Programmes de démarrage bloqués problème après suppression virus

[Turbo81]

Bonjour

 

Sur les conseils de bleuet et après une analyse avec ZHPdiag, je mets mon problème ici.

Le Sujet d'origine

 

J'ai récemment eu un virus qui cachait beaucoup de mes dossiers et disait qu'il fallait utiliser Windows Recovery. J'ai utilisé Roguekiller puis Malwarebytes et ça semblait réglé.

 

Mais depuis, chaque fois que je démarre et utilise mon ordinateur, on m'annonce que Windows a bloqué certains programmes de démarrage.

 

J'ai une icône sur la barre de tâche qui m'indique "Programmes de démarrage bloqués". J'ai fait clic droit pour afficher les programmes bloqués mais je ne veux pas faire n'importe quoi car le virus se faisait passer pour un élément de Windows et je ne voudrais pas réactiver quelque chose qu'il ne faut pas.

 

J'ai un ordinateur portable Toshiba qui fonctionne sous Vista Service Pack 1.

 

Merci de votre aide.

 

PS : J'ai aussi depuis aujourd'hui un problème d'exécution de script quand je veux consulter mes mails sur YAHOO (voir sujet d'origine).

Modifié le 3 mai 2011 par Turbo81

[Apollo]

Bonjour,

 

As-tu encore le rapport de MBAM? Si oui, je voudrais le voir.

 

Il est possible que ce soit MBAM qui soit en cause.

Exemple:

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Clique sur H .
   
  
• Copie-colle les lignes ci-dessous dans la fenêtre

 

O43 - CFD: 19/11/2008 - 14:58:28 - [58152] ----D- C:\ProgramData\XP    
[MD5.AFB869D31D7884B85555961D047F284A] [sPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Francois\AppData\Local\Temp\AskInstallChecker.exe   [54664]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    
emptytemp 

 

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

@++

[Turbo81]

Bonjour. Merci pour ta réponse.

 

Je n'ai pas compris s'il fallait ou pas que je te montre le rapport MBAM avant de faire le reste de ce que tu m'a dis.

 

Je fais le reste dès que tu me fais signe.

 

 

rapport MBAM :

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6372

 

Windows 6.0.6001 Service Pack 1

Internet Explorer 8.0.6001.19048

 

16/04/2011 10:32:27

mbam-log-2011-04-16 (10-32-27).txt

 

Type d'examen: Examen complet (C:\|E:\|)

Elément(s) analysé(s): 378248

Temps écoulé: 2 heure(s), 18 minute(s), 19 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 5

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\programdata\31448840.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\programdata\sqyjbiknjsxs.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Users\Francois\AppData\Local\Temp\tmp67D.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

c:\Users\Francois\Desktop\rk_quarantine\31448840.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\Users\Francois\Desktop\rk_quarantine\sqyjbiknjsxs.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.

[Apollo]

Bonjour,

 

Si tu me relis, tu verras que je demandais bien le rapport MBAM

 

Tu peux poursuivre avec ce que j'ai demandé de faire.

 

@++

[Turbo81]

Hello,

 

Voici le rapport :

 

Rapport de ZHPFix 1.12.3280 par Nicolas Coolman, Update du 02/05/2011

Fichier d'export Registre :

Run by Francois at 09/05/2011 21:14:28

Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)

Web site : ZHPFix Fix de rapport

 

========== Processus mémoire ==========

C:\Users\Francois\AppData\Local\Temp\AskInstallChecker.exe [54664] => Supprimé et mis en quarantaine

 

========== Clé(s) du Registre ==========

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} => Clé supprimée avec succès

 

========== Dossier(s) ==========

Dossiers temporaires Windows supprimés: 121

 

========== Fichier(s) ==========

Fichiers temporaires Windows supprimés : 1761

 

 

========== Récapitulatif ==========

1 : Processus mémoire

1 : Clé(s) du Registre

1 : Dossier(s)

1 : Fichier(s)

 

 

End of the scan

 

 

A+

[Apollo]

Re.

 

Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

http://www.teamxscript.org/adremoverTelechargement.html

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur scanner

 

 

Le rapport se trouve aussi sous C:\Ad-Report Scan.

Copie/colle-le dans ta réponse stp.

 

 

----------------------------------------------------

 

Relance Ad-Remover et cette fois, clique sur Nettoyer

 

Le bureau va disparaître, c'est normal.

 

Le rapport à poster sera sur C:\Ad-Report Clean.

 

 

Poste les deux rapports stp.

 

@++

[Turbo81]

Voici le premier C:\Ad-Report Scan.

La suite dans une minute

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: http://www.teamxscript.org

 

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 22:13:06 le 09/05/2011, Mode normal

 

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1 (X86)

Francois@PC-DE-FRANCOIS (TOSHIBA Satellite A350)

 

============== RECHERCHE ==============

 

 

 

 

 

============== SCAN ADDITIONNEL ==============

 

**** Internet Explorer Version [8.0.6001.19048] ****

 

HKCU_Main|Default_Page_URL - hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA;

HKCU_Main|Search bar - hxxp://www.google.com/ie

HKCU_Main|Search Page - hxxp://www.google.com

HKCU_Main|Start Page - hxxp://www.google.fr/

HKLM_Main|Default_Page_URL - hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA

HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Start Page - hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA

HKCU_URLSearchHooks|{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - "McAfee SiteAdvisor Toolbar" (c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll)

HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=bZNtI1Y3Y3A13wgoBVjQqOKsFeo?q={searchTerms})

HKLM_Toolbar|{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} (c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll)

HKCU_ElevationPolicy\{9EFD834F-CA4E-4BB4-AF81-25B08C94328C} - C:\Windows\System32\Macromed\Flash\FlashUtil9d.exe (x)

HKLM_ElevationPolicy\{1FCCD250-A453-4348-86C1-E5EA9B76FADB} - C:\Program Files\McAfee\VirusScan\mcvsmap.exe (McAfee, Inc.)

HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)

HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)

HKLM_ElevationPolicy\{A8F94DF3-F6C6-422a-8BFC-7EE0F60A8609} - C:\Program Files\McAfee\VirusScan\mcvsshld.exe (McAfee, Inc.)

HKLM_ElevationPolicy\{DAABE21E-DB8C-49b8-9511-9E6547ECBC5F} - c:\Program Files\McAfee\SiteAdvisor\McSACore.exe (McAfee, Inc.)

HKLM_Extensions\{76577871-04EC-495E-A12B-91F7C3600AFA} - "eBay - Achetez, Vendez" (c:\toshiba\Webshops\ebay.ico)

HKLM_Extensions\{8A918C1D-E123-4E36-B562-5C1519E434CE} - "Amazon.fr" (c:\toshiba\Webshops\amazon.ico)

BHO\{27B4851A-3207-45A2-B947-BE8AFE6163AB} - "McAfee Phishing Filter" (c:\PROGRA~1\mcafee\msk\mskapbho.dll)

BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

BHO\{7DB2D5A0-7241-4E79-B68D-6309F01C5231} - "scriptproxy" (C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20101105112558.dll)

BHO\{B164E929-A1B6-4A06-B104-2CD0E90A88FF} - "McAfee SiteAdvisor BHO" (c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

 

C:\Ad-Report-SCAN[1].txt - 09/05/2011 22:13:18 (3045 Octet(s))

 

Fin à: 22:14:01, 09/05/2011

 

============== E.O.F ==============

[Turbo81]

Voici le rapport Ad report clean :

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: http://www.teamxscript.org

 

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:17:33 le 09/05/2011, Mode normal

 

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1 (X86)

Francois@PC-DE-FRANCOIS (TOSHIBA Satellite A350)

 

============== ACTION(S) ==============

 

 

 

(!) -- Fichiers temporaires supprimés.

 

 

 

 

============== SCAN ADDITIONNEL ==============

 

**** Internet Explorer Version [8.0.6001.19048] ****

 

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896

HKCU_Main|Start Page - hxxp://fr.msn.com/

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://fr.msn.com/

HKCU_URLSearchHooks|{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - "McAfee SiteAdvisor Toolbar" (c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll)

HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=bZNtI1Y3Y3A13wgoBVjQqOKsFeo?q={searchTerms})

HKLM_Toolbar|{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} (c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll)

HKCU_ElevationPolicy\{9EFD834F-CA4E-4BB4-AF81-25B08C94328C} - C:\Windows\System32\Macromed\Flash\FlashUtil9d.exe (x)

HKLM_ElevationPolicy\{1FCCD250-A453-4348-86C1-E5EA9B76FADB} - C:\Program Files\McAfee\VirusScan\mcvsmap.exe (McAfee, Inc.)

HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)

HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)

HKLM_ElevationPolicy\{A8F94DF3-F6C6-422a-8BFC-7EE0F60A8609} - C:\Program Files\McAfee\VirusScan\mcvsshld.exe (McAfee, Inc.)

HKLM_ElevationPolicy\{DAABE21E-DB8C-49b8-9511-9E6547ECBC5F} - c:\Program Files\McAfee\SiteAdvisor\McSACore.exe (McAfee, Inc.)

HKLM_Extensions\{76577871-04EC-495E-A12B-91F7C3600AFA} - "eBay - Achetez, Vendez" (c:\toshiba\Webshops\ebay.ico)

HKLM_Extensions\{8A918C1D-E123-4E36-B562-5C1519E434CE} - "Amazon.fr" (c:\toshiba\Webshops\amazon.ico)

BHO\{27B4851A-3207-45A2-B947-BE8AFE6163AB} - "McAfee Phishing Filter" (c:\PROGRA~1\mcafee\msk\mskapbho.dll)

BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

BHO\{7DB2D5A0-7241-4E79-B68D-6309F01C5231} - "scriptproxy" (C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20101105112558.dll)

BHO\{B164E929-A1B6-4A06-B104-2CD0E90A88FF} - "McAfee SiteAdvisor BHO" (c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

 

C:\Ad-Report-CLEAN[1].txt - 09/05/2011 22:17:42 (3187 Octet(s))

C:\Ad-Report-SCAN[1].txt - 09/05/2011 22:13:18 (3183 Octet(s))

 

Fin à: 22:18:43, 09/05/2011

 

============== E.O.F ==============

[Turbo81]

Je précise au cas où qu'à l'heure qu'il est les programmes de démarrage sont bloqués.

[Apollo]

Et moi je rappelle que j'ai proposé ça:

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

 

et que tu n'as pas dit si tu l'avais fait.

 

MalwareBytes provoque encore bien ce genre de blocage après une analyse.