Clavier bloqué

[fran330]

Bonjour,

Je décide de faire appel aux anges de Zebulon car je pense être infectée par un malware.

 

Symptômes

 

- Le clavier de mon laptop (Lenovo Thinkpad SL510) ne fonctionne plus. Là, j'utilise le clavier visuel de windows.

 

- Seule la barre d'espac. est activable mais au lieu d'entrer un espace, elle affiche le contenu de l'ecran en bcp +grand que normal. Qd je represse la barre d'espac. l'écran redevient normal.

 

- Parfois qd j'éteinds/rallume l'ordi, le clavier refonctionne mais pendant qques minutes seulement. Il me semble que c'est qd je presse Shift ou Ctrl qu'il se bloque de nouveau.

 

- Le symptôme est apparu alors que les jours précédents, j'ai téléchargé quelques films depuis internet. Ce faisant, lors de l'apparition de pubs, mon antivirus AVG m'a prévenue qques fois qu'il avait bloqué des menaces.

 

- Plus généralement, mon windows 7 et l'ouverture et l'utisation de programmes (y compris Firefox, mon navigateur) sont devenus très lents mais ça date d'avant le probl. de clavier.

 

Ce que j'ai fait jusqu'ici :

 

- Eteint et ôté batterie puis rallumé

- Nettoyé Windows & Applications avec Ccleaner

- Fait analyse manuelle avec mon antivirus (AVG) qui n'a rien détecté

- Idem avec Malwarebytes qui a trouvé et éliminé 6 malwares

Mais ça n'a rien résolu.

 

P.S. Normalement mon Windows, Firefox et principaux logiciels et utilitaires sont à jour.

 

Rapport ZHPDiag :

http://www.cjoint.com/c/EGBjyiPnIQA

 

J'espère que vous pourrez m'aider et quoi qu'il en soit, je vous remercie d'avance.

Fran

Modifié le 27 juillet 2015 par fran330

[Apollo]

Bonjour,

 

1) ZHPFix :

 

Le bouton "nettoyer" de ZHPDiag permet de télécharger ZHPFIX.

Sinon,

 

Télécharger sur le BUREAU: http://www.nicolascoolman.fr/download/zhpfix/ (provisoire).

• Ferme toutes les applications ouvertes
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau

  Important:

  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

• Copie les lignes ci-dessous dans la fenêtre

sauf le mot citation.

 

Script ZhpFix

M2 - MFEP: Extension [user - mjizk69f.default] avg@toolbar

M2 - MFEP: Extension [user - s3qnfjyh.default-1427665231603] avg@toolbar

R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://mysearch.avg.com

O42 - Logiciel: Freecorder 2.3 (with Skype Call Recording) - (...) [HKLM] -- Freecorder_1.0

[HKCU\Software\ApplianTechnologies]

[HKCU\Software\ProgSense]

[HKCU\Software\ambuhelper1]

[HKLM\Software\Applian Technologies]

[HKLM\Software\Tarma Installer]

C:\Program Files\Applian Technologies

C:\Program Files\Moozy

C:\Program Files\Search.com Toolbar

C:\Users\user\AppData\Roaming\Freecorder 7 Converter

C:\Users\user\AppData\Roaming\Freecorder 7 Screen

C:\Users\user\AppData\Roaming\Freecorder 7 Video

C:\Users\user\AppData\Roaming\ProgSense

C:\Users\user\AppData\Local\Freecorder 7 Converter

C:\Users\user\AppData\Local\Freecorder 7 Screen

C:\Users\user\AppData\Local\Freecorder 7 Video

C:\Users\user\AppData\Local\Ilivid Player

C:\Users\user\AppData\Local\networker

[MD5.A262B040AEF61791D98277A790F103B3] [WIS][20/12/2012] (.Spigot, Inc. - Widgi Toolbar.) -- C:\Windows\Installer\61bf4f2.msi [4606356]

HKLM\SOFTWARE\Microsoft\Tracing\datamngrUI_RASAPI32

HKLM\SOFTWARE\Microsoft\Tracing\datamngrUI_RASMANCS

HKLM\SOFTWARE\Microsoft\Tracing\InstTracker_RASAPI32

HKLM\SOFTWARE\Microsoft\Tracing\InstTracker_RASMANCS

HKLM\SOFTWARE\Microsoft\Tracing\SearchSettings_RASAPI32

HKLM\SOFTWARE\Microsoft\Tracing\SearchSettings_RASMANCS

[HKCR\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}] (Yontoo Api)

[HKLM\Software\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}]

[HKLM\Software\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1392B8D2-5C05-419F-A8F6-B9F15A596612}]

[HKLM\Software\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}]

[HKLM\Software\Classes\CLSID\{7E84186E-B5DE-4226-8A66-6E49C6B511B4}]

[HKLM\Software\Classes\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d}]

[HKLM\Software\Classes\CLSID\{99066096-8989-4612-841F-621A01D54AD7}]

[HKLM\Software\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}]

[HKLM\Software\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}]

[HKLM\Software\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}]

[HKLM\Software\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\00E944CB89111313EAF35A0553F547F9]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\30C16B15B255BD349A1157B8A83E2AF9]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\53F55AF3F4049ED3FA6EA6F88E414E24]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\68E4BF4B11615E03C97732FD581AB607]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8CE3DDAB2D152683FBCEB4866BCD2B0F]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AF6CE16AFEA5C9A39B766468A8B35C21]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FB1E44269B58F433A8C8E671E37CFDCF]

C:\Users\user\AppData\LocalLow\Conduit

C:\Windows\Installer\61bf4f2.msi

 

 

EmptyClsid

Ifeofix

Proxyfix

FirewallRaz

ShortcutFix

EmptyPrefetch

emptytemp

emptyflash

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

• Le script doit automatiquement apparaitre dans ZHPFix.

   

  Clique sur le bouton GO pour lancer le nettoyage

• Valide par Oui la désinstallation des programmes si demandé.
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

----------------------------

2)Télécharge Junkware Removal Tool sur le bureau: http://www.bleepingcomputer.com/download/junkware-removal-tool/

 

 

Site éditeur: http://thisisudax.org/

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

Prendre patience pendant que JRT tourne, il est plus lent qu'AdwCleaner.

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

>>>Si le rapport est long, l'héberger ici: http://cjoint.com ou http://dl.free.fr/

 

---------------------------------------

3) Télécharge AdwCleaner par Xplode.

 

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Scanner et laisse travailler l'outil.

 

Cliquer sur Nettoyer, le bouton sera accessible.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s0]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

 

A lire absolument: http://www.vista-xp.fr/forum/topic5482.html

http://www.vista-xp.fr/forum/topic10389.html

 

-------------------------

 

@++

[fran330]

Merci pour réponse rapide et sorry de n'y réagir que maintenant. Je croyais à tort que j'avais activé la notification des réponses. Du coup j'attendais 1 email.

Rapport ZHPfix :

N.B. Avant de travailler, ZHPfix m'a d'abord donné le msg : "Could not load initialization file". J'ai cliqué OK et il s'est mis à travailler.

Rapport de ZHPFix 2015.4.9.5 par Nicolas Coolman, Update du 18/03/2015
Fichier d'export Registre : 
Run by user at 30/07/2015 11:40:42
High Elevated Privileges : OK
Windows 7 Business Edition, 32-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 08s)
Dossier Prefetcher vidé
Réparation des raccourcis navigateur

========== Logiciels ==========
ABSENT Uninstall Process: c:\windows\iun6002.exe

========== Clés du Registre ==========
SUPPRIMÉ Logiciel Key: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Freecorder_1.0]
SUPPRIMÉ: HKCU\Software\ApplianTechnologies
SUPPRIMÉ: HKCU\Software\ProgSense
SUPPRIMÉ: HKCU\Software\ambuhelper1
SUPPRIMÉ: HKLM\Software\Applian Technologies
SUPPRIMÉ: HKLM\Software\Tarma Installer
SUPPRIMÉ: HKLM\SOFTWARE\Microsoft\Tracing\datamngrUI_RASAPI32
SUPPRIMÉ: HKLM\SOFTWARE\Microsoft\Tracing\datamngrUI_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Microsoft\Tracing\InstTracker_RASAPI32
SUPPRIMÉ: HKLM\SOFTWARE\Microsoft\Tracing\InstTracker_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Microsoft\Tracing\SearchSettings_RASAPI32
SUPPRIMÉ: HKLM\SOFTWARE\Microsoft\Tracing\SearchSettings_RASMANCS
SUPPRIMÉ: HKCR\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
SUPPRIMÉ: HKLM\Software\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
SUPPRIMÉ: HKLM\Software\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
SUPPRIMÉ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1392B8D2-5C05-419F-A8F6-B9F15A596612}
SUPPRIMÉ: HKLM\Software\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
SUPPRIMÉ: HKLM\Software\Classes\CLSID\{7E84186E-B5DE-4226-8A66-6E49C6B511B4}
SUPPRIMÉ: HKLM\Software\Classes\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d}
SUPPRIMÉ: HKLM\Software\Classes\CLSID\{99066096-8989-4612-841F-621A01D54AD7}
SUPPRIMÉ: HKLM\Software\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
SUPPRIMÉ: HKLM\Software\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
SUPPRIMÉ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
SUPPRIMÉ: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
SUPPRIMÉ: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
SUPPRIMÉ: HKLM\Software\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
SUPPRIMÉ: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\00E944CB89111313EAF35A0553F547F9
SUPPRIMÉ: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\30C16B15B255BD349A1157B8A83E2AF9
SUPPRIMÉ: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\53F55AF3F4049ED3FA6EA6F88E414E24
SUPPRIMÉ: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\68E4BF4B11615E03C97732FD581AB607
SUPPRIMÉ: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8CE3DDAB2D152683FBCEB4866BCD2B0F
SUPPRIMÉ: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AF6CE16AFEA5C9A39B766468A8B35C21
SUPPRIMÉ: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FB1E44269B58F433A8C8E671E37CFDCF
Branche de Base de Registres IFEO non infectée !

========== Valeurs du Registre ==========
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIMÉ ProxyServer Value
SUPPRIMÉ ProxyEnable Value
SUPPRIMÉ EnableHttp1_1 Value
SUPPRIMÉ ProxyHttp1.1 Value
SUPPRIMÉ ProxyOverride Value
Aucune Valeur Standard Profile: FirewallRaz : 
Aucune Valeur Domain Profile: FirewallRaz : 
SUPPRIMÉ: FirewallRaz (None) : {7104A176-7B04-496F-84A4-6E4AFC794041}
SUPPRIMÉ: FirewallRaz (None) : {DD00819A-311A-4520-8014-5B5A974FB4B2}
SUPPRIMÉ: FirewallRaz (Private) : {3A450047-FAD4-44CB-BC4F-4A742449784E}
SUPPRIMÉ: FirewallRaz (Private) : {5E114B8D-82D2-4A96-A5F5-9164C7088766}
SUPPRIMÉ: FirewallRaz (Private) : {B8F03799-D1A6-4FD5-8844-A4D7006F10B2}
SUPPRIMÉ: FirewallRaz (Private) : {5F09DF07-D07D-4551-89C5-3277C197AB67}
SUPPRIMÉ: FirewallRaz (Private) : TCP Query User{335713FF-EBF4-4482-8328-70DE21A2B1B8}C:\program files\java\jre7\bin\java.exe
SUPPRIMÉ: FirewallRaz (Private) : UDP Query User{23E83107-F449-426E-8BF5-AF052498C834}C:\program files\java\jre7\bin\java.exe
SUPPRIMÉ: FirewallRaz (Public) : {17EC94E4-B807-4C1B-B7BF-8A7D120E7111}
SUPPRIMÉ: FirewallRaz (Public) : {4B275489-6341-4C59-9339-F3A5639F819C}
SUPPRIMÉ: FirewallRaz (Public) : {B2A9B60D-C69D-4B00-84AD-0E1418843B6E}
SUPPRIMÉ: FirewallRaz (Public) : {E8F2AAA4-9195-4EC1-934C-1046E5A11E29}
SUPPRIMÉ: FirewallRaz (Public) : {A37D60B7-3D66-45A6-834A-43B3875E4C7F}
SUPPRIMÉ: FirewallRaz (Public) : {816AFFB8-0F02-4563-9A1A-8BB50B9302CA}
SUPPRIMÉ: FirewallRaz (Public) : {EE5D145C-581D-4DF2-A2CB-3785718579B2}
SUPPRIMÉ: FirewallRaz (Public) : {45870EE4-132F-48A0-8DED-E479EED47ED2}
SUPPRIMÉ: FirewallRaz (Private) : {3AB76E2B-824E-48D2-A8F8-D2FAAEF123BF}
SUPPRIMÉ: FirewallRaz (Private) : {5F0ACB16-3B2C-4ACF-932A-BC255F36B28A}
SUPPRIMÉ: FirewallRaz (Domain) : {5F6EBE6A-8A43-4F7C-93D1-437D92A0DB08}

========== Eléments de donnée du Registre ==========
SUPPRIMÉ: R0 - Main,Start Page = KCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIMÉS Temporaires Windows (28)
SUPPRIMÉS Flash Cookies (0)

========== Fichiers ==========
SUPPRIMÉ: C:\Windows\Installer\61bf4f2.msi
SUPPRIMÉS Temporaires Windows (136) (93.190.611 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)


========== Récapitulatif ==========
34 : Clés du Registre
27 : Valeurs du Registre
1 : Eléments de donnée du Registre
3 : Dossiers
3 : Fichiers
1 : Logiciels


End of clean in 06mn 56s

========== Chemin de fichier rapport ==========
C:\Users\user\AppData\Roaming\ZHP\ZHPFix[R1].txt - 30/07/2015 11:40:52 [5867]

Rapport JRT :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 7.5.4 (07.27.2015:1)
OS: Windows 7 Professional x86
Ran by user on jeu. 30/07/2015 at 11:53:47,25
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services

Successfully deleted: [Service] vToolbarUpdater18.8.0 [Reboot required]



~~~ Tasks

Successfully deleted: [Task] C:\Windows\System32\tasks\PCDEventLauncher
Successfully deleted: [Task] C:\Windows\System32\tasks\PCDoctorBackgroundMonitorTask
Successfully deleted: [Task] C:\Windows\Tasks\PCDoctorBackgroundMonitorTask.job



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}



~~~ Files



~~~ Folders

Successfully deleted: [Folder] C:\ProgramData\apn
Successfully deleted: [Folder] C:\ProgramData\avg security toolbar
Successfully deleted: [Folder] C:\ProgramData\google
Successfully deleted: [Folder] C:\Users\user\Appdata\Local\packageaware
Successfully deleted: [Folder] C:\Users\user\Appdata\LocalLow\search.com



~~~ FireFox

Failed to delete: [Folder] C:\Program Files\Mozilla Firefox\extensions\{1fd91a9c-410c-4090-bbcc-55d3450ef433}
Emptied folder: C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\s3qnfjyh.default-1427665231603\minidumps [25 files]





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on jeu. 30/07/2015 at 12:07:44,42
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Rapport ADWcleaner :

# AdwCleaner v4.208 - Rapport créé le 30/07/2015 à 12:15:57
# Mis à jour le 09/07/2015 par Xplode
# Base de données : 2015-07-26.2 [Serveur]
# Système d'exploitation : Windows 7 Professional Service Pack 1 (x86)
# Nom d'utilisateur : user - USER-THINK
# Exécuté depuis : C:\Users\user\Desktop\adwcleaner_4.208.exe
# Option : Scanner

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Trouvé : C:\Program Files\Common Files\AVG Secure Search
Dossier Trouvé : C:\ProgramData\AVG Secure Search
Dossier Trouvé : C:\ProgramData\Avg_Update_0215tb
Dossier Trouvé : C:\users\user\AppData\Roaming\GrabPro
Dossier Trouvé : C:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\mjizk69f.default\Extensions\Avg@toolbar
Fichier Trouvé : C:\Program Files\Mozilla Firefox\browser\searchplugins\wtu-secure-search.xml
Fichier Trouvé : C:\Program Files\Mozilla Firefox\defaults\pref\itms.js
Fichier Trouvé : C:\users\user\AppData\Local\GDIPFONTCACHEV1.DAT
Fichier Trouvé : C:\users\user\AppData\Roaming\GDIPFONTCACHEV1.DAT
Fichier Trouvé : C:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\mjizk69f.default\searchplugins\avg-secure-search.xml

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Trouvée : HKCU\Software\Avg Secure Update
Clé Trouvée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Trouvée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Clé Trouvée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7854F00C-DC77-477E-A10E-603F48442D3B}
Clé Trouvée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Trouvée : HKCU\Software\YahooPartnerToolbar
Clé Trouvée : HKLM\SOFTWARE\Classes\AppID\{18B9B16E-716F-43DF-A6AD-512C7D2EB983}
Clé Trouvée : HKLM\SOFTWARE\Classes\AppID\{19975B78-1907-4DD6-A437-4C48120F46A4}
Clé Trouvée : HKLM\SOFTWARE\Classes\AppID\{544C2426-48FD-4C40-AE3B-31257FF334D0}
Clé Trouvée : HKLM\SOFTWARE\Classes\AppID\{562B9317-C08A-444A-9482-62080DD851AE}
Clé Trouvée : HKLM\SOFTWARE\Classes\AppID\AddonsFramework.DLL
Clé Trouvée : HKLM\SOFTWARE\Classes\AppID\BackgroundHost.EXE
Clé Trouvée : HKLM\SOFTWARE\Classes\AppID\ButtonSite.DLL
Clé Trouvée : HKLM\SOFTWARE\Classes\AppID\PropertySync.EXE
Clé Trouvée : HKLM\SOFTWARE\Classes\AppID\RegistryHelper.DLL
Clé Trouvée : HKLM\SOFTWARE\Classes\AppID\ScriptHost.DLL
Clé Trouvée : HKLM\SOFTWARE\Classes\CLSID\{933B95E2-E7B7-4AD9-B952-7AC336682AE3}
Clé Trouvée : HKLM\SOFTWARE\Classes\CLSID\{DCA1528D-A3C0-4A9F-AA6E-DCE643F91495}
Clé Trouvée : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
Clé Trouvée : HKLM\SOFTWARE\Classes\S
Clé Trouvée : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi
Clé Trouvée : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi.1
Clé Trouvée : HKLM\SOFTWARE\Classes\TypeLib\{C2AC8A0E-E48E-484B-A71C-C7A937FAAB94}
Clé Trouvée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4250488A-CB24-0893-C066-B1AEA57BCFF2}
Clé Trouvée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{AFB904C4-C255-4540-B97E-A75A34F1FFB0}
Clé Trouvée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Clé Trouvée : HKLM\SOFTWARE\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin
Clé Trouvée : HKU\.DEFAULT\Software\Avg Secure Update
Valeur Trouvée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{21FA44EF-376D-4D53-9B0F-8A89D3229068}]
Valeur Trouvée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{C55BBCD6-41AD-48AD-9953-3609C48EACC7}]
Valeur Trouvée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [vProt]

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17909


-\\ Mozilla Firefox v39.0 (x86 fr)


*************************

AdwCleaner[R0].txt - [4043 octets] - [30/07/2015 12:15:57]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [4103 octets] ##########

Après ça, j'aibien lu les conseils de téléchargement. Normalement, je fais déja bien attention à tout ça.

 

Voilà. J'attends la suite. Merci pour ce suivi.

Fran

[Apollo]

Bonjour,

 

Relis la procédure pour AdwCleaner stp, car tu n'as pas passé l'option "Nettoyer" semble-t-il.

 

Poste le rapport de ce nettoyage.

 

@++

[fran330]

Désolée. Voici

# AdwCleaner v4.208 - Rapport créé le 30/07/2015 à 16:01:17
# Mis à jour le 09/07/2015 par Xplode
# Base de données : 2015-07-26.2 [Serveur]
# Système d'exploitation : Windows 7 Professional Service Pack 1 (x86)
# Nom d'utilisateur : user - USER-THINK
# Exécuté depuis : C:\Users\user\Desktop\adwcleaner_4.208.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\AVG Secure Search
Dossier Supprimé : C:\ProgramData\Avg_Update_0215tb
Dossier Supprimé : C:\Program Files\Common Files\AVG Secure Search
Dossier Supprimé : C:\users\user\AppData\Roaming\GrabPro
Dossier Supprimé : C:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\mjizk69f.default\Extensions\Avg@toolbar
Fichier Supprimé : C:\users\user\AppData\Local\GDIPFONTCACHEV1.DAT
Fichier Supprimé : C:\users\user\AppData\Roaming\GDIPFONTCACHEV1.DAT
Fichier Supprimé : C:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\mjizk69f.default\searchplugins\avg-secure-search.xml
Fichier Supprimé : C:\Program Files\Mozilla Firefox\browser\searchplugins\wtu-secure-search.xml
Fichier Supprimé : C:\Program Files\Mozilla Firefox\defaults\pref\itms.js

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\AddonsFramework.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\ButtonSite.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\PropertySync.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\RegistryHelper.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\ScriptHost.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\S
Clé Supprimée : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi
Clé Supprimée : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi.1
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [vProt]
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BackgroundHost.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{18B9B16E-716F-43DF-A6AD-512C7D2EB983}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{19975B78-1907-4DD6-A437-4C48120F46A4}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{544C2426-48FD-4C40-AE3B-31257FF334D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{562B9317-C08A-444A-9482-62080DD851AE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{933B95E2-E7B7-4AD9-B952-7AC336682AE3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DCA1528D-A3C0-4A9F-AA6E-DCE643F91495}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{C2AC8A0E-E48E-484B-A71C-C7A937FAAB94}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7854F00C-DC77-477E-A10E-603F48442D3B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4250488A-CB24-0893-C066-B1AEA57BCFF2}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{AFB904C4-C255-4540-B97E-A75A34F1FFB0}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{C55BBCD6-41AD-48AD-9953-3609C48EACC7}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{21FA44EF-376D-4D53-9B0F-8A89D3229068}]
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKCU\Software\Avg Secure Update
Clé Supprimée : HKU\.DEFAULT\Software\Avg Secure Update

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17909


-\\ Mozilla Firefox v39.0 (x86 fr)


*************************

AdwCleaner[R0].txt - [4183 octets] - [30/07/2015 12:15:57]
AdwCleaner[R1].txt - [4243 octets] - [30/07/2015 15:58:48]
AdwCleaner[S0].txt - [4246 octets] - [30/07/2015 16:01:17]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [4306  octets] ##########

[Apollo]

Merci,

 

Hormis les téléchargements et les installations proposant des trucs indésirables, il faut aussi faire très attention à certains modules complémentaires de Firefox, car il est évident dans les rapports, que le bât blesse très souvent à cet endroit.

 

Par sûreté, réinitialise ton navigateur: http://www.commentcamarche.net/faq/26679-reinitialiser-son-navigateur

 

Normalement, tu as une sauvegarde des tes favoris, mais il vaut toujours mieux faire une sauvegarde soi-même avant de procéder à la réinitialisation.

 

Après ça, fais ces manip stp:

 

1) Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer si nécessaire.

 

Ou ici: Voir le Fichier : SFTGC.exe

 

http://theknitter-apollo.xooit.com/p22075.htm

 

Si tu as déjà cet outil, inutile de le re-télécharger.

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Si Firefox ou Chrome discutent, utiliser Explorer.

 

Si le filtre Smartcreen d'Explorer chicane aussi, le désactiver par Outils/filtre Smartscreen/cliquer sur désactiver.

 

Ferme tes applications, navigateurs.

 

Sous XP, double cliquer sur le fichier.

Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFTGC.txt)

 

Héberger sur http://cjoint.com pour ne pas planter le sujet. ou http://dl.free.fr/

 

 

---------------------------

 

2) Téléchargez Malwarebytes Anti-Malware et enregistrez-le sur le Bureau.

 

http://fr.malwarebytes.org/mwb-download/

 

Faites un double clic sur mbam-setup-2.1.8..exe et suivez les invites pour installer le programme.

 

Lancer Malwarebytes Anti-Malware

 

Un essai gratuit de 14 jours des fonctions de la version Premium est pré-sélectionné. Si vous le désirez, vous pouvez dé-cocher cette case, et cela ne diminuera pas les capacités d'analyse et de suppression du programme.

 

 

Examen "Menaces" + Recherche de Rootkits:

 

Dans l'onglet Paramètres > Sous-onglet Détection et Protection, Options de détection, cochez la case située devant Recherche de Rootkits.

 

Cliquez sur l'onglet Examen, puis cliquez sur Examiner maintenant >>. Si une mise à jour est disponible, cliquez sur le bouton Mettre à jour maintenant.

 

Un Examen "Menaces" va démarrer.

 

Avec certaines infections, vous pouvez voir l'affichage de ce message:

 

'Malwarebytes n'a pas pu charger le pilote Anti-Rootkit DDA'

 

 

Cliquez sur 'Oui' sur ce message, pour permettre le chargement du pilote après un redémarrage.

 

Laissez l'ordinateur redémarrer. Continuez avec le reste de ces instructions.

 

Quand l'examen est terminé, click Supprimer la sélection..

 

Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui.

 

Le rapport de trouve dans l'Historique de MBAM, le prendre après le redémarrage.

 

 

*** Cocher recherche rootkits: ***

 

 

Comment obtenir les rapports d'examen:

(Exporter le rapport et l'enregistrer en format txt)

Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.

 

Cliquez sur l'onglet Historique > Journaux de l'application. (Scan log)

 

Faites un double clic sur le Journal d'examen dont les date et heure correspondent à l'analyse qui vient d'être effectuée.

 

Cliquez sur Exporter.

 

Cliquez sur Fichier texte (*.txt)

 

Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.

 

Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.

 

Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".

 

Cliquez sur OK

 

Attachez ce fichier dans votre prochaine réponse.

 

 

 

@++

[fran330]

Voilà, j'ai tout fait comme vous m'avez dit. Et maintenant, je sais que je dois surveiiler les mises à jour des modules complémentaires, ce que je négligeais...

Pas facile d'enregistrer SFTGC mais vos explications ont tout prévu, j'y suis arrivée.

Rapport SFTGC :

http://www.cjoint.com/c/EGEqJbts80A

 

Rapport Malwarebytes :

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 30/07/2015
Heure de l'analyse: 18:47
Fichier journal: rapport-malwarebytes-300715.txt
Administrateur: Oui

Version: 2.1.8.1057
Base de données de programmes malveillants: v2015.07.30.04
Base de données de rootkits: v2015.07.29.02
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x86
Système de fichiers: NTFS
Utilisateur: user

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 354627
Temps écoulé: 52 min, 21 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Activé
Heuristique: Activé
PUP: Avertir
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du registre: 0
(Aucun élément malveillant détecté)

Valeurs du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 0
(Aucun élément malveillant détecté)

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)

N.B. pas trouvé de rootkits mais j'ai qd même redémarré l'ordi avant d'exporter le rapport.

Pour info, mon clavier est toujours bloqué.

[Apollo]

Re,

 

ça doit être un problème matériel et malheureusement ce n'est pas du tout ma tasse de thé.

 

Il faudra voir avec le forum Hardware, dès que la sécurisation sera faite et les outils désinstallés.

 

Fais ces vérifications de sécurité stp.

 

 

Fais ensuite un nouveau scan ZHPDiag et héberge son rapport sur http://www.cjoint.com

 

Poste le lien généré.

 

@++

[fran330]

Voilà, j'ai fait les vérifications de sécurité. En gros c'était OK mais avec PSI, j'ai encore dégotté des pgrmes à mettre à jour.

 

voici le nouveau rapport ZHPDiag

 

http://www.cjoint.com/c/EGExbIjnXUA

 

Bonne nuit ou bonjour - selon...

[Apollo]

Bonjour,

 

ZHPFix :

 

Le bouton "nettoyer" de ZHPDiag permet de télécharger ZHPFIX.

Sinon,

 

Télécharger sur le BUREAU: http://www.nicolascoolman.fr/download/zhpfix/ (provisoire).

• Ferme toutes les applications ouvertes
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau

  Important:

  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

• Copie les lignes ci-dessous dans la fenêtre

sauf le mot citation.

 

Script ZhpFix

HKCU\SOFTWARE\AnyTubeDownloader

O43 - CFD: 2013/01/20 23:06:14 - [0] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZ Emoticons 3.0 for Messenger => Empty Folder not necessary

O43 - CFD: 2014/02/07 20:35:59 - [0] D -- C:\ProgramData\boost_interprocess => boost.org

[MD5.FC4A9F237444993FC2E732C3E20C2787] - (.Copyright © 2015 - WtuSyste Application.) -- C:\Program Files\AVG Web TuneUp\WtuSystemSupport.exe [1195920] [PID.1088]

R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} Orphean

O23 - Service: WtuSystemSupport (WtuSystemSupport) . (.Copyright © 2015 - WtuSyste Application.) - C:\Program Files\AVG Web TuneUp\WtuSystemSupport.exe

O42 - Logiciel: AVG Web TuneUp - (.AVG Technologies.) [HKLM] -- AVG Web TuneUp

HKLM\SOFTWARE\AVG Web TuneUp

HKLM\SOFTWARE\Freecorder

HKCU\SOFTWARE\AVG Web TuneUp

HKCU\SOFTWARE\Freecorder

O43 - CFD: 2015/07/24 13:47:52 - [] D -- C:\Program Files\AVG Web TuneUp

O43 - CFD: 2013/01/20 23:06:14 - [] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Freecorder

O43 - CFD: 2015/07/08 11:06:07 - [] D -- C:\ProgramData\AVG Web TuneUp =

O43 - CFD: 2015/07/08 11:05:46 - [] D -- C:\Users\user\AppData\Local\AVG Web TuneUp

C:\Program Files\AVG Web TuneUp\WtuSystemSupport.exe

HKLM\SYSTEM\CurrentControlSet\Services\WtuSystemSupport

HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AVG Web TuneUp

HKLM\SOFTWARE\AVG Web TuneUp

HKCU\SOFTWARE\AVG Web TuneUp

C:\Program Files\AVG Web TuneUp

C:\ProgramData\AVG Web TuneUp

C:\Users\user\AppData\Local\AVG Web TuneUp

 

 

EmptyClsid

Ifeofix

Proxyfix

FirewallRaz

ShortcutFix

EmptyPrefetch

emptytemp

emptyflash

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

• Le script doit automatiquement apparaitre dans ZHPFix.

   

  Clique sur le bouton GO pour lancer le nettoyage

• Valide par Oui la désinstallation des programmes si demandé.
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

@++