Souris qui bouge toute seule/antivirus désactivé/pas de maj win Résolu/Fermé

Question

Bonjour,

Depuis plusieurs semaines, j'ai un virus qui infecte mon ordinateur. Les symptômes sont les suivants : pointeur de la souris qui fait descendre tout seul les barres de navigation dans les fenêtres du navigateur ou d'un logiciel en cours d'utilisation, antivirus tr... mi.... désactivé et impossible à réactiver ou à mettre à jour, mises à jour de windows 7 64 bits qui se chargent à l'arrêt de l'ordinateur mais qui ne s'installent pas au redémarrage. Bref, ça sent le virus...? Pouvez-vous m'aider?

Je vous remercie par avance.

Voici ma config : 

Système d'exploitation	Microsoft Windows 7 Édition Familiale Premium
Version	6.1.7601 Service Pack 1 Build 7601
Informations supplémentaires 	Non disponible
Éditeur	Microsoft Corporation
Ordinateur	UTILISATEUR-PC
Fabricant	System manufacturer
Modèle	System Product Name
Type	PC à base de x64
Processeur	Intel(R) Core(TM) i7-2600K CPU @ 3.40GHz, 3401 MHz, 4 coeur(s), 8 processeur(s) logique(s)
Version du BIOS/Date	American Megatrends Inc. 0606, 24/06/2011
Version SMBIOS	2.6
Répertoire Windows	C:\Windows
Répertoire système	C:\Windows\system32
Périphérique de démarrage	\Device\HarddiskVolume1
Option régionale	France
Couche d'abstraction matérielle	Version = "6.1.7601.17514"
Utilisateur	Utilisateur-PC\Utilisateur
Fuseaux horaires	Paris, Madrid (heure d'été)
Mémoire physique (RAM) installée	8,00 Go
Mémoire physique totale	7,98 Go
Mémoire physique disponible	5,27 Go
Mémoire virtuelle totale	15,9 Go
Mémoire virtuelle disponible	13,2 Go
Espace pour le fichier d'échange	7,98 Go
Fichier d'échange	C:\pagefile.sys

Et voici un lien vers le rapport ZHPDiag :

https://www.cjoint.com/?0Hsm4Sxht4i

cabrier · Answer

Bonjour soni,


---> Télécharge et lance AdwCleaner (merci à Xplode)

http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner

---> Clique sur [Recherche], et poste le rapport sur le forum.

---> Si le rapport ne s'est pas affiché, il se trouve aussi dans : C:\AdwCleaner[R_].txt.

A+

Sonicboy84 · Answer

Merci pour ton aide cabrier,

voici le rapport de adwcleaner :

# AdwCleaner v2.306 - Rapport créé le 18/08/2013 à 15:43:56
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Utilisateur - UTILISATEUR-PC
# Mode de démarrage : Normal
# Exécuté depuis : D:\Downloads\AdwCleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Program Files (x86)\WebSearch
Dossier Présent : C:\ProgramData\BBrowsee2sauvee
Dossier Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BBrowsee2sauvee
Dossier Présent : C:\ProgramData\SoftSafe

***** [Registre] *****

Clé Présente : HKCU\Software\AppDataLow\Software\Crossrider
Clé Présente : HKCU\Software\AppDataLow\SProtector
Clé Présente : HKCU\Software\InstallCore
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
Clé Présente : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr
Clé Présente : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1
Clé Présente : HKLM\SOFTWARE\Classes\Prod.cap
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
Clé Présente : HKLM\Software\SP Global
Clé Présente : HKLM\Software\SProtector
Clé Présente : HKLM\Software\systweak
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Présente : HKU\S-1-5-21-2156404706-3462098561-154260607-1000\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.7601.17514

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v28.0.1500.95

Fichier : C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3513 octets] - [09/07/2013 18:20:22]
AdwCleaner[R2].txt - [1074 octets] - [09/07/2013 21:24:39]
AdwCleaner[R3].txt - [3028 octets] - [18/08/2013 15:43:56]
AdwCleaner[S1].txt - [2961 octets] - [09/07/2013 18:20:49]
AdwCleaner[S2].txt - [1138 octets] - [09/07/2013 21:25:02]

########## EOF - C:\AdwCleaner[R3].txt - [3208 octets] ##########

Dans l'attente de ta solution...
++

Sonicboy84 · Answer

J'ai fait suppression avec adwcleaner mais ça n'a rien donné car j'ai toujours les mêmes symptômes au redémarrage. Voici le rapport de adwcleaner suite à la suppression :


# AdwCleaner v2.306 - Rapport créé le 18/08/2013 à 15:47:29
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Utilisateur - UTILISATEUR-PC
# Mode de démarrage : Normal
# Exécuté depuis : D:\Downloads\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\WebSearch
Dossier Supprimé : C:\ProgramData\BBrowsee2sauvee
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BBrowsee2sauvee
Dossier Supprimé : C:\ProgramData\SoftSafe

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Crossrider
Clé Supprimée : HKCU\Software\AppDataLow\SProtector
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
Clé Supprimée : HKLM\Software\SP Global
Clé Supprimée : HKLM\Software\SProtector
Clé Supprimée : HKLM\Software\systweak
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.7601.17514

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v28.0.1500.95

Fichier : C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3513 octets] - [09/07/2013 18:20:22]
AdwCleaner[R2].txt - [1074 octets] - [09/07/2013 21:24:39]
AdwCleaner[R3].txt - [3269 octets] - [18/08/2013 15:43:56]
AdwCleaner[S1].txt - [2961 octets] - [09/07/2013 18:20:49]
AdwCleaner[S2].txt - [1138 octets] - [09/07/2013 21:25:02]
AdwCleaner[S3].txt - [3081 octets] - [18/08/2013 15:47:29]

########## EOF - C:\AdwCleaner[S3].txt - [3141 octets] ##########

cabrier · Answer

Soni,

Vu,


Télécharge sur le bureau Roguekiller (by tigzy)
Choisis la version correspondant à ta machine (x64 si 64 bits)
*    Quitte tous les programmes en cours
*    Lance RogueKiller.exe.
*    Attends que le Prescan ait fini ...
Une fenêtre apparait sur l'accord de licence "Accepte"
*    Clique sur Scan.

Clique sur Rapport et copie/colle le contenu du notepad

(le rapport est également sur le bureau)

* Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois, ou renomme le en winlogon.exe 

Et si ça ne marche toujours pas , lance le en mode sans échec avec prise en charge du réseau.
====================
Aide ici : https://www.malekal.com/demarrer-windows-mode-sans-echec/ 
 
a+

Sonicboy84 · Answer

Analyse de roguekiller effectué : RogueKiller V8.6.5 _x64_ [Aug 5 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.adlice.com/forum/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Utilisateur [Droits d'admin] Mode : Recherche -- Date : 08/18/2013 19:04:27 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 5 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : Google Update ("C:\Users\Utilisateur\AppData\Local\Google\Update\GoogleUpdate.exe" /c [7]) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2156404706-3462098561-154260607-1000\[...]\Run : Google Update ("C:\Users\Utilisateur\AppData\Local\Google\Update\GoogleUpdate.exe" /c [7]) -> TROUVÉ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (:0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Tâches planifiées : 4 ¤¤¤ [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-2156404706-3462098561-154260607-1000UA.job : C:\Users\Utilisateur\AppData\Local\Google\Update\GoogleUpdate.exe - /ua /installsource scheduler [7][x] -> TROUVÉ [V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-2156404706-3462098561-154260607-1000Core.job : C:\Users\Utilisateur\AppData\Local\Google\Update\GoogleUpdate.exe - /c [7] -> TROUVÉ [V2][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-2156404706-3462098561-154260607-1000Core : C:\Users\Utilisateur\AppData\Local\Google\Update\GoogleUpdate.exe - /c [7] -> TROUVÉ [V2][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-2156404706-3462098561-154260607-1000UA : C:\Users\Utilisateur\AppData\Local\Google\Update\GoogleUpdate.exe - /ua /installsource scheduler [7][x] -> TROUVÉ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3500413AS ATA Device +++++ --- User --- [MBR] 742e1210343ce1c1ca2fe5c52b6beb61 [BSP] 265b23486b48ecfda96821a4365b6d31 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 476938 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: ST3500413AS ATA Device +++++ --- User --- [MBR] 565e2e1f5b258a09d1f157acbd79feb1 [BSP] c236ccdfc4ba48bb2daf4d6f5dda54e2 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 114371 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_08182013_190427.txt >> Des clés de registre erronées ont été trouvées et au niveau d'un proxy également. Je tente les supprimer et de redémarrer à nouveau. Je te tiens au courant si ça fonctionne.

Sonicboy84 · Answer

après suppression des clés de registre trouvées et redémarrage, rien à changer. J'essaie autrement avec prise en charge du réseau.

Sonicboy84 · Answer

J'ai supprimée une clé proxy en + en mode sans échec réseau avec roguekiller. Je vais redémarrer en normal, on va voir. Le dernier rappport après suppression : RogueKiller V8.6.5 _x64_ [Aug 5 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.adlice.com/forum/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Utilisateur [Droits d'admin] Mode : Recherche -- Date : 08/18/2013 19:41:03 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Corsair Force GT ATA Device +++++ --- User --- [MBR] 565e2e1f5b258a09d1f157acbd79feb1 [BSP] c236ccdfc4ba48bb2daf4d6f5dda54e2 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 114371 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: Corsair Force GT ATA Device +++++ --- User --- [MBR] 742e1210343ce1c1ca2fe5c52b6beb61 [BSP] 265b23486b48ecfda96821a4365b6d31 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 476938 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive2: Corsair Force GT ATA Device +++++ --- User --- [MBR] a65cf760d43b336347fb57bc883ace24 [BSP] 39cc44575b71c8e70f97ed1007b4e215 : Windows XP MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 953867 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[0]_S_08182013_194103.txt >> RKreport[0]_D_08182013_191031.txt;RKreport[0]_D_08182013_191127.txt;RKreport[0]_S_08182013_190427.txt RKreport[0]_S_08182013_191120.txt;RKreport[0]_S_08182013_191541.txt;RKreport[0]_S_08182013_193421.txt

Sonicboy84 · Answer

Cela n'a rien changé.... zut.

cabrier · Answer

OK on va faire un diagnostic plus complet !


* Télécharge >ZHPDiag< (de Nicolas Coolman) sur ton bureau,
/!\Il est très important de l'enregistrer sur le bureau / !\  
* Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
/!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
/!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\
* A l'ouverture le programme te proposes "Rechercher" et "Configurer" - Clique sur "Configurer"
* Des icônes apparaissent en bas de la fenêtre.  Clique sur le tournevis en bas à droite et choisis "Tous" puis "OK"
* Maintenant clique sur "Rechercher".
* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
* Laisse l'outil travailler, il peut être assez long. 
* Le rapport s'ouvre dans le bloc note, ferme le car il est aussi enregistré sur ton bureau sous le nom ZHPDiag.txt et dans le dossier où est installé ZHPDiag (en général C:\ZHP\). 
* Transmets moi le lien du fichier par l'intermédiaire d'un dépôt de fichiers.
* Rappel des dépôts : cijoint ou  pjoint

PS Voici un tuto pour t'aider si besoin !
http://www.forum-entraide-informatique.com/support/zhpdiag-tutoriel-t4831.html




A+ 
 
--------Contributeur Sécurité---------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

Sonicboy84 · Answer

Le rapport de ZHPDiag :

https://www.cjoint.com/c/CHswbuQxg1C

Je vais me pencher sur le tuto. Merci pour tes réponses.

cabrier · Answer

Soni,


* Télécharge Malwaresbytes anti malware ici
* Choisis la version -Download Now-
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installation ) et mets le à jour .
* Tu as un tuto si tu en as besoin : tuto

* Avant de lancer le programme Déconnecte toi d'Internet et ferme toutes tes applications.

* /I\ Sous Vista ou Seven ---> clic droit "Exécuter en tant qu'administrateur"/I\
* Clique sur l'onglet "Mise à jour" si celle ci ne t'a pas été proposée lors de l'installation.
* Clique ensuite sur l'onglet "Recherche" puis coche "Exécuter un examen Complet"
* Le scan peut durer plusieurs heures, aussi ne t'impatiente pas et laisse tourner le programme sans rien faire d'autre sur ta machine.
* Lorsque le scan est terminé clique sur "Afficher les résultats"
* Vérifie que toutes les lignes des objets infectés soient cochées, puis clique sur "Supprimer la sélection"

PS : Redémarre ta machine pour achever le nettoyage.

* Enregistre-le rapport de Suppression (onglet "rapport/log", le dernier en date) dans un endroit approprié pour le retrouver et héberge-le sur cijoint ou  pjoint

*  Envoie-moi le lien fourni dans ta prochaine réponse.

A+

Sonicboy84 · Answer

Bonjour,

J'ai suivi la méthode indiquée avec Malwaresbytes anti malware mais cela n'a détecté aucune menace comme le montre le rapport :

https://www.cjoint.com/c/CHtlrXiIBxk

Une autre solution ?

cabrier · Answer

Bonjour Soni,


RAS pour Mbam, tant mieux


Ton Adobe Reader n'est pas à jour !
---ici la mise à jour mais décoche Mc Afee ---> https://get2.adobe.com/fr/reader/otherversions/



Ce script va cibler certains éléments à supprimer :

* Copie tout le texte ci-dessous (en gras et italique) tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C


O42 - Logiciel: BrowseToSave - (...) [HKLM][64Bits] -- {28999389-98C3-40AC-A247-D0E1F37AB17F}
O42 - Logiciel: Search Assistant WebSearch 1.74 - (...) [HKLM][64Bits] -- SP_4e24eecb 
O43 - CFD: 12/08/2013 - 19:24:00 - [0,471] ----D C:\Program Files (x86)\BrowseToSave 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{28999389-98C3-40AC-A247-D0E1F37AB17F}] 
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110011441179}]   
[HKCU\Software\Classes\MF]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SP_f2a323db]
C:\Program Files (x86)\BrowseToSave 
O4 - GS\Desktop: HyperSonic4.lnk . (...)  -- D:\Mes Jeux Vidéos\Hyper 4\Installation\HyperSonic4\HyperSonic4.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{0EE9B400-95A0-4875-8A70-DC4ECEC2FC7C}] (...) -- F:\OriginInstaller.exe (.not file.)   [0] 
[MD5.00000000000000000000000000000000] [APT] [{7328C675-D8CC-473F-8E73-AA622D0EC37B}] (...) -- D:\Desktop\cjb2400FR.exe (.not file.)   [0]
O43 - CFD: 12/08/2013 - 19:24:56 - [0] ----D C:\ProgramData\StarApp
O51 - MPSK:{3f0470a0-533a-11e2-8fd2-f46d0450308f}\AutoRun\command. (...) -- G:\AcerCloudSetup.exe (.not file.)
EmptyFlash
EmptyCLSID
FirewallRAZ



* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPFix.exe, « exécuter en tant qu'Administrateur »/ !\ 
* Clique sur la 2ème icône en haut à gauche ("coller le presse-papier")
Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) 
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre. 
* Clique sur le bouton «GO » pour lancer le nettoyage 
* Le rapport s'ouvre automatiquement après l'exécution du script. Il se trouve aussi sous C:\ZHP\ZHPPFix[R1].txt
* Transmets-moi le lien du fichier par un dépôt de fichier sur un de sites ci-dessous
*Rappel des dépôts : cijoint ou  pjoint
-------------------------------------------------------------
Lors de l'utilisation de Zhpfix le processus "explorer exe" peut se fermer.
Ton bureau apparaitra sans icones et sans barre des taches.
Pour relancer "explorer.exe" appuie simultanément sur les touches ctrl+alt+suppr pour ouvrir le gestionnaire de tâches.
Cliques sur "fichier" et sur "nouvelle tâche" et dans le champ de saisie, tu tapes explorer.exe et cliques sur OK.

A+ 


PS: Le P2P et les cr...ks ou key...s sont très dangereux. Ce n'est pas étonnant que tu sois infecté.

Sonicboy84 · Answer

Voici le rapport de suppression de ZHPFix en lien :

https://www.cjoint.com/c/CHtpW50Y8LD

J'ai contacté le support de mon antivirus, installer la maj 2013 de celui-ci, fait une analyse avec leur outil d'analyse à distance... 0 virus détectés.

Maintenant au démarrage, je n'ai plus qu'à activer l'anti-virus une fois (alors qu'il se lance pourtant automatiquement)...  comme quoi y'a du progrès.

Par contre, mes barres de fenêtres défilent encore toutes seules et j'ai toujours l'application acercloud qui se lance au démarrage, me demande mes identifiants et ensuite qui plante et ne peux pas envoyer le rapport d'erreur alors que l'ordinateur est bien connecté à internet.

Help please...

MAJ d'adobe reader effectuée.

cabrier · Answer

Sonic,

On continue.


¶ Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
¶ Branche TOUTES tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
¶ Fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'.
¶ Au menu principal, clique sur "Suppression"
¶ Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
¶ Laisse travailler l'outil jusqu'au bout
¶ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse. 
 

Si après USBFix Acer Cloud t'enquiquine toujours je te donnerai un fix à faire avec ZHPFix pour le supprimer !


A+
--------Contributeur Sécurité---------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

chimay8 · Answer

Salut,
hésite pas à relancer RK avec le mode suppression des fichiers Hosts ;-)
 
 
--

Sonicboy84 · Answer

Voici le rapport d'USBfix :

https://www.cjoint.com/?3HulypjAg6H

Cela n'a pas changé toujours la navigation des fenêtres qui descend et antivirus toujours désactivé au démarrage.

RK en raz hosts n'a rien changé non plus.

cabrier · Answer

Sonic,


Tu ne m'as pas répondu pour AcerCloud non plus que pour tes Cr...ks ou K...s !


¶ Télécharge OTL sur ton Bureau.
¶ Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
¶ Sous Personnalisation, copie-colle ce script :

netsvcs
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
winsock.*
/md5stop
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT 
SAVEMBR:0
CREATERESTOREPOINT

¶ Coche la case "tous les utilisateurs" puis clique sur le bouton "Analyse"
¶ Patiente pendant l'analyse jusqu'à l'apparition des deux rapports OTL.txt et Extras.txt
¶ Rends toi sur cijoint ou  pjoint, clique sur "Parcourir", sélectionne le rapport de OTL et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. 
 

A+

Sonicboy84 · Answer

J'ai désinstallé et réinstallé Acercloud et ça fonctionne à nouveau. Pour les c... et les k..., oui c'est pas bien mais tout marchait bien jusqu'à présent... Je me demande si je ne vais pas en désinstaller. Tout rentrerait peut-être dans l'ordre...

+

Sonicboy84 · Answer

Rapport d'OTL

https://www.cjoint.com/?3HupTzIQ21R

cabrier · Answer

Sonic,

Ok pour Acer Cloud, c'était la bonne solution.

Pour les C... et K.... dis-toi bien que 99,9% sont infectés, mais en ce qui te concerne c'est trop tard, dés lors que tu le lances c'est fait !!!!
Reste à trouver ce qu'ils ont fait ou modifié sur ton système.


Je vais examiner le rapport OTL mais ça demande un peu de temps !

A+

cabrier · Answer

Sopnic,

1 - Génial ! - De nouvelles infections sont apparues depuis le premier scan !!!!!

2 - Daemon tool et son résident peuvent masquer certaines infections. On va le neutraliser :

* Télécharge Defogger (de jpshortstuff) sur ton bureau
* Double-clique sur DeFogger.exe pour démarrer l'outil (ou clic droit et exécuter en tant qu'administrateur sous Vista),
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
 

3 - Tu as installé des programmes EoRezo ou PCTuto, sais-tu que le service transmet certaines informations ? comme par exemple ton adresse, numéro de télephone qui ont été saisis lors de l'inscription ?
EoRezo modifie aussi ta page de démarrage vers lo.st, il se peut aussi que ce site transmette certaines informations.
Enfin il ouvre des popups de publicités vers regiedepub.com
Bref ça installe un adware.

Documentation : https://forum.malekal.com/viewtopic.php?t=18245&start=

Si tu souhaites désinstaller, les programmes EoRezo/PCTuto,

- vas dans Programmes et Fonctionnalités du Panneau de configuration

Puis désinstalle les programmes contenant :
PCtuto / Tuto /
Agence Exclusive ou Agence
Update ou Software Update ou Application Updater.

Change ta page de démarrage si c'est lo.st :
Pour Internet Explorer : Menu Outils puis Options Internet et tu changes ta page de démarrage.
Pour Firefox : Menu Outils puis Options et change la page de démarrage.

4 - Désinstalle ReBootCleaner ---> sert à rien.

5 - Désinstalle eSafe Security, contients adware et Cie et sert à rien.

6 - Désinstalle Wajam ----> publiciel !

7 - Relance un AdwCleaner en mode [Suppression] et donne moi le lien du rapport.


A+


--------Contributeur Sécurité---------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

Sonicboy84 · Answer

Merci cabrier pour tous ces conseils, je vais me pencher là-dessus.

Je te tiens au courant. ++

Sonicboy84 · Answer

Ok, j'attends ton feu vert pour re-enable defogger...

Suppression dans les programmes de : PCTuto, Eorezo, Wajam mais pas de Agence Exclusive ou Agence Update ou Software Update ou Application Updater, esafe security, rebootcleaner. 
Superantispyware déjà supprimé avant. 

J'ai fait la modif' de la page de démarrage d'internet explorer mais je n'ai pas vu la page lo.st. J'utilise d'ailleurs exclusivement google chrome.

Non, les problèmes n'ont pas commencé avec Trend Micro et la dernière installation de l'upgrade à améliorer les choses. Ce matin Trend micro ne s'est pas encore désactivé dans le pare-feu windows. J'ai pu faire les maj windows qu'il me manquait, il y a 2 jours. Non, ça s'améliore, il me reste ce problème de souris, voilà tout.

Voici le rapport de suppression d'adwcleaner, bonne réception :

https://www.cjoint.com/?3HvlDni24Wu

Merci pour ton aide.

cabrier · Answer

Sonic,


Bien, c'est déjà mieux !

------
Reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprime/désactive les extensions inutiles/parasites :
* Internet Explorer et modules complémentaires / moteurs de recherche : reparametrer-internet-explorer-modules-complementaires-t41399.html
* Firefox : firefox-extensions-page-demarrage-recherche-t36057.html
* Google Chrome : google-chrome-parametrage-moteur-suppression-extensions-t35837.html


Allez un petit ZHPDiag de contrôle si tu veux bien !

J'attends ce rapport.

A+

Sonicboy84 · Answer

Reparamétrage effectué et je n'ai pas trouvé de traces de moteurs de recherche pernicieux ou d'extensions dangereuses.

Par contre mon problème n'est pas arrangé car on peut voir dans le rapport des clés suspectes sur le registre de C : eorezo, agence exclusive, esafesecurity.

adwcleaner n'as pas réussi à les supprimer ???

Le lien vers le rapport : 

https://www.cjoint.com/?3HvoBooA669

A +

cabrier · Answer

Sonic,

"adwcleaner n'as pas réussi à les supprimer ??? "
Il peut toujours subsister des restes , c'est le cas ici avec :

O4 - HKLM\..\Wow6432Node\Run: [tuto4pc_fr_53] Clé orpheline  =>PUP.Eorezo
par exemple! mais c'est une clé de base de registre qui lance un programme qui n'existe plus. On va supprimer cette clé mais elle pourrait rester sans nuire à quoi que ce soit.

par contre tu n'utilises pas la dernière version de ZHPDiag !
La dernière c'est celle-ci : ZHPDiag 2013.8.20.29
Donc ta version non à jour, ne détecte pas les derniers malwares.

Tu télécharges la dernière version et tu refais le ZHPDiag STP.
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


A+

--------Contributeur Sécurité---------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

Sonicboy84 · Answer

Avec la dernière version de zhp :

https://www.cjoint.com/?3HvpOHGIBJ8

Oui autant les supprimer, je vais lancer le nettoyeur de registre de ccleaner. On verra bien.

Par contre, as-tu un logiciel qui permet de s'assurer que tous les logiciels de recherche anti-virus utilisés ont bien été enlevés ?

++

cabrier · Answer

Sonic,


Non ne lance rien, CCleaner ne peut pas grand chose.

Par contre  le rapport ZHPDiag me donnera les éléments restants et les cochonneries restantes.
je regarde !

A+

cabrier · Answer

Sonic,

Ce script va cibler certains éléments à supprimer :

* Copie tout le texte ci-dessous (en gras et italique) tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C


O4 - HKLM\..\Wow6432Node\Run: [tuto4pc_fr_53] Clé orpheline  =>PUP.Eorezo
[HKCU\Software\InstallCore]
[HKCU\Software\TutoTag] 
[HKLM\Software\Wow6432Node\Tutorials]
O43 - CFD: 20/08/2013 - 12:09:12 - [0,261] ----D C:\Users\Utilisateur\AppData\Roaming\eIntaller 
O61 - LFC: 20/08/2013 - 11:07:07 ---A- C:\Users\Utilisateur\AppData\Roaming\eIntaller\FB3BEFCF13A24535B94F41E78260A0AC\eGdpSvc.exe   [21268] 
O61 - LFC: 20/08/2013 - 11:07:07 ---A- C:\Users\Utilisateur\AppData\Roaming\eIntaller\FB3BEFCF13A24535B94F41E78260A0AC\eXQ.exe   [21256] 
O61 - LFC: 20/08/2013 - 11:09:13 ---A- C:\Users\Utilisateur\AppData\Roaming\eIntaller\06262738A4704a53A11C16DD2E4ACD88\eGdpSvc.exe   [21268]  
O61 - LFC: 20/08/2013 - 11:09:13 ---A- C:\Users\Utilisateur\AppData\Roaming\eIntaller\06262738A4704a53A11C16DD2E4ACD88\eXQ.exe   [21256] 
[HKLM\Software\Wow6432Node\Tutorials]   =>Spyware.AgenceExclusive
[HKCU\Software\InstallCore] 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:tuto4pc_fr_53   
C:\Users\Utilisateur\AppData\Roaming\eIntaller 
[HKCU\Software\TutoTag]  
O4 - HKLM\..\Run: [EzPrint] . (.Lexmark International Inc. - Lexmark Fast Pics Application.) -- C:\Program Files (x86)\Lexmark 2400 Series\ezprint.exe
O4 - GS\Desktop: HyperSonic4.lnk . (...)  -- D:\Mes Jeux Vidéos\Hyper 4\Installation\HyperSonic4\HyperSonic4.exe (.not file.)    => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{AF0FD175-B3CA-4F06-8C43-178C03253954}] (...) -- G:\AcerCloudSetup.exe (.not file.)   [0] 
O43 - CFD: 05/07/2012 - 22:24:50 - [0] ----D C:\Users\Utilisateur\AppData\Local\2012 
O44 - LFC:[MD5.6F1E5E7A1242EC6AB2AAC7C965A36C21] - 20/08/2013 - 17:01:05 ---A- . (...) -- C:\Windows\DirectX.log   [124985]    => Fichiers de rapport (Log)
O44 - LFC:[MD5.31627B8ECF87B65B713B50AABBB2BFEF] - 20/08/2013 - 10:03:56 ---A- . (...) -- C:\Upload_UsbFix.zip   [147192518] 
O44 - LFC:[MD5.231B948E1E6E3DBFF34E33392A7373E3] - 20/08/2013 - 10:03:56 ---A- . (...) -- C:\UsbFix [Clean 2] UTILISATEUR-PC.txt   [14410] 
O44 - LFC:[MD5.C4083F60F1F1E04AD54326F18087193F] - 12/08/2013 - 18:20:33 ---A- . (...) -- C:\Windows\SysNative\RaCoInst.log   [1365] 
O44 - LFC:[MD5.C4083F60F1F1E04AD54326F18087193F] - 12/08/2013 - 18:20:33 RSHAD . (...) -- C:\Windows\System32\RaCoInst.log   [1365] 
O51 - MPSK:{3f0470a0-533a-11e2-8fd2-f46d0450308f}\AutoRun\command. (...) -- O:\AcerCloudSetup.exe (.not file.) 
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ



* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPFix.exe, « exécuter en tant qu'Administrateur »/ !\ 
* Clique sur la 2ème icône en haut à gauche ("coller le presse-papier")
Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) 
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre. 
* Clique sur le bouton «GO » pour lancer le nettoyage 
* Le rapport s'ouvre automatiquement après l'exécution du script. Il se trouve aussi sous C:\ZHP\ZHPPFix[R1].txt
* Transmets-moi le lien du fichier par un dépôt de fichier sur un de sites ci-dessous
*Rappel des dépôts : cijoint ou  pjoint
-------------------------------------------------------------
Lors de l'utilisation de Zhpfix le processus "explorer exe" peut se fermer.
Ton bureau apparaitra sans icones et sans barre des taches.
Pour relancer "explorer.exe" appuie simultanément sur les touches ctrl+alt+suppr pour ouvrir le gestionnaire de tâches.
Cliques sur "fichier" et sur "nouvelle tâche" et dans le champ de saisie, tu tapes explorer.exe et cliques sur OK.

A+

Sonicboy84 · Answer

voici le rapport :

https://www.cjoint.com/?3HvurQWDzzw

... mais ma souris bouge encore et alors que la protection anti-virus est activée au début, elle se désactive... c'est pas encore ça...

++

cabrier · Answer

Sonic,


Bon on va employer les grands moyens !


Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection (antivirus et pare-feu) et ferme toutes les fenêtres ouvertes avant de l'utiliser.

¶ Télécharge ComboFix (de sUBs) sur ton Bureau.
¶ Double-clique sur ComboFix.exe afin de le lancer.
¶ Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
¶ Ne touche à rien pendant le scan.
¶ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuie sur la touche entrée du clavier.

Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
 

A+

Sonicboy84 · Answer

https://www.cjoint.com/?3HvvQaCYlaE

J'essaie en mode sans échec demain car j'ai encore les symptômes...

Merci pour ton temps et ton aide.

++

Sonicboy84 · Answer

Salut Cabrier,

Désolé mais je n'ai pas de touchpad... Je sais bien que les malwares sont vicieux (enfin maintenant) mais je te promets que j'ai mes pages de navigateur et de logiciel qui se déroulaient toutes seules... Très curieux.

Au niveau du hardware, j'ai installé Setpoint de logit... pour ma souris, ça a l'air d'être une mise à jour pour win 7 64 bits. Avec un peu de réussite, je n'aurai plus le problème.

Merci encore à toi pour tout le temps passé. Je clôture le sujet.

A + tard (en cas d'autres problèmes mais je vais faire attention avec les C et K maintenant c'est promis !)

Sonicboy

chimay8 · Answer

Sinon...heu!!!!

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]  
 
--

Souris qui bouge toute seule/antivirus désactivé/pas de maj win

35 réponses

Discussions similaires