[Résolu] Demande de désinfection

[zoppi]

Bonjour a tous

apparemment j'ai un pc tres infecté....
j'ai saisi un sujet dans une autre partie du forum, et apres un ZHPDiag, leurs conseils avisés m'ont envoyés ici
le sujet de départ est :
http://forum.zebulon.fr/probleme-barre-des-taches-panneau-de-configuration-t210180.html

le compte rendu du zhpdiag est ici :
http://www.cjoint.com/14dc/DLvoq21AbOf.htm

Winx m'a indiqué de venir poster ici une demande de desinfection

Au cas ou ces infos seraient utiles, je suis en windows 7, avec Avast, Malware's bytes...

[tomtom95]

Bonjour zoppi,

J'espère que vous n'avez pas fait trop de dégât avec tous les outils que vous avez utilisé
ComboFix
TDSSKiller
RogueKiller
Etc...

Pour commencer désinstalle dans panneau de configuration >> programmes et fonctionnalités si encore présent:
SpyHunter
RegHunter

 

 

• Télécharges Adwcleaner (de Xplode) sur ton Bureau
  Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
  Fais clique droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Cliquez sur oui pour Accepter la licence
  
• Choisir l'option Scanner
• Choisir l'option Nettoyer
• Acceptez l'avertissement en cliquant sur OK
• Hébergez le contenu du rapport qui apparaît au redémarrage du PC
  sur le site http://www.cjoint.com
  Puis copie/colle le lien fourni dans votre prochaine réponse.

 

 

• Télécharger Junkware Removal Tool par Thisisu sur le bureau
  Sur la page clique sur Download Author site!
  Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
• Pour Vista/7/8, clique droit sur l'icône JRT exécuter en tant qu'administrateur.
  Une fenêtre va s'ouvrir, appuie sur une touche pour continuer...
  Le scanne va ce lancer.
  
  Note : Le bureau disparaitra un instant, c'est normal.
  
  Au message The scan completed successfully
  Attendre l'affichage du rapport il sera enregistré sur le bureau
• Héberge le rapport sur le site http://www.cjoint.com
  puis copie/colle le lien fourni dans ta prochaine réponse.
  importante
  Ne pas relancer l'outil une seconde fois sinon le rapport sera écrasé par un nouveau

 

[zoppi]

bonjour et merci pour ton aide

 

desole pour le temps mort, un train en eretarrd.

j'ai désactivé l'AV, desinstallé spyhunter, (pas de reghunter en vue)

 

J'essaye la manip avec adwcleaner

le rapport est ici :

http://www.cjoint.com/14dc/DLvwAMSSQ0j.htm

 

je passe à JRT donc je coupe.

Modifié le 21 décembre 2014 par zoppi

[tomtom95]

Bonsoir,

 

Non ce n'est pas normal comme je le dis j'espère que tu n'as pas fait des dégâts sur le système.

Tu as essayer de lancer l'outil JRT ??

 

 

• Télécharge ZHPCleaner de Nicolas Coolman sur votre bureau.
  Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
  Fais un double clique sur l'icône pour le lancer
  Sous Windows Vista / 7 / 8 (clique-droit > exécuter en tant qu'administrateur
  Accepte "les conditions d'utilisation"
• Clique sur Réparer
  En cas de présence d'un proxy, un message apparaît avec la question suivante
  "Avez-vous installé ce proxy ?" suivi de l'adresse IP du proxy.
  Si vous n'avez pas installé de Proxy, cliquer sur "NON" pour accepter la réparation du proxy.
  
  Héberge le rapport ZHPCleaner.txt présent sur ton bureau sur le site http://www.cjoint.com
  Appuyez sur Parcourir et chercher les rapports sur le bureau
• Cliquez sur Ouvrir
• Cliquez sur Créer le lien CJoint,
  Puis copier/coller le lien fourni dans votre prochaine réponse.

Fait une nouvellle analyse

Téléchargez Farbar Recovery Scan Tool

• Cliquez sur Download Now 64-bit version et enregistrez-le sur le Bureau..
• Faites un clique droit sur le fichier téléchargé (FRST.exe) et choisissez Exécuter en tant qu'administrateur
• puis cliquez sur 'Exécuter' lors de l'Avertissement de sécurité - Fichier ouvert.
  Quand l'outil démarre, cliquez sur Oui si vous acceptez les termes de la fenêtre Disclaimer (clause de non-responsabilité).
  
• Cliquez sur le bouton Scan.
• L'outil va créer un fichier rapport [log] nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.
• La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt - situé également dans le même dossier que FRST.exe.
• Héberge les rapports sur le site http://www.cjoint.com
  Appuyez sur Parcourir et chercher les rapports sur le bureau
• Cliquez sur Ouvrir
• Cliquez sur Créer le lien CJoint,
  Puis copie/colle les liens fourni dans votre prochaine réponse.

 

 

[zoppi]

en fait c'est moi qui avait pas compris l'utilisation, la periode "scan" etait tres rapide, il restait à cliquer sur nettoyer, j'ai pu le faire.

http://www.cjoint.co...DLvwAMSSQ0j.htm

 

j'ai enchainé avec JRT :

http://www.cjoint.com/14dc/DLvwHiQMEsS.htm

 

veux tu que je fasse les etapes que tu me signales ci dessus ?

[tomtom95]

Oui fait une analyse avec l'outil FRST.

[zoppi]

done :

 

zhp :http://www.cjoint.com/14dc/DLvwVuaz5EZ.htm

addition frst :http://www.cjoint.com/14dc/DLvwWrlETGB.htm

rapport frst : http://www.cjoint.com/14dc/DLvwWYf5LRV.htm

[tomtom95]

• Vous allez faire une correction Farbar Recovery Scan Tool
• Ouvrez le Bloc-notes (notepad).
• Copiez le contenu de la zone code ci-dessous.

  Pour ce faire, sélectionnez toutes les lignes,

  faites un clique droit et choisissez Copier.

• Collez ceci dans la fenêtre ouverte du Bloc-notes.

  Enregistrez le fichier sous le nom fixlist.txt et sur votre Bureau a l'emplacement de l'outil

  start

  HKU\S-1-5-21-2468998774-3330088350-145266823-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION

  SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

  SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

  SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

  SearchScopes: HKU\S-1-5-21-2468998774-3330088350-145266823-1000 -> {EA32F976-8E3B-42D8-9725-0058103E1EB1} URL =

  Toolbar: HKU\S-1-5-21-2468998774-3330088350-145266823-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File

  BHO-x32: Windows Live Toolbar Helper -> {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} -> C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)

  R0 13137328; C:\Windows\System32\DRIVERS\13137328.sys [458336 2014-12-20] (Kaspersky Lab ZAO)

  S3 catchme; \??\C:\ComboFix\catchme.sys [X]

  2014-12-20 17:22 - 2014-12-21 21:41 - 00000000 ____D () C:\windows\46B04D534E344388B6EE80FAB66AEF9B.TMP

  2014-12-20 17:16 - 2014-12-20 17:16 - 00000000 ____D () C:\ProgramData\Kaspersky Lab

  2014-12-20 17:15 - 2014-12-20 17:34 - 00458336 _____ (Kaspersky Lab ZAO) C:\windows\system32\Drivers\13137328.sys

  2014-12-20 16:29 - 2014-12-20 16:29 - 00031520 _____ () C:\ComboFix.txt

  2014-12-20 16:16 - 2011-06-26 07:45 - 00256000 _____ () C:\windows\PEV.exe

  2014-12-20 16:16 - 2010-11-07 18:20 - 00208896 _____ () C:\windows\MBR.exe

  2014-12-20 16:14 - 2014-12-20 16:29 - 00000000 ____D () C:\Qoobox

  2014-12-20 14:11 - 2014-12-20 14:11 - 00000000 ____D () C:\ProgramData\RogueKiller

  2014-12-12 19:22 - 2014-12-12 19:22 - 00000000 ____D () C:\windows\system32\appraiser

  C:\Users\Seb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter =>Crapware.SpyHunter^

  C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe =>Crapware.SpyHunter^

  C:\Users\Seb\Desktop\SpyHunter.lnk

   

  EmptyTemp:

  end

  NOTE. Il est important que les deux , FRST et le fichiers fixlist.txt se trouvent dans le même emplacement, sinon la correction ne fonctionnera pas.

   

  NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur,

  pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

   

  

   

  Exécutez FRST,

• cliquez une seule fois sur le bouton Fix et attendez.

  Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laissez le système redémarrer normalement.

• Ensuite laissez l'outil terminer son travail.

  Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).

• Héberge le rapport présent sur ton bureau sur le site http://www.cjoint.com,

  Puis copie/colle le lien fourni dans ta prochaine réponse.

[zoppi]

j'ai essayé mais FRSt se plante avec un message "erreur ligne 9871 expression incorrecte"

 

edit : il a quand meme généré un fixlog : http://www.cjoint.com/14dc/DLvxHr8DX4v.htm

Modifié le 21 décembre 2014 par zoppi

[tomtom95]

Ok c'est bon

Compléte avec ceci

• Fermez toutes les applications en cours (notamment votre navigateur)
  Désactivez vos protections (Antivirus et par-feu)
• Cliquez sur l'icône ZHPFix,présent sur votre Bureau
  
  pour vista/W7/W8 clique-droit > exécuter en tant qu'administrateur
• Surlignez tout le texte ci-dessous puis cliquez droit Copier
  
  
   

  Script ZHPFix
  C:\Users\Seb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
  C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe
  C:\Users\Seb\Desktop\SpyHunter.lnk
  O4 - GS\Desktop [seb]: SpyHunter.lnk . (.Enigma Software Group USA, LLC. - SpyHunter4 application.) -- C:\Program Files (x86)\Enigma Software Group\SpyHunter\SpyHunter4.exe
  O23 - Service: SpyHunter 4 Service (SpyHunter 4 Service) . (.Enigma Software Group USA, LLC. - Service scanner interface.) - C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe
  O43 - CFD: 20/12/2014 - 17:16:19 - [] ----D C:\ProgramData\Kaspersky Lab
  O58 - SDL:20/12/2014 - 17:34:48 ---A- . (.Kaspersky Lab ZAO - Kaspersky Unified Driver.) -- C:\Windows\System32\Drivers\13137328.sys [458336]
  O61 - LFC: 20/12/2014 - 13:39:11 ---A- . (.Kaspersky Lab ZAO.) -- C:\Users\Seb\AppData\Local\Temp\4006113\bases\avengine.dll [549792]
  O61 - LFC: 20/12/2014 - 13:39:11 ---A- . (.Kaspersky Lab ZAO.) -- C:\Users\Seb\AppData\Local\Temp\RarSFX0\Drivers\Win32\1\kl1.sys [135776]
  O61 - LFC: 20/12/2014 - 13:39:11 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\4006113\7278136.exe [457520]
  O61 - LFC: 20/12/2014 - 13:39:11 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\4006113\avzkrnl.dll [2115264]
  O61 - LFC: 20/12/2014 - 13:39:11 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\4006113\clldr.dll [17088]
  O61 - LFC: 20/12/2014 - 13:39:11 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\4006113\diffs.dll [135360]
  O61 - LFC: 20/12/2014 - 13:39:11 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\4006113\fssync.dll [94400]
  O61 - LFC: 20/12/2014 - 13:39:11 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\4006113\kldw.exe [19328]
  O61 - LFC: 20/12/2014 - 13:39:11 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\4006113\memmng.dll [18112]
  O61 - LFC: 20/12/2014 - 13:39:11 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\4006113\prloader.dll [172224]
  O61 - LFC: 20/12/2014 - 13:39:11 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\4006113\prremote.dll [98496]
  O61 - LFC: 20/12/2014 - 13:39:11 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\4006113\updater.dll [852160]
  O61 - LFC: 20/12/2014 - 13:39:11 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\4006113\ushata.dll [31424]
  O61 - LFC: 20/12/2014 - 13:39:11 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\4006113\x64\wmi64.exe [36352]
  O61 - LFC: 20/12/2014 - 13:39:12 ---A- . (.Kaspersky Lab ZAO.) -- C:\Users\Seb\AppData\Local\Temp\RarSFX0\Drivers\Win64\1\13137328.sys [458336]
  O61 - LFC: 20/12/2014 - 13:39:12 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\RarSFX0\Drivers\Win32\2\501\7278136drv.sys [565552]
  O61 - LFC: 20/12/2014 - 13:39:12 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\RarSFX0\Drivers\Win32\2\600\7278136drv.sys [570160]
  O61 - LFC: 20/12/2014 - 13:39:12 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\RarSFX0\Drivers\Win64\2\501\7278136drv.sys [616752]
  O61 - LFC: 20/12/2014 - 13:39:12 ---A- . (.Kaspersky Lab.) -- C:\Users\Seb\AppData\Local\Temp\RarSFX0\Drivers\Win64\2\600\7278136drv.sys [615728]
  [HKLM\SYSTEM\CurrentControlSet\Services\SpyHunter 4 Service]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{46B04D53-4E34-4388-B6EE-80FAB66AEF9B}]
  [HKLM\Software\Classes\Installer\Features\07C72D7F5F099B941B88A031C3C03E35]
  [HKLM\Software\Classes\Installer\Products\07C72D7F5F099B941B88A031C3C03E35]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\07C72D7F5F099B941B88A031C3C03E35] =
  [HKLM\Software\Wow6432Node\Classes\Installer\Features\07C72D7F5F099B941B88A031C3C03E35]
  [HKLM\Software\Wow6432Node\Classes\Installer\Products\07C72D7F5F099B941B88A031C3C03E35]
  
  
  ShortcutFix
  PROXYFix
  EmptyPrefetch
  EmptyCLSID
  FirewallRaz
  EmptyTemp
  EmptyFlash
  Sysrestore
  

• Dans l'interface de ZHPFix Cliquez sur Importer et sur OK
  
  
  
  Attention :vérifiez que que toutes les lignes se sont collées
• Puis Cliquez sur "GO"
• Confirmez les nettoyages des données en cliquant sur "Oui"
  
  Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
• Une fois le scan terminé le fichier ZHPFixReport à été crée sur le bureau.
• Hébergez le rapport ZHPFixReport sur le site http://www.cjoint.com
  puis copier/coller le lien fourni dans votre prochaine réponse.

 

Ensuite on vois pour la réparation si besoin