Possiblehostsfilehijack Résolu/Fermé

Question

Bonjour,

Je suis sur windows 7, et depuis quelques jours windows defender m'alerte sur la présence d'un logiciel dangereux : settingsmodifier:win32/possiblehostsfilehijack. J'ai tenté de le supprimer, il m'indique une erreur Code 0x80070005. Accès refusé. Pareil si je veux le mettre en quarantaine.

Avira quant à lui ne détecte rien.

Quelqu'un aurait il une solution pour me débarasser de ça, ça m'inquiète un peu...:(

Merci d'avance
Mathieu

PS : j'ai cherché sur google, mais je ne suis pas un as de l'informatique et tout cela me paraît un peu obscur :)

billmaxime · Answer

salut

pour en savoir plus, tu peux faire ceci

télécharge zhpdiag sur ton bureau (outil de diagnostic)  

le lien https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/ 

le tuto http://www.security-helpzone.com/forum/Thread-ZHPDiag-Generer-un-rapport 

utilisateurs vista-w7-w8 exécuter en tant qu'administrateur (clic droit) 

pour lancer le scan clique sur la loupe avec le + (2ème bouton en haut a gauche) 

le rapport s'affichera sur ton bureau et dans C:\zhpdiag.txt 

poste le rapport via ce lien https://www.cjoint.com/ 

@+

Mathieu · Answer

Merci pour la rapidité de ta réponse !

Voici le lien du rapport, j'espère avoir tout fait comme il faut...
http://cjoint.com/?3FDk3gXOmfy

billmaxime · Answer

re

oui j'ai eu le rapport... par contre regarde ceci dans le rapport(Crack & Keygen Files (O82)

tu dois supprimer tout ce qui s'y trouve avant de continuer la désinfection

tu peux lire ceci

https://forum.malekal.com/viewtopic.php?t=893&start=

dis moi quand c'est fait

@+ 
 
le taux de radiation est plus élevé au pôle emploi qu'à Tchernobyl

Mathieu · Answer

Eh bien, force est de reconnaître que j'en avais étalé un peu partout :)
Je les ai tous supprimés sans pitié...

billmaxime · Answer

re

ok, désinstalle ceci Java 7 Update 9 et télécharge la dernière version ici

https://www.java.com/fr/

MFIE: Mozilla Firefox 21.0 (Defaut) n'est pas a jour, mets le a jour

https://support.mozilla.org/fr/kb/mettre-jour-firefox-derniere-version

tu as 2 versions de ceci OPIE: Opera v12.14/OPIE: Opera v12.15

désinstalle la Opera v12.14

ensuite, refais moi 1 zhpdiag en cliquant sur la loupe avec le + et poste le rapport

via ce lien https://www.cjoint.com/

merci

@+

Mathieu · Answer

Voilà le lien du nouveau rapport :
http://cjoint.com/?3FDlZEUzSeT

billmaxime · Answer

re

tu as désinstaller cette version Opera v12.15 et tu aurais dû désinstaller celle-ci

Opera v12.14

mets la versin Opera v12.14 a jour sur ton pc

j'arrive avec la suite

@+

Mathieu · Answer

Pourtant j'ai bien désinstallé la 12.14 et, chose étrange, lorsque je fais apparaître la liste des programmes dans désinstaller un programme, il n'y a plus aucun opera qui apparait, idem dans programmes files...

billmaxime · Answer

re

fais ceci s'il te plaît

lance zhpfix en tant qu'administrateur (clic droit) 

copie tout le texte en gras ci-dessous 

clique sur le 2ème bouton en haut a gauche (coller le presse papier) 

clic sur GO en bas de page et confirme par oui pour lancer le nettoyage des données 

le rapport s'affichera sur ton bureau et dans C:\zhpfix.txt 

poste le rapport via ce lien https://www.cjoint.com/ 

le texte a copier 


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified
 O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline 
 O4 - HKUS\S-1-5-21-2421505861-448997301-1305069401-1000\..\Run: [AdobeBridge] Clé orpheline 
 O4 - GS\Desktop: OneKey Recovery.lnk . (...)  -- C:\Program Files (x86)\Lenovo\OneKey App\OneKey Recovery\OneKey Recovery.exe (.not file.)
 [MD5.00000000000000000000000000000000] [APT] [{65F44CA4-4F62-4E84-BE7E-3B3D20B3EC86}] (...) -- C:\Program files\Bohemia Interactive\Take On Helicopters Demo\UnInstall.exe (.not file.)   [0]
 [MD5.B28C334C03CEE7C5E829C43AE75DAE5A] [SPRF][20/04/2013] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\mathieu\AppData\Local\Temp\AskSLib.dll   [248008]

SysRestore 
FirewallRAZ 
EmptyCLSID 
EmptyTemp 
EmptyFlash 
  
 @+

Mathieu · Answer

Voilà le rapport :
http://cjoint.com/?3FDmx2sesFx

Je dois aller déjeuner, je reviens sous peu, si tu as encore un peu de temps à m'accorder (quand tu pourras), ce serait super... merci encore !

billmaxime · Answer

re

bon appétit

tu me diras si tu as toujours ton soucis de départ

merci

@+

Mathieu · Answer

Malheureusement, windows defender détecte toujours un fichier possiblehostsfilehijack potentiellement dangereux...

billmaxime · Answer

re

ok, dis moi si tu as des mises a jour avant ton problème

merci

@+

Mathieu · Answer

Pas de mise à jour de logiciels, il y a eu des mises à jour windows, mais avant de venir poster ici j'ai fait une restauration système à une date antérieure, sans changement.

J'avais installé de petits logiciels de musique avant la restauration, ils ont disparu avec la restauration, pourtant le problème persiste.

billmaxime · Answer

re

fais ceci s'il te plaît

télécharge MBAM sur ton bureau 

le lien https://www.malwarebytes.com/ (prend le free) 

le tuto https://www.donnemoilinfo.com/tuto/Malwarebytes-Anti-Malware/ 

exécute le en tant qu'administrateur (clic droit) 
met le a jour  (3ème bouton)

fais 1 scan complet (tous les disques) 

le scan peut durer +-2H (laisse le bosser) 

si MBAM trouve quelque chose supprime la sélection (voir tuto 2ème page)

poste le rapport via 1 copier/coller 

le rapport s'affichera sur ton bureau et dans rapport/log de MBAM 

@+

Mathieu · Answer

Alors, j'ai fait l'analyse et supprimé une dizaine de fichiers que malwaresbyte a trouvé, mais defender me trouve toujours le même fichier dangereux. Voici le rapport :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.06.29.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16618
mathieu :: MATHIEU-PC [administrateur]

29/06/2013 13:55:20
mbam-log-2013-06-29 (13-55-20).txt

Type d'examen: Examen complet (C:\|E:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 541740
Temps écoulé: 1 heure(s), 21 minute(s), 44 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 10
C:\Users\mathieu\Desktop\bittorrent\Windows 7 Fr Édition Intégrale X64 SP1 FULL update du 9 mai 2012\Windows.7.Loader.v2.1.2-DAZ\Windows Loader.exe (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\mathieu\Desktop\bureau-7-toshiba\Downloads\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.
C:\Users\mathieu\Desktop\bureau-7-toshiba\Downloads\WLv2.1.2.zip (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\mathieu\Desktop\bureau-7-toshiba\ext\Archives\WINXP06-2011\Téléchargements\SoftonicDownloader_pour_rk-launcher.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
C:\Users\mathieu\Desktop\ddext\WLv2.1.2.zip (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\mathieu\Desktop\ddext\bureau-7-toshiba\Downloads\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.
C:\Users\mathieu\Desktop\ddext\bureau-7-toshiba\Downloads\WLv2.1.2.zip (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\mathieu\Desktop\ddext\bureau-7-toshiba\ext\Archives\WINXP06-2011\Téléchargements\SoftonicDownloader_pour_rk-launcher.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
C:\Users\mathieu\Desktop\ddext\WLv2.1.2\Windows Loader\Windows Loader.exe (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\mathieu\Desktop\WLv2.1.2\Windows Loader\Windows Loader.exe (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.

(fin)

billmaxime · Answer

re

ok, tu me refais 1 zhpdiag en cliquant sur la loupe avec le + et tu postes le rapport
via ce lien https://www.cjoint.com/

merci

@+

Mathieu · Answer

Voilà le rapport zhpdiag :
http://cjoint.com/?3FDqNSq3yUS

billmaxime · Answer

re

tu as toujours ton soucis avec bitdefender?

@+

Mathieu · Answer

Alors je l'avais mais je ne l'ai plus... je ne sais pas si j'ai bien fait, mais j'ai désactivé avira quelques minutes, le temps de retenter de supprimer le fichier malveillant avec defender. Et ça a marché ! Je viens de réactiver avira à l'instant, tout semble fonctionner comme sur des roulettes.
Merci à toi de t'être creusé la cervelle pour moi, c'est vraiment sympa !
Bonne fin de journée
A plus

billmaxime · Answer

re

c'est pas fini, fais ceci s'il te plaît

télécharge delfix sur ton bureau

le lien http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/9-delfix

exécute le en tant qu'administrateur (clic droit)

vérifie que toutes les cases soient cochées:5

clique sur exécuter

le rapport s'affichera sur ton bureau et dans C:\delfix.txt

poste le rapport via 1 copier/coller

@+

Mathieu · Answer

Voilà le rapport :

# DelFix v10.3 - Rapport créé le 29/06/2013 à 17:54:57
# Mis à jour le 08/06/2013 par Xplode
# Nom d'utilisateur : mathieu - MATHIEU-PC
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\Users\mathieu\Desktop\RK_Quarantine
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\mathieu\Desktop\RKreport[0]_D_06292013_172428.txt
Supprimé : C:\Users\mathieu\Desktop\RKreport[0]_H_06292013_172751.txt
Supprimé : C:\Users\mathieu\Desktop\RKreport[0]_S_06292013_172424.txt
Supprimé : C:\Users\mathieu\Desktop\RKreport[0]_S_06292013_172746.txt
Supprimé : C:\Users\mathieu\Desktop\ZHPDiag.txt
Supprimé : C:\Users\mathieu\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\mathieu\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\mathieu\Downloads\RogueKillerX64.exe
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

Supprimé : RP #94 [Point de contrôle planifié | 06/21/2013 22:00:02]
Supprimé : RP #96 [Windows Defender Checkpoint | 06/22/2013 05:09:57]
Supprimé : RP #97 [Windows Update | 06/25/2013 07:14:44]
Supprimé : RP #99 [Windows Defender Checkpoint | 06/25/2013 18:23:19]
Supprimé : RP #101 [Windows Defender Checkpoint | 06/27/2013 08:50:44]
Supprimé : RP #102 [Opération de restauration | 06/27/2013 09:00:48]
Supprimé : RP #103 [Windows Update | 06/27/2013 09:12:27]
Supprimé : RP #105 [Windows Defender Checkpoint | 06/28/2013 07:02:34]
Supprimé : RP #107 [Windows Defender Checkpoint | 06/29/2013 07:58:49]
Supprimé : RP #108 [Removed Java 7 Update 9 | 06/29/2013 09:37:44]
Supprimé : RP #109 [Installed Java 7 Update 25 | 06/29/2013 09:40:07]
Supprimé : RP #110 [P | 06/29/2013 10:22:14]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

billmaxime · Answer

re

ok, si tout est en ordre de ton coté, tu peux mettre ton topic en résolu

https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

bon surf

@+

Mathieu · Answer

Nickel, encore merci !

billmaxime · Answer

re

pas de soucis^^

@+

Possiblehostsfilehijack

25 réponses

Discussions similaires