Infection PC

[bobofixer]

Bonjour,

Mon Imac sous Bootcamp (Win7) est sujet à ralentissements.

 

J'ai suivi le protocole suivant :

1- Slimcleaner

2- Adwcleaner

3- JRT

4- M A-M

Toujours en administrateur. Rapports toujours négatifs.

 

Puis ZHPDiag dont le log est ci-dessous

http://cjoint.com/?0ByhZxHdI7g

 

Je n'arrive pas à me débarrasser des derniers adwares. Pourriez-vous me donner la marche à suivre pour achever de décontaminer mon ordi?

La partition mac peut-elle être également infectée?

 

En vous remerciant d'avance,

 

BBFXR

[pear]

Bonjour,

 

Vous devez trouver les 2 icônes Zhpdiag, Zhpfix. sur le bureau

ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)
Cliquer sur l'icône Zhpfix
Sous Vista et +, clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer Importer pour inscrire le texte dans la fenêrtre vide qui s'ouvre

Script Zhpfix

G2 - GCE: Preference [user Data\Default] [licjnkifamhpbaefhdpacpmihicfbomb] PricePeep v.2.2.0.10 (Activé)
O4 - HKUS\.DEFAULT\..\Run: [systray] C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [systray] C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe (.not file.)
O4 - HKUS\S-1-5-19\..\Run: [systray] C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe (.not file.)
O4 - HKUS\S-1-5-20\..\Run: [systray] C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe (.not file.)
O43 - CFD: 09/10/2012 - 18:48:03 - [0,077] ----D C:\Program Files (x86)\TheBestMatch
O43 - CFD: 12/07/2013 - 10:00:55 - [0] ----D C:\Users\_\AppData\Local\TheBestMatch
[HKLM\Software\Google\Chrome\Extensions\licjnkifamhpbaefhdpacpmihicfbomb]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{29633E53-BF13-41B5-9E10-19D7843BD9C3}]
C:\Users\_\AppData\Local\Google\Chrome\User Data\Default\Extensions\licjnkifamhpbaefhdpacpmihicfbomb
C:\Program Files (x86)\TheBestMatch
C:\Users\_\AppData\Local\TheBestMatch
C:\Users\_\AppData\Roaming\Mozilla\Firefox\Profiles\kwfxtg7x.default\prefs.js (.not file.)
O4 - GS\Desktop [Public]: EmEditor.lnk . (...) -- C:\Program Files\EmEditor\EmEditor.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{15552597-810F-4F7D-9C5A-BDBF1A8D6A2E}] (...) -- C:\Program Files (x86)\CompuGroup Medical France\Fortidata - Sauvegarde en ligne\4\Client\Bin\thclientsetup.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{5A1BACDE-E019-4E00-8BF7-23C5DD057CEE}] (...) -- C:\Users\_\Downloads\VirtualBox-4.2.16-86992-Win.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{807797F0-703F-4A5F-94E2-D55704086FD4}] (...) -- C:\Users\_\AppData\Local\Temp\IXP000.TMP\vcredist08_x64.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{B41C655C-9046-4CC4-9AAA-E5840492AF39}] (...) -- C:\Users\_\Downloads\VirtualBox-4.2.14-86644-Win.exe (.not file.) [0]
O43 - CFD: 13/06/2013 - 17:45:41 - [0] ----D C:\ProgramData\FileFly
O43 - CFD: 23/02/2014 - 20:32:50 - [0] ----D C:\Users\_\AppData\Local\Emurasoft
O43 - CFD: 13/06/2013 - 17:45:41 - [0] ----D C:\Users\_\AppData\Local\FileFly
O87 - FAEL: "TCP Query User{3CBCA2A8-AE6D-47F6-A56E-830B6258672A}C:\program files (x86)\fmod soundsystem\fmod designer\fmod_eventplayer.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\fmod soundsystem\fmod designer\fmod_eventplayer.exe (.not file.)
O87 - FAEL: "UDP Query User{E0AB354A-B7C5-4196-B4D1-034930653F32}C:\program files (x86)\fmod soundsystem\fmod designer\fmod_eventplayer.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\fmod soundsystem\fmod designer\fmod_eventplayer.exe (.not file.)
O87 - FAEL: "TCP Query User{48CF7B7D-AD01-4936-9C0A-D3159F0F2EB7}C:\program files (x86)\fmod soundsystem\fmod designer\fmod_musicplayer.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\fmod soundsystem\fmod designer\fmod_musicplayer.exe (.not file.)
O87 - FAEL: "UDP Query User{22862F46-E1A3-414E-87CD-014CCF6CD593}C:\program files (x86)\fmod soundsystem\fmod designer\fmod_musicplayer.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\fmod soundsystem\fmod designer\fmod_musicplayer.exe (.not file.)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\85DE4D617B8CBA543B9328AE82F5D4D2]
[HKLM\Software\Classes\CLSID\{5421BDAF-6C45-4C3A-8B4B-AE5AF31A65AF}]
[HKLM\Software\Classes\AppID\SlimShell.DLL]
[HKLM\Software\Classes\AppID\{42227AF7-D349-45F7-9D8B-D369F7F6EDDE}]
[HKLM\Software\Wow6432Node\Classes\AppID\{42227AF7-D349-45F7-9D8B-D369F7F6EDDE}]
[HKLM\Software\Classes\AppID\{91733631-2B6B-4C9B-AA78-9C897B3BBC94}]
[HKLM\Software\Wow6432Node\Classes\AppID\{91733631-2B6B-4C9B-AA78-9C897B3BBC94}]


EmptyClsid
HiddenFix
Ifeofix
Proxyfix
FirewallRaz
ShortcutFix
SysRestore


Cliquer sur "Go" en bas, à gauche
Redémarrer pour achever le nettoyage.

Le contenu du rapport ZHPFixReport.txt qui s'affiche est enregistré sous C:\ZHP\ZHPFixReport.txt

Télécharger SFTGC.exe
ICI
ou Là
sur le Bureau, impérativement sous peine de risquer un plantage

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

Sous XP, double cliquer sur le fichier.
Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Gopour lancer le nettoyage.

Un rapport va s'ouvrir à la fin.
Ce rapport SFT.txt est sur le bureau


Comment poster les rapports
Aller sur le site :Ci-Joint
ou PIjoint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Lancer Secunia-personal-software-inspector

Solution de sécurité informatique gratuite , en français, qui identifie les vulnérabilités dans les programmes non-Microsoft (tiers) pouvant exposer les ordinateurs personnels aux attaques.
Secunia Personal Software Inspector a pour vocation d'indiquer à l'utilisateur les failles de sécurité.
Il propose un moyen de les combler et est ainsi un garant de la vie privée et de la sécurité de l'ordinateur
Secunia PSI se révèlera être un assistant efficace pour assurer les mises à jour incontournables de vos applications


Réinitialiser le navigateur, si ce n'est déjà fait

[bobofixer]

Merci pour votre réponse.

 

Voici le .txt qui est apparu au redémarrage. est-ce normal?

http://cjoint.com/?0BymWAx8z7x

 

Le rapport de ZHPFIX

http://cjoint.com/?3BynBYADXcf

 

Le rapport de SFTGC

http://cjoint.com/?3Bym26S4fmo

Modifié le 24 février 2014 par bobofixer

[pear]

Message au démarrage:

http://support.microsoft.com/kb/330132/fr

 

Je n'ai pas accès au rapport Zhpfix.

[bobofixer]

oui, lien invalide et édité

 

 

De plus, nouveau ZHPDiag après ménage, Hijacker-proxi toujours présent.

http://cjoint.com/?3BynWMOUiEa

 

PSIS refuse de se lançer car il détecte un proxi...

Modifié le 24 février 2014 par bobofixer

[pear]

C'est bon.

 

Comment va la machine ?

[bobofixer]

Message au démarrage:

http://support.microsoft.com/kb/330132/fr

 

Merci mais n'est pas valable pour Win7

C'est bon.

 

Comment va la machine ?

Merci mais il y a un os, cf plus haut

[pear]

Mais si.

 

Je résous le problème moi-même->

 

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

qui s'ouvre a chaque demarage lui aussi.

Poste de travail->Rechercher->Desktop.ini

Vous les ouvrez jusqu'à trouver LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
Vous supprimez ce desktop.ini

Modifié le 24 février 2014 par pear

[bobofixer]

Ok pour [.ShellClassInfo], je vais trouver.

 

En revanche, selon le nouveau ZHPDiag après ménage, Hijacker-proxi est toujours présent.

http://cjoint.com/?3BynWMOUiEa

 

De plus, PSIS refuse de se lançer car il détecte un proxi.

 

Que puis-je faire?

Merci d'avance

[pear]

Dans le menu Outils d'Internet Explorer
Cliquez sur Options Internet->Connexions->Paramètres réseau.
Cochez : ne pas activer de Serveur proxy...

Dans Firefox
Allez dans Outils-> Options
Activez l'onglet Réseau
Cliquez sur Paramètres
Et choisissez l'option: Pas de proxy
Cliquez sur Ok

Sous Vista, la désactivation du proxy dans IE ne suffit pas à rétablir les mises à jour.
Pour rétablir Windows Update, il faut lancer la commande suivante (avec les droits administrateur):
Démarrer->Exécuter
netsh winhttp reset proxy

Sous Opéra

Lancez Opéra, cliquez droit sur une partie vierge de la barre d’outils .
Sélectionnez l’option Personnaliser->Apparence comme montré dans l’image ci dessous

Puis allez sur Préférences et décochez la case : Activer le serveur proxy
Si besoin
Cliquez sur Outils-> Préférences->Avancé -> Réseau.
Cliquez sur Serveurs proxy puis tout décocher

Sous Google chrome

Lancez Google chrome
Allez sur la clé en haut à droite
Puis dans Options
Puis Options avancées
Puis cliquez sur Modifier les paramètres du proxy situé dans la partie Réseau
Puis sur l'onglet Connexions
Enfin sur Paramètres réseau.
Cochez : ne pas activer de Serveur proxy...

 

Vous devez trouver les 2 icônes Zhpdiag, Zhpfix. sur le bureau

ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)
Cliquer sur l'icône Zhpfix
Sous Vista et +, clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer Importer pour inscrire le texte dans la fenêrtre vide qui s'ouvre

Script Zhpfix

O43 - CFD: 12/07/2013 - 10:00:55 - [0] ----D C:\Users\_\AppData\Local\TheBestMatch
C:\Users\_\AppData\Local\TheBestMatch
C:\Users\_\AppData\Roaming\Mozilla\Firefox\Profiles\kwfxtg7x.default\prefs.js (.not file.)
O43 - CFD: 23/02/2014 - 20:32:50 - [0] ----D C:\Users\_\AppData\Local\Emurasoft
O43 - CFD: 13/06/2013 - 17:45:41 - [0] ----D C:\Users\_\AppData\Local\FileFly

EmptyClsid
HiddenFix
Ifeofix
Proxyfix
FirewallRaz
ShortcutFix
SysRestore


Cliquer sur "Go" en bas, à gauche
Redémarrer pour achever le nettoyage.

Le contenu du rapport ZHPFixReport.txt qui s'affiche est enregistré sous C:\ZHP\ZHPFixReport.txt

Télécharger SFTGC.exe
ICI
ou Là
sur le Bureau, impérativement sous peine de risquer un plantage

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

Sous XP, double cliquer sur le fichier.
Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Gopour lancer le nettoyage.

Un rapport va s'ouvrir à la fin.
Ce rapport SFT.txt est sur le bureau


Comment poster les rapports
Aller sur le site :Ci-Joint
ou PIjoint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Modifié le 25 février 2014 par pear