Trojan.Heur.LP.iO7Résolu/Fermé

Question

Bonjour, 

Mon antivirus a bloqué ce trojan aujourd'hui Trojan.Heur.LP.iO7
La semaine dernière, la transparence Aero sur Win7 a mystérieusement disparue au démarrage.
J'ai l'impression que chaque semaine, il y a des tâches de fond qui se déclenchent sur mon PC que je n'ai pas demandé, du coup, je pense qu'il est infecté.

Pour info, je dispose de MalwareBytes qui n'a rien détecté.
Pouvez-vous m'aider svp ?

Configuration: Windows 7 / Internet Explorer 9.0

lilidurhone · Answer

Hello

Quel est l'emplacement du fichier détecté?

Enilor · Answer

si j'en crois le rapport d'analyse, il l'a détecté dans .../windows live mail/tmp.edb
Mais il y a aussi plein de lignes au niveau du registre et le pc a démarré seul les demandes de mises à jours windows pour lesquelles il faut, normalement, d'abord mon accord

lilidurhone · Answer

Commences déjà par mettre à jour windows IE doit être en version  11

Quel est ton antivirus?

Enilor · Answer

F-secure (orange)

lilidurhone · Answer

* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ou https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin 
https://www.cjoint.com/13sp/CIvuQfap3YY_zhpdiag.png

* A l'ouverture du logiciel il te sera proposé deux options "rechercher" et "configurer"

* Cliques sur configurer 

* Tournevis puis tous 

* Clique sur l'icône représentant une loupe + (« Lancer le diagnostic »)

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

* Pour héberger le rapport, rends toi sur cjoint.com
* Clique sur choisissez un fichier va chercher le rapport dans ton PC.

* Le rapport est hébergé:
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP 

* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir

* Choisis le type de diffusion(je te conseille privée 4 jours il sera détruit)

* Puis cliques sur créer le lien cjoint

* Une fois que tu auras obtenu le lien copies colle dans ta prochaine réponse

* Pour t'aider  https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

Enilor · Answer

Voilà le lien : https://www.cjoint.com/?3BrvlRf5djH
merci de ton aide

lilidurhone · Answer

Mets à jour windows

Pas de sp1! => faille de sécurité

Enilor · Answer

Ok, 
Est-ce que ça va suffire pour résoudre les problèmes rencontrés ?

lilidurhone · Answer

En partie oui 

Cela comblera les failles

Enilor · Answer

En partie, ça veut dire pas complètement ;).

As-tu idée de ce qui se passe sur le pc ?
Que fait-on pour le reste ?
Ne vaut-il pas mieux "nettoyer" avant d'installer quelque chose ?
Merci de ta réponse :)

lilidurhone · Answer

Dans ton cas non 

Faut d'abord combler les failles de sécurité

Enilor · Answer

Bonjour

Désolée pour le retour tardif, mais j'ai profité des derniers jours pour faire des mises à jour Windows ;)
SP1 et IE10 sont installés, aero est revenu...cependant, depuis la dernière série de mises à jour (9 aujourd'hui), mon pc est super lent au démarrage (perte de tous les icônes sur le bureau puis retour 15 min après) surtout pour récupérer l'accès au réseau (internet).
L'anti virus qui se chargeait très vite au démarrage, n'arrive qu'en fin de course.
Se peut-il qu'il y ait un conflit quelque part ?
Dois-je faire une resto ?
Faut-il attendre les mises à jour suivantes ?

Voici la liste des mises à jour depuis l'installation desquelles je constate le problème de démarrage :
- Maj Win7 pour ordi x64 (KB2834140 - KB2515325 - KB2913152 - KB2834140 - KB2912390 - KB2836502 - KB2647753)
- Maj sécurité pour IE10 KB2909210
- Maj sécurité pour Microsoft xml core services 4.2 SP2 (KB973688)

Merci de ton aide

lilidurhone · Answer

Faut faire toutes les majs

Enilor · Answer

Salut,

Je crois avoir presque tout fait. J'ai laissé Windows update sélectionner et installer les maj importantes et recommandées.
Il n'en reste que 2 disponibles => IE 11 et micorsoft .net Framework 4.5.1 mais elles ne sont pas pré-cochées pour être installées.
Je me demandais si ce n'était pas à cause d'une mauvaise installation précédente ...
Qu'en penses-tu ?

lilidurhone · Answer

Tu les installes

Enilor · Answer

J'ai installé les mises à jour.
Win update m'indique qu'aucune mise à jour importante n'est disponible.
Mais j'ai toujours des méga lenteurs au démarrage.
En fait dès qu'il affiche le bureau (sans icone), il donne l'impression de se figer pendant 5 à 10 min (pendule qui n'avance plus) puis ensuite, le démarrage semble reprendre normalement.
Est-ce que tu as une idée de ce qu'il se passe ?

lilidurhone · Answer

Refais un zhpdiag

On va pouvoir "désinfecter" :)

Enilor · Answer

Nouveau rapport Zhpdiag terminé.
Voilà le lien => https://www.cjoint.com/?3BxtWgescGY

lilidurhone · Answer

* Télécharge sur le bureau RogueKiller

* Quitte tous tes programmes en cours.

* Sous Vista/Seven et windows 8 , clique droit -> lancer en tant qu'administrateur

* Sinon lance simplement RogueKiller.exe

* Patiente pendant le pre-scan, puis clique sur le bouton Scan

* Un rapport RKreport.txt a du se créer sur le bureau, poste-le.

Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

Enilor · Answer

Voilà le rapport RogueKiller RogueKiller V8.8.8 [Feb 19 2014] par Tigzy mail : tigzyRKgmailcom Remontees : https://forum.adlice.com/ Site Web : https://www.luanagames.com/index.fr.html Blog : https://www.adlice.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : JBF [Droits d'admin] Mode : Recherche -- Date : 02/23/2014 21:34:13 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 8 ¤¤¤ [HJ POL][PUM] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJ POL][PUM] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> TROUVÉ [HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Addons navigateur : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: (\.\PHYSICALDRIVE0 @ IDE) TOSHIBA MK6465GSX +++++ --- User --- [MBR] 5c425a2b4c5c0600eb321d6690bfe261 [BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 20001 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 40965750 | Size: 152617 Mo 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 353526390 | Size: 437857 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_02232014_213413.txt >>

lilidurhone · Answer

* Quitte tous tes programmes en cours

* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur

* Sinon lance simplement RogueKiller.exe

* Patiente pendant le pre-scan, clique sur Scan

* Vérifie que tous les éléments sont cochés puis clique sur Suppression

* Poste le rapport RKreport.txt présent sur le bureau.

Enilor · Answer

suppression effectuée : RogueKiller V8.8.8 [Feb 19 2014] par Tigzy mail : tigzyRKgmailcom Remontees : https://forum.adlice.com/ Site Web : https://www.luanagames.com/index.fr.html Blog : https://www.adlice.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : JBF [Droits d'admin] Mode : Suppression -- Date : 02/23/2014 21:45:02 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 8 ¤¤¤ [HJ POL][PUM] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ [HJ POL][PUM] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1) [HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : DisableRegistryTools (0) -> [0x2] Le fichier spécifié est introuvable. [HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> REMPLACÉ (1) [HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Addons navigateur : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: (\.\PHYSICALDRIVE0 @ IDE) TOSHIBA MK6465GSX +++++ --- User --- [MBR] 5c425a2b4c5c0600eb321d6690bfe261 [BSP] 430eaf6ed8558d670d2c84579f07828f : Windows Vista MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 20001 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 40965750 | Size: 152617 Mo 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 353526390 | Size: 437857 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_D_02232014_214502.txt >> RKreport[0]_S_02232014_213413.txt

Enilor · Answer

Bonjour,

Ce matin, le démarrage a été plus rapide :).
Maintenant il me demande d'autoriser les programmes à apporter des modifications à l'ordi quand j'ouvre CCcleaner ou Malwarebytes...normal ou pas ???

lilidurhone · Answer

Oui tout à fait normal :)

Refais un zhpdiag

Enilor · Answer

Nouvelle version de zhpdiag téléchargée et maintenant mon antivirus bloque le lancement...:(

lilidurhone · Answer

Désactives temporairement :)

Enilor · Answer

Fait :)
Voilà le lien vers le nouveau rapport zhpdiag => https://www.cjoint.com/?3ByluVwTxRP

Enilor · Answer

Salut,

J'ai voulu relancer un rapport zhpdiag ce matin pour que tu ais la version la plus récente possible, mais ZhpDiag reste bloqué (ne répond pas) à 95% (liste des émulateurs de CD /DVD (MBR Hook).
Que dois-je faire ?

lilidurhone · Answer

Décoches la ligne 80 :)

Enilor · Answer

Bon finalement, je l'ai relancé et il a bien voulu se terminer :).
Voici le lien vers le rapport => https://www.cjoint.com/?3BzlZVwVP1p

lilidurhone · Answer

Tu as dû installer des logiciels potentiellement indésirables


Pour éviter ce genre de problème :

- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net, Softronic, Tuto4PC, etc modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.


- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.

Pour ton information lis ces dossier sur les Programmes Potentiellement Indésirables et Les Barres d'Outils ce n'est pas obligatoires

* Télécharge cet outil simple d'utilisation 

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner (de Xplode) sur ton bureau.


* Si problème avec le 1er lien prends le ici https://www.commentcamarche.net/telecharger/securite/2759-adwcleaner/

* Lance le (Sous vista/seven/8 clic droit dessus,et sur exécuter en tant qu'administrateur)si tu es sous xp double cliques dessus

* Cliques sur scanner 
* Poste le rapport de recherche C:\Adwcleaner[R]

* Note le rapport de recherche est également sauvegardé sous C:\Adwcleaner[R1]

Enilor · Answer

Je fais pourtant gaffe lorsque je charge des mises à jour. Va falloir que je redouble de vigilance ;) où que je limite les autorisations sur le pc :).

Voilà le rapport =>

# AdwCleaner v3.019 - Rapport créé le 25/02/2014 à 12:09:42
# Mis à jour le 17/02/2014 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : JBF - JBF-PC
# Exécuté depuis : C:\Users\JBF\Desktop\adwcleaner.exe
# Option : Scanner

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Fichier Présent : C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1D970ED5-3EDA-438D-BFFD-715931E2775B}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D970ED5-3EDA-438D-BFFD-715931E2775B}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C9A6357B-25CC-4BCF-96C1-78736985D412}
Clé Présente : HKCU\Software\YahooPartnerToolbar
Clé Présente : [x64] HKCU\Software\YahooPartnerToolbar
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\WLXQuickTimeShellExt.DLL
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{1D970ED5-3EDA-438D-BFFD-715931E2775B}
Clé Présente : HKLM\SOFTWARE\Classes\Prod.cap
Clé Présente : HKLM\Software\DeviceVM
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1D970ED5-3EDA-438D-BFFD-715931E2775B}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A047FE02-C91C-41CB-898C-4ED21B86025A}
Clé Présente : [x64] HKLM\SOFTWARE\DeviceVM

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.16518


-\ Mozilla Firefox v26.0 (fr)

[ Fichier : C:\Users\JBF\AppData\Roaming\Mozilla\Firefox\Profiles\pqlw35i7.default-1350814343750\prefs.js ]


*************************

AdwCleaner[R0].txt - [2294 octets] - [25/02/2014 12:09:42]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [2354 octets] ##########

lilidurhone · Answer

Fais nettoyer

Enilor · Answer

Nettoyage effectué, pc redémarré et voilà le rapport => 

# AdwCleaner v3.019 - Rapport créé le 25/02/2014 à 12:19:48
# Mis à jour le 17/02/2014 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : JBF - JBF-PC
# Exécuté depuis : C:\Users\JBF\Desktop\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Fichier Supprimé : C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\WLXQuickTimeShellExt.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\TaskScheduler_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1D970ED5-3EDA-438D-BFFD-715931E2775B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1D970ED5-3EDA-438D-BFFD-715931E2775B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D970ED5-3EDA-438D-BFFD-715931E2775B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C9A6357B-25CC-4BCF-96C1-78736985D412}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1D970ED5-3EDA-438D-BFFD-715931E2775B}
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKLM\Software\DeviceVM
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A047FE02-C91C-41CB-898C-4ED21B86025A}
Clé Supprimée : [x64] HKLM\SOFTWARE\DeviceVM

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.16518


-\ Mozilla Firefox v26.0 (fr)

[ Fichier : C:\Users\JBF\AppData\Roaming\Mozilla\Firefox\Profiles\pqlw35i7.default-1350814343750\prefs.js ]


*************************

AdwCleaner[R0].txt - [2442 octets] - [25/02/2014 12:09:42]
AdwCleaner[S0].txt - [2323 octets] - [25/02/2014 12:19:48]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [2383 octets] ##########

Enilor · Answer

Le nettoyage AdwCleaner a été fait.
Tu veux que je relance un zhpdiag ?

lilidurhone · Answer

Oui

Ton antivirus te signale toujours le trojan?

Enilor · Answer

Mon antivirus ne me signale plus rien :)

Voici le lien vers le rapport zhpdiag => https://www.cjoint.com/?3Bzt7FFf7Xe

lilidurhone · Answer

Oui quelques restes ;)

Attention script personnalisé à ne pas reproduire sur un autre ordinateur risque de plantage !   


* Copies uniquement les lignes indiquées en gras ci-dessous dans le presse papier soit le bloc note(tu surlignes avec la souris puis clic droit copier de Script ZHPFix jusqu'à la fin soit sysrestore)

Script ZHPFix
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C9A6357B-25CC-4BCF-96C1-78736985D412}]   =>Toolbar.Orange
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7]   =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8]   =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01]   =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED]   =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472]   =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296]   =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888]   =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9]   =>Adware.MyWebSearch
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2]   =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\464AA55239C100F32AF2D438EDDC0F47]   =>Adware.IMBooster
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5652BA3D5FB98AE31B337BF0AF939856]   =>Adware.IMBooster
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\86EB95E1AFCBABE3DB9ECCC669B99494]   =>Adware.IMBooster
[MD5.00000000000000000000000000000000] [APT] [{02785B89-7F74-404C-B5AB-10800D8162A4}] (...) -- C:\Users\JBF\Desktop\jre-6u37-windows-i586.exe (.not file.)   [0]
sysrestore


* Lance ZHPFix (icône seringue)en tant qu'administrateur(si tu es sous Vista/7/8)sinon double clique sur l'icône en forme de seringue  puis clique sur OK pour continuer.

* Cliques sur importer(Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".)

* Si tu ne vois pas les lignes clic droit dans l'encadré puis coller

* Clique sur le bouton GO pour lancer le nettoyage, et laisse l'outil travailler.

* Zhpfix te proposera de vider la corbeille si tu le souhaites cliques sur oui si tu ne le souhaites pas cliques sur non

* Redémarre le PC et poste le rapport C:\ZHP\ZHPFixReport.txt

Enilor · Answer

Script Zhpfix exécuté et PC redémarré.
J'ai vu qu'il a crée un point de restauration. J'espère qu'il ne va pas s'effacer car ceux qui ont été crée dernièrement, sur la partition système, disparaissent.
Après le redémarrage, le point est toujours là, c'est plutôt bon signe :).

Voici le rapport :

Rapport de ZHPFix 2014.2.16.5 par Nicolas Coolman, Update du 16/02/2014
Fichier d'export Registre : 
Run by JBF at 27/02/2014 11:08:44
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 02s)

========== Clés du Registre ==========
SUPPRIMÉ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C9A6357B-25CC-4BCF-96C1-78736985D412}
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\464AA55239C100F32AF2D438EDDC0F47
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5652BA3D5FB98AE31B337BF0AF939856
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\86EB95E1AFCBABE3DB9ECCC669B99494

========== Tache planifiée ==========
SUPPRIMÉ: {02785B89-7F74-404C-B5AB-10800D8162A4}

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
13 : Clés du Registre
1 : Tache planifiée
1 : Restauration Système


End of clean in 01mn 25s

========== Chemin de fichier rapport ==========
C:\Users\JBF\AppData\Roaming\ZHP\ZHPFix[R1].txt - 27/02/2014 11:08:47 [2352]

lilidurhone · Answer

Plus de souci?

Enilor · Answer

Je vais surveiller les points de restaurations :) et pour le reste, j'ai l'impression de c'est ok.
Merci encore de ton aide

lilidurhone · Answer

1)Désinstallation des outils de désinfection
Télécharges Delfix ici https://www.commentcamarche.net/telecharger/securite/7111-delfix/

Exécutes le en tant qu'administrateur(si tu es sous xp double clic sur le fichier téléchargé) puis une fois sur l'interface coches les cases suivantes


-supprimer les outils de désinfections
-purger la restauration du système

Cliques ensuite sur Exécuter puis patientes pendant le processus de suppression.

Le rapport sera enregistré dans le presse-papier et sur le disque dur (C:\DelFix.txt).
Poste le rapport

2)N'oublies pas de mettre à jour java adobe reader et flashplayer pour IE (chrome l'intègre déjà)
Un lien utile à lire https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
N'oublies pas aussi de maintenir Windows à jour via Windows update 
https://www.java.com/fr/download/manual.jsp



3)Pour permettre de mettre à jour tes logiciels je te conseille d'utiliser Filehippo update checker

Tu peux le télécharger ici https://www.commentcamarche.net/telecharger/utilitaires/9771-filehippo-app-manager/

Pour l'installation de filehippo décoches seulement mettre l'icône dans la barre de lancement rapide 



4)Pour nettoyer les fichiers temporaires (attention pas de nettoyage registre ) tu peux utiliser Ccleaner avec tuto pour bien le configurer (https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
Lien du téléchargement https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
Tu peux aussi utiliser le nettoyeur de disque windows
N'oublies pas de défragmenter de temps en temps ton disque dur soit par le biais de l'utilitaire soit par le biais d'un logiciel tiers comme par exemple Deffagler ou auslogic Disk Defrag

Oublies les genres de nettoyeurs comme Tuneup ,Glary et autre nettoyeurs miracles ils ne te feront que ralentir ta machine et nettoyer plus blanc que blanc peut provoquer de graves dysfonctionnements



5)Sécurise tes navigateurs par exemple avec WOT et simple adblock pour Internet explorer
Pour télécharger WOT pour ie c'est par ici https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
https://adblockplus.org/
Pour chrome(si tu possèdes Chrome)

Wot disponible ici https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr

Adblock disponible ici https://www.commentcamarche.net/telecharger/web-internet/2555-adblock-plus-pour-chrome/

Lien du téléchargement pour wot sur firefox
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

Lien pour télécharger adblock +

https://addons.mozilla.org/fr/firefox/addon/adblock-plus/?src=ss


6)Fais attention à ce que tu télécharges où et comment 
Evites si possible de télécharger sur O1net,tom's guide,télécharger.com et Softonic et compagnie car ils repackent les logiciels avec des programmes potientellement indésirables
A lire
http://www.stoppublicites.fr/
https://www.malekal.com/adwares-pup-protection/

7)Pourquoi faut-il éviter de télécharger sur du p2p

Les risques sont gros la machine risque de devenir un pc zombie
Un peu de lecture concernant les dangers et le risque
https://forum.malekal.com/viewtopic.php?t=3208&start=
https://forum.malekal.com/viewtopic.php?t=893&start=

Enilor · Answer

Voilà le rapport Delfix :

# DelFix v10.6 - Rapport créé le 27/02/2014 à 11:47:06
# Mis à jour le 11/11/2013 par Xplode
# Nom d'utilisateur : JBF - JBF-PC
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\Users\JBF\AppData\Roaming\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\JBF\Desktop\RK_Quarantine
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\JBF\Desktop\adwcleaner.exe
Supprimé : C:\Users\JBF\Desktop\RKreport[0]_D_02232014_214502.txt
Supprimé : C:\Users\JBF\Desktop\RKreport[0]_S_02232014_213413.txt
Supprimé : C:\Users\JBF\Desktop\RogueKiller.exe
Supprimé : C:\Users\JBF\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\JBF\Desktop\ZHPDiag.txt
Supprimé : C:\Users\JBF\Desktop\zhpdiag2.exe
Supprimé : C:\Users\JBF\Desktop\ZHPFix.lnk
Supprimé : C:\Users\JBF\Desktop\ZHPFixReport.txt
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #465 [ZHPFix Restore System Point | 02/27/2014 10:08:07]
Supprimé : RP #466 [C_postZhpfix | 02/27/2014 10:21:01]

Nouveau point de restauration créé !

########## - EOF - ##########

Enilor · Answer

Salut,

Désolée de t'embêter encore mais j'ai eu des soucis au démarrage ce matin : démarrage de Windows + fenêtre bienvenue et ensuite écran noir :(...
Il a fallut que je force l'arrêt et que je le redémarre.
En plus j'ai plein de message dans l'observateur d'évènements :
genre de l'antivirus :
3  2014-02-28  10:18:50+02:00  JBF-PC  JBF-PC\JBF  F-Secure Anti-Virus
 An error occurred while scanning \DEVICE\HARDDISKVOLUME2\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\PLUG_INS\ESCRIPT.API. 

2  2014-02-28  10:16:59+02:00  JBF-PC  JBF-PC\JBF  F-Secure Anti-Virus
 An error occurred while scanning \DEVICE\HARDDISKVOLUME2\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\PLUG_INS\ANNOTS.API. 

Service contrôle manager 7000, 7001, 7009...
....

Hier j'ai mis à jour CCleaner et flash player.

Est-ce que tu veux que j'ouvre un nouveau sujet ?
Merci de ton aide

lilidurhone · Answer

Hello

Vérifie les erreurs du disque dur avec la commande checkdisc :)

Enilor · Answer

Merci :) mais comment je fais ça ?
Via cmd.exe ?

lilidurhone · Answer

Oui

Tapes checkdisc sous windows 7 sur google (y a plein de tutos :) )

Enilor · Answer

Re-salut,
Check disk fait sur la partition système.
Il a remplacé les clusters endommagés du fichier Windows\system32\wdi\logfiles\BootCkCL.etl.
Tu crois que c'est la raison des problèmes au démarrage ?

lilidurhone · Answer

Oui :)

Enilor · Answer

Ok :)
Encore merci :)
et désolée de t'avoir à nouveau embêté.
J'espère que cette fois tout est bon et que le pc est enfin guéri ;))

lilidurhone · Answer

:)

Tu avais des secteurs défectueux " \DEVICE\HARDDISKVOLUME2\"

Trojan.Heur.LP.iO7

51 réponses

Newsletters