system care antivirus Résolu/Fermé

Question

Bonjour, 

System care antivirus s est installe sur mon pc alors que j etais sur un site de vente internet .... je ne peux plus me connecter à certains sites web ... comment m en débarrasser ? Il se retrouve comme une application avec ce "nom" : 4649776C66678DE30000464931279240.exe.
Je ne suis pas tres a l aise avec l informatique !!!!!
Pouvez vous m aider ?

Configuration: iPhone / Safari 4.0

Smart91 · Answer

Bonjour,

* Va sur ce lien https://www.luanagames.com/index.fr.html (par tigzy) 
* Clique sur l'icône RogueKiller qui correspond à ta version de Windows (64 bits ou non) pour télécharger RogueKiller

* Quitte tous les programmes en cours 
* Lance RogueKiller.exe. 
* Attendre la fin du Prescan ... 
* Clique sur Scan. 
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse 

S'il ne veut pas se lancer renomme en winlogon.exe et relance le

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Je ne sais ce que tu as fait avec le rapport, mais il manque les retours à la ligne.

J'ai vu d'autre part que tu as lancé RK en mode sans échec.

Relance RK en mode normal. Refais un scan et ensuite clique sur suppression et puis clique sur rapport et poste le rapport tel qu'il l'est afin qu'il soit lisible
 
Smart

sebju · Answer

merci je vais essayer de relance en mode normal, mais je n'arrive pas a ouvrir internet

Smart91 · Answer

Que veux-tu dire je n'arrive pas à ouvrir internet ?

Smart

sebju · Answer

quand je lance internet, la page se coupe et secure antivirus se met en route

j'ai réussi a avoir accès au mail hier grace à ma tablette

Smart91 · Answer

Mais as-tu bien lancé RogueKiller et fais suppression après le scan, comme je l'avais demandé et poste le rapport également


Smart

sebju · Answer

je te joins à nouveau le rapport

sebju · Answer

RogueKiller V8.6.2 _x64_ [Jul 2 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : hxxp://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Séb [Droits d'admin]
Mode : Recherche -- Date : 07/04/2013 21:15:04
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 4649776C66678DE30000464931279240 (C:\ProgramData\4649776C66678DE30000464931279240\4649776C66678DE30000464931279240.exe [-]) -> TROUVÉ
[RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-19955673-1749711642-1757133884-1001\[...]\RunOnce : 4649776C66678DE30000464931279240 (C:\ProgramData\4649776C66678DE30000464931279240\4649776C66678DE30000464931279240.exe [-]) -> TROUVÉ
[HJ POL] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-19955673-1749711642-1757133884-1001\$aa2f48ee138c6fffb34e5ad06c24085e\n. [x]) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-ST|ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS725050A9A364 +++++
--- User ---
[MBR] 5916f80a05f725ef0082a4d9375e7625
[BSP] 2d3b8f220c71a52368c22957a3631822 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 454062 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 930328576 | Size: 22574 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 976560128 | Size: 103 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_07042013_211504.txt >>
RKreport[0]_S_07032013_182830.txt

sebju · Answer

RogueKiller V8.6.2 _x64_ [Jul 2 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : hxxp://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Séb [Droits d'admin]
Mode : Recherche -- Date : 07/04/2013 21:15:04
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 4649776C66678DE30000464931279240 (C:\ProgramData\4649776C66678DE30000464931279240\4649776C66678DE30000464931279240.exe [-]) -> TROUVÉ
[RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-19955673-1749711642-1757133884-1001\[...]\RunOnce : 4649776C66678DE30000464931279240 (C:\ProgramData\4649776C66678DE30000464931279240\4649776C66678DE30000464931279240.exe [-]) -> TROUVÉ
[HJ POL] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-19955673-1749711642-1757133884-1001\$aa2f48ee138c6fffb34e5ad06c24085e\n. [x]) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-ST|ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS725050A9A364 +++++
--- User ---
[MBR] 5916f80a05f725ef0082a4d9375e7625
[BSP] 2d3b8f220c71a52368c22957a3631822 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 454062 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 930328576 | Size: 22574 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 976560128 | Size: 103 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_07042013_211504.txt >>
RKreport[0]_S_07032013_182830.txt

Smart91 · Answer

J'aurais préféré que tu postes ce rapport : RKreport[0]_D_07042013_211757.txt*
Qui se trouve sur ton bureau. C'est le rapport de suppression

Smart

sebju · Answer

Bonsoir ci joint le rapport qui se trouve sur le bureau

RogueKiller V8.6.2 _x64_ [Jul 2 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : hxxp://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Séb [Droits d'admin]
Mode : Suppression -- Date : 07/04/2013 21:17:57
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 4649776C66678DE30000464931279240 (C:\ProgramData\4649776C66678DE30000464931279240\4649776C66678DE30000464931279240.exe [-]) -> SUPPRIMÉ
[RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-19955673-1749711642-1757133884-1001\[...]\RunOnce : 4649776C66678DE30000464931279240 (C:\ProgramData\4649776C66678DE30000464931279240\4649776C66678DE30000464931279240.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[HJ POL] HKCU\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-19955673-1749711642-1757133884-1001\$aa2f48ee138c6fffb34e5ad06c24085e\n. [x]) -> REMPLACÉ (C:\Windows\system32\shell32.dll)

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-ST|ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS725050A9A364 +++++
--- User ---
[MBR] 5916f80a05f725ef0082a4d9375e7625
[BSP] 2d3b8f220c71a52368c22957a3631822 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 454062 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 930328576 | Size: 22574 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 976560128 | Size: 103 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_07042013_211757.txt >>
RKreport[0]_S_07032013_182830.txt;RKreport[0]_S_07042013_211504.txt

Smart91 · Answer

OK. Là c'est mieux :-) 

Maintenant tu vas faire ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Oui
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart

sebju · Answer

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.07.05.04

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
Séb :: SÉB-HP [administrateur]

Protection: Activé

05/07/2013 22:28:52
mbam-log-2013-07-05 (22-28-52).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 453709
Temps écoulé: 1 heure(s), 21 minute(s), 14 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Séb\AppData\Local\Temp\iuxdemexphmctobmvyw.bfg (Malware.Packer.PEX) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Séb\AppData\Roaming\kujytuo.exe (Affiliate.Downloader.AI) -> Mis en quarantaine et supprimé avec succès.

(fin)

Smart91 · Answer

OK. Relance MBAM (malwarebytes) et vide la quarantaine

On va faire un diagnostic du PC afin de voir s'il y a des restes et/ou d'autres infections 

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, 

- Double clique sur ZHPDiag2 et suis les instructions. 
/!\Utilisateurs de Vista, Windows 7 et Windows 8 : Clique droit sur le logo de ZHPDiag, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix) 
-  Double clique sur le raccourci ZHPDiag (Parchemin) sur ton Bureau pour le lancer.
- Si tu possèdes Avast comme antivirus, à l'alerte choisis "lancer normalement" 
- Lorsque tu obtiens la photo clique sur OK
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Dans la fenêtre ZHPDiag qui vient de s'ouvrir
- Clique sur le bouton tournevis en haut à droite de la flèche verte et coche toutes les options
- Clique sur la loupe en haut à droite  sans signe  pour lancer l'analyse. 
- Laisse l'outil travailler, il peut être assez long. 
- Ferme ZHPDiag en fin d'analyse. 
- Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le répertoire C:\ZHP
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier". 
- Copie le lien obtenu  dans ta réponse.

Smart

sebju · Answer

impossible de telecharger ZHP diag, il y a eu une pub lexus et elle ne sest pas fermée

sebju · Answer

ci joint le lien pour le fichier zhp

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130706_b13s12r15d10b7

Smart91 · Answer

Désinstalle Spybot, il ne sert à rien et ne fait que ralentir ton PC.

On va supprimer les restes:

Ouvre ce fichier sebju.txt, sélectionne et copie toutes les lignes.

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui 
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes du fichier sebju se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et redémarre le PC

Smart

sebju · Answer

j'ai supprimé spybot et avira a detecte un logiciel malveillant

Dans le fichier 'C:\ProgramData\4649776C66678DE30000464931279240\4649776C66678DE30000464931279240.exe'
un virus ou un programme indésirable 'TR/Winwebsec.A.9650' [trojan] a été détecté.
Action exécutée : Refuser l'accès

sebju · Answer

Rapport de ZHPFix 2013.6.12.3 par Nicolas Coolman, Update du 12/06/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-06-07-2013-21-45-20.txt
Run by Séb at 06/07/2013 21:45:19
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit  (Build 7600)

Corbeille vidée

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Séb\AppData\Local\Temp\Extract.exe
SUPPRIME Memory Process: C:\Users\Séb\AppData\Local\Temp\APNStub.exe

========== Module(s) mémoire ==========
SUPPRIME Memory Module: C:\Users\Séb\AppData\Local\Temp\AskSLib.dll

========== Clé(s) du Registre ==========
SUPPRIME CLSID MPSK: {b54afd5b-bdcf-11e1-80f4-eee7e2794b3e}
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\MyBabylontb_RASAPI32
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\MyBabylontb_RASMANCS
SUPPRIME Key: HKLM\Software\Classes\Prod.cap
SUPPRIME Key: SearchScopes :{016F53D6-1FD1-42E3-8A26-0B636FD5137A}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E

========== Valeur(s) du Registre ==========
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks]:{00000000-6E41-4FD3-8538-502F5495E5FC}
ABSENT URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC}
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
SUPPRIME FirewallRaz (None) : {BCABD5C9-3D84-472B-9119-E955C8802CCB}
SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIME FirewallRaz (Public) : NetPres-In-TCP
SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIME FirewallRaz (None) : {460AD41D-F902-41A4-B602-177DEC61D45A}
SUPPRIME FirewallRaz (None) : {838552B3-1840-4B5A-A790-1CCE8C291860}
SUPPRIME FirewallRaz (None) : {73212722-53EF-44C3-B0E5-6A2C6C19291D}
SUPPRIME FirewallRaz (None) : {8E891BDA-52F2-4589-9CFE-323AF848A587}
SUPPRIME FirewallRaz (None) : {345CB744-1833-4A24-BC86-FC993B10CC69}

========== Dossier(s) ==========
SUPPRIME Folder: C:\ProgramData\4649776C66678DE30000464931279240
SUPPRIME Folder: C:\Users\Séb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus
SUPPRIME Folder: C:\ProgramData\Ask
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichier(s) ==========
SUPPRIME File: c:\users\séb\desktop\system care antivirus.lnk 
SUPPRIME File: c:\programdata\4649776c66678de30000464931279240\4649776c66678de30000464931279240.exe 
SUPPRIME File*: c:\users\séb\appdata\local	emp\extract.exe
SUPPRIME File*: c:\users\séb\appdata\local	emp\apnstub.exe
SUPPRIME File*: c:\users\séb\appdata\local	emp\askslib.dll
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Tache planifiée ==========
SUPPRIME Task: {45DDA636-42E6-40CF-AA68-145462DB888C}
SUPPRIME Task: {47D19D28-1C7A-4A86-BEF5-02E537F7BB39}
SUPPRIME Task: {7E870C1F-B672-400B-9A1B-0A30EB27F8F4}
SUPPRIME Task: {9154D5D4-936C-4B8F-B323-19CD97249DC2}
SUPPRIME Task: {AAE660DA-F9E2-493B-A0DB-6FF68D1D90F2}
SUPPRIME Task: {D31744CF-F69F-4D21-A91C-76E8C5850C33}
SUPPRIME Task: {D566C8B7-A7D8-47DC-8C29-D3E9461CFAD0}


========== Récapitulatif ==========
2 : Processus mémoire
1 : Module(s) mémoire
20 : Clé(s) du Registre
16 : Valeur(s) du Registre
5 : Dossier(s)
7 : Fichier(s)
7 : Tache planifiée


End of clean in 00mn 27s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 06/07/2013 21:45:20 [5353]

Smart91 · Answer

Comment se comporte ton PC ?

Refais un scan ZHPDiag en suivant la procédure que je t'ai donné et poste le rapport via pjjoint.
Ensuite on passe à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

sebju · Answer

Bonjour,
mon pc se comporte pas trop mal voir même très bien vu dans l'etat qu'il etait mercredi , au demarrage avira me dit qu'il manque quelque chose 

ci joint le lien pour le nouveau rapport zhpdiag

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130707_o6h15p7g58

Smart91 · Answer

"au demarrage avira me dit qu'il manque quelque chose " 

Tu peux me dire  quel est exactement le message d'Avira


Smart

sebju · Answer

l'exception unknown software exception (0xc0000417) s'est produite dans l'application à l'emplacement 0x73136 efb

et oracle veut modifier jucheck.eu

Smart91 · Answer

"et oracle veut modifier jucheck.eu" 
On va le régler avec les mises à jour.

Fais les mises à jour suivantes:

Mise à jour SP1 Windows 7:
http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=c3202ce6-4056-4059-8a1b-3a9b77cdfdda
Ou alors par Windows update

Mise à jour IE9
https://support.microsoft.com/en-us/office/internet-explorer-help-23360e49-9cd3-4dda-ba52-705336cc0de2?ui=en-US&rs=en-001&ad=US
Ou alors par Windows update

Mise à jour Java 7 update 25 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Ask" avant de cliquer sur suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 et Java 7 dont l'update est inférieur à 25

Mise à jour Adobe Reader 11.0.02
https://get2.adobe.com/fr/reader/otherversions/
Décoche la case "Inclure dans votre téléchargement la barre Google"

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises à jour disponibles à l'aide de ce petit programme Check&Update de igor 51
Et lis ceci: Pourquoi tenir ses programmes a jour

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie les lignes en gras suivantes :
 
---------------------------------------------------------- 
OPT:O4 - HKCU\..\Run: [ISUSPM] . (.Macrovision Corporation - Macrovision Software Manager.) -- C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
OPT:O4 - HKUS\S-1-5-21-19955673-1749711642-1757133884-1001\..\Run: [ISUSPM] . (.Macrovision Corporation - Macrovision Software Manager.) -- C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe
OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
[HKLM\Software\BrowserChoice]
OPT:SR - | Auto 30/08/2011 462184 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe

---------------------------------------------------------- 
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Télécharge et installe la dernière version de CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

Désinstallation des outils - Réactivation de l'UAC - Purge Restauration et Création d'un point de restauration

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Coche toutes les cases sauf "Faire une sauvegarde du registre"
- Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
- Le rapport sera enregistré dans le presse-papier. Copie/Colle le dans ta prochaine réponse.

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

Installe l'extension de sécurité adblock plus pour bloquer les publicités 
==> https://addons.mozilla.org/fr/firefox/addon/adblock-plus/

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 
Pour Chrome: https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html 

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up publicitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

- Super Important, comme tu es sous Windows 8 : 
Quelques précautions à prendre surtout si tu n'as pas de CD Windows 

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

sebju · Answer

impossible de telecharger ie 10

je n'ai reussi qu'a telecharger sp1 de windows je vais essayer windows update

sebju · Answer

bonsoir

ci joint le nouveau rapport zhpfix

Rapport de ZHPFix 2013.6.12.3 par Nicolas Coolman, Update du 12/06/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-09-07-2013-20-55-16.txt
Run by Séb at 09/07/2013 20:55:15
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: Service: Bonjour Service
SUPPRIME Key*: HKLM\Software\BrowserChoice
ABSENT Key: Service: Bonjour Service

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: ISUSPM
ABSENT RunValue: Adobe Reader Speed Launcher
SUPPRIME RunValue: QuickTime Task
SUPPRIME RunValue: iTunesHelper
ABSENT RunValue: ISUSPM


========== Récapitulatif ==========
3 : Clé(s) du Registre
5 : Valeur(s) du Registre


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 06/07/2013 20:45:20 [5405]
C:\ZHP\ZHPFix[R2].txt - 09/07/2013 20:55:16 [860]

sebju · Answer

ci joint rapport del fix

# DelFix v10.3 - Rapport créé le 09/07/2013 à 21:05:30
# Mis à jour le 08/06/2013 par Xplode
# Nom d'utilisateur : Séb - SÉB-HP
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Séb\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Séb\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #355 [Windows 7 Service Pack 1 | 07/09/2013 16:45:07]
Supprimé : RP #356 [Installed Microsoft Windows Debugging Symbols | 07/09/2013 18:40:25]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

sebju · Answer

impossible de copier

https://addons.mozilla.org/fr/firefox/addon/adblock-plus/

Smart91 · Answer

OK.  Mais il faut être plus explicite, là je ne comprends pas. je ne suis pas devin.

Impossible de copier quoi. Il n'y à rien à copier. Il suffit simplement d'installer ADBlock
 
Smart

sebju · Answer

excuse impossible d'installer

https://addons.mozilla.org/fr/firefox/addon/adblock-plus/

Smart91 · Answer

Tu n'es toujours pas très prolixe ! As-tu bien cliqué sur le bouton ajouter ce module?
As-tu un message d'erreur ?

Smart

sebju · Answer

il y a une fenetre qui me demande si je veux recherchr en ligne un programme permettant d'ouvrir le dossier avec l'extension .pi

je met oui et je tombe sur une fenetre windows qui me propose de telecharger un logiciel permettant d'ouvrir un fichier en .pi

et au fait et les rapports que disent ils ?

cordialement,

System care antivirus

32 réponses

Discussions similaires

Newsletters