Un virus modifie les formats de fichiers

[zebuzoif]

Bonjour,

 

Je viens faire appel à vous car je rencontre depuis quelque temps le problème suivant : lorsque j'enregistre une page html, ça me l'enregistre au format word ou ZIP. Lorsque je veux ouvrir un fichier html, ça me l'ouvre sous word et lorsque je veux ouvrir un dossier html, je ne peux pas car c'est considéré comme un fichier compressé.

j'ai fais clic droit sur le fichier, ouvrir avec IE.....et là ça m'ouvre une quarantaine de page IE qui clignotent....

 

J'ai fais une recherche de virus avec Bitdefender, un scan en ligne avec secuser, une recherche de malaware avec Malawarebytes : aucun élément nuisible n'a été trouvé dans les 3 cas.

j'ai essayé de restaurer les associations avec rstassociations-version-scr : rien n'y fait.

j'ai utilisé les logiciels rogue killer, hijackthis, ZHPDiag.

je ne sais plus quoi faire...

 

Lien CJoint.com 0GbdvVxkhbF : lien vers rapport ZHPDiag

Lien CJoint.com 0GbdxuFdHjM : lien vers rapport hijackthis

Lien CJoint.com 0Gbdyinc6OC : lien vers rapport rogue killer

 

Pouvez vous m'aider ?

Merci

[bernard53]

Bonjour et Bienvenu

 

1-Relance RoqueKiller et valide suppression

2-

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

O67 - Shell Spawning: <.html> <htmlfile>[HKCU\..\open\Command] (.Not Key.)

O67 - Shell Spawning: <.com> <>[HKU\..\open\Command] (.Not Key.)

O67 - Shell Spawning: <.exe> <>[HKU\..\open\Command] (.Not Key.)

O43 - CFD: 18/05/2012 - 18:30:56 - [0,333] ----D C:\Users\Geraldine\AppData\Roaming\OfferBox

[HKCU\Software\OfferBox] =

C:\Program Files\MediaCoder\OpenCandy =

C:\Users\Geraldine\AppData\Roaming\OfferBox

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !.

[zebuzoif]

Rogue Killer : suppression faite

J’ai vu cependant écrit dans l’onglet DNS : not remplaced, use DNSFix

 

 

Le Rapport de ZHPFix, sachant que l'ordinateur ne m'a pas demandé de redémarrer automatiquement et que je ne l'ai pas redémarré :

 

PS : j'ai fait la manipulation "GO" 2 fois, pcq l'affichage du rapport était tellement rapide, que je me suis demandé s'il n'y avait pas eu un problème

 

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012

Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-01-07-2012-13-42-01.txt

Run by Geraldine at 01/07/2012 13:42:01

Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Clé(s) du Registre ==========

ABSENT Pointeurs: htmlfile(html) Default="C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome

ABSENT Key: HKCU\Software\OfferBox

 

========== Valeur(s) du Registre ==========

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

 

========== Dossier(s) ==========

ABSENT C:\Users\Geraldine\AppData\Roaming\OfferBox

SUPPRIME Reboot Folder**: c:\program files\mediacoder\opencandy

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

========== Fichier(s) ==========

ABSENT Folder/File: c:\users\geraldine\appdata\roaming\offerbox

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

 

========== Récapitulatif ==========

2 : Clé(s) du Registre

3 : Valeur(s) du Registre

4 : Dossier(s)

3 : Fichier(s)

 

 

End of clean in 00mn 00s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 01/07/2012 12:35:59 [1350]

C:\ZHP\ZHPFix[R2].txt - 01/07/2012 13:42:01 [1337]

 

 

Merci de pouvoir m'aider

Modifié le 1 juillet 2012 par zebuzoif

[bernard53]

pour DNS << relance roquekiller puis Cliquer sur DNS RAZ. Cliquer sur Rapport et copier-coller le contenu du notepad

[zebuzoif]

Le rapport :

 

RogueKiller V7.6.1 [28/06/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/56)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: Geraldine [Droits d'admin]

Mode: DNS RAZ -- Date: 02/07/2012 20:57:49

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 3 ¤¤¤

[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{33684AE4-76E0-47F2-B953-B50EEA8C6845} : NameServer (178.33.41.181,46.4.70.20) -> REPLACED ()

[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{33684AE4-76E0-47F2-B953-B50EEA8C6845} : NameServer (178.33.41.181,46.4.70.20) -> REPLACED ()

[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{33684AE4-76E0-47F2-B953-B50EEA8C6845} : NameServer (178.33.41.181,46.4.70.20) -> REPLACED ()

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

[bernard53]

OK. Maintenant, qu'en est-il de tes fichiers ?

[zebuzoif]

Les fichiers html s'ouvrent et s'enregistrent avec IE et le dossier afférent sous explorateur windows.

Les dossiers précédement enregistrés ne peuvent pas s'ouvrir, j'ai le message "xxxx n'est pas valide" qui apparait.

Lorsque je clique sur un lien donné dans un mail, le lien s'ouvre sur word et non avec IE

j'ai mon dossier c://users/Geraldine qui s'est crée en double sur mon bureau

Par ailleurs, bitdefender me signale qu'un processus malveillant a été détecté : penwes.exe essaye de se connecter...

 

 

Je voudrais savoir : est ce que les virus sont toujours là ou bien ont-ils été supprimés ? suis je débarrassée de toute infection ?

 

Merci beaucoup pour ton aide !

Modifié le 3 juillet 2012 par zebuzoif

[bernard53]

Pour "penwes" certains le considère comme intrus mais j'ai penser que s'est toi qui l'avais installé.

voici des infos.

FAQ - Qu'est ce que PenWes - Désinstaller PenWes

 

bien sur si tu n'en veux plus tu le supprimes directement via "Panneau de configuration\Programmes\Programmes et fonctionnalités" puisque le dossier est ici. C:\Program Files\PenWes

 

plus de virus sur le pc pour moi et pour tes fichiers HTLM tu fais bien << clique droit sur le page puis "Enregistrer sous " et tu as bien ceci.

 

 

j'ai mon dossier c://users/Geraldine qui s'est crée en double sur mon bureau

mets un des dossiers dans la corbeille et sans la vider vérifies que l'autre s"ouvre normalement.

Après seulement cette vérification tu peux vider la poubelle.

[zebuzoif]

J'ai désinstallé penwes

j'ai supprimé c://users/geraldine

pour mes fichiers html, je fais enregistrer sous "page web complète" et non pas "page web, html uniquement"

s'il n'y a plus de virus, comment expliquer le fait qu'au clic sur un lien, la page web s'ouvre sur word ?

[bernard53]

essai ceci.

 

essayez clic droit, enregistrer le lien. Recherchez le lien là où vous l'avez enregistré, clic droit, ouvrir avec, cochez la case toujours ouvrir avec, et choisissez votre navigateur internet.

sinon pour Word.

 

Fichier << options << puis ceci.