pear

Bonjour, Lancez cet outil de diagnostic: Zhpdiag 1.31 Double-cliquer sur ZHPDiag.exe pour installer l'outil Sur le bureau ,il y aura 3 icônes Sous XP, double clic sur l'icône ZhpDiag Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur Cliquez sur le bouton en haut, à droite et choisissez Tous Pour éviter un blocage, décochez 045 et 061 Clic sur la Loupe en haut, à gauche pour lancer le scan Postez le rapport ZhpDiag.txt qui apparait sur le bureau Comment poster les rapports Cliquez sur ce bouton en haut, à droite Appuyez sur Parcourir et chercher le rapport , Cliquer sur Envoyer >> dans la page suivante --> Cliquer Pjjoint Uploader ,, une adresse http//.. sera créée Copier /coller cette adresse dans votre prochain message.

C'est sans problème. Sp3 ne demande pas + de mémoire que Sp2 et il sera supporté par Micosoft jusqu'en 07/2014 alors que sp2 ne l'est plus.

J'avais installé le pack 3 mais mon pc semblait marcher plus mal, donc retour arrière. et il n'est plus mis à jour mais exposé à tous les vents ..

Il ne reste que crlui-ci qui a curieusement échappé au nettoyage: Relancez Otl: Sous Custom scan Files ou Personnalisation Copiez Collez :Otl C:\Windows\assembly\GAC_64\Desktop.ini :Files ipconfig /flushdns /c C:\Windows\assembly\GAC_32\Desktop.ini :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] ""=""%1" %*" [purity] [emptytemp] [resethosts] -------->Cliquer Runfix ou Correction OTL redémarrera le système automatiquement. Postez le rapport. >>> Supprimer les utilitaires: - Lancer OTL et cliquer sur Purge outils . Laisser faire et redémarrer le PC. - Pour supprimer les autres utilitaires et leur rapports, cliquer-droit dessus => "Supprimer".

Bonjour Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes . Cliquer sur l'icône Zhpfix Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur Copiez/Collez les lignes vertes dans le cadre ci dessous: pour cela; Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas Ctrl+c mettre le tout en mémoire Ctrl+v pour inscrire le texte dans le Document Vous ne verrez rien avant d'avoir Cliqué sur le H- [MD5.5689F2D4DED335C983671E98D848FB38] - (...) -- C:\Program Files\PenWes\penwes.exe [1422848] [PID.] => Infection PUP (PUP.PenWes) O4 - HKLM\..\Run: [PenWes] . (...) -- C:\Program Files\PenWes\penwes.exe => Infection PUP (PUP.PenWes) O20 - AppInit_DLLs: . (.Discordia, LTD - Data Manager.) - C:\Program Files\SEARCH~1\Datamngr\datamngr.dll => Infection BT (Adware.Bandoo) O42 - Logiciel: PenWes - (.Pas de propriétaire.) [HKLM] -- Penwes => Infection PUP (PUP.PenWes) O43 - CFD: 08/10/2011 - 20:39:02 - [1,675] ----D C:\Program Files\PenWes => Infection PUP (PUP.PenWes) O47 - AAKE:Key Export SP - "C:\Program Files\Searchcore Toolbar\Datamngr\ToolBar\dtUser.exe" [Enabled] .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files\Searchcore Toolbar\Datamngr\ToolBar\dtUser.exe => Infection PUP (Adware.Bandoo) [HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\QuestBrowse] => Infection BT (Adware.QuestBrowse) O44 - LFC:[MD5.CEDDAFB2F0B5F421EF3728783540DA56] - 09/06/2012 - 12:01:26 ---A- . (...) -- C:\user.js [447] R3 - URLSearchHook: BrotherSoft Extreme Toolbar - {51a86bb3-6602-4c85-92a5-130ee4864f13} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files\BrotherSoft_Extreme\prxtbBrot.dll O2 - BHO: BrotherSoft Extreme - {51a86bb3-6602-4c85-92a5-130ee4864f13} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\BrotherSoft_Extreme\prxtbBrot.dll O3 - Toolbar: BrotherSoft Extreme Toolbar - [HKLM]{51a86bb3-6602-4c85-92a5-130ee4864f13} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\BrotherSoft_Extreme\prxtbBrot.dll O42 - Logiciel: BrotherSoft Extreme Toolbar - (.BrotherSoft Extreme.) [HKLM] -- BrotherSoft_Extreme Toolbar => BrotherSoft Extreme [HKCU\Software\BrotherSoft_Extreme] => Toolbar.Conduit [HKLM\Software\BrotherSoft_Extreme] => Toolbar.Conduit O43 - CFD: 03/06/2012 - 17:35:47 - [5,601] ----D C:\Documents and Settings\Propriétaire\Local Settings\Application Data\BrotherSoft_Extreme => Toolbar.Conduit [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{51a86bb3-6602-4c85-92a5-130ee4864f13}] => Toolbar.BrotherSoft Extreme [HKLM\Software\Classes\CLSID\{51a86bb3-6602-4c85-92a5-130ee4864f13}] => Toolbar.BrotherSoft Extreme [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{51a86bb3-6602-4c85-92a5-130ee4864f13}] => Toolbar.BrotherSoft Extreme C:\Documents and Settings\Propriétaire\Local Settings\Application Data\BrotherSoft_Extreme => Toolbar.Conduit SysRestore EmptyFlash EmptyTemp FirewallRaz Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne. Cliquer sur "Tous" puis sur "Nettoyer" . Redémarrer pour achever le nettoyage. Un rapport apparait: Si le rapport n'apparait pas,cliquer sur Copier-coller le rapport de suppression dans la prochaine réponse. Et mettez votre système à jour en installant le sp3 !!!

Et maintenant ?

C'est probablement beaucoup exagéré mais sûrement au delà de mes compétences. Un point positif est que ce n'est un e question d'infection mais de système. Poursuivez la recherche dans cette direction. Bonne chance et persévérance!

Une ligne serait passée à travers ?? Relancez Otl: Sous Custom scan Files ou Personnalisation Copiez Collez :Otl [2012/06/10 10:00:42 | 000,093,696 | ---- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\U\80000032.@ [2012/06/10 09:56:27 | 000,076,800 | ---- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\U\80000064.@ [2012/06/10 09:33:07 | 000,016,896 | ---- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\U\80000000.@ [2012/06/10 09:33:06 | 000,001,584 | ---- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\U\000000cb.@ [2012/06/08 13:04:49 | 000,232,960 | ---- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\U\00000008.@ [2012/06/08 13:04:48 | 000,001,536 | ---- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\U\00000004.@ [2012/06/08 13:04:48 | 000,000,740 | ---- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\L\00000004.@ [2012/01/11 15:37:02 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\@ :Files ipconfig /flushdns /c C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\@ C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c} C:\Users\Janot\AppData\Local\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c} :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] ""=""%1" %*" [purity] [emptytemp] [resethosts] -------->Cliquer Runfix ou Correction OTL redémarrera le système automatiquement. Postez le rapport.

C'est bon. Autre Chose ? Si vous estimez votre problème résolu, éditez l'en tête de votre premier message en choisissant l'option "utiliser l'éditeur complet" et y indiquez Résolu pour que ceux qui la recherchent y trouvent une solution.

Faites au moins la suite de la procédure pour achever le nettoyage. Pour vous donner les droits sur System32, suivez cette méthode. Elle prend l'exemple du régistre mais la procédure est la ême pour un dossier: Tuto de Chantal

Relancez Otl: Sous Custom scan Files ou Personnalisation Copiez Collez :Otl :OTL O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1266624375-3840074103-3942064802-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16:64bit: - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. [2012/06/10 15:56:49 | 000,022,016 | ---- | C] () -- C:\Windows\Installer\{4f5821bd-fca2-eecb-18f3-95ff0b7470a1}\U\800000cb.@ [2012/06/10 15:56:49 | 000,016,896 | ---- | C] () -- C:\Windows\Installer\{4f5821bd-fca2-eecb-18f3-95ff0b7470a1}\U\80000000.@ [2012/06/10 11:50:59 | 000,001,648 | ---- | C] () -- C:\Windows\Installer\{4f5821bd-fca2-eecb-18f3-95ff0b7470a1}\U\00000001.@ [2012/01/11 14:05:43 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{4f5821bd-fca2-eecb-18f3-95ff0b7470a1}\@ [2012/01/11 14:05:43 | 000,002,048 | -HS- | C] () -- C:\Users\mariejo\AppData\Local\{4f5821bd-fca2-eecb-18f3-95ff0b7470a1}\@ :Files ipconfig /flushdns /c C:\Windows\Installer\{4f5821bd-fca2-eecb-18f3-95ff0b7470a1} C:\Users\Nathalie\AppData\Local\{4f5821bd-fca2-eecb-18f3-95ff0b7470a1} :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] ""=""%1" %*" [purity] [emptytemp] [resethosts] [Reboot] -------->Cliquer Runfix ou Correction OTL redémarrera le système automatiquement. Postez le rapport.

L'UAC est un système mis en place par Microsoft depuis la version Vista, une alerte s'affiche pour permettre l'élévation de privilèges administrateurs pour permettre les opérations administrateurs (tentative de modifications du systèmes, accès à des fichiers administrateurs etc..). Ceci peut permettre la protection des infections via par exemple des exploits sur les sites WEB puisque l'infection aura besoin des droits administrateurs pour infecter le système, l'UAC se déclenchera via une alerte, vous pourrez alors empécher l'infection du système en refusant l'élvation de privilèges. Certains utilitaires peuvent avoir besoin que l'on désactive temporairement l'UAC pour s'installer. Sous Vista/7 ,Désactiver l'UAC Pour cela, ouvrez le panneau de configuration puis cliquez en haut à droite sur Comptes d'utilisateurs Dans Comptes d'utilisateurs, cliquez sur la dernière option Activer ou désactiver le contrôle des comptes d'utilisateurs Décochez l'option, Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger le système Sous Win 7, placez le curseur tout en bas sur "Ne jamais m'avertir". Une popup s'ouvre alors pour vous demander de redémarrer l'ordinateur, cliquez alors sur Redémarrer maintenant Il faudra réactiver l'UAC afin de protéger votre ordinateur après la procédure en cours. Pour cela, recocher l'option Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger le système Si vous êtes sous Windows 7: UAC Seven

Ce n'était pas évident. Mais c'est simple quand on a trouvé la solution. Si vous estimez votre problème résolu, éditez l'en tête de votre premier message en choisissant l'option "utiliser l'éditeur complet" et y indiquez Résolu pour que ceux qui la recherchent y trouvent une solution.

Si ce n'est déjà fait, redémarrez et dites comment va la machine .

Bonjour, Vous êtes à la mode ! Télécharger OTL sur le bureau Double cliquer sur l'icône Si la protection en temps réel de Malwarebytes Anti-Malware est activée.. Il faut absolument la désactiver sous peine de plantage dans MBAM version PRO ou dans MBAM version gratuite si la période d'essai (de 14 jours de la version PRO) est en cours Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption. Cochez]----------------->Tous les utilisateurs (scan all users) Sous Rapport (output) Cliquez ----------------------------->Rapport Standard (Standard Output) Sous Régistre Standard(Standard Registry) cocher Tous(All) Cochez------------------------------> Lop check et Purity check Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous, en vert: SAVEMBR:0 NetSvcs msconfig safebootminimal safebootnetwork activex drivers32 %USERPROFILE%\AppData\Local\*.* %USERPROFILE%\AppData\Roaming\*.* %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys userinit.exe explorer.exe ntoskrnl.exe services.exe /md5stop CREATERESTOREPOINT Clic sur Analyse une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir Comment poster les rapports Copiez/collez tout ou partie des rapports dans un ou plusieurs messages. Autre solution à privilégier pour un rapport lourd Aller sur le site :Ci-Joint Appuyez sur Parcourir et chercher les rapports sur le disque, Cliquer sur Ouvrir Cliquer sur Créer le lien CJoint, >> dans la page suivante --> ,, une adresse http//.. sera créée Copier /coller cette adresse dans votre prochain message.

Dans system32

Relancez Otl: Sous Custom scan Files ou Personnalisation Copiez Collez :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Rechercher {searchTerms} [2012/06/10 12:50:57 | 000,001,648 | ---- | C] () -- C:\Windows\Installer\{df85ce06-d140-1bc6-5fb3-3829fd5db137}\U\00000001.@ [2012/06/09 09:10:29 | 000,016,896 | ---- | C] () -- C:\Windows\Installer\{df85ce06-d140-1bc6-5fb3-3829fd5db137}\U\80000000.@ [2012/06/09 09:10:27 | 000,022,016 | ---- | C] () -- C:\Windows\Installer\{df85ce06-d140-1bc6-5fb3-3829fd5db137}\U\800000cb.@ [2012/01/11 08:46:21 | 000,002,048 | --S- | C] () -- C:\Users\Nathalie\AppData\Local\{df85ce06-d140-1bc6-5fb3-3829fd5db137}\@ [2012/01/11 08:46:21 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{df85ce06-d140-1bc6-5fb3-3829fd5db137}\@ :Files ipconfig /flushdns /c C:\Windows\Installer\{df85ce06-d140-1bc6-5fb3-3829fd5db137} C:\Users\Nathalie\AppData\Local\{df85ce06-d140-1bc6-5fb3-3829fd5db137} :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] ""=""%1" %*" [purity] [emptytemp] [resethosts] [Reboot] -------->Cliquer Runfix ou Correction OTL redémarrera le système automatiquement. Postez le rapport.

DrWeb Remover Télécharger Dr.Web CureIt! et l'enregistrer sur le bureau. Télécharger Space Security Pro (32-bit) ou Space Security Pro (64 bits), l'enregistrer dans bureau. Redémarrez en mode sans échec (appuyez sur F8 avant que le logo Microsoft apparaîsse). DoubleClick "cureit.exe" sur le bureau, suivez les instructions à l'écran pour scanner le disque dur. (Attendez patiemment, cela peut prendre 20-60 minutes pour effectuer un balayage express.) Une fois la numérisation effectuée, sélectionnez tous les virus trouvés et choisissez «guérir». (A défaut, choisissez "Quarantaine" ou "Supprimer".) Lorsque tous les virus trouvés sont traités, redémarrez en mode normal. Désinstaller votre anti-virus qui ne peut pas tuer le virus, puis redémarrer à nouveau. Sur le bureau , double cliquez Sécurity Pro pour l'exécuter. Pendant l'installation, choisir d'obtenir une clé de démonstration. Dès la mise à jour, le scanner sera lancé à nouveau, quittez le scanner à ce point. Terminez l'installation en redémarrant l'ordinateur. Patientez le temps nécessaire(peut-être plusieurs heures), effectuez une analyse complète de Dr.Web scanner. Si Windows est incapable de démarrer en raison d'une infection virale, essayer LiveCD Dr.Web ou LiveUSB au lieu de Dr.Web CureIt! Gravez un live cd comme expliqué ici: Tutoriel Dr Web Live cd

Désinstallez le avant de lancer Otl.

O10 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll => Fichier absent à chercher sur le web et réinstaller. Spybot, totalement obsolète doit être désinstallé. Vous pourriez utiliser Mbam (Malewares Bytes)pour le remplacer. Téléchargez MBAM ICI ou LA Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:! Sous Vista, exécuter avec privilèges Administrateur Afficher d'abord le Mode Avancé dans SpyBot ->Options Avancées : - >menu Mode, Mode Avancé. Une colonne de menus apparaît dans la partie gauche : - >cliquer sur Outils, - >cliquer sur Résident, Dans Résident : - >décocher Résident "TeaTimer" pour le désactiver. Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP : C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots Et sous Vista : C:\ProgramData\Spybot - Search & Destroy\Snapshots Si vous ne trouvez pas Snapshots, poursuivez la procédure sans vous en préoccuper Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes . Cliquer sur l'icône Zhpfix Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur Copiez/Collez les lignes vertes dans le cadre ci dessous: pour cela; Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas Ctrl+c mettre le tout en mémoire Ctrl+v pour inscrire le texte dans le Document Vous ne verrez rien avant d'avoir Cliqué sur le H- O4 - Global Startup: C:\Users\Janot\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.) -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe => Safer Net Working%Spybot S&D O10 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll => Fichier absent O69 - SBI: SearchScopes [HKCU] {2fa28606-de77-4029-af96-b231e3b8f827} - (Ask.com) - Ask.com - International O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 => Safer Networking Limited Spybot - S&D O42 - Logiciel: Turbo ZIP Cracker v. 1.4 - (.FDRLab Data Recovery Centre.) [HKLM] -- Turbo ZIP Cracker_is1 O43 - CFD: 08/06/2012 - 19:54:25 - [52,637] ----D C:\Program Files (x86)\Spybot - Search & Destroy => Spybot - Search & Destroy O43 - CFD: 08/06/2012 - 20:21:21 - [50,602] ----D C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy O43 - CFD: 08/06/2012 - 19:54:25 - [52,637] ----D C:\Program Files (x86)\Spybot - Search & Destroy => Spybot - Search & Destroy C:\Program Files (x86)\FDRLab\Turbo ZIP Cracker\TurboZipCracker.exe => Crack, KeyGen, Keymaker - Possible Malware C:\Program Files (x86)\FDRLab\Turbo ZIP Cracker\unins000.dat => Crack, KeyGen, Keymaker - Possible Malware C:\Program Files (x86)\FDRLab\Turbo ZIP Cracker\unins000.exe => Crack, KeyGen, Keymaker - Possible Malware C:\Users\Janot\Documents\Vuze Downloads\Microsoft Office Visio Professional 2007 FR\Office 2007 Application KeyGen\msa2007kg.exe => Crack, KeyGen, Keymaker - Possible Malware C:\Program Files (x86)\FDRLab\Turbo ZIP Cracker\TurboZipCracker.exe => Crack, KeyGen, Keymaker - Possible Malware C:\Program Files (x86)\FDRLab\Turbo ZIP Cracker\unins000.dat => Crack, KeyGen, Keymaker - Possible Malware C:\Program Files (x86)\FDRLab\Turbo ZIP Cracker\unins000.exe => Crack, KeyGen, Keymaker - Possible Malware C:\Users\Janot\Documents\Vuze Downloads\Microsoft Office Visio Professional 2007 FR\Office 2007 Application KeyGen\msa2007kg.exe => Crack, KeyGen, Keymaker - Possible Malware SysRestore EmptyFlash EmptyTemp FirewallRaz Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne. Cliquer sur "Tous" puis sur "Nettoyer" . Redémarrer pour achever le nettoyage. Un rapport apparait: Si le rapport n'apparait pas,cliquer sur Copier-coller le rapport de suppression dans la prochaine réponse. Télécharger Usb Fix , sur le bureau Installez le avec les paramètres par défault Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes. Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident... Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir Si vous êtes sous Vistaésactiver L'UAC ,avant utilisation. Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur". Lancer l' option 1(Recherche) le rapport UsbFix.txt est sauvegardé à la racine du disque . Faites en un copier/coller dans le bloc notes pour le poster. Ensuite, Lancer l'option 2(Suppression) Le bureau disparait et le pc redémarre Patientez le temps du scan. le rapport UsbFix.txt est sauvegardé à la racine du disque Faites en un copier/coller dans le bloc notes pour le poster. Pour les rapports qui sont courts (ex. Malwarebytes, AD-R, USBFix, etc.), copiez/collez sur votre sujet Vaccination Pour vous éviter une infection ultérieure: Lancer l' Option 3 (vaccination) Pour Désinstaller UsbFix (après la désinfection) Double clic sur le raccourci sur le bureau Lancer l' option 5 ( Désinstaller ) ....

Vous vous êtes donc réinfecté ! Lancez cet outil de diagnostic: Zhpdiag 1.31 Double-cliquer sur ZHPDiag.exe pour installer l'outil Sur le bureau ,il y aura 3 icônes Sous XP, double clic sur l'icône ZhpDiag Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur Cliquez sur le bouton en haut, à droite et choisissez Tous Pour éviter un blocage, décochez 045 et 061 Clic sur la Loupe en haut, à gauche pour lancer le scan Postez le rapport ZhpDiag.txt qui apparait sur le bureau Comment poster les rapports Cliquez sur ce bouton en haut, à droite Appuyez sur Parcourir et chercher le rapport , Cliquer sur Envoyer >> dans la page suivante --> Cliquer Pjjoint Uploader ,, une adresse http//.. sera créée Copier /coller cette adresse dans votre prochain message.

Commencez par faire un point de restauration qui vous permettra de revenir à létat actuel en cas de problème Relancez Otl: Sous Custom scan Files ou Personnalisation Copiez Collez :Otl IE - HKU\S-1-5-21-1750494903-643749306-1576934769-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPDTDF IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPDTDF IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPDTDF O3 - HKU\S-1-5-21-1750494903-643749306-1576934769-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe File not found 8:64bit: - Extra context menu item: &Envoyer à OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105 File not found O8:64bit: - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 File not found O8 - Extra context menu item: &Envoyer à OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105 File not found O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 File not found O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000009 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found O10 - NameSpace_Catalog5\Catalog_Entries\000000000009 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Program Files (x86)\Bonjour\mdnsNSP.dll File not found O18:64bit: - Protocol\Handler\skype4com - No CLSID value found 21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. [2012/06/10 10:00:42 | 000,093,696 | ---- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\U\80000032.@ [2012/06/10 09:56:27 | 000,076,800 | ---- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\U\80000064.@ [2012/06/10 09:33:07 | 000,016,896 | ---- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\U\80000000.@ [2012/06/10 09:33:06 | 000,001,584 | ---- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\U\000000cb.@ [2012/06/08 13:04:49 | 000,232,960 | ---- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\U\00000008.@ [2012/06/08 13:04:48 | 000,001,536 | ---- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\U\00000004.@ [2012/06/08 13:04:48 | 000,000,740 | ---- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\L\00000004.@ [2012/01/11 15:37:02 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\@ [2012/06/08 19:54:24 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy => Spybot - Search & Destroy [2012/06/08 19:54:20 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy [2012/06/08 19:54:20 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy => Spybot - Search & Destroy [2012/06/08 13:03:20 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Turbo ZIP Cracker => Crack, KeyGen, Keymaker - Possible Malware :Files netsh winsock reset catalog /c ipconfig /flushdns /c C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c}\@ C:\Windows\Installer\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c} C:\Users\Janot\AppData\Local\{06a09e8e-f3e2-ff0b-ab85-bf4fef9ad06c} :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] ""=""%1" %*" [purity] [emptytemp] [resethosts] [Reboot] -------->Cliquer Runfix ou Correction OTL redémarrera le système automatiquement. Postez le rapport.

Télécharger OTL sur le bureau Double cliquer sur l'icône Si la protection en temps réel de Malwarebytes Anti-Malware est activée.. Il faut absolument la désactiver sous peine de plantage dans MBAM version PRO ou dans MBAM version gratuite si la période d'essai (de 14 jours de la version PRO) est en cours Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption. Cochez]----------------->Tous les utilisateurs (scan all users) Sous Rapport (output) Cliquez ----------------------------->Rapport Standard (Standard Output) Sous Régistre Standard(Standard Registry) cocher Tous(All) Cochez------------------------------> Lop check et Purity check Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous, en vert: SAVEMBR:0 NetSvcs msconfig safebootminimal safebootnetwork activex drivers32 %USERPROFILE%\AppData\Local\*.* %USERPROFILE%\AppData\Roaming\*.* %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys userinit.exe explorer.exe ntoskrnl.exe services.exe /md5stop CREATERESTOREPOINT Clic sur Analyse une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir Comment poster les rapports Copiez/collez tout ou partie des rapports dans un ou plusieurs messages. Autre solution à privilégier pour un rapport lourd Aller sur le site :Ci-Joint Appuyez sur Parcourir et chercher les rapports sur le disque, Cliquer sur Ouvrir Cliquer sur Créer le lien CJoint, >> dans la page suivante --> ,, une adresse http//.. sera créée Copier /coller cette adresse dans votre prochain message.

Users\Nathalie\Desktop\OTM.exe - infected with Trojan.Siggen3.56428 C:\Users\Nathalie\Desktop\OTM.exe - infected C'est un faux positif. OTM est sain mais utilise des outils considérés comme dangereux par certains autres outils. Cela arrive souvent et c'est la raison pour laquelle on demande de déactiver les protections avant de lancer un outil de désinfection. Revenons au sujet. Télécharger OTL sur le bureau Double cliquer sur l'icône Si la protection en temps réel de Malwarebytes Anti-Malware est activée.. Il faut absolument la désactiver sous peine de plantage dans MBAM version PRO ou dans MBAM version gratuite si la période d'essai (de 14 jours de la version PRO) est en cours Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption. Cochez]----------------->Tous les utilisateurs (scan all users) Sous Rapport (output) Cliquez ----------------------------->Rapport Standard (Standard Output) Sous Régistre Standard(Standard Registry) cocher Tous(All) Cochez------------------------------> Lop check et Purity check Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous, en vert: SAVEMBR:0 NetSvcs msconfig safebootminimal safebootnetwork activex drivers32 %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys userinit.exe explorer.exe ntoskrnl.exe services.exe /md5stop CREATERESTOREPOINT Clic sur Analyse une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir Comment poster les rapports Copiez/collez tout ou partie des rapports dans un ou plusieurs messages. Autre solution à privilégier pour un rapport lourd Aller sur le site :Ci-Joint Appuyez sur Parcourir et chercher les rapports sur le disque, Cliquer sur Ouvrir Cliquer sur Créer le lien CJoint, >> dans la page suivante --> ,, une adresse http//.. sera créée Copier /coller cette adresse dans votre prochain message.

J'ai besoin du rapport complet, svp. Comment poster les rapports Cliquez sur ce bouton en haut, à droite Appuyez sur Parcourir et chercher le rapport , Cliquer sur Envoyer >> dans la page suivante --> Cliquer Pjjoint Uploader ,, une adresse http//.. sera créée Copier /coller cette adresse dans votre prochain message. Je crois tenir une piste solide. On y reviendra quand j'aurai lu le rapport.