Pc infecté

[Kabalol]

Salut

je viens d'aprés ce post http://forum.zebulon.fr/avira-bloque-a-167-t187025.html

 

Alors, mon problème c'est qu'Avira reste bloqué a 16.8~% sur C:/window/winsxs/.../systeme.entreprise.services.wrapper.dll

J'ai fait ce scan car j'ai fait une restauration système du à certain probléme puis finalement j'ai annulé cette restauration car mon dossier C:/Program Files était vide . Après avoir annulé cette restauration système le dossier Program files rester vide (il m'affiche 0 fichier 0 octets)

mais dans la barre d'adresse si je rentre le chemin d'accès d'un fichier je peux y accéder.

Donc au final les fichiers du dossier Program files ne sont pas visible et mon avira bloque lorsque je fais un scan systéme .

 

Lien CJoint.com AHhajLdLfwe

Modifié le 7 août 2011 par Kabalol

[pear]

Bonsoir,

 

On nettoie d'abord, mais je crois que votre problème est ailleurs.

 

 

Cliquer sur l'icône Zhpfix qui est sur votre bureau

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

 

[HKLM\Software\Classes\AppID\autocompletepro.dll] => Infection PUP (Adware.PredictAd)

[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\autocompletepro3_is1] => Infection BT (Adware.PredictAd)

[HKLM\Software\Classes\suggestmeyes.suggestmeyesbho] => Infection BT (Adware.PredictAd)

[HKLM\Software\Classes\suggestmeyes.suggestmeyesbho.1] => Infection BT (Adware.PredictAd)

[HKLM\Software\Classes\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}] => Infection PUP (Adware. PredictAd)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}] => Infection BT (Adware.PredictAd)

[HKLM\Software\Classes\AppID\{442f13bc-2031-42d5-9520-437f65271153}] => Infection PUP (Adware.PredictAd)

[HKLM\Software\Classes\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}] => Infection PUP (Adware.PredictAd)

[HKLM\Software\Google\Chrome\Extensions\defdhglnppeioeflggkmglipcecffkhk] => Infection PUP (Adware.PredictAd)

C:\Program Files\AutocompletePro => Infection BT (Adware.PredictAd)

O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline => Orphean Key not necessary

O4 - HKUS\S-1-5-21-1547161642-1004336348-682003330-1003\..\Run: [AdobeBridge] Clé orpheline => Orphean Key not necessary

O47 - AAKE:Key Export SP - "H:\fscommand\CKSocketServer.exe" [Enabled] .(...) -- H:\fscommand\CKSocketServer.exe (.not file.) => Fichier absent

O43 - CFD: 29/10/2010 - 20:50:58 - [13709] ----D- C:\Documents and Settings\scamtanburlo\Application Data\teamspeak2 => Toolbar.Conduit

C:\Documents and Settings\scamtanburlo\Application Data\teamspeak2 => Toolbar.Conduit

 

 

 

Cliquez ensuite sur le H-

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .

Acceptez de Redémarrer pour achever le nettoyage.

Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur

Copier-coller le rapport de suppression dans la prochaine réponse.

Modifié le 7 août 2011 par pear

[Kabalol]

voici le rapport :

 

Rapport de ZHPFix 1.12.3345 par Nicolas Coolman, Update du 29/07/2011

Fichier d'export Registre :

Run by scamtanburlo at 07/08/2011 20:36:52

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Clé(s) du Registre ==========

ABSENT Key: HKLM\Software\Classes\AppID\autocompletepro.dll

ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\autocompletepro3_is1

ABSENT Key: HKLM\Software\Classes\suggestmeyes.suggestmeyesbho

ABSENT Key: HKLM\Software\Classes\suggestmeyes.suggestmeyesbho.1

ABSENT Key: HKLM\Software\Classes\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}

ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}

ABSENT Key: HKLM\Software\Classes\AppID\{442f13bc-2031-42d5-9520-437f65271153}

ABSENT Key: HKLM\Software\Classes\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}

ABSENT Key: HKLM\Software\Google\Chrome\Extensions\defdhglnppeioeflggkmglipcecffkhk

 

========== Valeur(s) du Registre ==========

ABSENT RunValue: AdobeBridge

ABSENT AAKE KeyValue: H:\fscommand\CKSocketServer.exe

 

========== Dossier(s) ==========

ABSENT C:\Documents and Settings\scamtanburlo\Application Data\teamspeak2

 

========== Fichier(s) ==========

ABSENT Folder/File: c:\program files\autocompletepro

ABSENT Folder/File: c:\documents and settings\scamtanburlo\application data\teamspeak2

 

 

========== Récapitulatif ==========

9 : Clé(s) du Registre

2 : Valeur(s) du Registre

1 : Dossier(s)

2 : Fichier(s)

 

 

========== Chemin du fichier rapport ==========

C:\ZHP\ZHPFixReport.txt

 

 

 

End of the scan in 00mn 00s

[pear]

Oui, comme prévisible.

 

Télécharger GMER

clic sur "Download EXE" et télécharger le fichier sur le bureau.

 

Désactiver les protection (antivirus, antispyware etc) et fermer tous les programmes ouverts.

Double-clic sur le fichier GMER téléchargé.

- Dans la section de droite de la fenêtre de l'outil, Vérifiez que soient décochées :

Show All

Une fois lancé, clic droit sur le fond blanc et clic sur "Only Non MS files"

Clic en bas à droite sur le bouton "Scan" pour lancer le scan.

 

 

Lorsque le scan est terminé, clic sur "Copy"

 

Il peut arriver que GMER plante sans raison apparente.

Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;

si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.

Lorsque les informations sur le scan s'affichent , es éléments détectés comme rootkit apparaissent en rougel dans chaque section.

Pour supprimer:

Clic droit et faire l'action voulue selon le type de la colonne de gauche.

Delete the service si c'est un service

Delete File pour le reste

Ouvrez le bloc-note et clic sur le Menu Edition / Coller

Le rapport doit alors apparaître.

Enregistrer le fichier sur le bureau et copier/coller le contenu.

 

[/color]

[Kabalol]

Bon et bien je pense que je me suis gourrer dans la manip .j'ai fait le scan ensuite j'ai voulu supprimer les fichier qui était dans longlet rooktip/malware (aucun était en rouge) et Sur un en particulier quand je les supprimer sa ma reboot l'ordinateur , arriver sur la page de choix d'utilisateur je me suis rendu compte que jetait dans l'impossibilité d'utiliser ma souri et mon clavier. Alors après avoir debranchher rebrancher changer de port ect rien ni change je ne peut plus accéder au bureau(bloquer sur le choix de l'utilisateur)

Merci de m'aider =\

Je m'excuse déngendrer plus de problème qu'il y en a j'aurai du vous demander plus de précision

[pear]

Faites une restauration à une date antérieure et recommencez sans faire d'erreur.

[Kabalol]

Et comment puis je faire puisque je ne peut plus aller sur mon bureau que je reste bloque au choix d'utilisateur avec une souri et un clavier qui ne répond pas =\

[pear]

Mode sans échec->Dernière bonne configuration connue

 

 

Sinon:

L'écran d'ouverture de session n'apparaît pas :

Il se peut également que l'ordinateur redémarre juste avant l'apparition de l'écran d'ouverture de session.

Démarrez la Console de récupération.

Au prompt C:\Windows>

Saisissez ces commandes :

cd system32

ren kernel32.dll kernel32.bak

expand d:\i386\kernel32.dl_

ren kernel32.dl_ kernel32.dll

Où D est la lettre du Cd-Rom d'installation :

exit

Redémarrez

 

Dans le cas où la console n'est pas installée, munissez-vous de votre CD d'installation ou du cd que vous avez fait.

Assurez-vous que les options du Boot soient bien paramétrées pour démarrer sur le lecteur de CD en premier dans votre BIOS

- Insérez le CD dans le lecteur de CD, puis redémarrez l'ordinateur

- Lorsque l'écran de bienvenue du programme d'installation s'affiche,

 

Appuyez sur la touche R pour démarrer la console de récupération.

Si on vous le demande, parce que vous n'avez pas installé la commande Set:

Tapez votre mot de passe Administrateur si vous en avez un, sinon, ne tapez rien et cliquez sur ENTRÉE.

 

 

 

 

 

Utilisation de la console

 

Lorsque l'invite pour %SystemRoot% (généralement C:\Windows) apparaît, vous pouvez commencer à taper les commandes appropriées pour diagnostiquer et réparer votre installation.

Windows vous demande quel système démarrer.

Appuyez la touche Verr Num pour activer le clavier numérique

Généralement , vous tapez 1 pour accéder au prompt C:\Windows>

Vous arrivez là:

C:\WINDOWS>

Modifié le 8 août 2011 par pear