Virus de redirection ihavenet.frRésolu/Fermé

Question

Bonjour,

Newsbuster et Ihavenet sont sur mon PC et ces virus de redirection sont persistants. J'ai suivi un tuto pour générer un rapport OTL, voici le lien vers ce rapport. Quelqu'un peut m'aider?

https://pjjoint.malekal.com/files.php?id=20131004_f12z6f9r15o15

Smart91 · Accepted Answer

Bonjour,

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Lance AdwCleaner
- Clique sur "Scanner"
- Une fois l'ananlyse terminée, clique sur"Nettoyer". 
- Patiente le temps du nettoyage.
- Une fois le scan fini, il se peut qu'il te sera proposé de redémarrer.
- Au redémarrage du PC, un rapport s'ouvrira. Poste le contenu dans ta prochaine réponse.
 
Smart

Senselia · Answer

Merci pour ton message. J'ai suivi ces étapes voici le rapport:

# AdwCleaner v3.006 - Rapport créé le 04/10/2013 à 17:54:19
# Mis à jour le 01/10/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Sarah - SARAH-HP
# Exécuté depuis : C:\Users\Sarah\Desktop\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\ Internet Explorer v9.0.8112.16506


-\ Mozilla Firefox v24.0 (fr)

[ Fichier : C:\Users\Sarah\AppData\Roaming\Mozilla\Firefox\Profiles\xmizkoqv.default-1375202188922\prefs.js ]


-\ Google Chrome v30.0.1599.66

[ Fichier : C:\Users\Sarah\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [946 octets] - [04/10/2013 17:53:52]
AdwCleaner[S0].txt - [868 octets] - [04/10/2013 17:54:19]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [927 octets] ##########

Smart91 · Answer

OK maintenant tu vas faire ceci:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, 

- Double clique sur ZHPDiag2 et suis les instructions. 
/!\Utilisateurs de Vista, Windows 7 et Windows 8 : Clique droit sur le logo de ZHPDiag, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
(/!\L'outil a créé 3 icônes ZHPDiag et ZHPFix et MBRCheck) 
-  Double clique sur le raccourci ZHPDiag (Parchemin) sur ton Bureau pour le lancer.
- Si tu possèdes Avast comme antivirus, à l'alerte choisis "lancer normalement" 
- Dans la fenêtre ZHPDiag qui vient de s'ouvrir, clique sur "Configurer"
- Clique sur la loupe en bas à droite sans signe pour lancer l'analyse.
- Clique sur OUI à la question "Voulez-vous un rapport full options"
- Laisse l'outil travailler, il peut être assez long. 
- Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau 
- Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche sur ton bureau le fichier ZHPDiag.txt
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier". 
- Copie le lien obtenu  dans ta réponse.

Un tutoriel en images pour t'aider
 
Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Senselia · Answer

Merci de votre réponse, voici le lien:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131004_f13w8f5x5o12

Smart91 · Answer

Surprenant que AdwCleaner n'ait rien trouvé. Car tu as une palanqué d'adware et de programmes indésirables.

Peux-tu relancer AdwCleaner en faisant clic droit > Exécuter en tant qu'administrateur et choisir supprimer et poster le rapport.

Smart

Senselia · Answer

j'ai utilisé la commande Nettoyer - je n'ai pas trouvé supprimé - voici le rapport:

# AdwCleaner v3.006 - Rapport créé le 04/10/2013 à 18:56:40
# Mis à jour le 01/10/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Sarah - SARAH-HP
# Exécuté depuis : C:\Users\Sarah\Desktop\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\ Internet Explorer v9.0.8112.16506


-\ Mozilla Firefox v24.0 (fr)

[ Fichier : C:\Users\Sarah\AppData\Roaming\Mozilla\Firefox\Profiles\xmizkoqv.default-1375202188922\prefs.js ]


-\ Google Chrome v30.0.1599.66

[ Fichier : C:\Users\Sarah\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [946 octets] - [04/10/2013 17:53:52]
AdwCleaner[R1].txt - [1065 octets] - [04/10/2013 18:55:03]
AdwCleaner[S0].txt - [1006 octets] - [04/10/2013 17:54:19]
AdwCleaner[S1].txt - [988 octets] - [04/10/2013 18:56:40]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1047 octets] ##########

Smart91 · Answer

Bon toujours pareil.
On va d'abord lancé un autre outil et ensuite on enlèvera manuellement

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart

Senselia · Answer

J'ai suivi ces étapes voici le lien vers le rapport:

https://pjjoint.malekal.com/files.php?id=20131005_v8b14w7n5d11

Smart91 · Answer

Tu n'as pas sélectionné toutes les lignes avant de supprimer.
Il faut recommencer, désolé
Poste le rapport et redémarre le PC
 
Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Senselia · Answer

Voici le lien j'ai tout sélectionné pour la suppression. 

https://pjjoint.malekal.com/files.php?id=20131005_e5s14l10c12g8

Smart91 · Answer

Evite de télécharger depuis les site de Softronic. Ce site intègre des programmes indésirables et des publiciels avec les logiciels que tu télécharges.
Je te conseille également de changer tes mots de passe (banque site d'achat, facebook, etc.)

Relance Malwarebytes et vide la quarantaine.

Comment se comporte ton PC ?

Refais un scan ZHPDiag en suivant la procédure que j'avais indiquée et poste le rapport via pjjoint.

Smart

Senselia · Answer

Merci pour ces conseils que je vais suivre.

Avec Malwarebytes je fais un examen d'abord ou je peux cliquer directement pour tout supprimer?

Smart91 · Answer

Non tu ouvres simplement MBAM (Malwarebytes) tu vas dans l'onglet quarantaine et  tu cliques sur "tout supprimer"

Ensuite tu fais le scan ZHPDiag comme je l'ai demandé.

Smart

Senselia · Answer

J'ai cliqué sur quelques liens google il y a eu une amélioration ça a marché une dizaine de fois et le virus a refait son apparition. Voici le rapport demandé:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131005_k7r12u15h10b8

Smart91 · Answer

Il faudra que tu installes un anti-virus. On verra cela une fois la désinfection terminée.

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

Ouvre ce fichier Senselia.txt, sélectionnes toutes les liges et copie les.

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 ou Windows 8 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..."Tu réponds Oui"
- Clique sur le bouton "IMPORTER"
- Les lignes du fichier Senselia se collent automatiquement dans ZHPFix, sinon colle les lignes
NB:Dans certains cas, sous Windows 8, le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER"
- Clique sur le bouton « GO »  pour le lancer le nettoyage
- A la demande, confirme le nettoyage des données en cliquant sur [OK]
- Patiente le temps du traitement.
- ZHPFix va te demander si tu souhaites vider ta corbeille, clique sur ton choix (le traitement peut être long suivant la quantité de données à supprimer)
- Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau 
- Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt
- Copie/colle la totalité du rapport dans ta prochaine réponse

Et redémarre le PC
 
Smart

Senselia · Answer

Bonjour,
Une fenêtre s'ouvre quand je clique sur Importer qui dit
"Exemples:
Script ZHPFix (ligne obligatoire)
C:\Program Files\MagniPic
[HKEY_CURRENT_USER\Software\MagniPic]
[HKEY_USERS\S-1-5-18\Contro lMagniPic]
[HKCU\Software\MagniPic]"

Elle apparaît aussi quand je copie les lignes et clique sur Go.

Smart91 · Answer

C'est de ma faute. J'ai modifié le fichier senselia.
Recommence et poste le rapport.

Smart

Senselia · Answer

J'ai redémarré le PC et cliqué sur des liens google ça semble marcher. Voici le rapport:

Rapport de ZHPFix 2013.10.1.2 par Nicolas Coolman, Update du 02/10/2013
Fichier d'export Registre : 
Run by Sarah at 06/10/2013 14:05:21
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Logiciels ==========
ABSENT Uninstall Process: c:\program files (x86)\feven\uninstall.exe

========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\Program Files (x86)\Feven\Feven-codedownloader.exe
SUPPRIMÉ: Memory Process: C:\Program Files (x86)\Feven\Feven-enabler.exe
SUPPRIMÉ: Memory Process: C:\Program Files (x86)\Feven\Feven-updater.exe
SUPPRIMÉ: Memory Process: C:\Users\Sarah\AppData\Local\Temp\Extract.exe
SUPPRIMÉ: Memory Process: C:\Users\Sarah\AppData\Local\Temp\uninst1.exe

========== Etat des services ==========
ESGIGUARD Arrêté

========== Clés du Registre ==========
SUPPRIMÉ Logiciel Key: [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Feven]
SUPPRIMÉ: HKCU\Software\Allin1Convert_8h
SUPPRIMÉ: HKCU\Software\AppDataLow\Software\Allin1Convert_8h
SUPPRIMÉ: HKCU\Software\AppDataLow\Software\Feven
SUPPRIMÉ: HKCU\Software\AppDataLow\Software\addlyrics
SUPPRIMÉ: HKCU\Software\USyndication
SUPPRIMÉ: HKCU\Software\usyndication.com
SUPPRIMÉ: HKLM\Software\Wow6432Node\Allin1Convert_8h
SUPPRIMÉ: HKLM\Software\Wow6432Node\StarterTV
SUPPRIMÉ:*  StartupReg: Iminent
SUPPRIMÉ:*  StartupReg: IminentMessenger
SUPPRIMÉ:*  StartupReg: tuto4pc_fr_23
ERREUR: Service LEGACY_ESGIGUARD
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\482AA67AD25E6E74E9F48BD5FBE8533C
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\F092B960893592640A90584BCB4B1B9B
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\B2FD9C0A5B9838449838816A28001F4B
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\07D5290CDBDAE4242926B8E6CA650501
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E3D8A5B48622A445A7DF73FEFF32C3F
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\789034A89BAC50E4782F0A7BDBF75632
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4318DF19719275242801CBE292063A4C
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\45FC115D1FEAEF849A4E1610D6EC8BF0
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\46A5861A389ADB844AF89E31BC9DF0A1
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49B0E1A6FF50BBE4289E4E23DE6EA0C7
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4CCCAC049F34D0540AAC13011398BEDB
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5C4389D0BFB302C479DE4178BD5D9EBA
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5D2B09BDEF4FE54418E6F3373CDBC7AC
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\61B65D3397A1FBF4CB1571B5E4F6B5B0
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\68E8A05C60DD9254591DBD16C94EDDBF
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\697E782CF574CC34CBB9566440BA12BC
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AE27A8613CF7EA4782F2886F67295E5
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\75D5168E5E176C24981B4E5DBD991078
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7CE172051F585E04187BCB97570BFA74
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\86A901BA5265452499DCBF719C378EE3
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8724E58E6C7D00C48A0D4F3345EB2C26
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\88ABD1CD5C40EC84789A7F6EF86DAC5E
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9A4B7EF3789F871419D9302583B20C15
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A6C53B0F76C44004A8F36716213017DB
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AB676B0E1B9EFA049B9F7DDDA9645734
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B31BBB0B825EDEF45AB0FE7099C68C81
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B471D8D7319336B4CA89374ED0D7B806
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B59F2D8189784CC46A4597F2842480B0
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BC30043663AA2CA4DA1DAA9CA5FDCC75
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BD746FB95FB8E5B45BF66BE54D5FD91F
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CCF399FCD6D2D3F46BF02A1378654FC9
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D149C1355C98DE24E82CEFBD996FE06A
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DB59FDB786388EA4D897F3EE715683AC
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DB8DAD19CFBCC2049A4477183787E8C5
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E1C820A74ED67374BA048B52CB3C3804
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EC65F200D112357449C8B1BC3CFA03D0
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F327D0C73C0973644A21E8CC852267A0
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FDC83385E6C239F4C876A77A37DF581D
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\34EDDB1BFB3A2D448845F3EFD0F15A43
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\427EA997C413D1D47907CBFC7B2DB432
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F754C503375A13344B22388E18DFE87E
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E5C8B5FB7CB5DD447A0BAAAF637FBD77
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF96568971BEAC14B8815883832BD484
SUPPRIMÉ: HKLM\SYSTEM\CurrentControlSet\Services\RKHit
SUPPRIMÉ: HKLM\Software\Wow6432Node\Google\Chrome\Extensions\gflandjopdloblmlcoiidmncpinmmacn
SUPPRIMÉ: HKLM\Software\Wow6432Node\Classes\CLSID\{22222222-2222-2222-2222-220322152254}
SUPPRIMÉ: HKLM\Software\Wow6432Node\Classes\CLSID\{22222222-2222-2222-2222-220322712280}
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\08E33F7B61DEFF24BB9673ED7D467636
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536
SUPPRIMÉ: HKCU\Software\AVAST Software
SUPPRIMÉ: HKCU\Software\ESET
SUPPRIMÉ: HKCU\Software\MCAFEE
SUPPRIMÉ: HKLM\Software\Wow6432Node\AVAST Software
SUPPRIMÉ: HKLM\Software\Wow6432Node\Eset
SUPPRIMÉ: HKCU\Software\softonicToolbar
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7E685771E24E83F4381D1DB5A45F7B41
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2

========== Valeurs du Registre ==========
SUPPRIMÉ RunValue: UpdateMyDrivers
SUPPRIMÉ RunValue: tuto4pc_fr_23
SUPPRIMÉ RunValue: tuto4pc_fr_42
SUPPRIMÉ: {6DF7B359-5AEE-4AFC-964C-8778FC589B1F}
SUPPRIMÉ: {34817A6B-6B6B-4AA5-BDAD-F91B5C3042C5}
SUPPRIMÉ: {FD631340-217A-4AF7-964A-8FFBA5B7CE59}
SUPPRIMÉ [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Associations]:bak_Application
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
SUPPRIMÉ: FirewallRaz (Domain) : {984C8E6D-DE50-4104-8998-B157881D0C75}
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-In-TCP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIMÉ: FirewallRaz (Private) : {CABA1AED-FA0E-4411-89AE-97AEBC4AACDE}
SUPPRIMÉ: FirewallRaz (Private) : {5EA1FB15-A0F4-480C-B98C-F36678C61FB2}
SUPPRIMÉ: FirewallRaz (Private) : {A0AB13D5-4568-4B6A-9FFD-930B55C6766E}
SUPPRIMÉ: FirewallRaz (Private) : {4F55080E-8CB0-4359-BBE7-2D8CDD739169}
SUPPRIMÉ: FirewallRaz (Public) : {34CDFCBA-5CF7-42D8-963D-F38B186F8B30}
SUPPRIMÉ: FirewallRaz (Public) : {01C1B9E1-5024-4A39-A6A5-73513D141332}
SUPPRIMÉ: FirewallRaz (Public) : {15468E1C-489F-4569-A40D-95853AD0D207}
SUPPRIMÉ: FirewallRaz (Public) : {A3E2654C-09D4-4E9A-8E7B-39D97DA0F0CC}
SUPPRIMÉ: FirewallRaz (Private) : {CDBFC591-0F3D-4A9F-8E90-B1D496D84FE3}
SUPPRIMÉ: FirewallRaz (Private) : {6955C4AC-D6E8-4567-9A3B-1C40BC595D75}
SUPPRIMÉ: FirewallRaz (Private) : {EAD4D44F-E209-47E9-9672-890DA20EC065}
SUPPRIMÉ: FirewallRaz (Private) : {C243DA25-9362-4F37-876B-8E650A388D43}
SUPPRIMÉ: FirewallRaz (Private) : {371CA431-198D-4679-8874-8EB812179755}
SUPPRIMÉ: FirewallRaz (Private) : {93A6BAFA-3D73-4519-BD80-A3AA8CF787A3}
SUPPRIMÉ: FirewallRaz (Private) : {AF1E49AD-8F69-42BE-89AD-B7FF779C7E5B}
SUPPRIMÉ: FirewallRaz (Private) : {D69902DF-430D-4633-B1FF-9A87D60889FF}
SUPPRIMÉ: FirewallRaz (Public) : {A6117B4C-9943-4843-9F1A-98CCC753881E}
SUPPRIMÉ: FirewallRaz (Public) : {D16A4A70-BBAF-4D8A-977A-D75942496682}
SUPPRIMÉ: FirewallRaz (Public) : {14AE29E0-7805-4305-8F53-6759B8FD0FB4}
SUPPRIMÉ: FirewallRaz (Public) : {97123177-403E-4719-9BB9-2C75886C41FD}

========== Eléments de donnée du Registre ==========
SUPPRIMÉ Explorer Association Data Application: http://www.helpmeopen.com/?n=app&ext=%s
SUPPRIMÉ: R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride

========== Dossiers ==========
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{1097C7E0-74CD-415A-B54F-06E13A229312}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{10C63F2B-619D-4F0B-B6D9-12FFC99C3379}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{114B8106-4932-4417-951F-71242291AD6A}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{152DAC36-9D00-4CEC-B91B-D4B3198A7E21}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{2CDBDFE4-A52B-49F5-8B89-EE713B971960}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{31D18B11-70D4-4113-89FD-39BCD7A9162E}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{501F2023-B7FD-4189-9C83-14D41C56EC3B}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{50CF8A0C-C321-47DB-BA42-467A576E9922}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{52C60112-1587-41AD-B3E6-960810D41BD9}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{5D4CD39D-80A7-48B1-83BB-D1B1BB1063E6}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{7716621B-C2A1-438C-877D-AA10685B506D}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{831A81C6-7633-40A1-8265-21FA2361183C}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{83ACAF07-1F52-4F2E-813F-7E014DFE95FB}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{85236889-FDFF-4D8F-9D83-CDDDF253BF4B}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{AE16C287-AB9C-4A67-8BFB-38CAB9F6E25F}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{BAD08AB1-C3F1-4653-B13F-885135DBC023}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{C5F21B8D-3356-49D0-9ADE-22B79BA12B5F}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{DAFEDCA8-391A-4A3F-9987-A8CC69B2BE53}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{E1B9BED8-92EF-44DB-8425-E3F70FDD79BF}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{F82F819D-DBFB-4031-84AA-48DDF81C3496}
SUPPRIMÉ: C:\Users\Sarah\AppData\Local\{FDCFE31B-C92F-4BFC-87A3-8E0D3C9C9144}

========== Fichiers ==========
SUPPRIMÉ: c:\users\sarah\appdataoaming\microsoft\windows\start menu\programs\startup\windows.lnk 
SUPPRIMÉ: c:\windows	asks\fafzkyni.job 
SUPPRIMÉ: c:\windows	asks\feven-codedownloader.job 
SUPPRIMÉ: c:\windows	asks\feven-enabler.job 
SUPPRIMÉ: c:\windows	asks\feven-updater.job 
SUPPRIMÉ: c:\program files (x86)\feven\feven-codedownloader.exe
SUPPRIMÉ: c:\windows\prefetch\feven-codedownloader.exe-45b0e53c.pf 
SUPPRIMÉ: c:\windows\prefetch\feven-enabler.exe-22b8d84f.pf 
SUPPRIMÉ: c:\windows\prefetch\feven-updater.exe-257374c3.pf 
SUPPRIMÉ: c:\users\sarah\appdata\local	emp\extract.exe
SUPPRIMÉ:*  c:\users\sarah\appdata\local	emp\uninst1.exe
SUPPRIMÉ: C:\Windows\Installer\1da395a.msi
SUPPRIMÉ:*  c:\windows\installer\1da395a.msi
SUPPRIMÉ: C:\Windows\Installer\1da3961.msi
SUPPRIMÉ: C:\Windows\Installer\1e4a3cd.msi
SUPPRIMÉ:*  c:\windows\installer\1e4a3cd.msi
SUPPRIMÉ: C:\Windows\Installer\ab7f51.msi
SUPPRIMÉ:*  c:\windows\installer\ab7f51.msi
SUPPRIMÉ: c:\users\public\desktop\lightroom 4.1 64-bits.lnk 
SUPPRIMÉ: c:\programdata\microsoft\windows\start menu\programs\adobe photoshop lightroom 4.1 64 bits.lnk 
SUPPRIMÉ: c:\users\sarah\appdata\local\avgchrome\avgp 
SUPPRIMÉ: C:\Windows\Installer\8bb524.msi
SUPPRIMÉ:*  c:\windows\installer\8bb524.msi
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Tache planifiée ==========
SUPPRIMÉ: Desk 365 RunAsStdUser
SUPPRIMÉ: Feven-codedownloader
SUPPRIMÉ: Feven-codedownloader
SUPPRIMÉ: Feven-enabler
SUPPRIMÉ: Feven-enabler
SUPPRIMÉ: Feven-updater
SUPPRIMÉ: Feven-updater
SUPPRIMÉ: PC Performer
SUPPRIMÉ: {E173AAF1-E0F7-4751-9391-E7386D374983}
SUPPRIMÉ: 06-09-2013_205228
SUPPRIMÉ: Norton Product InstallerIdle
SUPPRIMÉ: REGSERVO
SUPPRIMÉ: {033D51AB-BC09-4F69-97E3-DAF0CADD3978}
SUPPRIMÉ: {FBEDE473-C640-4220-9664-3FD1F7FC511E}


========== Récapitulatif ==========
5 : Processus mémoire
96 : Clés du Registre
36 : Valeurs du Registre
2 : Eléments de donnée du Registre
21 : Dossiers
25 : Fichiers
1 : Logiciels
1 : Etat des services
14 : Tache planifiée


End of clean in 00mn 21s

========== Chemin de fichier rapport ==========
C:\Users\Sarah\AppData\Roaming\ZHP\ZHPFix[R1].txt - 06/10/2013 14:05:24 [18099]

Smart91 · Answer

OK. 

Comment se comporte lee PC ?

Refais un scan ZHPDiag en suivant la procédure donnée et poste le rapport via pjjoint.
Et si tout est OK on passe à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Senselia · Answer

Le PC se comporte toujours bien et sur les liens google également. Voici le rapport:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131006_6i13q6v7i9

Smart91 · Answer

Je voudrais vérifier quelque chose:

 - Télécharge RegToolExport de Xplode sur ton bureau 
- Double-clique sur l'icône pour exécuter l'outil (Vista/7 --> clic droit et "exécuter en tant qu'administrateur") 

- Copie- la ou les  clés en gras ci-dessous  
--------------------------------------------------- 
[HKEY_CURRENT_USER\Software\CWBBKF] 

--------------------------------------------------- 

- Colle-la dans la zone de saisie 

- Puis clique sur Exporter 
- Dans la fenêtre qui s'ouvre, choisis le bureau comme emplacement d'enregistrement 
- A "nom de fichier", indique :  Export_Date_heure.reg 
- Clique sur Enregistrer 
- Un message de bonne fin va apparaître "Clé exportée avec succès" 
- La clé ainsi exportée Export_Date_heure.reg Export_Date_heure.reg  se trouvera sur le bureau 
- Poste ce fichier via cijoint

Il faut renommer ce fichier en .txt. Pour cela va sur ce lien et suis la procédure pour afficher les extensions.
 Ensuite renomme le fichier Export_Date_heure.reg Export_Date_heure.reg en
Export_Date_heure.reg Export_Date_heure.txt
Et poste le via pjjoint

Smart

Senselia · Answer

J'ai la clé exportée. Je suis allée sur cjoint.com mais je n'ai pas trouvé comment changer l'extension. Est-ce que ça peut marcher si je la change manuellement depuis l'icône du fichier sur le bureau?

Smart91 · Answer

Oui tu le peux à la condition que tu vois le .reg et dans ce cas tu fais clic droit sur le fichier  > renommer et tu remplaces . reg par .txt

Si tu ne vois pas .reg derrière le nom du fichier cela veut dire que tu n'as fais la procédure pour afficher l'extension.

Smart

Senselia · Answer

J'ai changé manuellement le nom de l'extension:

https://pjjoint.malekal.com/files.php?id=20131007_p7k10i8d6g8

Smart91 · Answer

Bon il y a encore des traces:

- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer. 
- Copie (Ctrl+C) le texte suivant en gras ci-dessous : 

--------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD]
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven]

:commands 
[emptytemp] 
[Reboot] 

--------------------------------------------------------------

- Colle (Ctrl+V) le texte précédemment copié dans le cadre:  Paste Instructions for Items to be Moved. 

- Clique maintenant sur le bouton MoveIt! 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log
 
Smart

Senselia · Answer

Voici le rapport de OTM:

All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven\ not found.
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD\ scheduled to be deleted on reboot.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: Sarah
->Temp folder emptied: 42033171 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 15814739 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 492 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9162 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 55,00 mb
 
 
OTM by OldTimer - Version 3.1.21.0 log created on 10072013_161555

Files moved on Reboot...
C:\Users\Sarah\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD\ scheduled to be deleted on reboot.

Smart91 · Answer

Si le PC n'a pas redémarré, fais le.

Ensuite refais un scan ZHPDiag, toujours en suivant la procédure donnée et poste le rapport via pjjoint.

Normalement on doit passer à la phase finale 

Smart

Senselia · Answer

Voici le rapport:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131007_s12e15f11f7z8

Smart91 · Answer

Tu as téléchargé des logiciels (sweetpacks bundle uninstaller) pendant la désinfection et tu te retrouves avec un PUP: SWEETIM
De plus il tous ces fichiers qui se lancent au démarrage de ton PC et qui n'étaient pas présents auparavant

nuwnab.exe      
okuoud.exe      
ujepke.exe      
udabuj.exe      
laelwn.exe      
awlanu.exe

Tu as aussi installé Photoshop entre-temps

Il va être difficile de continuer dans ces conditions
Faut recommencer.

Je voudrais que tu fasses ceci:

* Va sur ce lien https://www.luanagames.com/index.fr.html (par tigzy) 
* Clique sur l'icône RogueKiller qui correspond à ta version de Windows (Dans ton cas c'est la version 64 bits) pour télécharger RogueKiller

* Dans ton cas c'est la version 64 bits
* Quitte tous les programmes en cours 
* Lance RogueKiller.exe. 
* Attendre la fin du Prescan ... 
* Clique sur Scan. 
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse

* Notes:
- Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou alors renomme le en winlogon.exe.
- Un tutoriel pour t'aider.

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Senselia · Answer

Dsl j'ai réinstallé photoshop il s'était bloqué entre temps. Voici le rapport: RogueKiller V8.7.1 _x64_ [Oct 3 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.adlice.com/forum/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Sarah [Droits d'admin] Mode : Recherche -- Date : 10/07/2013 20:53:28 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 16 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\weawuo.exe [x]) -> TROUVÉ [RUN][SUSP PATH] HKCU\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> TROUVÉ [RUN][SUSP PATH] HKCU\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> TROUVÉ [RUN][SUSP PATH] HKCU\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> TROUVÉ [RUN][SUSP PATH] HKCU\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> TROUVÉ [RUN][SUSP PATH] HKCU\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> TROUVÉ [RUN][SUSP PATH] HKCU\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> TROUVÉ [RUN][SUSP PATH] HKCU\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\weawuo.exe [x]) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> TROUVÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: (\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - Hitachi HTS547575A9E384 +++++ --- User ---

Smart91 · Answer

Le rapport n'est pas complet

* Relance RogueKiller.exe. 
* Attendre la fin du Prescan ... 
* Clique sur Scan. 
* A la fin du scan 
* Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse 

Smart

Senselia · Answer

Voici le rapport complet: RogueKiller V8.7.1 _x64_ [Oct 3 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.adlice.com/forum/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Sarah [Droits d'admin] Mode : Suppression -- Date : 10/07/2013 21:45:25 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 16 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\weawuo.exe [x]) -> SUPPRIMÉ [RUN][SUSP PATH] HKCU\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> SUPPRIMÉ [RUN][SUSP PATH] HKCU\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> SUPPRIMÉ [RUN][SUSP PATH] HKCU\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> SUPPRIMÉ [RUN][SUSP PATH] HKCU\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> SUPPRIMÉ [RUN][SUSP PATH] HKCU\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> SUPPRIMÉ [RUN][SUSP PATH] HKCU\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> SUPPRIMÉ [RUN][SUSP PATH] HKCU\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> SUPPRIMÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\weawuo.exe [x]) -> [0x2] Le fichier spécifié est introuvable. [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> [0x2] Le fichier spécifié est introuvable. [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> [0x2] Le fichier spécifié est introuvable. [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> [0x2] Le fichier spécifié est introuvable. [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> [0x2] Le fichier spécifié est introuvable. [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> [0x2] Le fichier spécifié est introuvable. [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> [0x2] Le fichier spécifié est introuvable. [RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> [0x2] Le fichier spécifié est introuvable. ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: (\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - Hitachi HTS547575A9E384 +++++ --- User --- [MBR] 63e96963840d00dda60bb80fc95100e6 [BSP] e4fcabd3bc19c2cc688b48a4ae66588e : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 690027 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1413584896 | Size: 21114 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1456826368 | Size: 4062 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_D_10072013_214525.txt >> RKreport[0]_S_10072013_195420.txt;RKreport[0]_S_10072013_205328.txt;RKreport[0]_S_10072013_214514.txt

Smart91 · Answer

OK.

* Relance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* <gras>Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Oui
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Senselia · Answer

Voici le rapport MBAM:

https://pjjoint.malekal.com/files.php?id=20131009_i10q7c7l12o12

Smart91 · Answer

Redémarre le PC. Relance MBAM et vide la quarantaine.
Refais un scan ZHPDiag  toujours en suivant la procédure donnée, poste le rapport via pjjoint.
Et j'espère que cette fois-ci sera la bonne.
 
Smart

Senselia · Answer

Voici le rapport ZHPDiag:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131009_y11m14m12m7s7

Smart91 · Answer

C'est mieux. On va supprimer les restes:

- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer. 
- Copie (Ctrl+C) le texte suivant en gras ci-dessous : 

--------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD]

:Files
C:\Program Files (x86)\sweetpacks bundle uninstaller
C:\Users\Sarah\AppData\Roaming\asepel
C:\Users\Sarah\AppData\Roaming\buasep
C:\Users\Sarah\AppData\Roaming\elnude
C:\Users\Sarah\AppData\Roaming\epeluo
C:\Users\Sarah\AppData\Roaming\ewabja
C:\Users\Sarah\AppData\Roaming\weelnu
C:\Users\Sarah\AppData\Roaming\wnbuas

:commands 
[emptytemp] 
[Reboot] 

--------------------------------------------------------------

- Colle (Ctrl+V) le texte précédemment copié dans le cadre:  Paste Instructions for Items to be Moved. 

- Clique maintenant sur le bouton MoveIt! 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

Smart

Senselia · Answer

Voici le rapport OTM:

https://pjjoint.malekal.com/files.php?id=20131010_r9z8x11n14l7

Smart91 · Answer

Si le PC n'a pas redémarré, fais le.

Refais un scan ZHPDiag en suivant la procédure donnée et poste le rapport 

Smart

Senselia · Answer

Voici le rapport du scan ZHPDiag:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131010_j12j6x10f5h5

Smart91 · Answer

OK. On passe à la phase finale:

Vérifie les mises à jour disponibles à l'aide de ce petit programme Check&Update de igor 51
Et lis ceci: Pourquoi tenir ses programmes a jour
Je me permets de te signaler l'existence d'une lettre d'information proposée en bas à gauche de ce site. En t'inscrivant, tu recevras un e-mail dès que des mises à jour importantes pour la sécurité de ton ordinateur sont disponibles. Ces messages contiendront des explications pour savoir comment procéder, ça peut t'aider si tu ne te sens pas à l'aise pour le faire seul.

Tu n'as pas d'antivirus sur ton PC. Installa la version gratuite d'Avast ==>
https://www.01net.com/operations/avast/telecharger/ff/
N'oublie pas de décocher les cases d'installation de barre d'outils ou autre logiciel au moment de l'installation

Optimisation:

- Ferme toutes tes applications en cours
- Sélectionne et copie toutes les lignes en gras suivantes : 

----------------------------------------------------------------------------------
O4 - GS\QuickLaunch [Sarah]: FIXIO PC Cleaner.lnk . (...)  -- C:\Program Files\FIXIO PC Utilities\FIXIO PC Cleaner\FIXIO PC Cleaner.exe (.not file.)
O43 - CFD: 17/12/2012 - 16:56:03 - [0] ----D C:\ProgramData\McAfee
O4 - GS\Accessories [Sarah]: Run.lnk - Clé orpheline
OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe


-------------------------------------------------------------------------------

- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 ou Windows 8 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..."Tu réponds Oui"
- Clique sur le bouton "IMPORTER"
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
NB:Dans certains cas, sous Windows 8, le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER"
- Clique sur le bouton « GO »  pour le lancer le nettoyage
- A la demande, confirme le nettoyage des données en cliquant sur [OK]
- Patiente le temps du traitement.
- ZHPFix va te demander si tu souhaites vider ta corbeille, clique sur ton choix (le traitement peut être long suivant la quantité de données à supprimer)
- Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau 
- Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt
- Copie/colle la totalité du rapport dans ta prochaine réponse
 
Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 

Désinstallation des outils - Réactivation de l'UAC - Purge Restauration et Création d'un point de restauration

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Coche toutes les cases sauf "Faire une sauvegarde du registre"
- Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
- Le rapport sera enregistré dans le presse-papier. Copie/Colle le dans ta prochaine réponse.

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

Installe l'extension de sécurité Adblock plus pour bloquer les publicités 
Pour FireFox==> https://addons.mozilla.org/fr/firefox/addon/adblock-plus/
Pour Chrome ==> https://chrome.google.com/webstore/detail/adblock-plus-free-ad-bloc/cfhdojbkjhnklbpkdaibdccddilifddb?hl=fr

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 
Pour Chrome: https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html 

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up publicitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)


Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas 

Smart

Senselia · Answer

Bonsoir,

J'en suis à l'étape de ZHPFix une fenêtre apparaît comme la dernière fois je n'arrive pas à coller les lignes en gras.

D'avance merci.

Smart91 · Answer

C'est encore de ma faute. Mets ceci en première ligne:
Script ZHPFix
et ensuite les autres lignes.

Smart

Senselia · Answer

Voici le rapport ZHPFix:

Rapport de ZHPFix 2013.10.9.5 par Nicolas Coolman, Update du 09/10/2013
Fichier d'export Registre : 
Run by Sarah at 10/10/2013 21:50:07
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Valeurs du Registre ==========
SUPPRIMÉ RunValue: iTunesHelper

========== Dossiers ==========
SUPPRIMÉ: C:\ProgramData\McAfee


========== Récapitulatif ==========
1 : Valeurs du Registre
1 : Dossiers


End of clean in 00mn 02s

========== Chemin de fichier rapport ==========
C:\Users\Sarah\AppData\Roaming\ZHP\ZHPFix[R1].txt - 09/10/2013 13:05:58 [18180]
C:\Users\Sarah\AppData\Roaming\ZHP\ZHPFix[R2].txt - 10/10/2013 21:50:09 [645]

Senselia · Answer

Et voici le rapport DelFix:

# DelFix v10.4 - Rapport créé le 10/10/2013 à 21:58:05
# Mis à jour le 19/07/2013 par Xplode
# Nom d'utilisateur : Sarah - SARAH-HP
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\_OTL
Supprimé : C:\_OTM
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\Sarah\Desktop\RK_Quarantine
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\AdwCleaner[S3].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Sarah\Desktop\adwcleaner.exe
Supprimé : C:\Users\Sarah\Desktop\OTM.exe
Supprimé : C:\Users\Sarah\Desktop\RogueKillerX64.exe
Supprimé : C:\Users\Sarah\Desktop\SXCU.exe
Supprimé : C:\Users\Sarah\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Sarah\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Sarah\Desktop\ZHPFix.exe
Supprimé : C:\Users\Sarah\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Sarah\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Sarah\Downloads\ad-remover_ad_remover_2010_2.0.0.0_anglais_313780.exe
Supprimé : C:\Users\Sarah\Downloads\adwcleaner(1).exe
Supprimé : C:\Users\Sarah\Downloads\adwcleaner(2).exe
Supprimé : C:\Users\Sarah\Downloads\adwcleaner(3).exe
Supprimé : C:\Users\Sarah\Downloads\esetsmartinstaller_enu.exe
Supprimé : C:\Users\Sarah\Downloads\Extras.Txt
Supprimé : C:\Users\Sarah\Downloads\OTL.Txt
Supprimé : C:\Users\Sarah\Downloads\OTL.exe
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #191 [Point de contrôle planifié | 10/09/2013 18:54:20]
Supprimé : RP #192 [Removed Java 7 Update 25 | 10/10/2013 16:35:35]
Supprimé : RP #193 [Installed Java 7 Update 17 | 10/10/2013 16:44:25]
Supprimé : RP #194 [Removed Adobe Reader XI (11.0.05) - Français. | 10/10/2013 16:47:12]
Supprimé : RP #195 [Installed Java 7 Update 40 | 10/10/2013 16:52:42]
Supprimé : RP #196 [Installation avast! Free Antivirus | 10/10/2013 17:01:39]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

Smart91 · Answer

OK Fais la suite et lis bien les conseils

Smart

Senselia · Answer

Joli ! Les liens de google s'ouvrent sans redirection.

Smart91 · Answer

Heureux de t'avoir aidée 

Smart

Virus de redirection ihavenet.fr

48 réponses

Discussions similaires

Newsletters