Otl

Résolu
HARMO69 Messages postés 18 Statut Membre -  
HARMO69 Messages postés 18 Statut Membre -
Bonjour,
Après avoir eu l'ordinateur bloqué "Police National..."
Fait spyhunter...
Je voulais le désactiver...
fait olt et j'ai plein de messages (plusieurs pages)

Que faut-il mettre en ligne ?

Merci

30 réponses

  • 1
  • 2
  1. AidenPearce
     
    Salut,

    Recommence la manip en y mettant ce qui est indiquer ci-dessous :

    - Fais un double clic sur l'icône pour le lancer.

    Vérifie que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

    - Quand la fenêtre apparaît, coche la case "Tous les utilisateurs"

    - Sous Processus, Modules, Services, Pilotes, Registre: standard, Registre: approfondi coche "Tous".

    - Coche également les cases "Recherche Lop" et "Recherche Purity".

    - Dans la partie Personnalisation, colle ceci :

    HKCU\Software
    HKLM\Software
    HKCU\Software\Microsoft\Command Processor /s
    HKLM\Software\Microsoft\Command Processor /s
    %Homedrive%\*
    %Homedrive%\*.
    %Userprofile%\*
    %Userprofile%\*.
    %Allusersprofile%\*
    %Allusersprofile%\*.
    %LocalAppData%\*
    %LocalAppData%\*.
    %Userprofile%\Local Settings\Application Data\*
    %Userprofile%\Local Settings\Application Data\*.
    %programFiles%\*
    %programfiles%\Google\Desktop\Install /s
    %programFiles%\*.
    %Systemroot%\Installer\*.
    %Systemroot%\Temp\*.exe /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.in*
    %systemroot%\Tasks\*
    %systemroot%\Tasks\*.
    %systemroot%\system32\Tasks\*
    %systemroot%\system32\Tasks\*.
    %systemroot%\system32\drivers\*.sy* /lockedfiles
    %systemroot%\system32\config\*.exe /s
    %Systemroot%\ServiceProfiles\*.exe /s
    %systemroot%\system32\*.sys
    dir %Homedrive%\* /S /A:L /C
    msconfig
    activex
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    volsnap.sys
    atapi.sys
    ndis.sys
    cdrom.sys
    i8042prt.sys
    iastor.sys
    tdx.sys
    netbt.sys
    afd.sys
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    CREATERESTOREPOINT


    - Clique sur le bouton >Analyse>. L'analyse ne va pas durer longtemps.

    - Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. >OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés au même endroit que OTL.

    - Héberge les rapports OTL.Txt et Extras.Txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

    Aide : Comment utiliser Cjoint ?

    +
    0
  2. HARMO69 Messages postés 18 Statut Membre
     
    Bonjour,

    Je vais tâcher de m'y mettre tranquillement car ça me paraît compliqué.
    Mais je pense que ça urge car toutes les 2 mn j'ai le message "vos paramètres DNS ont été modifiés. voulez-vous accepter les changements ou restaurer les paramètres enregistrés à l'origine."
    C'est sans doute lié.

    Je tiendrais au courant.

    Merci de ton message.
    0
  3. AidenPearce
     
    Re,

    - Lance OTL Clique sur l'icône présent sur ton bureau

    Note: Sous Vista, Seven, 8 clique droit ""Exécuter en tant qu'Administrateur"

    - Vérifie que la case "Rapport minimal" soit bien cochée

    - Important :Copie-colle correctement le script dans la fenêtre personnalisation :


    :OTL
    SRV - [2014/01/09 07:15:48 | 001,025,408 | ---- | M] (Enigma Software Group USA, LLC.) [Auto | Running] -- C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE -- (SpyHunter 4 Service)
    IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
    IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{39AE3E42-CA65-4593-BCCC-86E908170D80}: "URL" = https://fr.search.yahoo.com/web{searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF
    IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
    IE - HKCU\..\URLSearchHook: {29593d69-5f85-4475-a287-c8f21cd52bff} - No CLSID value found
    IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=464470F395E0FE31&affID=119982&tsp=4955
    IE - HKCU\..\SearchScopes\{39AE3E42-CA65-4593-BCCC-86E908170D80}: "URL" = https://fr.search.yahoo.com/web{searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF
    IE - HKCU\..\SearchScopes\{A2D3FB87-1599-434A-A8F6-B894637563C7}: "URL" = https://fr.search.yahoo.com/web?fr=chr-greentree_ie{searchTerms}
    FF - prefs.js..browser.search.defaultengine: "Ask.com"
    FF - prefs.js..browser.search.order.1: "Ask.com"
    FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
    CHR - default_search_provider: qone8 (Enabled)
    CHR - default_search_provider: search_url = https://www.google.com/webhp?gws_rd=ssl{searchTerms}
    CHR - default_search_provider: suggest_url = ,
    CHR - plugin: Error reading preferences file
    CHR - Extension: SweetIM for Facebook = C:\Users\jcb\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
    CHR - Extension: SweetIM for Facebook = C:\Users\jcb\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
    CHR - Extension: SweetIM for Facebook = C:\Users\jcb\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
    CHR - Extension: SweetIM for Facebook = C:\Users\jcb\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
    O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
    O3 - HKLM\..\Toolbar: (no name) - {29593d69-5f85-4475-a287-c8f21cd52bff} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
    O4 - HKLM..\Run: [] File not found
    O4 - HKCU..\Run: [Epson Stylus SX430(Réseau)] C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIHAE.EXE /FU "C:\Users\jcb\AppData\Local\Temp\E_SA038.tmp" /EF "HKCU" File not found
    O4 - HKCU..\Run: [EPSON SX430 Series] C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIHAE.EXE /FU "C:\Users\jcb\AppData\Local\Temp\E_S9FF9.tmp" /EF "HKCU" File not found
    O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (bj.dll) - File not found
    O18:[b]64bit:[/b] - Protocol\Handler\livecall - No CLSID value found
    O18:[b]64bit:[/b] - Protocol\Handler\msnim - No CLSID value found
    O18:[b]64bit:[/b] - Protocol\Handler\wlmailhtml - No CLSID value found
    O18:[b]64bit:[/b] - Protocol\Handler\wlpg - No CLSID value found
    O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
    O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
    [2014/06/24 18:02:27 | 000,000,000 | ---D | C] -- C:\Users\jcb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
    [2014/06/24 18:02:26 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
    [2014/06/24 18:02:28 | 000,002,254 | ---- | M] () -- C:\Users\jcb\Desktop\SpyHunter.lnk
    [2014/06/26 07:31:52 | 000,001,058 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
    [2014/06/24 18:15:34 | 000,023,248 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
    [2014/06/24 18:15:34 | 000,023,248 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
    [2014/06/26 15:11:00 | 000,001,062 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
    [2014/06/26 14:59:00 | 000,001,002 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
    [2014/04/21 15:49:14 | 000,000,000 | ---D | M] -- C:\Users\jcb\AppData\Roaming\qone8
    [2013/06/28 20:59:06 | 000,000,000 | ---D | M] -- C:\Users\jcb\AppData\Roaming\TuneUp Software
    [2012/05/23 22:37:13 | 000,000,000 | ---D | M] -- C:\ProgramData\Ask
    [2011/07/25 12:54:09 | 000,000,000 | ---D | M] -- C:\ProgramData\McAfee
    [2011/03/31 17:05:37 | 000,000,000 | ---D | M] -- C:\ProgramData\Norton
    [2010/08/19 02:06:20 | 000,000,000 | ---D | M] -- C:\ProgramData\NortonInstaller
    [2013/06/28 20:59:06 | 000,000,000 | ---D | M] -- C:\ProgramData\TuneUp Software
    [2013/02/23 22:41:52 | 000,000,000 | ---D | M] -- C:\Users\jcb\AppData\Local\AskToolbar
    [2013/02/23 22:39:02 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Ask.com

    :commands
    [purity]
    [emptytemp]
    [emptyflash]


    - Clique ensuite sur Correction laisse l'outil travailler.

    un fichier "LOG" doit s'ouvrir avec le bloc-notes.

    Autrement Il est sauvegardé dans le dossier C:\_OTL\

    - Héberge le rapport xxxx2014_xxxxxx.log présent sur ton bureau au redémarrage de ton PC sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

    Aide : Comment utiliser Cjoint ?
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. HARMO69 Messages postés 18 Statut Membre
     
    https://www.cjoint.com/?DFAvK4zZhFK

    J'ai un message
    " le système doit redémarrer pour finir le nettoyage des fichiers, mais je n'ai pas encore fait "OK" dois-je le faire maintenant?
    0
  6. HARMO69 Messages postés 18 Statut Membre
     
    L'ordi a redémarrer mais j'ai un message"une modification de Windows non autorisée a été réslisée ......"
    Je vois que j'ai encore dans la barre spyhunter4 ?
    0
  7. AidenPearce
     
    Re,

    - Télécharge RogueKiller (par tigzy) sur le bureau

    Version32bits

    Version 64bits

    Info: Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

    Note: Si le programme bloqué par un malware, renommer l'exécutable en winlogon.exe, ou changer l'extension de fichier en .fr (ex: Roguekiller.fr)

    Lance RogueKiller, "Exécuter en tant qu'administrateur" sous Windows : 7/8 et Vista

    Note : Attends que le PreScan ait fini.

    Clique sur Scan.

    Note : Patiente le temps du scan.

    Clic sur Rapport

    Clic sur Fichier, puis Enregistrer sous ... et enregistre le sur ton bureau !

    - Héberge le rapport RKreport_SCN_xxxxxxxx_xxxxxx.log présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

    Aide : Comment utiliser Cjoint ?

    +
    0
  8. HARMO69 Messages postés 18 Statut Membre
     
    WINDOWS me propose le téléchargement des composants requis.
    Faut-il faire quelque chose ?
    0
  9. AidenPearce
     
    RE,

    Ne fait rien pour le moment !!!

    fait une capture d'écran et post la, en réponse avec le rapport de RogueKiller.

    merci.

    +
    0
  10. AidenPearce
     
    Re,

    Quitte tous les programmes en cours

    - Relance RogueKiller.exe. sur ton bureau.

    - Attends la fin du Prescan...

    - Clique sur Scan.

    - À la fin du scan, clique sur Suppression, coche bien toutes les cases au préalable dans les onglets :

    Processus; Registre; Tâches; Hosts; Antirootkits; Fichiers; MBR; Navigateur Web.

    Laisse cocher toutes les lignes en Rouge et en Orange

    Note: Sous l'onglet: Hosts: Clique sur "Host Raz"

    - Patiente...

    - À la fin de la suppression, clique sur Rapport Clic sur Fichier, puis Enregistrer sous ... et enregistre le sur ton bureau !

    - Héberge le rapport RKreport_SCN_xxxxxxxx_xxxxxx.log présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

    Aide : Comment utiliser Cjoint ?
    _____________________________________________________________

    - Télécharge Malwarebytes Anti-malware en cliquant sur "Version gratuite à télécharger".

    - Enregistre-le sur ton bureau.

    - Double-clique sur le fichier téléchargé pour lancer le processus d'installation (Si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte)

    - Une fois le logiciel installé et lancé, va dans l'onglet "Examen".

    - Sélectionne "Examen Menaces" puis clique sur "Examinez maintenant".

    - Si une mise à jour est signalée clique sur Mettre à jour maintenant puis patiente durant l'examen

    - Une fois l'examen terminé, veille à ce que l'action Quarantaine soit sélectionnée pour tous les éléments détectés.

    - Clique sur "Appliquer les actions". S'il est demandé de redémarrer le PC, fais-le.

    - Dans l'onglet Examen, clique sur Exporter le journal => Fichier texte (txt). Sinon, va dans l'onglet Historique puis Journaux de l'application.

    - Héberge le rapport sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

    Aide : Comment utiliser Cjoint ?

    Tutoriel Malwarebyte

    +
    0
  11. HARMO69 Messages postés 18 Statut Membre
     
    Je commence à paniquer un peu.
    Si ce n'est pas un problème , je remets à demain.
    Je suivrais tes dernières instructions.

    Je pourrais bien redémarrer l'ordi demain ?

    Merci pour ta patience
    0
  12. HARMO69 Messages postés 18 Statut Membre
     
    en voulant ouvrir une deuxième session, je vois que je n'ai plus de fonds d'écran et que j'ai un message à droite en bas de l'écran "Windows 7 7601 cette copie n'est pas authentique???

    Merci
    0
  13. HARMO69 Messages postés 18 Statut Membre
     
    J'ai eu un peu de mal avec MALWAREBYTES car il était tout en anglais et je ne retrouvais pas forcément tout ton cheminement.

    Zut, je viens de voir que tu m'avais mis le lien et moi je l'ai pris sur CCM.

    Avira m'a indiqué : registre bloqué?
    À la fin l'ordi s'est relancé mais à la reprise j'ai vu apparaître "outil de mise à jour ENIGMA", puis SPYHUNTER a commencé à se lancer, puis un message "activation Windows, entrez votre clé de produits"

    https://www.cjoint.com/?DFChQjLdAlb
    0
  14. AidenPearce
     
    RE,

    - Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

    - Pour un système en 32 bits -> FRST

    - Pour un système en 64 bits -> FRST64

    Info: Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

    - Ferme toutes les applications, y compris ton navigateur

    - Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer

    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> "Exécuter en tant qu'administrateur"

    - Sur le menu principal, clique sur "Addition.txt" puis sur "Scan" et patiente le temps de l'analyse

    - Héberge les rapports FRST.txt et Addition.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

    Aide : Comment utiliser Cjoint ?

    Note: Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
    0
  15. AidenPearce
     
    Re,

    Appuies simultanément sur les touches Windows et R

    Une fenêtre va s'ouvrir, tape ceci : notepad

    Clic sur OK

    Note : Le bloc note va s'ouvrir

    Copie les lignes suivantes :


    start
    (Enigma Software Group USA, LLC.) C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe
    HKLM-x32\...\Run: [ApnUpdater] => "C:\Program Files (x86)\Ask.com\Updater\Updater.exe"
    SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
    SearchScopes: HKCU - {718B4B6C-1709-4103-8AD3-3AD45C8E0EE3} URL =
    SearchScopes: HKCU - {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL =
    SearchScopes: HKCU - {FCB18316-9043-4EBB-86E3-AACEEF17F78E} URL =
    BHO: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File
    BHO-x32: No Name - {29593d69-5f85-4475-a287-c8f21cd52bff} - No File
    Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
    Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
    Toolbar: HKCU - No Name - {29593D69-5F85-4475-A287-C8F21CD52BFF} - No File
    CHR DefaultSearchKeyword: qone8
    CHR DefaultSearchProvider: qone8
    CHR DefaultSearchURL: https://www.google.com/webhp?gws_rd=ssl{searchTerms}
    CHR HKLM-x32\...\Chrome\Extension: [kbjlipmgfoamgjaogmbihaffnpkpjajp] - C:\Program Files (x86)\Nosibay\Bubble Dock\extensions\GCSurfMatch.crx [2014-03-22]
    2014-06-24 18:02 - 2014-06-24 18:02 - 00003314 _____ () C:\Windows\System32\Tasks\SpyHunter4Startup
    2014-06-24 18:02 - 2014-06-24 18:02 - 00000000 ____D () C:\Program Files\Enigma Software Group
    2014-06-26 21:50 - 2014-06-26 21:50 - 00000552 _____ () C:\Windows\system32\spsys.log
    2014-06-24 20:05 - 2014-06-24 20:05 - 00000244 _____ () C:\spyhunter.log
    2014-06-24 18:02 - 2014-06-24 18:02 - 00003314 _____ () C:\Windows\System32\Tasks\SpyHunter4Startup
    2014-06-24 18:02 - 2014-06-24 18:02 - 00000000 ____D () C:\sh4ldr
    2014-06-24 18:02 - 2014-06-24 18:02 - 00000000 ____D () C:\Program Files\Enigma Software Group
    C:\Users\jcb\AppData\Local\Temp\avgnt.exe
    Ask Toolbar (HKLM-x32\...\{86D4B82A-ABED-442A-BE86-96357B70F4FE}) (Version: 1.15.18.0 - Ask.com)
    Avira SearchFree Toolbar plus Web Protection Updater (HKCU\...\{79A765E1-C399-405B-85AF-466F52E918B0}) (Version: 1.2.4.37268 - Ask.com)
    Task: {509EE866-98B9-46E3-8A0D-E1C44DF04E93} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2014-01-09] (Enigma Software Group USA, LLC.)
    Task: {5F2AF564-2947-4D9E-A46B-72FC95431295} - \Programme de mise à jour en ligne de HP. No Task File
    Task: {6AF3405D-C296-4FF1-B71E-08ADF43E2F8A} - System32\Tasks\0 => Iexplore.exe
    Task: {F96A8D41-85FA-4F00-AD7D-881E10132657} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe
    end


    Retourne dans le bloc note puis colle les lignes copiées.

    Clic sur Fichier, puis Enregistrer sous ..., nomme le fixlist.txt et enregistre le sur ton bureau !

    Rends toi sur le bureau, Lance FRST,Exécuter en tant qu'administrateur sous Windows : 7/8 et Vista

    Clic sur Fix

    Note : Patiente le temps de la suppression

    Une fois le scan terminé rends toi sur le bureau, deux rapports Fixlog.txt a été créé.

    - Héberge le rapport Fixlog.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

    Aide : Comment utiliser Cjoint ?

    +
    0
  16. HARMO69 Messages postés 18 Statut Membre
     
    en cliquant sur fix j'ai un message "no fixlist.txt found"
    alors que je l'ai bien dans un répertoire
    0
  • 1
  • 2