VIRUS UKASH "police nationale"Résolu/Fermé

Question

Bonsoir ! J'ai choppé ce virus en allant sur un site de streaming (ça m'apprendra à traîner !), en attendant, c'est l'ordinateur d'un proche que j'ai infecté et qui ne s'y connait pas plus que moi en informatique... J'ai vu sur des précédentes discussions que le virus pouvait prendre différentes formes et qu'il était nécessaire d'identifier individuellement le problème. J'ai donc installé ROGUEKILLER comme conseillé et je vous envoie le rapport (auquel je ne comprend rien ^^) : RogueKiller V8.2.1 [29/10/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Administrateur [Droits d'admin] Mode : Recherche -- Date : 29/10/2012 19:30:07 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 3 ¤¤¤ [HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ [HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST980811A +++++ --- User --- [MBR] 98df2fd1525c9763626ffe5e1f125034 [BSP] a673e9b32ac32229e79c3e2b4fd57f0f : Windows XP MBR Code Partition table: 0 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 63 | Size: 7993 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16370235 | Size: 68315 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt Quelqu'un pourrait-il m'aider pour la suite ? En vous remerciant d'avance !

Smart91 · Answer

Bonjour,

Tu es sûr d'avoir le virus que tu dis.

Relance RogueKiller, refais un scan et clique sur suppression puis rapport
et poste le rapport 

Smart

helpmeplease2 · Answer

Bonjour, merci de répondre aussi vite ! Oui j'en suis sûre, là je suis en mode sans échec mais en mode normal mon écran est bloqué sur une page fake avec "gendarmerie nationale payez une amende de 100euros patati patata" J'ai fait SCAN, SUPPRESSION et RAPPORT et ça me donne ça : RogueKiller V8.2.1 [29/10/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Administrateur [Droits d'admin] Mode : Suppression -- Date : 29/10/2012 20:02:10 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 3 ¤¤¤ [HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0) [HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST980811A +++++ --- User --- [MBR] 98df2fd1525c9763626ffe5e1f125034 [BSP] a673e9b32ac32229e79c3e2b4fd57f0f : Windows XP MBR Code Partition table: 0 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 63 | Size: 7993 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16370235 | Size: 68315 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

helpmeplease2 · Answer

Rectification, j'ai renouvellé l'opération et maintenant j'ai ça : (j'ai l'impression qu'il me dit que tout est normal...) RogueKiller V8.2.1 [29/10/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Website: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Administrateur [Droits d'admin] Mode : Suppression -- Date : 29/10/2012 20:07:07 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST980811A +++++ --- User --- [MBR] 98df2fd1525c9763626ffe5e1f125034 [BSP] a673e9b32ac32229e79c3e2b4fd57f0f : Windows XP MBR Code Partition table: 0 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 63 | Size: 7993 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16370235 | Size: 68315 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Smart91 · Answer

Essaie de redémarrer en mode normal. Si c'est OK fais ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart

helpmeplease2 · Answer

Je viens d'essayer en mode normal, ça ne marche pas, il y a toujours la page du virus qui m'empèche de faire quoique ce soit...

Sinon j'avais déjà installé malwarebytes..

helpmeplease2 · Answer

Mon frère me dit de sauvarder les docs via le mode sans échec et de supprimer la session avant d'en créer une nouvelle.

Je l'écoute ?

Smart91 · Answer

Faire une sauvegarde de tes documents personnels est un bonne chose. De toute façon, il ne faut pas attendre d'avoir un problème pour faire une sauvegarde, elle doit se faire tous les jours.
Pour le reste je ne suis pas sûr que cela va tout régler.

Refais un scan complet Malwarebytes en mode sans échec et poste le rapport

Smart

helpmeplease2 · Answer

Puis-je insérer une clée USB dans l'ordinateur sans endommager la clée ?
Je fais un quick scan..

helpmeplease2 · Answer

Malwarebytes a détecté le cheval de troie, j'ai fait "remove selected", il a voulu redémarrer l'ordinateur, j'ai mis oui et ça m'a ramené en mode normal et ça marche ! Faut-il que je vous envoie un rapport pour vérifier que tout va bien ou c'est réglé ?

Smart91 · Answer

"Je fais un quick scan.."
Pourquoi, alors que j'ai demandé un scan complet

Peux-tu poster le rapport MBAM. Et ce n'est pas tout réglé :-( 

Smart

helpmeplease2 · Answer

Ha... parceque scan complet j'ai compris scan tout court et comme "quick scan" était précoché... dsl!  je fais donc un "full scan" et vous envoie le rapport...

Malwarebytes Anti-Malware (Trial) 1.65.1.1000
www.malwarebytes.org

Database version: v2012.10.29.11

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.18702
utilisateur :: SN012345678912 [administrator]

Protection: Disabled

29/10/2012 23:17:02
mbam-log-2012-10-29 (23-17-02).txt

Scan type: Full scan (C:\|D:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 302227
Time elapsed: 41 minute(s), 32 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Smart91 · Answer

OK. On va faire un diagnostic du PC, pour voir s'il n'y a pas de restes ou d'autres infections.

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.forums-fec.be/ZHP/ZHPDiag2.exe

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement" 
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur le tournevis à droite et coche toutes les cases
-  Clique sur la loupe  pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
-  Clique sur Parcourir et cherche le répertoire C:\ZHP
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
-  Ensuite Clique sur "Envoyer le fichier". 
-  Copie le lien obtenu  dans ta réponse.

Smart

helpmeplease2 · Answer

J'ai un problème pour vous envoyer le rapport, dans parcourir je n'ai pas le répertoire C:\ZHP et quand je cherche directement le fichier ZHPDiag.txt., la barre de recherche (sur la page de parcourir) me trouve un fichier datant de 2011...

Smart91 · Answer

Le fichier doit se trouver également sur le bureau
 
Smart

helpmeplease2 · Answer

Ah oui je l'ai mais il est vraiment long, je le post qd même ici ?

Smart91 · Answer

@helpmeplease2 

Oui poste le en l'hébergeant sur ce site : http://pjjoint.malekal.com/ 
comme je l'avais dit et donnes moi le lien pour y accéder

Smart

helpmeplease2 · Answer

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121030_s12x9e15n7n15

Smart91 · Answer

Le rapport montre des adwares et des barres d'outils inutiles 
Cesbarre d'outils modifient les navigateurs WEB. D'une façon générale, installer une barre d'outils est inutile et cela ne fait que ralentir ton PC. Pour étayer mes propos lis bien ce dossier ci-dessous:
https://forum.malekal.com/viewtopic.php?t=6173&start= Les Toolbars ce n'est pas obligatoires]
 
Tu vas faire ceci:

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Lance le
- Choisis "Recherche" et poste le rapport
- Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Lance AdwCleaner
- Clique sur [Suppression]. Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.
- Patiente le temps du nettoyage.
- Une fois le scan fini, il te sera proposé de redémarrer.
- Au redémarrage du PC, un rapport s'ouvrira. Poste le  contenu dans ta prochaine réponse.
- Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Smart

helpmeplease2 · Answer

Ah oui je sais j'ai installé ça hier soir c'était une pub et je me suis trompée de "télécharger" depuis ça m'enmerde ! AdwCleaner c'est pour l'enlever ?
Je fais ce que vous me dites...

helpmeplease2 · Answer

Voilà lepremier rapport demandé : 

Clé Présente : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Clé Présente : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Clé Présente : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé Présente : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{19803860-B306-423C-BBB5-F60A7D82CDE5}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{493CCB71-DCAD-4257-9F08-8750F63BD792}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}
Clé Présente : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils
Clé Présente : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils.1
Clé Présente : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator
Clé Présente : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator.1
Clé Présente : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar
Clé Présente : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar.1
Clé Présente : HKLM\SOFTWARE\Classes\SWEETIE.SWEETIE
Clé Présente : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook
Clé Présente : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1
Clé Présente : HKLM\SOFTWARE\Classes\Toolbar.CT3242339
Clé Présente : HKLM\SOFTWARE\Classes\Toolbar3.sweetie
Clé Présente : HKLM\SOFTWARE\Classes\Toolbar3.sweetie.1
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\Software\Conduit
Clé Présente : HKLM\Software\MetaStream
Clé Présente : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Présente : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{3D3D4907-BBC9-44A5-957C-C8580704C765}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D9E2E271-C954-4058-806D-C166580DA638}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19803860-B306-423C-BBB5-F60A7D82CDE5}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{493CCB71-DCAD-4257-9F08-8750F63BD792}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WiseConvert_1.5 Toolbar
Clé Présente : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Clé Présente : HKLM\Software\Viewpoint
Clé Présente : HKLM\Software\WiseConvert_1.5
Clé Présente : HKU\S-1-5-21-2880534972-2343154238-1763503607-1006\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Présente : HKU\S-1-5-21-2880534972-2343154238-1763503607-1006\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Présente : HKU\S-1-5-21-2880534972-2343154238-1763503607-1006\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{19803860-B306-423C-BBB5-F60A7D82CDE5}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EEE6C35B-6118-11DC-9C72-001320C79847}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{19803860-B306-423C-BBB5-F60A7D82CDE5}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{EEE6C35D-6118-11DC-9C72-001320C79847}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{19803860-B306-423C-BBB5-F60A7D82CDE5}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EEE6C35B-6118-11DC-9C72-001320C79847}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SweetIM]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT3242339

-\ Mozilla Firefox v1.5 (fr)

Nom du profil : default 
Fichier : C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\w539eez9.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Nom du profil : default 
Fichier : C:\Documents and Settings\Administrateur.SN012345678912\Application Data\Mozilla\Firefox\Profiles\w539eez9.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [9004 octets] - [30/10/2012 11:44:05]

########## EOF - C:\AdwCleaner[R1].txt - [9064 octets] ##########

Smart91 · Answer

Refais un scan ZHPDiag (coche toutes les cases) et poste le rapport via pjjoint
Ceci afin de voir s'il y a encore des traces 

Smart

helpmeplease2 · Answer

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121030_n12d12y6v7n6

Smart91 · Answer

On va supprimer les restes:

 A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKLM\Software\FunkyEmoticons]
[HKLM\Software\funkyemoticons]
O4 - HKCU\..\Run: [bpbrdgdhvpejdfg] C:\WINDOWS\bpbrdgdh.exe (.not file.)
O4 - HKUS\S-1-5-21-2880534972-2343154238-1763503607-1006\..\Run: [bpbrdgdhvpejdfg] C:\WINDOWS\bpbrdgdh.exe (.not file.)
O51 - MPSK:{0c27844e-d921-11df-9648-00038a000015}\AutoRun\command. (...) -- E:\urDrive.exe (.not file.)
O51 - MPSK:{1769c634-44e4-11dc-9320-00038a000015}\AutoRun\command - Clé orpheline
O42 - Logiciel: SweetIM Toolbar for Internet Explorer 3.3 - (.SweetIM Technologies Ltd..) [HKLM] -- {266C7330-C0F4-49E5-8F20-A56F9F822875}
O42 - Logiciel: SweetIM for Messenger 2.6 - (.SweetIM Technologies Ltd..) [HKLM] -- {A1E4213E-06AD-4C58-8315-92F11531D960}
[HKLM\Software\SweetIM]
[HKLM\Software\Classes\sweetie.sweetie.3]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{266c7330-c0f4-49e5-8f20-a56f9f822875}]
EmptyTemp
EmptyFlash
FirewallRAZ

---------------------------------------------------------- 
- Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et redémarre le PC

Smart

helpmeplease2 · Answer

========== Logiciel(s) ==========
SUPPRIME SweetIM Toolbar for Internet Explorer 3.3
SUPPRIME SweetIM for Messenger 2.6

========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{266C7330-C0F4-49E5-8F20-A56F9F822875}]
SUPPRIME Key: HKLM\Software\FunkyEmoticons
ABSENT Key: HKLM\Software\funkyemoticons
SUPPRIME CLSID MPSK: {0c27844e-d921-11df-9648-00038a000015}
SUPPRIME CLSID MPSK: {1769c634-44e4-11dc-9320-00038a000015}
SUPPRIME Key: HKLM\Software\SweetIM
SUPPRIME Key: HKLM\Software\Classes\sweetie.sweetie.3
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{266c7330-c0f4-49e5-8f20-a56f9f822875}

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: bpbrdgdhvpejdfg
ABSENT RunValue: bpbrdgdhvpejdfg
SUPPRIME FirewallRaz (SP) : %ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe
SUPPRIME FirewallRaz (SP) : %ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe
SUPPRIME FirewallRaz (SP) : %windir%\system32\sessmgr.exe
SUPPRIME FirewallRaz (SP) : C:\APPS\Inventime\my.exe
SUPPRIME FirewallRaz (DP) : %windir%\system32\sessmgr.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
ABSENT File: c:\windows\bpbrdgdh.exe
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
8 : Clé(s) du Registre
8 : Valeur(s) du Registre
2 : Dossier(s)
3 : Fichier(s)
2 : Logiciel(s)


End of clean in 01mn 11s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 30/10/2012 17:08:23 [1929]

Smart91 · Answer

Refais un scan ZHPDiag et poste le rapport via pjjoint.
Et si tout est OK, on passe à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

helpmeplease2 · Answer

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121030_b5o7t6e10d5

C'est quand même méga long !! J'ai un macbook que j'ai pas là avec moi, je pourrai te recontacter pour que tu me fasses un petit check up ?

Smart91 · Answer

Malheureusement MacOS je ne connais pas, il faut que tu poste ton pb dans le forum Mac.

Fais les mise à jour suivantes:

Mise à jour Windows:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr
Installer surtout le SP3

Mise àjour Firefox vers la version 16.0:
Lance FireFox, Allez dans ? > Rechercher des mises à jour ... et cliquez sur "Appliquer la mise à jour"
Sinon aller sur ce lien ==> http://www.mozilla-europe.org/fr/firefox

Mise à jour Java 7 update 9 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Ask" avant de cliquer sur suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 et Java 7 dont l'update est inférieur à 7

Mise à jour Adobe Reader 11.0
Désinstalle Adobe
ftp://ftp.adobe.com/pub/adobe/reader/win/11.x/11.0.00/fr_FR/AdbeRdr11000_fr_FR.exe
Décoche la case "Inclure dans votre téléchargement la barre Google"

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : http://www.filehippo.com/updatechecker/UpdateChecker.exe
et lis ceci: Pourquoi tenir ses programmes a jour 

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKCU\Software\FunkyEmoticons]
[HKCU\Software\funkyemoticons]
[HKCU\Software\SweetIM]
OPT:O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
OPT:O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
OPT:O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\WINDOWS\RTHDCPL.exe
OPT:O4 - HKLM\..\Run: [Alcmtr] . (.Realtek Semiconductor Corp. - Realtek Azalia Audio - Event Monitor.) -- C:\WINDOWS\ALCMTR.exe
OPT:O4 - HKLM\..\Run: [ISUSPM Startup] . (.InstallShield Software Corporation - InstallShield Update Service Update Manager.) -- C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
OPT:O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
OPT:O4 - HKLM\..\Run: [RealTray] . (.RealNetworks, Inc. - RealPlayer.) -- C:\Program Files\Real\RealPlayer\RealPlay.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Computer, Inc. - Pas de description.) -- C:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] . (.Google Inc. - Picasa.) -- C:\Program Files\Picasa2\PicasaMediaDetector.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] . (.Google Inc. - Picasa.) -- C:\Program Files\Picasa2\PicasaMediaDetector.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-2880534972-2343154238-1763503607-1006\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
EmptyFlash
CTFDisabled

---------------------------------------------------------- 
- Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) 
- Sélectionne Suppression 
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. 

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) 
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation. 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
- Dans la barre des tâches de Windows, clique sur Démarrer. 
- Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
- Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
- Clique sur Appliquer. 
- Ensuite décoche "Désactiver la restauration du systeme" 
- Clique sur appliquer puis ok
 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

Installe l'extension de sécurité adblock plus pour bloquer les publicités ==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Installe également ce programme qui va bloquer tous les sites qui proposent  des adwares[ http://www.malekal.com/HOSTS_filtre/HOSTS_Anti-Adware.exe HOSTS Anti-PUPs/Adware]
Voici un tutoriel pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Si tu souhaites désinstaller  HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
Tu  peux  aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commandel


- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html 

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up pibcitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas.

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de
la chute" (Kundera)

helpmeplease2 · Answer

Rapport ZHPfix : Rapport de ZHPFix 1.3.05 par Nicolas Coolman, Update du 09/10/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-31-10-2012-19-22-41.txt
Run by utilisateur at 31/10/2012 19:22:41
Windows XP Home Edition Service Pack 2 (Build 2600)
Web site : http://nicolascoolman.skyrock.com/



========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\FunkyEmoticons
ABSENT Key: HKCU\Software\funkyemoticons
SUPPRIME Key: HKCU\Software\SweetIM
CTFDisabledCTFMon désactivé par défaut

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: PHIME2002ASync
SUPPRIME RunValue: PHIME2002A
SUPPRIME RunValue: RTHDCPL
SUPPRIME RunValue: Alcmtr
SUPPRIME RunValue: ISUSPM Startup
SUPPRIME RunValue: ISUSScheduler
SUPPRIME RunValue: RealTray
SUPPRIME RunValue: QuickTime Task
SUPPRIME RunValue: ctfmon.exe
SUPPRIME RunValue: Picasa Media Detector
ABSENT RunValue: ctfmon.exe

========== Dossier(s) ==========
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
4 : Clé(s) du Registre
11 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


End of clean in 00mn 06s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 30/10/2012 17:08:23 [1981]
C:\ZHP\ZHPFix[R2].txt - 31/10/2012 19:22:41 [1235]

Smart91 · Answer

C'est OK. lis bien la suite

Smart

helpmeplease2 · Answer

Merci beaucoup pour ton aide !

Mais maintenant j'ai un gros problème, je ne peux pas naviguer normalement sur internet, lorsque j'ouvre une nouvelle page, une fois sur deux ça me dit "terminé" alors que c'est pas du tout terminé et quand je clique surle "terminé", ça me dit : "des erreurs sur cette page web risquent de provoquer un mauvais fonctionnement". Je ne peux pas aller sur le site de la sncf par exemple !

Smart91 · Answer

A quel moment as-tu constaté le pb, quelle est la dernière manip que tu as fait juste avant le pb, l'as-tu avec tous les navigateurs ?

Smart

helpmeplease2 · Answer

J'ai constaté le problème en allant chercher des horaires de train, hier je n'ai eu aucun problème à télécharger ccleaner.

Sur firefox il n'y a pas de message d'erreur mais ça bug beaucoup

Smart91 · Answer

Je suis désolé, j'ai besoin d'un peu plus d'explications comme je ne suis devant ton PC, il faut vraiment expliquer les symptôme que tu rencontre

Smart

VIRUS UKASH "police nationale"

33 réponses

Discussions similaires

Newsletters