Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Virus ou arnaques... les deux, peut-être ?

herri-37

Par herri-37
dans Analyses et éradication malwares

 Partager

Messages recommandés

herri-37 Power Member

herri-37

Posté(e)
  • Auteur
Posté(e)

Ci-joint le dernier rapport

 

Rapport de ZHPFix 2013.7.20.5 par Nicolas Coolman, Update du 20/07/2013

Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-03-08-2013-11-57-21.txt

Run by KERISIT gwenole at 03/08/2013 11:57:21

High Elevated Privileges : OK

Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

 

Corbeille vidée

 

========== Logiciel(s) ==========

SUPPRIME Akamai NetSession Interface Service

 

========== Clé(s) du Registre ==========

SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Akamai]

SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\CC94835868BCA58489B0D79DE655BCB1

SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\464AA55239C100F32AF2D438EDDC0F47

SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5652BA3D5FB98AE31B337BF0AF939856

SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\86EB95E1AFCBABE3DB9ECCC669B99494

SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179}

ERREUR Key: Service Legacy: LEGACY_LBD

SUPPRIME Key: HKCU\Software\AppDataLow\Software\Yahoo

SUPPRIME Key: HKCU\Software\Yahoo

SUPPRIME Key: HKLM\Software\Yahoo

SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{A047FE02-C91C-41CB-898C-4ED21B86025A}

SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}

ABSENT Key: HKCU\Software\AppDataLow\Software\Yahoo

ABSENT Key: HKCU\Software\Yahoo

ABSENT Key: HKLM\Software\Yahoo

 

========== Valeur(s) du Registre ==========

SUPPRIME Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

 

========== Dossier(s) ==========

Aucun dossiers CLSID Local utilisateur vide

 

========== Fichier(s) ==========

ABSENT File: c:\users\kerisit gwenole\appdata\roaming\microsoft\windows\sendto\o4

SUPPRIME File: C:\ProgramData\1355949472.bdinstall.bin

SUPPRIME File*: c:\programdata\1355949472.bdinstall.bin

SUPPRIME File: C:\ProgramData\1355950249.bdinstall.bin

SUPPRIME File*: c:\programdata\1355950249.bdinstall.bin

SUPPRIME File: C:\ProgramData\1355950272.bdinstall.bin

SUPPRIME File*: c:\programdata\1355950272.bdinstall.bin

SUPPRIME File: C:\ProgramData\1356613701.bdinstall.bin

SUPPRIME File*: c:\programdata\1356613701.bdinstall.bin

SUPPRIME File: C:\ProgramData\1356613855.bdinstall.bin

SUPPRIME File*: c:\programdata\1356613855.bdinstall.bin

SUPPRIME File: C:\ProgramData\1358536100.bdinstall.bin

SUPPRIME File*: c:\programdata\1358536100.bdinstall.bin

SUPPRIME File: C:\ProgramData\1359831544.bdinstall.bin

SUPPRIME File*: c:\programdata\1359831544.bdinstall.bin

SUPPRIME File: C:\ProgramData\1362000021.bdinstall.bin

SUPPRIME File*: c:\programdata\1362000021.bdinstall.bin

SUPPRIME File: C:\ProgramData\1371483669.bdinstall.bin

SUPPRIME File*: c:\programdata\1371483669.bdinstall.bin

SUPPRIME File: C:\ProgramData\1371484268.bdinstall.bin

SUPPRIME File*: c:\programdata\1371484268.bdinstall.bin

SUPPRIME File: C:\ProgramData\1371484324.bdinstall.bin

SUPPRIME File*: c:\programdata\1371484324.bdinstall.bin

SUPPRIME File: C:\ProgramData\1371484620.bdinstall.bin

SUPPRIME File*: c:\programdata\1371484620.bdinstall.bin

SUPPRIME File: C:\ProgramData\1371575758.bdinstall.bin

SUPPRIME File*: c:\programdata\1371575758.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375128948.bdinstall.bin

SUPPRIME File*: c:\programdata\1375128948.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375130769.bdinstall.bin

SUPPRIME File*: c:\programdata\1375130769.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375172314.bdinstall.bin

SUPPRIME File*: c:\programdata\1375172314.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375174158.bdinstall.bin

SUPPRIME File*: c:\programdata\1375174158.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375175995.bdinstall.bin

SUPPRIME File*: c:\programdata\1375175995.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375177823.bdinstall.bin

SUPPRIME File*: c:\programdata\1375177823.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375179649.bdinstall.bin

SUPPRIME File*: c:\programdata\1375179649.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375181639.bdinstall.bin

SUPPRIME File*: c:\programdata\1375181639.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375258777.bdinstall.bin

SUPPRIME File*: c:\programdata\1375258777.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375260595.bdinstall.bin

SUPPRIME File*: c:\programdata\1375260595.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375262438.bdinstall.bin

SUPPRIME File*: c:\programdata\1375262438.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375264254.bdinstall.bin

SUPPRIME File*: c:\programdata\1375264254.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375266070.bdinstall.bin

SUPPRIME File*: c:\programdata\1375266070.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375267884.bdinstall.bin

SUPPRIME File*: c:\programdata\1375267884.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375269699.bdinstall.bin

SUPPRIME File*: c:\programdata\1375269699.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375271514.bdinstall.bin

SUPPRIME File*: c:\programdata\1375271514.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375273327.bdinstall.bin

SUPPRIME File*: c:\programdata\1375273327.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375275143.bdinstall.bin

SUPPRIME File*: c:\programdata\1375275143.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375276958.bdinstall.bin

SUPPRIME File*: c:\programdata\1375276958.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375278775.bdinstall.bin

SUPPRIME File*: c:\programdata\1375278775.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375280589.bdinstall.bin

SUPPRIME File*: c:\programdata\1375280589.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375282403.bdinstall.bin

SUPPRIME File*: c:\programdata\1375282403.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375345422.bdinstall.bin

SUPPRIME File*: c:\programdata\1375345422.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375347240.bdinstall.bin

SUPPRIME File*: c:\programdata\1375347240.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375349061.bdinstall.bin

SUPPRIME File*: c:\programdata\1375349061.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375350875.bdinstall.bin

SUPPRIME File*: c:\programdata\1375350875.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375352694.bdinstall.bin

SUPPRIME File*: c:\programdata\1375352694.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375354508.bdinstall.bin

SUPPRIME File*: c:\programdata\1375354508.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375356322.bdinstall.bin

SUPPRIME File*: c:\programdata\1375356322.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375358136.bdinstall.bin

SUPPRIME File*: c:\programdata\1375358136.bdinstall.bin

SUPPRIME File: C:\ProgramData\1375359976.bdinstall.bin

SUPPRIME File*: c:\programdata\1375359976.bdinstall.bin

SUPPRIME Flash Cookies

SUPPRIME Temporaires Windows

 

========== Tache planifiée ==========

SUPPRIME Task: Express FilesUpdate

 

========== Restauration Système ==========

Point de restauration du système créé avec succès

 

 

========== Récapitulatif ==========

15 : Clé(s) du Registre

3 : Valeur(s) du Registre

1 : Dossier(s)

91 : Fichier(s)

1 : Logiciel(s)

1 : Tache planifiée

1 : Restauration Système

 

 

End of clean in 01mn 30s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 03/08/2013 11:57:21 [7500]

 

 

 

Mais je reviens à ma question de départ :"Comment se retrouve-t-on par hasard lors de la consultation d'un site d'internet sur le site http : //watchnow.vehnix.com/?

qui demande d'installer obligatoirement un flash player 12 ..... ou autre !

 

Comme je n'ai jamais donné de suite à ces demandes ...écrans aux copies ressemblantes...par méfiance, je voulais connaître le pourquoi !!

 

 

Encore merci pour votre temps passé pour résoudre cette question...

 

Cordialement et dans l'attente de vous lire...@+

pear Devil Member !

pear

Posté(e)
Posté(e)

Ceci, pour aussi répondre à votre question initiale:

 

Pubs intempestives ?

Par exemple:

01NetToolbar ,Conduit, Babylone,Delta Search , Wajam Kiwee etc..

01net depuis quelques temps repack des logiciels pour y ajouter des programmes parasites qui sont d'ailleurs précochés.

Alors .ATTENTION

Le but est de gagner de l'argent à chaque installation réussie.

 

Pour vous éviter ou, au moins ,limiter ce genre de problèmes:

 

1)Cliquez sur le lien suivant

Comment se protéger des Pups Indésirables

2)Quelques solutions complémentaires

HOSTS Anti-PUPs/Adware modifie votre fichier HOSTS afin de vous protéger des sites distribuant les PUPs/LPIs et Adwares :

 

http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

 

Filtrer les PUPs/Adwares (programmes parasites) les plus fréquents avec :

HOSTS Anti-PUPs/Adwares

Le message ci-dessous va souvrir Cliquez sur OK pour lancer linstallation :

HOSTS_Anti-PUPs_Adware.png

 

Le programme va créer un dossier dans %PROGRAMDIR/Hosts_Anti_Adwares_PUPs, un service HOSTS Anti-PUPs et une Clef Run.

Enfin un raccourci Desinstaller_HOSTS_Anti-PUPs est créer sur le bureau si vous souhaitez désinstaller HOSTS_Anti-PUPs/Adware

 

Le programme va donc être lancé à chaque démarrage le fichier HOSTS.txt sera téléchargé pour mettre à jour le fichier HOSTS de filtrage.

Le programme va aussi checker la version, dans le cas où une nouvelle version est disponible, le programme va la télécharger et linstaller.

 

Si vous souhaitez désinstaller HOSTS_Anti-PUPs/Adware, lancez le raccourci qui a été créé sur le bureau.

 

Et ,si ce n'est déjà fait,installez ces 2 extensions pour Firefox:

 

Adblock+ 2.2.1

Ghostery 2.8.4

 

Ce logiciel va désinstaller les outils utilisés pour la désinfection:

 

Télécharger DelFix de Xplode

 

adv4hrwnvbbctn5g784.jpg

Lancez-le.

 

Cochez [suppression des outils]

et Cliquez [Exécuter]

 

 

Si vous pensez que votre problème a trouvé une solution, et afin que ceux qui la cherchent en profitent,

éditez votre premier message (Edition complète)et, dans le titre, inscrivez Résolu.

resolu.jpg

[1] En bas de votre premier message, cliquer sur [Modifier]

[2] En bas de l'éditeur qui s'ouvre, cliquer sur [utiliser l'éditeur complet]

[3] En haut de l'éditeur complet, ajouter [Résolu] au début du titre de votre sujet.

herri-37 Power Member

herri-37

Posté(e)
  • Auteur
Posté(e)

Hello PEAR....

 

 

Au secours !

 

Après avoir fait toutes les manipulations j'ai éteint mon pc sans soucis....PAR CONTRE VENANT DE LE RALLUMER ....WINDOWS VISTA NE VEUT PAS REDEMARRER...

 

Apres quelques secondes j'ai un écran noir avec la flèche de ma souris... Mais rien à faire !!!! Rien ne vient s'afficher...

 

Comment me serait-il possible de relancer WINDOWS VISTA sans perdre mes données du disk dur ???

 

Mon pc est un ACER ASPIRE de quelques années.

 

Une idée pour m'aider??

 

Dans l'attente de vous lire..merci et cordialement .

herri-37 Power Member

herri-37

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonsoir,

 

Merci pour votre réponse... mais pour moi pas de solution en vue n'ayant aucune disquette VISTA me permettant une restauration ou une réparation de mon système...

 

Par contre je vais essayer de récupérer mes fichiers du disque dur interne par sa mise en boitier externe avec USB.

 

De plus, consultant le site de "rue du commerce" sur mon portable, j'ai encore eu le fameux message aléatoire concernant ma question de départ :"Comment se retrouve-t-on par hasard lors de la consultation d'un site d'internet sur le site http : //watchnow.vehnix.com/?

qui demande d'installer obligatoirement un flash player 12 ..... ou autre !

...

 

 

Cordialement et meilleurs sentiments.

Modifié par herri-37
pear Devil Member !

pear

Posté(e)
Posté(e)

Pour votre portable:

 

Réinitialiser le navigateur

 

Pour l'autre, essayez de trouver un cd dans votre entourage.

 

Sinon, mais ce sera plus long:

 

1)Il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Vous devez voir bureau REATOGO-X-PE

1274538354-reatogo.jpg

 

Double-click sur l'icone OTLPE1274093075-icootl.jpg

A "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

si vous avez un message :

RunScanner Error - Target is not windows 2000 or later

, il faut descendre jusqu'au dossier c:\windows dans l'arborescence de local disk (c:)

 

1287928545-otlpe05.gif

 

Vérifier que Automatically Load All Remaining Users est coché et valider par OK

 

» OTLPE se lançe alors

 

L' écran d'OTLPE s'affiche:

OTLPE-main.png

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

 

 

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.exe

%USERPROFILE%\AppData\Local\*.*

%USERPROFILE%\AppData\Roaming\*.*

%systemroot%\system32\*.ini

%systemroot%\Tasks\*.*

%systemroot%\system32\Tasks\*.*

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

userinit.exe

explorer.exe

ntoskrnl.exe

services.exe

wininit.exe

afd.sys

ipsec.sys

netbt.sys

tcpip.sys

/md5stop

CREATERESTOREPOINT

Clic sur Analyse (Run Scan)

le scan terminé , le fichier se trouve là C:\OTL.txt

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

ou Aller sur le site :Ci-Jointicne2cjoint.png

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

 

 

2)Choisissez la version 32 ou 64 bits en fonction de votre système

Télécharger l'installer sur clé usb

FRST 64 de Farbar

Frst 32 de Farbar

 

 

Téléchargez Services Repair de Eset sur la clé Usb

 

 

3) a l'écran Reatogo, cliquer sur "Ordinateur" pour rechercher la clé usb et lancer FRST de Farbar

Fermez toutes les applications, y compris le navigateur

Double-clic sur FRST64.exe et sur Oui pour accepter le Disclaimer

Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

Sur le menu principal,

FRST2Offic.gif

clic sur Scan

A la fin du scan, un rapport FRST.txt s'ouvre.

Au premier lancement, un fichier nommé Addition.txt sera créé

 

4) Double-clique sur ServicesRepair.exe pour lancer l'application

/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

Valider par Yes pour confirmer le lancement de l'outil

Laissez l'outil travailler (cela peut prendre quelques minutes)

Valider par Yes pour redémarrer le PC

Au redémarrage, le dossier CC Support a été crée sur le bureau

Postez le rapport SvcRepair.txt, qui se trouve dans CC Support\Logs dans la prochaine réponse

herri-37 Power Member

herri-37

Posté(e)
  • Auteur
Posté(e)

MERCI POUR VOTRE AIDE ET COMPREHENSION....

 

Hélas, je ne suis pas un pro de l'informatique et je ne manie pas les fichiers comme vous avec la même compréhension..

 

j'ai bien copié OTLPEStd sur le bureau de mon portable, puis copier sur un cd...

 

Ai été dans le bios de la machine malade ... ai positionné le lecteur cd en premier...

 

Ai introduit le ce cd et ai lancé le pc qui me sert un message :

 

Boot from CD:

Invalid system disk...

replace the disk, and the press en key...

 

et rien ne se passe ...

 

 

Pour ce qui est du message intempestif sur le portable lors de la consultation d'internet j'ai trouvé cette saleté : Pup.opthional/sweet.M.Dir/Tolbars/internet /Explorer ...

 

J'ai effectué les désinfections nécessaires et réinitialisé IE 10

 

Encore merci pour votre aide.

 

Si ne n'arrive pas à relancer le PC malade... je pense peut être récupérer un maximum de fichiers en mettant le disk dur dans un boitier MCL pour branchement USB sur mon portable...

 

Merci encore à vous.

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)
je pense peut être récupérer un maximum de fichiers en mettant le disk dur dans un boitier MCL pour branchement USB sur mon portable...

 

C'est une bonne idée.

 

Pour le cd, je crois que vous fait une erreur lors de la gravure.

 

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

 

Après téléchargement, Double Clic sur OTLPENet.exe(clic droit executer en tant qu'administrateur sous vista|seven)

après 'avoir inséré un CDR vierge dans le graveur CD/DVD.

Une fenêtre va s'ouvrir pour demander si vous souhaitez graver Le CD,

cliquez sur Oui.

Patientez le temps de la décompression et de la gravure du CD.

Modifié par pear
herri-37 Power Member

herri-37

Posté(e)
  • Auteur
Posté(e)

C'est une bonne idée.

 

Pour le cd, je crois que vous fait une erreur lors de la gravure.

 

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

 

Après téléchargement, Double Clic sur OTLPENet.exe(clic droit executer en tant qu'administrateur sous vista|seven)

après 'avoir inséré un CDR vierge dans le graveur CD/DVD.

Une fenêtre va s'ouvrir pour demander si vous souhaitez graver Le CD,

cliquez sur Oui.

Patientez le temps de la décompression et de la gravure du CD.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...