[Résolu] Besoin d'aide pour désinfection

[zbibou]

Bonjour à tous, j'aurai besoin de votre aide pour nettoyer mon PC.

L'analyse ZHP montre notamment l'infection à PUA.StartShow.

en reférence à mon poste:

http://forum.zebulon.fr/besoin-de-renseignements-erreur-script-t205295.html?p=1713296

 

 

Voici le rapport ZHP:

http://cjoint.com/?0Cbs56LPfiu

 

Je précise que MBAM et Adwcleaner mise à jour sont tous les deux passés au travers.

 

Je vous remercie par avance pour votre aide.

Modifié le 5 mars 2014 par zbibou

[tomtom95]

Bonjour zbibou,

C'est un faux positif (Start_ShowHelp: Modified ) c'est Fichier d'aide que vous avez modifier.

On va vérifier quand même.

Télécharge RogueKiller (par tigzy). sur le bureau

votre est un Windows 7 Home Premium, 64-bit
Cliquer sur X64

• IMPORTANT:Quitte tous tes programmes en cours
  Désactive tes protections (Antivirus et par-feu)
• Lance RogueKiller.exe.
• Clique droit -> exécuter en tant qu'administrateur
  
  Note : Attends que le PreScan ait fini.
• Accepte la licence.
• Clique sur Scan.
• Une fois le scan terminé rends toi sur le bureau
  le rapport [RKreport.txt] à été créé.
• Héberge le rapport présent sur ton bureau sur le site http://www.cjoint.com
  Puis copie/colle le lien fourni dans ta prochaine réponse.

A+

 

[zbibou]

Bonjour Tomtom95, merci pour ton aide....

 

Voici le rapport du scan:

http://cjoint.com/?0Ccrc1UYAoY

 

Il semble qu'il ait trouvé des "trucs" dans mon registre ^^'

Je n'ai pas cliquer sur supprimer faut-il le que je fasse ?

Modifié le 2 mars 2014 par zbibou

[tomtom95]

RE,

• Relance RogueKiller.exe.
• Clique droit -> exécuter en tant qu'administrateur
  Attends que le Prescan ait fini ...
• Clique sur Scan.
• Clique sur Suppression.
• Héberge les rapports présent sur ton bureau sur le site http://www.cjoint.com
  Puis copie/colle les liens fourni dans ta prochaine réponse.

• Télécharger CTR.exede pierre 13 sur le bureau
• Double cliquer sur le fichier pour le lancer.
• sous Windows : 7/8 et Vista exécuter en tant qu'administrateur
• L'analyse ne dure que quelques instants.
• Le rapport est sur le bureau (CTR.txt)
• Hébergez le rapport sur le site http://www.cjoint.com
  Puis copier/coller le lien fourni dans votre prochaine réponse.

• Télécharger DepServ.exe
• Sous Windows 7 et Vista, faire un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.
• Sous Windows XP, double cliquer sur le fichier.
• Cliquer sur Démarrer.
• Quelques secondes après, un rapport va s'ouvrir.
• Poster le contenu sur le forum.
• Cliquer sur Quitter

• Télécharger sur le bureau pas ailleur SFTGC.exe de pierre 13
• Si l'antivirus fait des siennes: désactive-le provisoirement.
  Si tu ne sais pas comment faire, reporte-toi à cet article.
• Sous XP, double cliquer sur le fichier.
• Sous Vista, Win 7 et Win 8, Faire un clic droit sur le fichier et choisir exécuter en tant qu'administrateur
  
• Pour lancer le nettoyage, il suffit de cliquer sur Go.
• A la fin du nettoyage, un rapport va s'ouvrir.
• Ce rapport est enregistré sur le bureau (SFTGC.txt)
  Ce rapport étant trop long pour le forum, héberge le :
• Sur Cjoint.com et copie-colle le lien fourni dans ta réponse

A+

 

[zbibou]

Re ^^

 

Voici les rapports demandés:

 

RogueKiller:

http://cjoint.com/?DCctQETrwPL

http://cjoint.com/?0CctQfJE4Za

 

CTR:

http://cjoint.com/?0CctRvPE2X9

 

DepServ:

http://cjoint.com/?0CctSfivyvN

 

SFTGC:

http://cjoint.com/?0CctWGqnrwW

 

...

Je crois que j'ai rien oublié Ça donne quoi doc' ?

Modifié le 2 mars 2014 par zbibou

[tomtom95]

Ok très bien

 

Pour infos
Brennig's c'est un visionneur d'images
Digital Dutch c'est un Editeur de programme

Pour ceci
[MD5.1C274700EA33F10144FC3EF25AB81F8A] [sPRF][25/02/2014] (...) -- C:\Users\XaBone\AppData\Roaming\wklnhst.dat
Ce n'est pas forcement néfaste
https://www.virustotal.com/fr/file/47d021b6a176b5c62c107b7dda7f3dbd6ffda7adbce1bb939e1d73b3af3ede17/analysis/1356517719/
il faudrait refaire analyser avec Virustotal

Pour voir le fichier wklnhst.dat il faut afficher les dossier et fichiers cachés

voici la marche à suivre pour envoyer ton fichier .
Rend toi sur ce site >> VirusTotal
Dans la fenêtre clique sur Choisir un fichier.
Ce qui va te ramener sur ton ordinateur
Recherche ce fichier sur ton pc en suivant son chemin C:\ Users \ XaBone \ AppData \ Roaming \ wklnhst.dat
Une fois que tu la trouver clique sur Envoyer le fichier.
Puis sur le site clique sur Analyser
Lorsque l'analyse est terminée
Fais un copier/coller de l'adresse et poste-la dans ton prochain message

Pour les restes de fichier rien d'inquiétant

• Ferme toutes les applications en cours (notamment ton navigateur)
  Désactive tes protections (Antivirus et par-feu)
• Cliquez sur l'icône ZHPFix,présent sur votre Bureau
  pour vista/W7/W8 clique-droit > exécuter en tant qu'administrateur
• Surlignez le texte ci-dessous puis cliquez droit Copier
  
  

  Script ZHPFix
  C:\ProgramData\Digital Dutch
  C:\Users\XaBone\AppData\Roaming\Brennig's
  O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline
  O53 - SMSR:HKLM\...\startupreg\PDFPrint [Key] . (.Geek Software GmbH - PDF24 Creator.) -- C:\Program Files (x86)\PDF24\pdf24
  [MD5.00000000000000000000000000000000] [APT] [{9AC36F12-0CC7-4938-83F3-5D59EA6FADBB}] (...) -- C:\Users\XaBone\Downloads\regcln41.exe (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [{37F53462-916D-48BA-B683-B95019E66882}] (...) -- C:\Users\XaBone\Downloads\avira_antivir_personal_free.exe (.not file.)
  [HKCU\Software\Digital Dutch]
  
  ShortcutFix
  EmptyPrefetch
  EmptyCLSID
  FirewallRaz
  EmptyTemp
  EmptyFlash
  Sysrestore

• Dans l'interface de ZHPFix Cliquez sur Importer et sur OK
  
  
  
  Attention :vérifiez que que toutes les lignes se sont collées
• Puis Cliquez sur "GO"
• Confirmez les nettoyages des données en cliquant sur "Oui"
• Une fois le scan terminé le fichier ZHPFixReport à été crée sur le bureau.
• Hébergez le rapport ZHPFixReport sur le site http://www.cjoint.com
  puis copier/coller le lien fourni dans votre prochaine réponse.

Si vous voulez régler votre problème de script
Désinstaller l'extention everywhere de votre navigateur Mozilla Firefox
M2 - MFEP: prefs.js [XaBone - 4f48zjtc.default\https-everywhere@eff.org] [] HTTPS-Everywhere v3.4.5 (..)
M2 - MFEP: prefs.js [XaBone - hr1e9yvs.zbib\https-everywhere@eff.org] [] HTTPS-Everywhere v3.4.5 (..)
c'est a cause de cette extension pour Firefox. HTTPS Everywhere pour Firefox
qui chiffre toutes les données lors de vos connexions avec les sites Web que vous avez les alertes.

Une seule version de java suffit sur votre PC Windows 7 Home Premium, 64-bit
Pour désinstaller et réinstaller JAVA

• Télécharger JavaUpdate_Rapport.exe de pierre13 sur le bureau
• Fermer tous les programmes en cours.
• Sous XP : Double cliquer sur le fichier.
• Sous Vista, Win 7 et 8 : Faire un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.
• Après utilisation, un rapport va s'ouvrir.
• Poster le contenu du rapport.
• Le rapport est sur le bureau (Rapport_JavaUpdate.txt)

Tuto JavaUpdate

A+

[zbibou]

Merci Tomtom95,

 

J'ai effectuer Zhpfix dont voici le rapport:

http://cjoint.com/?0CcusMoi2Jz

 

et voilà l'adresse de Virustotal:

https://www.virustotal.com/fr/file/697732386950a40c037ef9ed35f72d3c9446719d8cb552c0c5d26065ed16c55b/analysis/1393787098/

Je vais maintenant essayer les procédures que vous me recommandez concernant mes problèmes de script.

 

 

Si vous voulez régler votre problème de script
Désinstaller l'extention everywhere de votre navigateur Mozilla Firefox

 

J'avais installer ça pensant y remédier. En fait, ces problèmes sont donc antérieurs...

Je vous tiens au courant, merci encore

[zbibou]

Oups il manquait ça:

http://cjoint.com/?0CcuGIOr9hc

 

^^'

[tomtom95]

Justement j'allais vous le demander

Si c'est ok pour moi c'est bon

• Vous allez supprimer les outils et purger la restauration
• il ne sert à rien de les garder sur son ordinateur, ils sont mis régulièrement à jour, et ne s’utilisent que dans des cas bien précis,
  
  Téléchargez DelFix (de Xplode) sur ton Bureau
  
• Cochez les cases :
  supprimer les outils de désinfection
  Purger la restauration système
• Validez sur Exécuter
• Laissez travailler l'outil
  Un rapport s'ouvre Copie/colle le rapport obtenu
  Delfix ce supprime automatiquement
  Le rapport ce trouve aussi sur a la base du lecteur C\Defix.txt
• Hébergez le rapport Defix.txt sur le site http://www.cjoint.com
  Puis copier/coller le lien fourni dans votre prochaine réponse.

Supprimer les autres outils CTR, et DEPSERV

Cliquez droit puis supprimer

Pensez dans options des dossiers à cocher la case des dossiers et fichiers cachés

 

Vous pouvez marquer votre sujet comme résolu
Voici comment faire


Dans le premier message de ton sujet,En bas clique sur Modifier
Dans l'éditeur qui s'ouvre,En bas clique sur Utiliser l'éditeur complet
Dans la fenêtre du titre du sujet , ajoute [Résolu].
Clique sur le bouton Enregistrer le message modifié pour valider.

A+

Modifié le 2 mars 2014 par tomtom95

[zbibou]

Si c'est bon pour vous, c'est ok pour moi

Merci pour votre aide Tomtom95 et bonne semaine !