50
Nancy bonjour,

Je crois que tu as confondu ZHPDiag et ZHPFix !

Le script que je t'ai demandé de lancer ----> c'est avec ZHPFix !

Essaie de refaire car le nouveau rapport de ZHPDiag que tu m'as envoyé est exactement identique au précédent.

Pour tes films, je ne te donnerai aucun tuyau cela fait partie de notre déontologie : on n'aide pas le piratage.

Ceci dit fais attention sur quel site tu vas, renseignes toi sur les forums éventuellement; bonne ou mauvaise réputation ?
Ensuite avant de lancer quoi que ce soit passe un coup d'antivirus. Tant qu'un fichier n'a pas été exécuté (lancé) il n'est pas dangereux.

Pour ton antivirus, bof Avast fait aussi bien qu'Avira, t'enquiquine pas avec ça. De toute façon aucun antivirus quel qu'il soit, payant ou non, n'assure une protection à 100%, alors .....

GlaryUtilities ? oui tu peux désinstaller, ne sert à pas grand chose sauf à ralentir ta machine.

A+
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 14/10/2012 à 11:44
Cette fois-ci j'ai bien utilisé Zhpfix et j'ai dû copier-coller le petit texte ainsi:
[HKCU\Software\TeleCharger]
[HKLM\Software\Wow6432Node\Swearware]
G0 - GCSP: Preference [User Data\Default][HomePage] http://search.iminent.com
G0 - GCSP: Preference [User Data\Default] http://search.iminent.com
O4 - HKLM\..\Wow6432Node\Run: [Wireless Console 3] . (.ASUS - Wireless Console 3.) -- C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe
O41 - Driver: (SBRE) . (. - .) - C:\Windows\system32\drivers\SBREdrv.sys (.not file.)
O43 - CFD: 15/08/2012 - 03:34:34 - [0,021] ----D C:\ProgramData\Spybot - Search & Destroy
O44 - LFC:[MD5.F042EE4C8D66248D9B86DCF52ABAE416] - 26/06/2011 - 07:45:56 ---A- . (...) -- C:\Windows\PEV.exe [256000]
O44 - LFC:[MD5.0277C027A26428DB64EF4F64F52BB4FD] - 07/11/2010 - 18:20:24 ---A- . (...) -- C:\Windows\MBR.exe [208896]
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ
puis j'ai fait GO
et il m'a re-demandé si je voulais supprimé le rapport pré-cité de zhpfix? ce à quoi j'ai dit oui...
PUIS..... plus rien , nada !
Page blanche.
alors là je m'y perds un peu.

Tu sais que tu devais me donner de la lecture car il m'en faut après l'accident pour refaire fonctionner le cerveau qui à certe été endommagé pendant le fameux choc dont je t'ai parlé plus haut;
au fait , je dois m'acheter une imprimante - scanner -fax , tu n'as pas une idée ? Canon c'est bien dans ce domaine?
merci pour toute ton aide et ta franchise.
So long....
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
14 oct. 2012 à 12:37
Nancy,

mauvaise manipulation surement !

1- Copie par CTRL+C le texte que je t'ai donné (sélectionne le d'abord)
2- Lances ZHPFix par un clic droit (Exécuter en tant qu'administrateur)
3 - Vérifie le n° de ta version
4- Clique sur le 2ème bouton en haut à gauche pour coller les lignes copiées,
http://hpics.li/4d9dd5f
5- Cliques sur GO
6- Un message te demande confirmation, valides
http://hpics.li/2b0431c
7 - le rapport apparait dans la fenêtre
http://hpics.li/eeea975
8- Copie le et colle le dans ta prochaine réponse.

A+



0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 15/10/2012 à 10:35
OUI !!!!!! là ca a marché !!!
VOICI, VOICI !

Rapport de ZHPFix 1.3.04 par Nicolas Coolman, Update du 30/09/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-15-10-2012-10-11-59.txt
Run by regis at 15/10/2012 10:11:59
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://nicolascoolman.skyrock.com/



========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\TeleCharger
SUPPRIME Key: HKLM\Software\Wow6432Node\Swearware
SUPPRIME Driver Key: SBRE

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: Wireless Console 3
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\regis\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://search.iminent.com
SUPPRIME Chrome Site: http://search.iminent.com
SUPPRIME Chrome Site: http://search.iminent.com
SUPPRIME Chrome Site: http://search.iminent.com
PRESENT Chrome File: C:\Users\regis\AppData\Local\Google\Chrome\User Data\Default\Preferences
ABSENT Chrome Site: http://search.iminent.com

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\regis\AppData\Local\{3F31744D-17D3-4773-B515-1F0A8FBD01B4}
SUPPRIME Folder: C:\Users\regis\AppData\Local\{490DF91F-49A7-42D4-801C-CC9AFA8C0E1F}
SUPPRIME Folder: C:\Users\regis\AppData\Local\{4BE78A24-CFB1-4A69-B628-6B88352D086F}
SUPPRIME Folder: C:\Users\regis\AppData\Local\{6611E74D-0169-434D-98FA-C820F6F79AA9}
SUPPRIME Folder: C:\Users\regis\AppData\Local\{6D39AACD-DDCC-4C6B-8FBC-96E9B1441619}
SUPPRIME Folder: C:\Users\regis\AppData\Local\{941789C1-D4BA-4808-BFDD-8ED74BDBEE5D}
SUPPRIME Folder: C:\Users\regis\AppData\Local\{A9100E84-37E3-40DD-9549-533B8F91FB87}
SUPPRIME Folder: C:\Users\regis\AppData\Local\{AA45FAC3-B10B-424E-B62D-44E1805A8CD7}
SUPPRIME Folder: C:\Users\regis\AppData\Local\{B90CFB46-F019-4703-A26C-E5F7887909D4}
SUPPRIME Folder: C:\Users\regis\AppData\Local\{B935521D-89A4-453B-BA87-2311C00A863F}
SUPPRIME Folder: C:\Users\regis\AppData\Local\{BE3CD49F-387B-4BA9-82DF-B393182BC239}
SUPPRIME Folder: C:\Users\regis\AppData\Local\{C5B90215-831C-49EB-AFBF-F9BE52D859F3}
SUPPRIME Folder: C:\Users\regis\AppData\Local\{CC456405-34D7-485B-A877-A00281895FAF}
SUPPRIME Folder: C:\Users\regis\AppData\Local\{DF0E1263-328D-4844-9034-A1BD9F113B1E}
SUPPRIME Folder: C:\Users\regis\AppData\Local\{FC728F3D-1C4F-4C28-AA43-E682F4AF1DCD}

========== Fichier(s) ==========
SUPPRIME Reboot c:\program files (x86)\asus\wireless console 3\wcourier.exe
SUPPRIME File: c:\windows\pev.exe
SUPPRIME File: c:\windows\mbr.exe
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
3 : Clé(s) du Registre
3 : Valeur(s) du Registre
15 : Dossier(s)
5 : Fichier(s)
7 : Préférences navigateur


End of clean in 00mn 10s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 14/10/2012 10:16:35 [427]
C:\ZHP\ZHPFix[R2].txt - 14/10/2012 10:18:25 [478]
C:\ZHP\ZHPFix[R3].txt - 15/10/2012 10:11:59 [2979]

j'espère qu'il n'y a pas encore un truc de pas normal....

J'ai dû zapper un truc....
A Bientôt!
ET encore merci !!
désolé j'aurai dû utiliser PPjoint ça fait moins long pour vos serveurs non ?
c'est quoi les préférences navigateurs ?
je te promets de mettre résolu quand il le faudra !!!
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 15/10/2012 à 12:16
excuse-moi mais je crois que j'ai fait encore une grosse c..........
pour regarder un film on m'a demandé qu'il serait souhaitable d'enregistrer toute la panoplie DIVX player et évidemment ça a pris un temps fou à télécharger et après quand j'ouvrais mon dossier où se trouvait mes films tout s'affichait avec le logo divx !
je me suis empressée de le supprimer avec revo en faisant la suppression la plus fine possible mais quand je vais sur mon bureau il ya encore des logos divx alors j'ai tapée regedit puis affichage et j'ai tapée divx et là ........ MISERE !!!! PLEINS de dossiers avec divx sont encore là !
Herr Doktor, que dois-je faire pour supprimer toutes ces cochonneries ?
Danke sehr !
tout s'affiche encore avec le logo de DIVX...
quand je vais dans program files il y a bien un dossier divx et quand je l'ouvre il y a pleins de dossiers inutiles mais comment faire pour tout retirer définitivement et proprement.
AH ! JE M'EN VEUX SI TU SAVAIS !!!!
Même avec REVO plus rien avec le mot divx n'apparaît !
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
15 oct. 2012 à 14:35
cher monsieur,
je ne veux pas t'embêter avec toutes mes questions alors celles auxquelles tu veux répondre, tu zappes ! je ne m'en offusquerai pas.
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
15 oct. 2012 à 16:34
j'espère que tu es toujours là....
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
15 oct. 2012 à 21:31
Nancy, ben oui je suis encore là !

Tu ne réfléchis pas assez :

1- il est prudent avant de se lancer dans des installations de programmes ou des "expériences" de faire un "point de restauration système".
https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

2- Si la manip que tu as faite te convient aucun problème tu laisse tel que.
Si cela ne te convient pas tu commences successivement :
- par essayer de désinstaller le programme par le panneau de configuration,
- par vérifier si tu n'as pas Uninstall dans le dossier du programme installé (ou quelque chose comme cela).
- si ça ne marche pas ou pas bien, par RevoUninstaller,
En tout état de cause ne touche pas à la Base de Registre si tu ne maitrise pas, tu risque de "planter" purement et simplement ton système.

3- Ceci réalisé, fais une restauration système à partir du point de sauvegarde fait juste avant tes essais.

------------------------------------
Ceci dit, ZHPFix a fait ce que j'attendais de lui. Donc pour moi tout était ok.

------------------------------------
Pour ton DIVX.

Télécharge et installe VLC de Vidéolan à partir de CCM si tu veux :
https://www.commentcamarche.net/telecharger/tv-video/23317-vlc-media-player/

VLC contient pratiquement tous les codecs. Il est donc capables de lire tous les fichiers vidéos et audios sans qu'il soir nécessaire d'installer autre chose.

J'ai bien peur, suivant le site sur lequel tu as téléchargé ton DIVX que tu te sois faite à nouveau infecter par un Rogue.
----------------------------------
* Télécharge Roguekiller (de Tigzy) sur le Bureau
* Quitte tous tes programmes en cours
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur le bouton [Scan]
* S'il demande pour supprimer un proxy, tape 1 (supprimer)
* Le scan terminé clique sur le bouton [Rapport]
* Le bloc note s'ouvre contenant le rapport
* Enregistre le sur ton bureau
* Transmets moi le lien du fichier par un dépôt de fichiers
* Rappel des dépôts : FEC ou pjjoint
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois, ou renomme le en winlogon.exe

Et si ça ne marche toujours pas , lance le en mode sans échec avec prise en charge du réseau.
====================
Aide ici : https://www.malekal.com/demarrer-windows-mode-sans-echec/


A+


0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 16/10/2012 à 11:50
bonjour cher ami !
Eh oui ! il a trouvé des trucs....
https://pjjoint.malekal.com/files.php?id=20121016_v10v14d10e87

voilà ce qu'on peut faire quand on fait des bêtises!
a bientôt.
TOUJOURS FAIRE UN POINT DE RESTAURATION SYSTEME !!!.......
je suis allée dans "execution automatique" et pour fichier vidéo j'ai choisi VLC car je l'avais déjà...
Mais c'est pas une bonne solution! car j'ai toujours cette cochonerie de divx à tous les niveaux....
EH! au fait j'ai toujours la fenêtre de rogue killer avec ce qu'il a trouvé et plus bas il y a un bouton "suppression" qui me tente bien...... dois-je appuyer dessus ??
j'attends ta réponse avant de faire quoi que ce soit évidemment !
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
16 oct. 2012 à 13:06
je t'en supplie dis moi comment retirer tout ce qui concerne divx dans mon ordi car ca figure encore dans "démarrer" sur mon bureau.... mes vidéos sont estampillées divx alors que j'ai VLC !!!! Please!!!!
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 16/10/2012 à 13:48
j'ai restauré mon ordi au 13/8/2012 ! et plus de trace de divx mais ai-je bien fait et surtout ai-je besoin de faire un point de restauration maintenant? merci!!!! surtout que celui du 13/8 n'apparaît plus...
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
16 oct. 2012 à 14:14
Nancy,

Fais suppression avec Roguekiller,

puis une analyse avec MBAM.

* Télécharge Malwaresbytes anti malware ici
* Choisis la version -Download Now-
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installation ) et mets le à jour .
* Tu as un tuto si tu en as besoin : tuto
* Avant de lancer le programme Déconnecte toi d'Internet et ferme toutes tes applications.
* /I\ Sous Vista ou Seven ---> clic droit "Exécuter en tant qu'administrateur"/I\
* Clique sur l'onglet "Mise à jour" si celle ci ne t'a pas été proposée lors de l'installation.
* Clique ensuite sur l'onglet "Recherche" puis coche "Exécuter un examen Complet"
* Le scan peut durer plusieurs heures, aussi ne t'impatiente pas et laisse tourner le programme sans rien faire d'autre sur ta machine.
* Lorsque le scan est terminé clique sur "Afficher les résultats"
* Vérifie que toutes les lignes des objets infectés soient cochées, puis clique sur "Supprimer la sélection"

PS : Redémarre ta machine pour achever le nettoyage.

* Un rapport sera généré, enregistre-le dans un endroit approprié pour le retrouver et héberge-le sur ce site ou sur FEC
* Envoie-moi le lien fourni dans ta prochaine réponse.
------------------------------------------------------
Et enfin tu referas un ZHPDiag et si besoin je te redonnerai un script pour enlever ce qui reste de DIVX.

A+
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
16 oct. 2012 à 14:34
je ne comprends pas bien comment je peux faire une mise à jour sans être connecté à internet ?
mais bon la mise à jour datait de 38 jours ce que j'ai fait. ce que je trouve bizarre c'est qu'après l'installation mon ordi s'est éteint. bon j'arête internet et je fais ce que tu as dit. a plus!
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 16/10/2012 à 15:35
Ecoute cher AMI ! voici le rapport de ppjoint:
https://pjjoint.malekal.com/files.php?id=20121016_x14i5z12q15e5
mais il n'y a pas d'erreur trouvée; je ne saurais jamais trop te remerciée pour tout ton travail à mon égard.
Ce que je ne comprends pas c'est qu'après avoir fait le point de restauration au 13/8/12 et avec un très grand plaisir plus de trace de divx sur mon bureau et dans "Démarrer" mais quand je vais dans la partie D:/ je trouve des programmes que tu m'as fait enregistrer pour m'aider comme "adw cleaner, Combofix, Seaf; Rogue killer mais ce que je ne comprends pas c'est qu'au 13/8 je n'avais pas enregistré encore tout cela ! Alors je me pose des questions....
A bientôt....!
j'ai fait un nouveau point de restauration à l'instant; c'est correct?
puis-je supprimer des points de restauration usurpés mais lesquels?
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
16 oct. 2012 à 15:38
Oublie pour le message au dessus de celui de 15h25 j'ai dû commettre une erreur de compréhension.....
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
16 oct. 2012 à 17:49
nancy,

Je t'ai demandé :

1- de Faire [Suppression] avec Roguekiller. L'as tu fait ?

2- de lancer MBAM après l'avoir mis à jour. Ok j'ai vu le rapport, rien !

3- de me faire un nouveau ZHPDiag pour terminer.

Ensuite je te ferai désinstaller tous les outils et rapports, OK ?
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
17 oct. 2012 à 10:34
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
Modifié par cabrier le 17/10/2012 à 13:47
hello nancy,

Encore un ZHPFix à passer !!!
IMBooster est un add-on pour Windows Live Messenger qu'il n'est pas souhaitable d'installer !

Ce script va cibler certains éléments à supprimer :

* Copie tout le texte ci-dessous (en gras et italique) tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C

[HKCU\Software\TeleCharger]
G0 - GCSP: Preference [User Data\Default][HomePage] http://search.iminent.com
G0 - GCSP: Preference [User Data\Default] http://search.iminent.com
O43 - CFD: 16/10/2012 - 13:22:53 - [3,227] ----D C:\Program Files (x86)\IMinent Toolbar
O43 - CFD: 16/10/2012 - 13:22:53 - [3,227] ----D C:\Program Files (x86)\IMinent Toolbar
C:\Program Files (x86)\IMinent Toolbar
O43 - CFD: 16/10/2012 - 13:22:54 - [4,372] ----D C:\Program Files (x86)\Spybot - Search & Destroy
O43 - CFD: 16/10/2012 - 13:23:00 - [0] ----D C:\ProgramData\Spybot - Search & Destroy
O43 - CFD: 16/10/2012 - 13:22:54 - [4,372] ----D C:\Program Files (x86)\Spybot - Search & Destroy
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ



* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPFix.exe, « exécuter en tant qu'Administrateur »/ !\
* Clique sur la 2ème icône en haut à gauche ("coller le presse-papier")
Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Clique sur le bouton «GO » pour lancer le nettoyage
* Le rapport s'ouvre automatiquement après l'exécution du script. Il se trouve aussi sous C:\ZHP\ZHPPFixReport.txt
* Transmets-moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
*Rappel des dépôts : FEC ou pjjoint
-------------------------------------------------------------
Lors de l'utilisation de Zhpfix le processus "explorer exe" peut se fermer.
Ton bureau apparaitra sans icones et sans barre des taches.
Pour relancer "explorer.exe" appuie simultanément sur les touches ctrl+alt+suppr pour ouvrir le gestionnaire de tâches.
Cliques sur "fichier" et sur "nouvelle tâche" et dans le champ de saisie, tu tapes explorer.exe et cliques sur OK.

A+
----------Contributeur Sécurité-----------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 17/10/2012 à 21:45
bonsoir!
j'ai fait GO mais plus rien et je n'ai pas trouvée C:\ZHP\ZHPPFixReport.txt.....
désolée...
à bientôt , demain je vais à jusqu'à Marseille pour un rdv chez le dentiste.... Aie.....
au fait quand je tape sur explorer, il s'affiche avec toujours ma page d'accueil google....
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
17 oct. 2012 à 22:59
filehippo me demande de faire des mises à jour beta notamment pour flashplayer comment je fais?
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
18 oct. 2012 à 07:09
Non, pas de mise à jour beta ! Ces versions ne sont pas toujours très stables.
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
18 oct. 2012 à 07:12
nancy,

Lorsque tu as lancé ZHPFix, le texte sélectionné s'est bien collé dans la page ?

Si oui c'est OK !

Les programmes que nous avons utilisés ne doivent pas être conservés.
Beaucoup d'entre eux peuvent être dangereux et entrainer des dommages irréversibles sur ton système s'ils sont utilisés sans l'aide d'une personne qualifiée, de plus, fréquemment modifiés et mis à jour par leurs auteurs ils deviennent très rapidement obsolètes, en plus d'encombrer inutilement ton bureau.

* Delfix va supprimer les différents outils et rapports utilisés.
* Télécharge DelFix (d'Xplode) sur ton bureau.
* Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
* Sélectionne Suppression
* Copie/colle le contenu du rapport ( C:\DelFixSuppr.txt ) qui s'ouvrira à l'écran dans ton prochain message.
* Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.
----------------------------------------

*Tu peux lire ce sujet sur les logiciels recommandés :
logiciels

*Et celui ci, sur les logiciels gratuits à éviter :
à éviter

*Et enfin ce dossier sur la prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
protection

*Si tu utilise FireFox, vérifie que tes plug in sont à jour : plugins

*Par rapport au P2P : les risques du P2P

*Reconnaitre les PUPS PUPS

*Enfin les Toolbars c'est pas obligatoire Toolbars

* Pense à marquer le fil comme résolu !
resolu

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé.

Si tu as des questions n'hésite pas.



A+
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
Modifié par nancy100 le 18/10/2012 à 20:41
ah ..... je viens juste de revenir de Marseille et te remercie pour toute ton aide !!!!!!! je vais bien sûr marquer comme résolu et lire attentivement tout ce que tu m'as proposée !
Après manger...... encore super MERCI!
je vois que tu es spécialisé dans firefox vaut mieux utiliser ça comme navigateur je pense...
je n'utilise pas le P2P.
MERCI POUR CA : Si tu as des questions n'hésite pas.
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
18 oct. 2012 à 20:49
OK nancy.

Bon surf et bon rétablissement !
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
19 oct. 2012 à 01:57
pour le rétablissement,ça va prendre du temps....
0
nancy100 Messages postés 326 Date d'inscription dimanche 30 septembre 2012 Statut Membre Dernière intervention 30 octobre 2014 13
21 oct. 2012 à 19:43
# DelFix v9.0 - Rapport créé le 21/10/2012 à 19:41:45
# Mis à jour le 23/09/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : regis - REGIS-PC (Administrateur)
# Exécuté depuis : C:\Users\regis\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\USBFix
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\regis\Desktop\RK_Quarantine
Supprimé : C:\Program Files (x86)\Ad-Remover
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\Program Files (x86)\SEAF

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\Ad-Report-CLEAN[2].txt
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[R3].txt
Supprimé : C:\AdwCleaner[R4].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\AdwCleaner[S3].txt
Supprimé : C:\AdwCleaner[S4].txt
Supprimé : C:\AdwCleaner[S6].txt
Supprimé : C:\AdwCleaner[S7].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\SeafLog.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\Users\regis\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\regis\Downloads\adwcleaner.exe
Supprimé : C:\Users\regis\Downloads\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1736 octets] - [21/10/2012 19:41:45]

########## EOF - C:\DelFix[S1].txt - [1860 octets] ##########
0