Resolu : PC infecté ?

[cyril69000]

Bonsoir,

Ce message s affiche à l ouverture de Windows

"erreur de chargement de C:\Users\CYRLF\AppData\Roaming\BabSolution\Shared\NTRedirect.dll"

© CJoint.com, 2012
Merci d avance pour votre aide.


Vista Pro service Pack 2

Modifié le 15 août 2013 par cyril69000

[Apollo]

Bonsoir,

 

1) Télécharge Junkware Removal Tool sur le bureau: Junkware Removal Tool Download

 

Site éditeur: Junkware Removal Tool | Information about the tool

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

L'outil peut demander si on souhaite vérifier la présence d'une nouvelle version Y/N >> taper Y.

S'il découvre une version obsolète, il le dira et devrez presser une touche. L'outil se fermera. Mettez-le à la corbeille et téléchargez la dernière version.

 

Si c'est déjà la bonne version , commencera sa recherche de malwares normalement. Patience svp.

 

Afin de ne pas fausser les rapports, ne passer l'outil qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

>>>Si le rapport est long, l'héberger ici: Accueil de Cjoint.com

 

 

 

 

------------------------------

2) Télécharge AdwCleaner par Xplode: Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

A lire absolument: Lisez d'abord, cliquez après !!! : Questions sur la Sécurité Windows

Logiciels et sponsors : Questions sur la Sécurité Windows

 

-------------------------

 

@++

[cyril69000]

Merci pour votre réponse.

 

Voici les rapports demandés:

 

 

http://cjoint.com/?0HnoEI6oizK

http://cjoint.com/?0HnoFxRKCsu

[Apollo]

Bonjour,

 

Ok, mais tu ne devrais pas conserver d'outils spéciaux qui évoluent par les mises à jours assez fréquentes faites par leurs auteurs. On les désinstallera à la fin.

 

1) Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer si nécessaire.

Sous XP, double cliquer sur le fichier.
Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

Un rapport va s'ouvrir à la fin.
Ce rapport est sur le bureau (SFT.txt)

Héberger sur http://cjoint.com pour ne pas planter le sujet.

--------------------------
2) Télécharge Malwarebytes' Anti-Malware (MBAM).

Enregistre l'exécutable sur le bureau. http://fr.malwarebytes.org/

http://www.pcastuces.com/logitheque/malwarebytes_anti-malware.htm

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.
A la fin de l'installation, décocher la case proposant l'essai de la version Pro.

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
• Sélectionne "Exécuter un examen complet"
• Clique sur "Rechercher"
• L'analyse démarre, le scan est relativement long, c'est normal.
• A la fin de l'analyse, un message s'affiche :
  

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
• Ferme tes navigateurs.
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

@++

[cyril69000]

http://cjoint.com/?0HnsOPhqc1v

 

http://cjoint.com/?0HnsTGSjDUp

[Apollo]

Evite 01.net, Softonic, Ask, EoRezo etc. Va chez l'éditeur pour télécharger un programme.

 

Lis les liens que j'ai mis dans les explications d'AdwCleaner, c'est instructif.

 

Comment se comporte la machine?

 

Fais ces vérifications de sécurité stp:

http://theknitter-apollo.xooit.com/p17644.htm

Le PSI de Secunia est pratique pour connaître les failles dans diverses applications.

En français depuis la version 3.0. Très simple d'utilisation.

 

Fais alors un nouveau scan ZHPDiag et héberge le rapport stp.

 

@++

[cyril69000]

Le message qui s affichait a l'ouverture de windows a disparu.

 

Vérification de securité =OK

J ai lu les liens que tu m as filé, merci

 

 

http://cjoint.com/?3HoaaCIhL8w

[Apollo]

Bonjour,

 

Adobe Reader n'est pas à jour. Désinstalle-le si tu ne t'en sers pas.

 

----------------

ZHPFix :

 

• Ferme toutes les applications ouvertes

   

   

• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

   

   

• Copie les lignes ci-dessous dans la fenêtre

 

 

[MD5.0B833BEFC50706730940E8F0085C31E2] - (.WeOnlyDo Software - WeOnlyDo wodAppUpdater Service.) -- C:\Windows\system32\wodUpdS2.exe [73512] [PID.2780]
O23 - Service: wodUpdS2 service (wodUpdS2 service) . (.WeOnlyDo Software - WeOnlyDo wodAppUpdater Service.) - C:\Windows\system32\wodUpdS2.exe
[MD5.00000000000000000000000000000000] [APT] [{DE6829FE-6637-464C-B353-D66BB512B366}] (...) -- C:\Windows\mqgldfvo.exe (.not file.) [0]
[HKCU\Software\Loaris]
[HKCU\Software\Titan Poker]
[HKLM\Software\Titan Poker]
O43 - CFD: 15/07/2010 - 21:07:47 - [5,889] ----D C:\Program Files\Loaris
[HKLM\SYSTEM\CurrentControlSet\Services\wodUpdS2 service]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{b7fe5d70-9aa2-40f1-9c6b-12a255f085e1}]
[HKLM\Software\Microsoft\Internet Explorer\extensions\{b7fe5d70-9aa2-40f1-9c6b-12a255f085e1}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{DECA3892-BA8F-44b8-A993-A466AD694AE4}]
[HKCU\Software\Loaris]
[HKCU\Software\PartyGaming]
[HKCU\Software\titan poker]
[HKLM\Software\titan poker]
[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls]
[HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls]
C:\Program Files\Everest Poker
C:\Program Files\Loaris
C:\Windows\system32\wodUpdS2.exe
[HKCU\Software\Titan Poker]
[HKLM\Software\Titan Poker]
firewallraz
emptytemp
emptyflash

 

 

• Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier)

   

  Clique sur le bouton GO pour lancer le nettoyage

 

 

• Valide par Oui la désinstallation des programmes si demandé

   

   

• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC

   

   

• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

-----------------------------------

Après avoir posté le rapport Zhpfix,

Désinstaller les outils spéciaux.

Télécharge DelFix sur ton bureau. http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/3-delfix
Lance-le et appuie sur le bouton "Supprimer les outils de désinfection". >> Exécuter.

NB, tu peux également cocher la case "Purger la restauration système", un nouveau point sera automatiquement créé. Conseillé quand le pc est désinfecté.

Delfix s'autodétruira ensuite.

 

Pense à éditer ton premier post pour ajouter "Résolu" devant le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.

Utilise pour ça, l'éditeur complet

@++

 

[cyril69000]

Bonjour,

 

Concernant Adobe reader , aucune mise a jour possible . J ai la version 10.1.7

 

Voici le 2eme rapport ZHPFix ( le 1er n'etant pas éxecuté en tant qu admin)

http://cjoint.com/?3HolucJIKus

[Apollo]

Re,

 

Désinstalle la version adobe reader que tu as: la dernière est la 11.0.03.

http://get.adobe.com/fr/reader/ Décoche les cases proposant autre-chose.

 

Si tout va bien,

Désinstaller les outils spéciaux.

Télécharge DelFix sur ton bureau. http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/3-delfix
Lance-le et appuie sur le bouton "Supprimer les outils de désinfection". >> Exécuter.

NB, tu peux également cocher la case "Purger la restauration système", un nouveau point sera automatiquement créé. Conseillé quand le pc est désinfecté.

Delfix s'autodétruira ensuite.

 

• Pense à éditer ton premier post pour ajouter "Résolu" devant le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.

Utilise pour ça, l'éditeur complet

@++