Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Ordi infecté ?


 Share

Messages recommandés

Bonjour

Tout d abord,je me présente car fraichement inscrit Je m appelle Patrice et très mauvais en informatique...

Je pense que mon ordi est infecté. Merci à la personne qui pourra interpréter le rapport ZHPDiag qui est ici © CJoint.com, 2012 et éventuellement me dire qu elle serait la marche à suivre.

Cordialement

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir

Fait ceci.

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

[HKCU\Software\SweetIM] => Infection PUP (PUP.SweetIM)

O43 - CFD: 27/12/2011 - 12:55:35 - [0] ----D C:\ProgramData\Babylon => Infection BT (Toolbar.Babylon)

O43 - CFD: 27/12/2011 - 12:55:35 - [0,002] ----D C:\Users\asus\AppData\Roaming\Babylon => Infection BT (Toolbar.Babylon)

O43 - CFD: 11/11/2011 - 13:02:48 - [5,636] ----D C:\Users\asus\AppData\Roaming\OpenCandy => Infection PUP (Adware.OpenCandy)

O43 - CFD: 27/12/2011 - 12:55:38 - [9,211] ----D C:\Users\asus\AppData\Local\Babylon => Infection BT (Toolbar.Babylon)

O43 - CFD: 11/11/2011 - 20:33:38 - [0] ----D C:\Users\asus\AppData\Local\OpenCandy => Infection PUP (Adware.OpenCandy)

O69 - SBI: prefs.js [asus - 8abepn7l.default] user_pref("sweetim.toolbar.urls.homepage", "http://home.sweetim.com/?crg=3.17010003&st=12");

O2 - BHO: (no name) [64Bits] - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} Clé orpheline => Toolbar.Skype

O3 - Toolbar: (no name) [64Bits] - [HKLM]{2318C2B1-4965-11d4-9B18-009027A5CD4F} . (...) -- (.not file.) => Toolbar.Google

O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM][64Bits] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F} => Toolbar.Google

[HKCU\Software\AppDataLow\Software\Smartbar] => Toolbar.SmartBar

[HKCU\Software\Conduit] => Toolbar.Conduit

[HKCU\Software\Softonic] => Toolbar.Conduit

[HKCU\Software\YahooPartnerToolbar] => Toolbar.Yahoo

O43 - CFD: 22/06/2012 - 17:23:58 - [1,531] ----D C:\ProgramData\InstallMate => Toolbar.Tarma

O69 - SBI: SearchScopes [HKCU] {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} - (MyPlayCity) - MyPlayCity Search => Toolbar.Agent

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files (x86)\eMule\emule.exe (.not file.)

O4 - HKUS\S-1-5-21-1560928523-1002169306-458892650-1000\..\Run: [eMuleAutoStart] C:\Program Files (x86)\eMule\emule.exe (.not file.)

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

12101108185715405010422601.png

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

Ensuite:

 

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

 

12091108285615405010308271.png

©©chargements - Outils de Xplode - AdwCleaner

 

 

12091108285915405010308272.png

 

- Lances le en mode normal , puis cliques sur [suppression]

- Lorsque le message indiquant qu'AdwCleaner a détecté une variante spécifique d'adware s'affiche , cliquez sur [OK]

 

- L'ordinateur va redémarrer tout seul. Redémarre-le en mode normal.

- AdwCleaner s'ouvrira normalement, avec comme seul choix possible [suppression]

 

- Cliquez dessus, puis patientes pendant la suppression.

- Une fois la suppression effectuée, AdwCleaner vous invitera à redémarrer l'ordinateur

 

- Au redémarrage, un rapport s'ouvrira. Postes le sur le forum.

 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[s1].txt

 

 

Ensuite tu as installé "COMODO Internet Security\" en plus d'Antivir": pas deux antivirus sur le même pc s.t.p: supprimes en un.

Modifié par bernard53
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir Bernard

 

Je te remercie pour ton aide. Je vais suivre tes consignes, mais bon je ne suis pas un avion de chasse avec l ordi..Je reviens dès que possible..

Bonne soirée

Lien vers le commentaire
Partager sur d’autres sites

Bernard

Voilà, jespère avoir tout compris...Rapport de ZHPFix 1.3.10 par Nicolas Coolman, Update du 11/12/2012

Fichier d'export Registre :

Run by asus at 21/01/2013 21:19:04

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

 

 

 

========== Logiciel(s) ==========

ABSENT Uninstall Process: c:\program files (x86)\google\google toolbar\component\googletoolbarmanager_94dde1edd1cdf6a3.exe

 

========== Clé(s) du Registre ==========

SUPPRIME Key*: HKCU\Software\SweetIM

ERREUR Key****: CLSID BHO: {AE805869-2E5C-4ED4-8F7B-F1F7851A4497}

SUPPRIME Key*: HKCU\Software\AppDataLow\Software\Smartbar

SUPPRIME Key*: HKCU\Software\Conduit

SUPPRIME Key*: HKCU\Software\Softonic

SUPPRIME Key*: HKCU\Software\YahooPartnerToolbar

SUPPRIME Key*: SearchScopes :{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}

 

========== Valeur(s) du Registre ==========

ABSENT Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F}

SUPPRIME RunValue: eMuleAutoStart

ABSENT RunValue: eMuleAutoStart

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

 

========== Préférences navigateur ==========

SUPPRIME Mozilla Pref: user_pref("sweetim.toolbar.urls.homepage", "http://home.sweetim.com/?crg=3.17010003&st=12");

 

========== Dossier(s) ==========

SUPPRIME Reboot Folder**: C:\ProgramData\Babylon

SUPPRIME Folder: C:\Users\asus\AppData\Roaming\Babylon

SUPPRIME Folder: C:\Users\asus\AppData\Roaming\OpenCandy

SUPPRIME Folder: C:\Users\asus\AppData\Local\Babylon

SUPPRIME Folder: C:\Users\asus\AppData\Local\OpenCandy

SUPPRIME Reboot Folder**: C:\ProgramData\InstallMate

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

========== Fichier(s) ==========

ABSENT File: c:\program files (x86)\emule\emule.exe

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

 

========== Récapitulatif ==========

7 : Clé(s) du Registre

6 : Valeur(s) du Registre

8 : Dossier(s)

3 : Fichier(s)

1 : Logiciel(s)

1 : Préférences navigateur

 

 

End of clean in 01mn 22s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 13/12/2012 23:40:49 [483]

C:\ZHP\ZHPFix[R2].txt - 13/12/2012 23:40:51 [688]

C:\ZHP\ZHPFix[R3].txt - 13/12/2012 23:41:07 [751]

C:\ZHP\ZHPFix[R4].txt - 13/12/2012 23:42:33 [31886]

C:\ZHP\ZHPFix[R5].txt - 14/12/2012 00:19:13 [585]

C:\ZHP\ZHPFix[R6].txt - 21/01/2013 21:19:04 [2347]

Lien vers le commentaire
Partager sur d’autres sites

Bernard

J ai oublié de poster également le rapport AdwCleaner..Tu me demandes aussi de supprimer Comodo ou Avira mais je pensais que le 1er est seulement un pare feu ? Encore merci # AdwCleaner v2.107 - Rapport créé le 21/01/2013 à 21:37:08

# Mis à jour le 21/01/2013 par Xplode

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

# Nom d'utilisateur : asus - ASUS-PC

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\asus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YKMITDEY\AdwCleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\ProgramData\Babylon

Dossier Supprimé : C:\ProgramData\InstallMate

Dossier Supprimé : C:\ProgramData\Premium

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\AppDataLow\Software\Freecause

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}

Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{96BD48DD-741B-41AE-AC4A-AFF96BA00F7E}

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}

Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16455

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v17.0.1 (fr)

 

Fichier : C:\Users\asus\AppData\Roaming\Mozilla\Firefox\Profiles\8abepn7l.default\prefs.js

 

Supprimée : user_pref("sweetim.toolbar.previous.browser.startup.homepage", "hxxp://www.google.fr/");

Supprimée : /*user_pref("sweetim.toolbar.urls.homepage", "hxxp://home.sweetim.com/?crg=3.17010003&st=12");*/

 

-\\ Google Chrome v [impossible d'obtenir la version]

 

Fichier : C:\Users\asus\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[s2].txt - [1917 octets] - [21/01/2013 21:37:08]

 

########## EOF - C:\AdwCleaner[s2].txt - [1977 octets] ##########

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir Bernard

 

Pas de changement significatif .

Est ce que je dois faire une autre manip suite aux 2 rapports envoyés ou pour toi le portable est propre ?

J ai un disque bleu qui tourne quasiment en permanence prés du pointeur de la souris. Il ya eu un ajout d imprimante il a quelque temps, çà pourrait être çà ?

J ai réactivé le pare feu windows et désinstallé Comodo.

J avais omis de dire que j avais eu des attaques de virus Java Exploit en pensant faire la mise à jour de java ; alerté par Avira.

Merci

Lien vers le commentaire
Partager sur d’autres sites

ok ceci.

Tu as trop de chose au démarrage du pc.

 

Tu peux contrôler le démarrage de tous ces processus avec un logiciel comme Starter de Code Stuff.

Télécharge et installe Code Stuff Starter :

 

Télécharger Starter

 

Ensuite vas dans l’onglet démarrage et décoches les lignes voulues.

 

Ne t'inquiète pas si a l'usage tu veux réactiver l'une d'elles, il suffit de la. recocher

 

Elles sont lancées inutilement au démarrage du système et cela ne comporte aucun danger.

 

 

Lignes à décocher qui sont en relation.

 

O4 - HKLM\..\Run: [ETDWare] . (.ELAN Microelectronic Corp. - ETD Control Center.) -- C:\Program Files\Elantech\ETDCtrl.exe

O4 - HKLM\..\Run: [smartAudio] . (.Pas de propriétaire - SAIICpl MFC Application.) -- C:\Program Files\CONEXANT\SAII\SAIICpl.exe

O4 - HKCU\..\Run: [msnmsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe

O4 - HKCU\..\Run: [HP Photosmart 5510 series (NET)] . (.Hewlett-Packard Co. - ScanToPCActivationApp.) -- C:\Program Files\HP\HP Photosmart 5510 series\Bin\ScanToPCActivationApp.exe

O4 - HKLM\..\Wow6432Node\Run: [ATKOSD2] . (.ASUS - ATKOSD2.) -- C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe

O4 - HKLM\..\Wow6432Node\Run: [ATKMEDIA] . (.ASUS - ATK Media.) -- C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe

O4 - HKLM\..\Wow6432Node\Run: [HControlUser] . (.ASUS - HControlUser.) -- C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe

O4 - HKLM\..\Wow6432Node\Run: [startCCC] . (.Advanced Micro Devices, Inc. - Catalyst® Control Center Launcher.) -- C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKLM\..\Wow6432Node\Run: [WinampAgent] C:\Program Files (x86)\Winamp\winampa.exe (.not file.)

O4 - HKLM\..\Wow6432Node\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.e

O4 - HKUS\S-1-5-21-1560928523-1002169306-458892650-1000\..\Run: [msnmsgr] . (.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe

O4 - HKUS\S-1-5-21-1560928523-1002169306-458892650-1000\..\Run: [HP Photosmart 5510 series (NET)] . (.Hewlett-Packard Co. - ScanToPCActivationApp.) -- C:\Program Files\HP\HP Photosmart 5510 series\Bin\ScanToPCActivationApp.exe

 

Redémarres le pc ensuite pour constater le mieux. ;)

 

Ensuite :

 

Si tu as Vista ou Seven

 

tapes cmd dans la recherche de Vista<ensuite clique droit sur la petite fenêtre noire nommée cmd.exe et choisis "Exécuter en tant qu'administrateur".

puis chkdsk X: /f /r

 

 

X étant la lettre de ton DD qui doit être surement C.

 

mets bien un espace entre chkdsk et X: puis entre X: et /f puis entre /f et /r

 

Si ta lettre est le C tu as donc ceci chkdsk C: /f /r

 

- Windows affiche : type fichier NTFS : impossible de verrouiller le lecteur en cours

CHKDSK ne peut s'exécuter parce que le volume est utilisé par un autre processus.

Voulez vous que ce volume soit vérifier au prochain démarrage : Oui ou Non

Valider O et Redémarrer le pc.

 

 

Info sur java.

Désactiver Java sur ses navigateurs WEB

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Bernard

 

Je n ai pas le temps d effectuer ces manips avant ce soir..

Dès que ce sera fait. je te tiendrai au courant.

Merci pour ton aide et bonne journée.

Lien vers le commentaire
Partager sur d’autres sites

Bernard

 

J ai exécuté Starter çà donne çà © CJoint.com, 2012 c est Ok ?

Je n ai plus le disque bleu qui tourne en permanence

J ai lancé chkdsk C: /f /r : Bilan de windows "le module est propre" .

mais aussi clusters endommagés du fichier 33316 nommé \PROGRA~3\MICROS~1\Windows\WER\REPORT~2\APPCRA~2.EXE\WERC2C~1.HDM. ?????

J avais déjà désactivé Java sur les navigateurs web

 

Par contre je suis pas arrivé à créer avec cjoint comme la 1ère fois, ni pu mettre un émoticône qui donne par ex çà :chpas:

J aurai enlevé quelque chose ?

 

Merci

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...