Virus sirefef.gen C

gej239 Messages postés 15 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Google m'a informé ce matin de la présence d'un virus sur mon pc : Win32/Sirefef.gen C. Mon pc ne fonctionne plus qu'en mode sans échec, sinon il bloque chaque application ouverte et ne répond plus...
Merci d'avance de votre aide pour le supprimer.

28 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Re

    Je t'ai répondu en non inscrit

    Mais on poursuit sur celui-ci

    [*] Télécharger sur le bureau RogueKiller (by tigzy) version 64
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

    @+

    0
  2. gej239
     
    Merci beaucoup.

    Voilà le rapport :

    RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : Géraldine [Droits d'admin]
    Mode : Recherche -- Date : 26/03/2013 22:08:15
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 1 ¤¤¤
    [SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe [x] -> TUÉ [TermProc]

    ¤¤¤ Entrees de registre : 9 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : ndrsb (rundll32.exe "C:\Users\Géraldine\AppData\Roaming\ndrsb.dll",HrQafeGetStreamSize) [x] -> TROUVÉ
    [RUN][SUSP PATH] HKCU\[...]\Run : Adober.exe ("C:\Users\Géraldine\AppData\Local\Temp\tmp2971.tmp.exe") [-] -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-1714823157-3022234312-3409679427-1000[...]\Run : ndrsb (rundll32.exe "C:\Users\Géraldine\AppData\Roaming\ndrsb.dll",HrQafeGetStreamSize) [x] -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-1714823157-3022234312-3409679427-1000[...]\Run : Adober.exe ("C:\Users\Géraldine\AppData\Local\Temp\tmp2971.tmp.exe") [-] -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-1714823157-3022234312-3409679427-1000\$824f20b81bda0c2114b25716b4e9c43c\n) [-] -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\n) [-] -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\n) [-] -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\n [-] --> TROUVÉ
    [ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-1714823157-3022234312-3409679427-1000\$824f20b81bda0c2114b25716b4e9c43c\n [-] --> TROUVÉ
    [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\@ [-] --> TROUVÉ
    [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-1714823157-3022234312-3409679427-1000\$824f20b81bda0c2114b25716b4e9c43c\@ [-] --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\U --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-1714823157-3022234312-3409679427-1000\$824f20b81bda0c2114b25716b4e9c43c\U --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\L --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-1714823157-3022234312-3409679427-1000\$824f20b81bda0c2114b25716b4e9c43c\L --> TROUVÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HTS725025A9A364 ATA Device +++++
    --- User ---
    [MBR] a23cbc63f9c367ca4235bfa285c6755c
    [BSP] 5a21ef6f59e74c51a812564267ba345c : Windows Vista/7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 217716 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 446291968 | Size: 20455 Mo
    3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 488183808 | Size: 103 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1]_S_26032013_220815.txt >>
    RKreport[1]_S_26032013_220815.txt
    0
  3. Utilisateur anonyme
     
    Re

    Tu relances RogueKiller option suppression et tu me postes ensuite son rapport

    Merci

    @+
    0
  4. gej239
     
    Voilà :

    RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur : Géraldine [Droits d'admin]
    Mode : Suppression -- Date : 26/03/2013 22:16:26
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 1 ¤¤¤
    [SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe [x] -> TUÉ [TermProc]

    ¤¤¤ Entrees de registre : 6 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : ndrsb (rundll32.exe "C:\Users\Géraldine\AppData\Roaming\ndrsb.dll",HrQafeGetStreamSize) [x] -> SUPPRIMÉ
    [RUN][SUSP PATH] HKCU\[...]\Run : Adober.exe ("C:\Users\Géraldine\AppData\Local\Temp\tmp2971.tmp.exe") [-] -> SUPPRIMÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-1714823157-3022234312-3409679427-1000\$824f20b81bda0c2114b25716b4e9c43c\n) [-] -> REMPLACÉ (C:\Windows\system32\shell32.dll)
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\n) [-] -> REMPLACÉ (C:\Windows\system32\wbem\fastprox.dll)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\n [-] --> SUPPRIMÉ AU REBOOT
    [ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-1714823157-3022234312-3409679427-1000\$824f20b81bda0c2114b25716b4e9c43c\n [-] --> SUPPRIMÉ
    [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\@ [-] --> SUPPRIMÉ AU REBOOT
    [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-1714823157-3022234312-3409679427-1000\$824f20b81bda0c2114b25716b4e9c43c\@ [-] --> SUPPRIMÉ
    [Del.Parent][FILE] 00000004.@ : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\U\00000004.@ [-] --> SUPPRIMÉ
    [Del.Parent][FILE] 00000008.@ : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\U\00000008.@ [-] --> SUPPRIMÉ
    [Del.Parent][FILE] 000000cb.@ : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\U\000000cb.@ [-] --> SUPPRIMÉ
    [Del.Parent][FILE] 80000000.@ : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\U\80000000.@ [-] --> SUPPRIMÉ
    [Del.Parent][FILE] 80000032.@ : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\U\80000032.@ [-] --> SUPPRIMÉ
    [Del.Parent][FILE] 80000064.@ : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\U\80000064.@ [-] --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\U --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-1714823157-3022234312-3409679427-1000\$824f20b81bda0c2114b25716b4e9c43c\U --> SUPPRIMÉ
    [Del.Parent][FILE] 00000004.@ : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\L\00000004.@ [-] --> SUPPRIMÉ
    [Del.Parent][FILE] 201d3dde : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\L\201d3dde [-] --> SUPPRIMÉ
    [Del.Parent][FILE] 76603ac3 : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\L\76603ac3 [-] --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$824f20b81bda0c2114b25716b4e9c43c\L --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-1714823157-3022234312-3409679427-1000\$824f20b81bda0c2114b25716b4e9c43c\L --> SUPPRIMÉ
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT
    [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HTS725025A9A364 ATA Device +++++
    --- User ---
    [MBR] a23cbc63f9c367ca4235bfa285c6755c
    [BSP] 5a21ef6f59e74c51a812564267ba345c : Windows Vista/7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 217716 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 446291968 | Size: 20455 Mo
    3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 488183808 | Size: 103 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2]_D_26032013_221626.txt >>
    RKreport[1]_S_26032013_220815.txt ; RKreport[2]_D_26032013_221626.txt
    0
    1. gej239
       
      Ps : RogueKiller m'a indiqué devoir redémarrer mon PC : ?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re

    Ton PC a redémarré?

    Fait le;ne touche à rien

    @+
    0
  7. gej239 Messages postés 15 Statut Membre
     
    J'ai du redémarrer "manuellement" pour rester en mode sans échec..
    0
    1. Utilisateur anonyme
       
      et pourquoi en mode sans echec?
      0
    2. gej239 Messages postés 15 Statut Membre
       
      Sinon je ne peux rien faire, chaque application se bloque quelques secondes après l'avoir ouverte.
      0
  8. Utilisateur anonyme
     
    Re

    Ok;on poursuit encore dans ce mode sans echec avec prise en charge réseau

    Télécharge Malwaresbytes anti malware ici
    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)

    *Procèdes à une mise à jour

    *Fais un examen dit "Complet"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

    @+
    0
  9. gej239 Messages postés 15 Statut Membre
     
    Hop là voilà le rapport :

    Malwarebytes Anti-Malware (Essai) 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.03.26.14

    Windows 7 Service Pack 1 x64 NTFS (Mode sans échec/Réseau)
    Internet Explorer 8.0.7601.17514
    Géraldine :: GÉRALDINE-PC [administrateur]

    Protection: Désactivé

    26/03/2013 22:55:47
    mbam-log-2013-03-26 (22-55-47).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 537174
    Temps écoulé: 1 heure(s), 19 minute(s), 37 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 25
    HKCR\AppID\{D2083641-E57F-4eab-BB85-0582424F4A29} (Adware.HotBar.CP) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CLSID\{1602F07D-8BF3-4c08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCR\TypeLib\{C55CA95C-324B-451c-B2D2-6E895AA75FEC} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCR\Interface\{30B15818-E110-4527-9C05-46ACE5A3460D} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCR\ClickPotatoLiteAX.info.1 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCR\ClickPotatoLiteAX.info (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1602F07D-8BF3-4C08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CLSID\{7A3D6D17-9DD5-4C60-8076-D1784DABAF8C} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCR\TypeLib\{814BAA91-DC22-4350-87D6-0C86E93F7F08} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCR\Interface\{419EDA30-6DFF-432C-B534-E15D899ABEE4} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCR\MenuButtonIE.ButtonIE.1 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCR\MenuButtonIE.ButtonIE (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CLSID\{AC6D819E-AA8F-4418-A3BB-D165C1B18BB5} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCR\ClickPotatoLiteAX.UserProfiles.1 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCR\ClickPotatoLiteAX.UserProfiles (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AC6D819E-AA8F-4418-A3BB-D165C1B18BB5} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA} (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Uncompressor (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.
    HKCR\AppID\MenuButtonIE.DLL (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKCU\Software\clickpotatolitesa (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\ClickPotatoLite (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 1
    HKLM\SOFTWARE\Mozilla\Firefox\extensions|ClickPotatoLite@ClickPotatoLite.com (Adware.ClickPotato) -> Données: C:\Program Files (x86)\ClickPotatoLite\bin\10.0.636.0\firefox\extensions -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 9
    C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\ClickPotatoLiteSA (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Géraldine\AppData\Roaming\ClickPotatoLite (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\ClickPotatoLite (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\ClickPotatoLite\bin (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\ClickPotatoLite\bin\10.0.636.0 (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\ClickPotatoLite\bin\10.0.636.0\firefox (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\ClickPotatoLite\bin\10.0.636.0\firefox\extensions (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\ClickPotatoLite\bin\10.0.636.0\firefox\extensions\plugins (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

    Fichier(s) détecté(s): 20
    C:\Program Files (x86)\Uncompressor\Uninstall\Uninstall.exe (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Géraldine\AppData\Local\Temp\oswraxcmne.exe (Trojan.Dropper.MS) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Géraldine\AppData\Local\Temp\pricepeep_130001_1001.exe (Adware.Shopper) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Géraldine\AppData\Roaming\ndrsb.dll (Trojan.Medfos.SVR) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Géraldine\Desktop\RK_Quarantine\n.vir (Rootkit.Siredef) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Géraldine\Documents\LOGICIELS\Adobe Illustrator CS6\Crack\Program Files (x64)\Adobe\Adobe Illustrator CS6 (64 Bit)\Support Files\Contents\Windows\amtlib.dll (PUP.RiskwareTool.CK) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Géraldine\Documents\LOGICIELS\Adobe Illustrator CS6\Crack\Program Files (x86)\Adobe\Adobe Illustrator CS6\Support Files\Contents\Windows\amtlib.dll (PUP.RiskwareTool.CK) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Géraldine\Documents\LOGICIELS\Adobe Indesign CS6\Crack\Dll.Amtlib\amtlib.dll (PUP.RiskwareTool.CK) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Géraldine\Documents\LOGICIELS\Adobe Photoshop CS6\crack\32-bit\amtlib.dll (PUP.RiskwareTool.CK) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Géraldine\Documents\LOGICIELS\Adobe Photoshop CS6\crack\64-bit\amtlib.dll (PUP.RiskwareTool.CK) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Géraldine\Downloads\setup (1).exe (PUP.BundleInstaller.VG) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Géraldine\Downloads\setup.exe (PUP.BundleInstaller.VG) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Géraldine\AppData\Local\Temp\AppLaunch\Service.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Géraldine\AppData\Local\Temp\AppLaunch\msnmsgr.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSA.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSAAbout.mht (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSAau.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSAEULA.mht (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\ClickPotatoLiteSA\ClickPotatoLiteSA_kyf.dat (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\ClickPotatoLite\bin\10.0.636.0\firefox\extensions\install.rdf (Adware.ClickPotato) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    et un deuxième qui se trouvait également dans l'onglet ... :

    2013/03/27 00:21:56 +0100 GÉRALDINE-PC Géraldine MESSAGE Executing scheduled update: Daily
    2013/03/27 00:21:58 +0100 GÉRALDINE-PC Géraldine ERROR Scheduled update failed: No address found failed with error code 0
    2013/03/27 00:22:07 +0100 GÉRALDINE-PC Géraldine MESSAGE Starting protection
    2013/03/27 00:22:07 +0100 GÉRALDINE-PC Géraldine MESSAGE Protection started successfully
    2013/03/27 00:22:07 +0100 GÉRALDINE-PC Géraldine MESSAGE Starting IP protection
    2013/03/27 00:22:07 +0100 GÉRALDINE-PC Géraldine ERROR IP protection failed: FwpmEngineOpen0 failed with error code 1753

    Remarque : mon pc peut enfin démarrer sans que les applications ouvertes fassent tout planter !
    0
  10. Utilisateur anonyme
     
    Bonjour

    Il démarre en mode normal?

    Pour vérifications

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Ou

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé,

    Double-clique sur l'icône pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »

    Clique sur la loupe avec le signe + pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien:
    http://pjjoint.malekal.com/

    Si problème utilise un des suivants

    https://forums-fec.be/upload
    https://www.cjoint.com/

    Regarde sur le bureau

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    @+

    0
  11. Utilisateur anonyme
     
    Re

    Pour ton information, ton ordinateur est infecté par plusieurs logiciels publicitaires... Pour éviter ce genre de problème :
    - Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects.
    - A noter que certains sites connus comme O1net, Softronic, Tuto4PC, etc modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.

    - Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.

    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Lorsque le message indiquant qu'AdwCleaner a détecté une variante spécifique d'adware s'affiche, clique sur [OK]
    - L'ordinateur va redémarrer tout seul. Redémarre-le en mode normal.
    - AdwCleaner s'ouvrira normalement, avec comme seul choix possible [Suppression]
    - Clique dessus, puis patiente pendant la suppression.
    - Une fois la suppression effectuée, AdwCleaner t'invitera à redémarrer l'ordinateur
    - Au redémarrage, un rapport s'ouvrira. Poste le sur le forum.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    A lire :
    Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=
    Les programmes potentiellement indésirables :
    https://forum.malekal.com/viewtopic.php?t=33776&start=

    @+
    0
  12. Utilisateur anonyme
     
    Re

    Poste moi un nouveau rapport ZHPDiag;merci

    @+
    0
  13. Utilisateur anonyme
     
    Re

    Utilisation de l'outil ZHPFix :

    * Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
    -------------------------------------------------------------------------------------------------


    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified
    R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.iminent.com
    [HKCU\Software\WhiteSmoke]
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    [MD5.BFF728107801745EA5DFA536B4C0D056] [SPRF][21/03/2013] (.SweetIM Technologies Ltd. - SweetIM Installer by SweetPacks.) -- C:\Users\Géraldine\AppData\Local\Temp\bundlesweetimsetup.exe [9973008]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\482AA67AD25E6E74E9F48BD5FBE8533C]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\EB525538DB364CE4495200ECDA84942C]
    [HKLM\Software\Classes\Installer\Features\9EC6D81181F59F2459A84176A626F9ED]
    [HKLM\Software\Classes\Installer\Products\9EC6D81181F59F2459A84176A626F9ED]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EC6D81181F59F2459A84176A626F9ED]
    [HKLM\Software\Wow6432Node\Classes\Installer\Features\9EC6D81181F59F2459A84176A626F9ED]
    [HKLM\Software\Wow6432Node\Classes\Installer\Products\9EC6D81181F59F2459A84176A626F9ED]
    [HKLM\Software\Classes\Widestream6.Spointer.1]
    [HKLM\Software\Classes\Widestream6.SpointerCtrl.1]
    [HKLM\Software\Classes\Widestream6.SpointerWebDisp.1]
    [HKLM\Software\Wow6432Node\Classes\Widestream6.Spointer.1]
    [HKLM\Software\Wow6432Node\Classes\Widestream6.SpointerCtrl.1]
    [HKLM\Software\Wow6432Node\Classes\Widestream6.SpointerWebDisp.1]
    C:\Users\Géraldine\AppData\Local\Temp\bundlesweetimsetup.exe
    O90 - PUC: "9EC6D81181F59F2459A84176A626F9ED" . (.Iminent.) -- C:\Windows\Installer\{118D6CE9-5F18-42F9-958A-14676A629FDE}\imbooster.ico
    [MD5.00000000000000000000000000000000] [APT] [{063A5939-CEAF-4D6F-97F8-53A665AB78C4}] (...) -- C:\Users\Géraldine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\N92Y44I4\Firefox Setup 3.6.10[1].exe (.not file.) [0]
    [MD5.00000000000000000000000000000000] [APT] [{95FB7B30-BCE0-43F3-A60F-7E5255E4305A}] (...) -- C:\Users\Géraldine\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EV47F6CV\Firefox Setup 3.6.10[1].exe (.not file.) [0]
    O41 - Driver: (rwpfojxi) . (. - .) - C:\Windows\system32\drivers\rwpfojxi.sys (.not file.)
    [MD5.5AC98C84160A9400DB448D153C959BB6] [SPRF][21/03/2013] (...) -- C:\Users\Géraldine\AppData\Local\Temp\DeltaTB.exe [773104]
    O42 - Logiciel: Bing Bar - (.Microsoft Corporation.) [HKLM][64Bits] -- {77F8A71E-3515-4832-B8B2-2F1EDBD2E0F1}
    [HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS]
    [HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]
    [HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
    O90 - PUC: "E17A8F77515323848B2BF2E1BD2D0E1F" . (.Bing Bar.) -- C:\Windows\Installer\{77F8A71E-3515-4832-B8B2-2F1EDBD2E0F1}\icon_installer_ico
    O4 - HKCU\..\Run: [Ahtiu] . (...) -- C:\Users\Géraldine\AppData\Roaming\Hegika\duiz.exe
    O42 - Logiciel: Java 6 Update 18 (64-bit) - (.Sun Microsystems, Inc..) [HKLM][64Bits] -- {26A24AE4-039D-4CA4-87B4-2F86416018FF}

    FirewallRAZ
    Emptytemp
    EmptyCLSID


    --------------------------------------------------------------------------------------------
    * Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur)

    * Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
    le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
    * Clique sur le bouton GO pour lancer le nettoyage
    * Copie/colle la totalité du rapport dans ta prochaine réponse.

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

    Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

    @+

    0
  14. gej239 Messages postés 15 Statut Membre
     
    ok super, merci beaucoup pour ton aide !!!
    0
  15. Utilisateur anonyme
     
    Bonsoir

    Dans l'attente d'une réponse.
    Merci

    @+
    0
  16. gej239 Messages postés 15 Statut Membre
     
    Le scan me met juste une erreur détectée lors de la recherche de mises à jour Windows manquantes.
    0
  • 1
  • 2