[Résolu] Aide pour éliminer des infections

[JLD95]

Bonjour,

sur conseil de TonTon57, j'ouvre ce nouveau post afin d'obtenir un peu d'aide pour nettoyer les malwares que j'ai:

 

Post initial

log ZHPDiag: log ZHPDiag

 

Merci

Modifié le 13 octobre 2011 par JLD95

[bernard53]

Bonjour

 

Fait ceci s.t.p

 

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

O2 - BHO: Ask Toolbar BHO [64Bits] - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Avira SearchFree Toolbar.) -- C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll

O4 - HKLM\..\Wow6432Node\Run: [ApnUpdater] . (.{StringFileInfo_CompanyName} - {StringFileInfo_FileDescription}.) -- C:\Program Files (x86)\Ask.com\Updater\Updater.exe O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found

[MD5.451B59870B19F228C902DAB5C4D37BDE] [APT] [scheduled Update for Ask Toolbar] (...) -- C:\Program Files (x86)\Ask.com\UpdateTask.exe

O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}

[HKCU\Software\APN]

[HKCU\Software\AppDataLow\Software\AskToolbar]

[HKCU\Software\Ask.com]

[HKCU\Software\AskToolbar]

[HKLM\Software\APN]

[HKLM\Software\AskToolbar]

O43 - CFD: 14/09/2011 - 19:13:22 - [726246] ----D- C:\Users\Admin_JLD\AppData\Local\AskToolbar

O43 - CFD: 14/09/2011 - 19:13:36 - [2506785] ----D- C:\Program Files (x86)\Ask.com

[MD5.ED92900BF225E26A4E54C2C14FA1424F] [sPRF][21/09/2011] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Admin_JLD\AppData\Local\Temp\AskSLib.dll [246440]

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

 

Puis::

 

 

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

Les Téléchargements - Outils de Xplode - AdwCleaner

 

Lance le, clique sur [Recherche] puis patiente le temps du scan.

Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

 

[JLD95]

Merci Bernard53 pour ta réponse.

Petite question: La Toolbar Ask - Avira SearchFree ne pourrait elle pas servir pour la fonction webguard d'Avira ?

En fait, dans la version gratuite d'Avira, pour avoir la fonction WebGuard, il faut autoriser la toolbar Ask ce que j'ai fait.

 

FirewallRaz va me remettre la config windows par défaut ?: j'avais commencé à ajouter des règles sortantes afin d'arriver à surfer avec le pare-feu Windows7 en mode avancé

Modifié le 11 octobre 2011 par JLD95

[bernard53]

Petite question: La Toolbar Ask - Avira SearchFree ne pourrait elle pas servir pour la fonction webguard d'Avira

non rien a voir "Ask " mets sa pub et c'est tout

En fait, dans la version gratuite d'Avira, pour avoir la fonction WebGuard, il faut autoriser la toolbar Ask ce que j'ai fait.

 

Il y a un moment que je n'ai pas installé le nouvelle version donc Cela m'étonne

 

regarde ceci.

http://forum.zebulon.fr/avira-antivir-free-avec-webguard-toolbar-askcom-t186281.html&st=20

 

FirewallRaz va me remettre la config windows par défaut ?

 

La commande FirewallRAZ assure la suppression de toutes les valeurs orphelines ou de toutes les valeurs dont la donnée comporte un fichier absent (not filedonc pas de soucis pour toi.

[JLD95]

Merci Bernard pour ces précisions: je vais désinstaller Antivir pour passer sur Avast. Je suppose qu'en désinstallant Antivir, il supprime cette toolbar Ask ?

Je relancerai un ZHPDiag pour vérifier

Modifié le 11 octobre 2011 par JLD95

[bernard53]

e suppose qu'en désinstallant Antivir, il supprime cette toolbar Ask ?

pas sur du tout et même cela m'étonnerais

[JLD95]

Encore une petite question:

 

[HKCU\Software\APN] et [HKLM\Software\APN] ça représente quelque chose en relation avec cette toolbar ask ?

[JLD95]

Bonsoir,

ce soir, de nouveau aucun problème au démarrage.

 

je n'ai pas encore lancé ZHPFix mais simplement désactivé le webguard d'Avira (via le panneau de contrôle, option modifier) et désintaller l'Ask Toolbar d'Avira.

J'ai également dévacciné puis désintallé Spybot.

Voici le rapport: Mon lien

 

l'ask toolbar semble avoir été correctement nettoyée: qu'en pensez-vous ?

Modifié le 11 octobre 2011 par JLD95

[bernard53]

[HKCU\Software\APN] et [HKLM\Software\APN] ça représente quelque chose en relation avec cette toolbar ask ?

non mais avec "Toolbar.eBay"

 

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

O43 - CFD: 14/09/2011 - 19:13:22 - [726246] ----D- C:\Users\Admin_JLD\AppData\Local\AskToolbar

C:\Users\Admin_JLD\AppData\Local\AskToolbar

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

Ensuite::

 

Tu peux contrôler le démarrage de tous ces processus avec un logiciel comme Starter de Code Stuff.

Télécharge et installe Code Stuff Starter :

 

http://telechargement.zebulon.fr/starter.html

 

Après le lancement >> configuration >> Options >> Langage >> French >> OK

 

Ensuite vas dans l’onglet démarrage et décoches les lignes voulues.

 

Ne t'inquiète pas si a l'usage tu veux réactiver l'une d'elles, il suffit de la. recocher

 

Elles sont lancées inutilement au démarrage du système et cela ne comporte aucun danger.

 

 

Lignes à décocher qui sont en relation.

 

O4 - HKLM\..\Run: [EvtMgr6] . (.Logitech, Inc. - Logitech SetPoint Event Manager (UNICODE).) -- C:\Program Files\Logitech\SetPointP\SetPoint.exe

O4 - HKLM\..\Wow6432Node\Run: [bCSSync] . (.Microsoft Corporation - Microsoft Office 2010 component.) -- C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe

O4 - HKLM\..\Wow6432Node\Run: [Nikon Transfer Monitor] . (.Nikon Corporation - Nikon Transfer Monitor.) -- C:\Program Files (x86)\Common Files\Nikon\Monitor\NkMonitor.exe

O4 - HKLM\..\Wow6432Node\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe

O4 - HKLM\..\Wow6432Node\Run: [soundMAXPnP] . (.Analog Devices, Inc. - SMax4PNP.) -- C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Wow6432Node\Run: [startCCC] . (.Advanced Micro Devices, Inc. - Catalyst® Control Center Launcher.) -- C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKUS\S-1-5-21-435481371-2609766376-2205851657-1001-435481371-2609766376-2205851657-1000\..\RunOnce: [scan_after_setup] . (.Avira GmbH - Antivirus Control Center.) -- c:\program files (x86)\avira\antivir desktop\avcenter.exe

 

Redémarres le pc ensuite pour constater le mieux.

Ensuite ceci pour voir comme la demande de " TonTon57" su cet utilitaire trouve un indice.

 

 

Télécharger whocrashedSetup

 

Installer le logiciel et une fois installé cliquez sur Analyse

 

Laisse Internet connecté . Si tu as une anomalie mets-le rapport ici.

[JLD95]

Voici le rapport de ZHPFix

 

 

Rapport de ZHPFix 1.12.3363 par Nicolas Coolman, Update du 05/10/2011

Fichier d'export Registre :

Run by Admin_JLD at 11/10/2011 18:05:53

Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

 

========== Valeur(s) du Registre ==========

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

SUPPRIME FirewallRaz (None) : {A177A486-5F19-4DCD-A175-68411F93ABD8}

SUPPRIME FirewallRaz (None) : {0B4B3B12-C8B2-4ECE-87D9-6D16BA8B51CB}

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\Users\Admin_JLD\AppData\Local\AskToolbar

SUPPRIME Flash Cookies: 2

SUPPRIME Temporaires Windows: : 268

 

========== Fichier(s) ==========

ABSENT Folder/File: c:\users\admin_jld\appdata\local\asktoolbar

SUPPRIME Flash Cookies: 0

SUPPRIME Temporaires Windows: : 1975

 

 

========== Récapitulatif ==========

4 : Valeur(s) du Registre

3 : Dossier(s)

3 : Fichier(s)

 

 

End of clean in 00mn 05s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 11/10/2011 18:05:53 [1066]

 

 

Concernant le non lancement de certains services avec Starter, si je ne lance plus Nikon Transfert et que je branche mon reflex, est-ce windows va lancer tout seul Nijon transfert ?

 

Petite question supplémentaire: Existe un soft gratuit pour réaliser la vaccination qui était faite par SpyBot et qui utiliserait la nouvelle techno de windows7 sans passer par le Host qui digère mal les grandes listes il me semble ?

Modifié le 11 octobre 2011 par JLD95