Sujet Précédent Sujet Suivant

Comment supprimé un cheval de troie qui désactive mon pare feux

Fermé
monica - 12 mars 2013 à 22:29
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 15 mars 2013 à 16:03
Bonjour,

je suis venu avant hier demander conseil pour supprimé des virus chevaux de troie qui avaient infecter mon ordinateur. j ai réussis a tout supprimé, mon anti virus ne détecte rien .

mon anti malware oui, il supprime a chaque fois cet intrus mais,celui ci reviens a chaque fois désactiver mon pare feux.

mais d'où il vient ? j ai l'inpression qu'il revient a chaque fois que j'ouvre internet explorer

quelqu un sait m'aider ?

je suis sur Windows 8

10 réponses

Réponse 1 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
12 mars 2013 à 22:29
Salut,


[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
0
monica
12 mars 2013 à 22:33
je vais faire ça et je poste le rapport des que j'ai fini merci
0
monica
12 mars 2013 à 22:45
RogueKiller V8.5.2 [Mar 9 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 8 (6.2.9200 ) 64 bits version
Demarrage : Mode normal
Utilisateur : monica [Droits d'admin]
Mode : Suppression -- Date : 12/03/2013 22:43:49
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[TASK][ROGUE ST] 0 : c:\program files\internet explorer\iexplore.exe -> SUPPRIMÉ
[TASK][ROGUE ST] 4812 : wscript.exe C:\Users\monica\AppData\Local\Temp\launchie.vbs //B -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$5e64322c442c427bce2bd351d689a382\@ [-] --> SUPPRIMÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-2238699461-343215784-2090290764-1001\$5e64322c442c427bce2bd351d689a382\@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$5e64322c442c427bce2bd351d689a382\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-2238699461-343215784-2090290764-1001\$5e64322c442c427bce2bd351d689a382\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$5e64322c442c427bce2bd351d689a382\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-2238699461-343215784-2090290764-1001\$5e64322c442c427bce2bd351d689a382\L --> SUPPRIMÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST500LM012 HN-M500MBB +++++
--- User ---
[MBR] 034ef355fa6c0424a027e972c337996d
[BSP] 82e5bfde5afd9f410bf4114a7db5f406 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 2097151 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_12032013_224349.txt >>
RKreport[1]_S_12032013_224028.txt ; RKreport[2]_D_12032013_224349.txt
0
monica
12 mars 2013 à 23:01
j ai poster mon rapport ? qu est ce que je dois faire mnt ?
0
Réponse 2 / 10
monica
12 mars 2013 à 22:45
voici le rapport
0
Réponse 3 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
12 mars 2013 à 23:09
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis :


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

0
monica
12 mars 2013 à 23:12
mais pourquoi je dois recommencer un scan ? et pourquoi ne pas poster le rapport ici ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
Modifié par Malekal_morte- le 12/03/2013 à 23:17
Ce sont d'autres programmes.
AdwCleaner vire les programmes parasites.
OTL c'est pour confirmer qu'il y a plus rien, bref que le PC est sain.
0
monica
12 mars 2013 à 23:27
voici le rapport de adwcleaner
0
monica
12 mars 2013 à 23:51
j'ai lancer un scan via OTL mais je me suis tromper je n ai pas cliquer sur rapide, donc j'attend...
0
monica
13 mars 2013 à 00:28
toujours là ?
0
Réponse 4 / 10
monica
12 mars 2013 à 23:28
# AdwCleaner v2.114 - Rapport créé le 12/03/2013 à 23:18:23
# Mis à jour le 05/03/2013 par Xplode
# Système d'exploitation : Windows 8 (64 bits)
# Nom d'utilisateur : monica - VAIO
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\monica\Downloads\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\Program Files (x86)\Delta
Dossier Supprimé : C:\Program Files (x86)\FilesFrog Update Checker
Dossier Supprimé : C:\Program Files (x86)\LayoutsExpress
Dossier Supprimé : C:\Program Files (x86)\Minibar
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\ProgramData\BrowserProtect
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\Users\monica\AppData\Local\Conduit
Dossier Supprimé : C:\Users\monica\AppData\Local\Giant Savings Extension
Dossier Supprimé : C:\Users\monica\AppData\Local\Minibar
Dossier Supprimé : C:\Users\monica\AppData\LocalLow\Claro LTD
Dossier Supprimé : C:\Users\monica\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\monica\AppData\LocalLow\Delta
Dossier Supprimé : C:\Users\monica\AppData\LocalLow\ilividtoolbarguid
Dossier Supprimé : C:\Users\monica\AppData\LocalLow\incredibar.com
Dossier Supprimé : C:\Users\monica\AppData\LocalLow\Minibar
Dossier Supprimé : C:\Users\monica\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\monica\AppData\Roaming\eType
Dossier Supprimé : C:\Users\monica\AppData\Roaming\file scout
Dossier Supprimé : C:\Users\monica\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker
Dossier Supprimé : C:\Users\monica\AppData\Roaming\PerformerSoft
Dossier Supprimé : C:\Users\monica\AppData\Roaming\SpecialSavings
Dossier Supprimé : C:\Windows\SysWOW64\WNLT
Supprimé au redémarrage : C:\Program Files (x86)\search results toolbar

***** [Registre] *****

Clé Supprimée : HKCU\Software\APN DTX
Clé Supprimée : HKCU\Software\APN PIP
Clé Supprimée : HKCU\Software\AppDataLow\Software\Crossrider
Clé Supprimée : HKCU\Software\AppDataLow\Software\ilividtoolbarguid
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\BabylonToolbar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Cr_Installer
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKCU\Software\DSNR Labs
Clé Supprimée : HKCU\Software\ilivid
Clé Supprimée : HKCU\Software\ilividtoolbarguid
Clé Supprimée : HKCU\Software\IM
Clé Supprimée : HKCU\Software\ImInstaller
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{82E1477C-B154-48D3-9891-33D83C26BCD3}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{856E12B5-22D7-4E22-9ACA-EA9A008DD65B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9E131A93-EED7-4BEB-B015-A0ADB30B5646}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AA74D58F-ACD0-450D-A85E-6C04B171C044}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D0F4A166-B8D4-48B8-9D63-80849FE137CB}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{856E12B5-22D7-4E22-9ACA-EA9A008DD65B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AA74D58F-ACD0-450D-A85E-6C04B171C044}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AAA38851-3CFF-475F-B5E0-720D3645E4A5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1AF5FA5-852C-4C90-812E-A7F75E011D87}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Minibar
Clé Supprimée : HKCU\Software\PIP
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\Somoto
Clé Supprimée : HKCU\Software\WNLT
Clé Supprimée : HKCU\Software\d558d88e738ba15
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C3110516-8EFC-49D6-8B72-69354F332062}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D97A8234-F2A2-4AD4-91D5-FECDB2C553AF}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BrowserConnection.dll
Clé Supprimée : HKLM\SOFTWARE\Classes\Applications\ilividsetup.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\iLividIEHelper.DNSGuard
Clé Supprimée : HKLM\SOFTWARE\Classes\iLividIEHelper.DNSGuard.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2849852
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4F9AD2F2-3A64-470E-93F7-A03423E52ACA}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{75E8DA27-44AF-40AE-927C-F2EEC99D65B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{A7C2FCDD-0359-49DD-8339-BE2A5BD60918}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{F13D3582-1359-4F8F-9A48-EF3AE9F5701C}
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\Software\IB Updater
Clé Supprimée : HKLM\Software\iLividSRTB
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{AAA38851-3CFF-475F-B5E0-720D3645E4A5}
Clé Supprimée : HKLM\Software\Minibar
Clé Supprimée : HKLM\Software\PIP
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{539F76FD-084E-4858-86D5-62F02F54AE86}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{856E12B5-22D7-4E22-9ACA-EA9A008DD65B}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{9FF9AE6F-4553-41A7-B645-B0E88850EABF}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{AA74D58F-ACD0-450D-A85E-6C04B171C044}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{AAA38851-3CFF-475F-B5E0-720D3645E4A5}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CE4DB5A3-58E6-41F1-8761-47238DF4F468}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D6598005-A921-4F83-B6E6-F4F030D1BF37}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0F6ECBD3-98B1-4044-8520-69407A70C83C}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{26E7211D-0650-43CF-8498-4C81E83AEAAA}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{8A41F062-A222-4322-A8C4-26218BE869B9}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C0207057-3461-4F7F-B689-D016B7A03964}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C6A61AAE-D30B-4E7A-A3D8-8A34E5BA3414}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\d558d88e738ba15
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{856E12B5-22D7-4E22-9ACA-EA9A008DD65B}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA74D58F-ACD0-450D-A85E-6C04B171C044}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\FilesFrog Update Checker
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ilividtoolbarguid
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\LayoutsExpress
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Search Results Toolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9FF9AE6F-4553-41A7-B645-B0E88850EABF}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CE4DB5A3-58E6-41F1-8761-47238DF4F468}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0F6ECBD3-98B1-4044-8520-69407A70C83C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{23119123-0854-469D-807A-171568457991}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{26E7211D-0650-43CF-8498-4C81E83AEAAA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8A41F062-A222-4322-A8C4-26218BE869B9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C0207057-3461-4F7F-B689-D016B7A03964}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C6A61AAE-D30B-4E7A-A3D8-8A34E5BA3414}
Clé Supprimée : HKLM\SOFTWARE\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
Donnée Supprimée : [x64] HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll
Donnée Supprimée : [x64] HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{539F76FD-084E-4858-86D5-62F02F54AE86}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [10]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]

***** [Navigateurs] *****

-\\ Internet Explorer v10.0.9200.16482

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [11487 octets] - [12/03/2013 23:18:23]

########## EOF - C:\AdwCleaner[S1].txt - [11548 octets] ##########
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
monica
13 mars 2013 à 01:40
bonsoir a mon avis a cette heure ci il n'y a plus personne sur le forum..

mais mon fichu pare feu se désactive toujours apres avoir suivi toutes les consignes...
0
Réponse 6 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
13 mars 2013 à 08:55
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\IB UPDATER\FIREFOX
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}: C:\PROGRAM FILES\IB UPDATER\FIREFOX
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}: C:\Program Files\IB Updater\Firefox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\SpecialSavings@SpecialSavings.com: C:\Users\monica\AppData\Roaming\Mozilla\Extensions\SpecialSavings@SpecialSavings.com [2013-03-11 13:28:40 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\statuswinks@StatusWinks: C:\Users\monica\AppData\Roaming\Mozilla\Extensions\statuswinks@StatusWinks [2013-03-11 13:30:43 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\msktbird@mcafee.com: C:\Program Files\McAfee\MSK [2013-01-10 23:09:49 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\SpecialSavings@SpecialSavings.com: C:\Users\monica\AppData\Roaming\Mozilla\Extensions\SpecialSavings@SpecialSavings.com [2013-03-11 13:28:40 | 000,000,000 | ---D | M]
[2013-03-11 13:28:40 | 000,000,000 | ---D | M] (SpecialSavings) -- C:\Users\monica\AppData\Roaming\mozilla\Extensions\SpecialSavings@SpecialSavings.com
[2013-03-11 13:30:43 | 000,000,000 | ---D | M] (Smiley Bar for Facebook) -- C:\Users\monica\AppData\Roaming\mozilla\Extensions\statuswinks@StatusWinks
O20:[b]64bit:/b - AppInit_DLLs: (C:\PROGRA~3\Wincert\WIN64C~1.DLL) - C:\ProgramData\Wincert\win64cert.dll ()

* redemarre le pc sous windows et poste le rapport ici


~~

Ton pare-feu a été endommagé par l'infection ZeroAccess que l'on a viré avec RogueKiller : https://forums.commentcamarche.net/forum/affich-27349541-comment-supprime-un-cheval-de-troie-qui-desactive-mon-pare-feux#3

Regarde là pour remettre le pare-feu en fonction : https://forum.malekal.com/viewtopic.php?t=36444&start=
0
monica35 Messages postés 7 Date d'inscription mercredi 13 mars 2013 Statut Membre Dernière intervention 15 mars 2013
13 mars 2013 à 11:12
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}\ not found.
File C:\Program Files\IB Updater\Firefox not found.
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\SpecialSavings@SpecialSavings.com not found.
File C:\Users\monica\AppData\Roaming\Mozilla\Extensions\SpecialSavings@SpecialSavings.com not found.
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\statuswinks@StatusWinks not found.
File C:\Users\monica\AppData\Roaming\Mozilla\Extensions\statuswinks@StatusWinks not found.
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\msktbird@mcafee.com not found.
File C:\Program Files\McAfee\MSK not found.
Registry value HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\SpecialSavings@SpecialSavings.com not found.
File C:\Users\monica\AppData\Roaming\Mozilla\Extensions\SpecialSavings@SpecialSavings.com not found.
Folder C:\Users\monica\AppData\Roaming\mozilla\Extensions\SpecialSavings@SpecialSavings.com\ not found.
Folder C:\Users\monica\AppData\Roaming\mozilla\Extensions\statuswinks@StatusWinks\ not found.

OTL by OldTimer - Version 3.2.69.0 log created on 03132013_091948
0
monica35 Messages postés 7 Date d'inscription mercredi 13 mars 2013 Statut Membre Dernière intervention 15 mars 2013
13 mars 2013 à 11:13
voici le rapport avec OTL
0
monica35 Messages postés 7 Date d'inscription mercredi 13 mars 2013 Statut Membre Dernière intervention 15 mars 2013
13 mars 2013 à 11:14
mais j en ai fais deux car le premier, comme j ai éteint mon pc je ne l'ai plus retrouver
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
13 mars 2013 à 11:15
well, suis les recommandations pour rétablir le pare-feu.
0
monica35
13 mars 2013 à 11:30
j'ai lancer les commandes ça a été très vite, et il m'a demander d'éteindre mon ordinateur , chose faite, donc je suppose que c'est fini après ça ?
0
Réponse 7 / 10
monica35
13 mars 2013 à 12:08
écoute j ai fais Windows repair , j ai suivis les instructions.
quand l'ordinateur s'est éteint, à l'allumage, il a fait une réparation du disque c et puis plus rien est ce normal ?
0
Réponse 8 / 10
monica35
13 mars 2013 à 16:08
mon pare feux s'est encore éteint tout seul, j'ai du louper quelque chose.

je ne m'y connais pas des masse en informatique, donc il faut qqu'un qui ai de la patience,...
0
Réponse 9 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
13 mars 2013 à 16:36
y avait bien Repair Windows Firewall de coché ?
Sinon tente le programme d'Eset.
Bref la suite de ce qui est dit dans le lien.
0
monica35
13 mars 2013 à 17:54
je vais faire ça ce soir alors meri
0
monica35
13 mars 2013 à 17:54
merci
0
monica35
13 mars 2013 à 18:58
Report_CHKDSK v1.0 BY Laddy
Début le 13-03-13 à 18:56:02.
OS : Windows 8
Utilisateur monica : Utilisateur droits limités
Lancement: C:\Users\monica\Downloads\Report_CHKDSK.exe


########## [EVENTLOG CHKDSK]


SourceName = Microsoft-Windows-Wininit
TimeGenerated = 13-03-13 12:03:08
Message =

Vérification du système de fichiers sur C:
Le type du système de fichiers est NTFS.


L'intégrité de l'un de vos disques doit être vérifiée.
Vous pouvez annuler cette vérification, mais son exécution est
fortement recommandée.
Windows va maintenant vérifier le disque.

CHKDSK est en train de vérifier les fichiers (étape 1 sur 3)...
249088 enregistrements de fichier traités.

La vérification des fichiers est terminée.
6434 enregistrements de grand fichier traités.

0 enregistrements de fichier incorrect traités.


CHKDSK vérifie les index (étape 2 sur 3)...
328088 entrées d'index traitées.

La vérification des index est terminée.
0 fichiers non indexés analysés.

0 fichiers non indéxés récupérés.


CHKDSK vérifie les descripteurs de sécurité (étape 3 sur 3)...
Nettoyage en cours de 841 entrées d'index inutilisées à partir de l'index $SII
du fichier 0x9.
Nettoyage en cours de 841 entrées d'index inutilisées à partir de l'index $SDH
du fichier 0x9.
Nettoyage en cours de 841 descripteurs de sécurité non utilisés.
CHKDSK compacte le flux de descripteur de sécurité
La vérification des descripteurs de sécurité est terminée.
39501 fichiers de données traités.

CHKDSK vérifie le journal USN...
34600112 octets USN traités.

Vérification du journal USN terminée.
CHKDSK a découvert de l'espace libre marqué alloué dans la bitmap du volume.

Windows a effectué des corrections sur le système de fichiers.
Aucune autre action n'est requise.

455172095 Ko d'espace disque au total.
129804788 Ko dans 182944 fichiers.
139236 Ko dans 39504 index.
0 Ko dans des secteurs défectueux.
364327 Ko utilisés par le système.
65536 Ko occupés par le fichier journal.
324863744 Ko disponibles sur le disque.

4096 octets dans chaque unité d'allocation.
113793023 unités d'allocation au total sur le disque.
81215936 unités d'allocation disponibles sur le disque.

Informations internes :
00 cd 03 00 fa 64 03 00 58 22 06 00 00 00 00 00 .....d..X"......
ff 02 00 00 2c 00 00 00 00 00 00 00 00 00 00 00 ....,...........
20 03 52 2b be 00 00 00 00 00 00 00 00 00 00 00 .R+............

Windows a terminé la vérification de votre disque.
Veuillez patienter pendant le redémarrage de votre ordinateur.

###########################################################################

SourceName = Microsoft-Windows-Wininit
TimeGenerated = 15-11-12 21:03:37
Message =

Vérification du système de fichiers sur C:
Le type du système de fichiers est NTFS.


L'intégrité de l'un de vos disques doit être vérifiée.
Vous pouvez annuler cette vérification, mais son exécution est
fortement recommandée.
Windows va maintenant vérifier le disque.

CHKDSK est en train de vérifier les fichiers (étape 1 sur 3)...
L'enregistrement d'attribut de type 0x80 et de balise d'instance 0x4 a un
lien croisé qui commence à 0x8fe1c4 pour 0x26 clusters éventuels.
Certains clusters occupés par l'attribut de type 0x80 et de balise d'instance
0x4 dans le fichier 0x32d94 sont déjà utilisés.
Suppression de l'enregistrement d'attribut endommagé (128, "")
du segment d'enregistrement de fichier 208276.
223744 enregistrements de fichier traités.

La vérification des fichiers est terminée.
4359 enregistrements de grand fichier traités.

0 enregistrements de fichier incorrect traités.


CHKDSK vérifie les index (étape 2 sur 3)...
La signature de l'en-tête multi-secteur pour le VCN 0x0 de l'index $I30
dans le fichier 0xbda est incorrecte.
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
Correction des erreurs dans l'index $I30 du fichier 3034.
La bitmap d'index $I30 dans le fichier 0xbda est incorrecte.
Correction des erreurs dans l'index $I30 du fichier 3034.
Le pointeur vers le bas de l'entrée d'index actuelle de longueur 0x18 n'est
pas valide.
00 00 00 00 00 00 00 00 18 00 00 00 03 00 00 00 ................
ff ff ff ff ff ff ff ff 21 e7 e5 2c 78 b7 cd 01 ........!..,x...
90 20 00 2d 78 b7 cd 01 90 20 00 2d 78 b7 cd 01 . .-x.... .-x...
Tri de l'index $I30 du fichier 3034.
Correction des erreurs dans l'index $I30 du fichier 83289.
Correction des erreurs dans l'index $I30 du fichier 83289.
La bitmap d'index $I30 dans le fichier 0x14559 est incorrecte.
Correction des erreurs dans l'index $I30 du fichier 83289.
Le pointeur vers le bas de l'entrée d'index actuelle de longueur 0x18 n'est
pas valide.
00 00 00 00 00 00 00 00 18 00 00 00 03 00 00 00 ................
ff ff ff ff ff ff ff ff 67 9a d5 a5 77 b7 cd 01 ........g...w...
76 e5 40 a6 77 b7 cd 01 76 e5 40 a6 77 b7 cd 01 v.@.w...v.@.w...
Tri de l'index $I30 du fichier 83289.
Impossible de trouver l'attribut nom de fichier d'entrée d'index SA23E8~1
de l'index $I30 avec pour parent 0x2bceb dans le fichier 0x32220.
Suppression de l'entrée d'index SA23E8~1 dans l'index $I30 du fichier 179435.
L'entrée d'index SA2F06~1 de l'index $I30 dans le fichier 0x2bceb pointe sur un fichier
non utilisé 0x320d7.
Suppression de l'entrée d'index SA2F06~1 dans l'index $I30 du fichier 179435.
Impossible de trouver l'attribut nom de fichier d'entrée d'index SA4308~1
de l'index $I30 avec pour parent 0x2bceb dans le fichier 0x32222.
Suppression de l'entrée d'index SA4308~1 dans l'index $I30 du fichier 179435.
L'entrée d'index SA6CF0~1 de l'index $I30 dans le fichier 0x2bceb pointe sur un fichier
non utilisé 0x31f8c.
Suppression de l'entrée d'index SA6CF0~1 dans l'index $I30 du fichier 179435.
L'entrée d'index Safe Browsing Csd Whitelist de l'index $I30 dans le fichier 0x2bceb pointe sur un fichier
non utilisé 0x31f8c.
Suppression de l'entrée d'index Safe Browsing Csd Whitelist dans l'index $I30 du fichier 179435.
Impossible de trouver l'attribut nom de fichier d'entrée d'index Safe Browsing Csd Whitelist_new
de l'index $I30 avec pour parent 0x2bceb dans le fichier 0x32220.
Suppression de l'entrée d'index Safe Browsing Csd Whitelist_new dans l'index $I30 du fichier 179435.
L'entrée d'index Safe Browsing Download Whitelist de l'index $I30 dans le fichier 0x2bceb pointe sur un fichier
non utilisé 0x320d7.
Suppression de l'entrée d'index Safe Browsing Download Whitelist dans l'index $I30 du fichier 179435.
Impossible de trouver l'attribut nom de fichier d'entrée d'index Safe Browsing Download Whitelist_new
de l'index $I30 avec pour parent 0x2bceb dans le fichier 0x32222.
Suppression de l'entrée d'index Safe Browsing Download Whitelist_new dans l'index $I30 du fichier 179435.
312228 entrées d'index traitées.

La vérification des index est terminée.
CHKDSK analyse les fichiers non indexés pour les reconnecter à leur répertoire d'origine.
Récupération du fichier orphelin PNRPRE~1.SQM (35928) dans le fichier de répertoire 3034.
Récupération du fichier orphelin PnrpResolveSession0.sqm (35928) dans le fichier de répertoire 3034.
Récupération du fichier orphelin PNRPRE~2.SQM (62610) dans le fichier de répertoire 3034.
Récupération du fichier orphelin PnrpRegSession0.sqm (62610) dans le fichier de répertoire 3034.
Récupération du fichier orphelin WINDOW~2.SQM (167364) dans le fichier de répertoire 83289.
Récupération du fichier orphelin WindowsLL.wns.1.sqm (167364) dans le fichier de répertoire 83289.
Récupération du fichier orphelin WINDOW~1.SQM (167413) dans le fichier de répertoire 83289.
Récupération du fichier orphelin WindowsLL.wns.0.sqm (167413) dans le fichier de répertoire 83289.
Récupération du fichier orphelin PNRPRE~3.SQM (167607) dans le fichier de répertoire 3034.
Récupération du fichier orphelin PnrpResolveSession1.sqm (167607) dans le fichier de répertoire 3034.
Ignorer les messages suivants relatifs à la récupération des orphelins.
8 fichiers non indexés analysés.

0 fichiers non indéxés récupérés.


CHKDSK vérifie les descripteurs de sécurité (étape 3 sur 3)...
Réparation du segment d'enregistrement du fichier de sécurité.
Nettoyage en cours de 1514 entrées d'index inutilisées à partir de l'index $SII
du fichier 9.
Nettoyage en cours de 1514 entrées d'index inutilisées à partir de l'index $SDH
du fichier 9.
Nettoyage en cours de 1514 descripteurs de sécurité non utilisés.
Remplacement de l'id de sécurité erroné par l'id de sécurité par défaut pour
le fichier 156395.
CHKDSK compacte le flux de descripteur de sécurité
La vérification des descripteurs de sécurité est terminée.
Insertion d'un attribut de données dans le fichier 208276.
44244 fichiers de données traités.

CHKDSK vérifie le journal USN...
Vérification du journal USN terminée.
Correction des erreurs dans l'attribut BITMAP de la table de fichiers
maîtres (MFT).
CHKDSK a découvert de l'espace libre marqué alloué dans la bitmap du volume.

Windows a effectué des corrections sur le système de fichiers.
Aucune autre action n'est requise.

455172095 Ko d'espace disque au total.
57630276 Ko dans 169140 fichiers.
108232 Ko dans 44246 index.
0 Ko dans des secteurs défectueux.
303991 Ko utilisés par le système.
65536 Ko occupés par le fichier journal.
397129596 Ko disponibles sur le disque.

4096 octets dans chaque unité d'allocation.
113793023 unités d'allocation au total sur le disque.
99282399 unités d'allocation disponibles sur le disque.

Informations internes :
00 6a 03 00 95 41 03 00 d5 2d 06 00 00 00 00 00 .j...A...-......
df 01 00 00 2c 00 00 00 00 00 00 00 00 00 00 00 ....,...........
20 03 fc 9f c6 00 00 00 00 00 00 00 00 00 00 00 ...............

Windows a terminé la vérification de votre disque.
Veuillez patienter pendant le redémarrage de votre ordinateur.

###########################################################################



########## ENDOF 18:56:39
0
monica35
13 mars 2013 à 19:00
après la réparation de disque on me demande de telecharger LADDY et de poster le rapport, le voici
0
Réponse 10 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
13 mars 2013 à 19:00
Pour le programme d'Eset, je parlais de cela : http://kb.eset.com/library/ESET/KB%20Team%20Only/Malware/ServicesRepair.exe
0
monica35
13 mars 2013 à 21:34
voila c est fait j ai cliqué sur ton lien il a charger, puis il a fait redémarer le pc, après ça , plus rien,il s'est allumé normalement, sans rapport . que dois je faire après ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
13 mars 2013 à 21:37
Regarde ce que ça donne pour le pare-feu.
0
monica35
14 mars 2013 à 00:55
il se désactive toujours.

et si je désinstalle mon anti virus et que j'en télécharge un autre ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
14 mars 2013 à 18:19
Non c'est ZeroAccess qui a buté le pare-feu.
Après si tu te sens capable, tu peux remettre manuellement comme c'est expliqué sur la page.
0
monica35
14 mars 2013 à 20:37
ok mais zeroAcces a bien été supprimé de mon portable ?
ecoute j ai désinstallé mcfee et j ai installé avast .
tu pense que ça va allé ?
0