× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Virus Internet Security bloque mon pcSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
claila
  Posté le 03/03/2012 @ 09:49 
Aller en bas de la page 
Petite astucienne

Bonjour,

j'ai chopé un virus qui apparemment est bien connu: dans mon cas il s'agit d'un faux antivirus Internet Security qui me signale que j'ai un virus du nom de w32 blaster.worm et m'incite donc à l'acheter pour m'en débarrasser.

Le problème c'est que cette saleté me bloque l'accès à internet, l'utilisation de mon antivirus principal, de malwarebytes, spybot, ccleaner que j'ai déjà sur mon pc, ainsi que le redémarrage en mode sans échec donc je ne peux rien faire.

Là j'écris depuis le pc portable de mon mari. En fouinant sur le net, j'ai vu que je devais télécharger un logiciel du nom de Roguekiller sur une cle usb puis l'installer sur mon pc. Le problème c'est que l'ordi de mon mari est un matériel pour le boulot, ultrasécurisé et bridé et qu'il me refuse le téléchargement de tous ces logiciels de nettoyage!

Je ne sais plus quoi faire! Pouvez-vous m'aider s'il vous plait?

Publicité
xDAML
 Posté le 03/03/2012 à 10:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

{#}Avant de tenter quoi que ce soit,attends l'avis d'un GS.

claila
 Posté le 03/03/2012 à 10:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

De toute façon je n'ai pas trop le choix...

xDAML
 Posté le 03/03/2012 à 10:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Attends un GS,s'il te plait avant d'empirer les choses

Edit:Désinstalle Spybot,obsolète



Modifié par xDAML le 03/03/2012 10:43
mipierre
 Posté le 03/03/2012 à 10:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour !

Tu veux bien effectuer ces opératios et poster les trois rapports demandés en suivant les instructions :

https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm

A te lire

claila
 Posté le 03/03/2012 à 11:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Problème: je ne peux rien télécharger. Le pc portable sur lequel je suis refuse de télécharger zhpdiag (trop sécurisé comme j'ai déjà dit, c'est un ordi de société!).

mipierre
 Posté le 03/03/2012 à 11:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Comment as-tu fais alors pour télécharger cette merde ?

un faux antivirus Internet Security qui me signale que j'ai un virus du nom de w32 blaster.worm et m'incite donc à l'acheter pour m'en débarrasser.

Télécharge ZHP et sa suite sur un autre PC au moyen d'une clé USB et installe le sur ton PC.

claila
 Posté le 03/03/2012 à 12:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

C'est le pc fixe de la maison qui est infecté et non le portable. Le portable n'est pas le mien mais celui de mon mari qu'il utilise pour le boulot et le seul pc sain que j'ai à disposition. Le problème comme je le disais c'est qu'il y a certains logiciels que je ne peux pas télécharger sur le portable...et le fixe est out

claila
 Posté le 03/03/2012 à 15:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Je n'y comprends plus rien... surprise j'ai de nouveau accès aux fonctions de mon ordi perso (antivirus, internet, etc..).

Et je n'ai plus le message d'alerte du faux antivirus internet security...c'est bizarre non?

Hier j'ai effacé tous les fichiers créés au moment de l'intrusion de cet antivirus, notamment un appelé isecurity.exe...est-ce que cela a pu eliminer une partie du virus?

Du coup je vais tenter l'analyse avec zhpdiag.

Publicité
claila
 Posté le 03/03/2012 à 15:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

claila
 Posté le 03/03/2012 à 15:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voilà le rapport MalwarebytesMalwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 3

03/03/2012 15:42:42
mbam-log-2012-03-03 (15-42-42).txt

Type de recherche: Examen rapide
Eléments examinés: 91014
Temps écoulé: 4 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 28

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Arrakis3.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdAgent.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdreinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdsubwiz.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdtkexec.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdwizreg.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\seccenter.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uiscan.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\WINDOWS\system32\System32 (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\System32\3DAudio.ax (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\cis-2.4.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\issacapi_bs-2.3.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\issacapi_pe-2.3.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\issacapi_se-2.3.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\MACXMLProto.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\MaDRM.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\MaJGUILib.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\MAMACExtract.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\MASetupCleaner.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\MaXMLProto.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\MK_Lyric.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\MSCLib.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\MSFLib.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\MSLUR71.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\msvcp60.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\MTTELECHIP.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\MTXSYNCICON.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\muzaf1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\muzapp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\muzapp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\muzdecode.ax (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\muzeffect.ax (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\muzmp4sp.ax (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\muzmpgsp.ax (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\muzoggsp.ax (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\muzwmts.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\System32\psapi.dll (Trojan.Agent) -> Quarantined and deleted successfully.

:

claila
 Posté le 03/03/2012 à 15:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voilà la suite:

# AdwCleaner v1.500 - Rapport créé le 03/03/2012 à 15:46:11
# Mis à jour le 23/02/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Claire et Stephen - ORDI-PERSO
# Exécuté depuis : C:\Documents and Settings\Claire et Stephen\Mes documents\Téléchargements\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Fichier Présent : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

***** [H. Navipromo] *****


***** [Registre] *****

Clé Présente : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44a1-AF6E-957C64278AB1}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}

***** [Navigateurs] *****

-\\ Internet Explorer v6.0.2900.5512

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=e83cbd05000000000000001109c145f4&tlver=1.4.19.19&ss=1&affID=18026
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=e83cbd05000000000000001109c145f4&tlver=1.4.19.19&ss=1&affID=18026

-\\ Mozilla Firefox v7.0.1 (fr)

Profil : amgj8ucz.default
Fichier : C:\Documents and Settings\Claire et Stephen\Application Data\Mozilla\Firefox\Profiles\amgj8ucz.default\prefs.js

Présente : user_pref("extensions.BabylonToolbar.bbDpng", 5);
Présente : user_pref("extensions.BabylonToolbar.cntry", "FR");
Présente : user_pref("extensions.BabylonToolbar.firstRun", false);
Présente : user_pref("extensions.BabylonToolbar.hdrMd5", "0521BD860388F81BA7C8E429F0A610AB");
Présente : user_pref("extensions.BabylonToolbar.lastActv", "5");
Présente : user_pref("extensions.BabylonToolbar.lastDP", 5);
Présente : user_pref("extensions.enabledItems", "{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{20a82645-c095-4[...]

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Documents and Settings\Claire et Stephen\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [2658 octets] - [03/03/2012 15:46:11]

########## EOF - C:\AdwCleaner[R1].txt - [2786 octets] ##########

philae
 Posté le 03/03/2012 à 15:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

Bonjour,

de passage seulement,

relance ADWCleaner et fait le nettoyage

reposte ensuite un nouveau rapport ZHPDiag

claila
 Posté le 03/03/2012 à 16:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag2.Txt

philae
 Posté le 04/03/2012 à 10:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

bonjour,

poste le rapport e nettoyage de ADWCleaner stp

claila
 Posté le 04/03/2012 à 15:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Dernier rapport adwcleaner:

# AdwCleaner v1.500 - Rapport créé le 04/03/2012 à 15:15:20
# Mis à jour le 23/02/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Claire et Stephen - ORDI-PERSO
# Exécuté depuis : C:\Documents and Settings\Claire et Stephen\Mes documents\Téléchargements\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [H. Navipromo] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v6.0.2900.5512

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v7.0.1 (fr)

Profil : amgj8ucz.default
Fichier : C:\Documents and Settings\Claire et Stephen\Application Data\Mozilla\Firefox\Profiles\amgj8ucz.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Documents and Settings\Claire et Stephen\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [2787 octets] - [03/03/2012 15:46:11]
AdwCleaner[R2].txt - [2847 octets] - [03/03/2012 15:59:39]
AdwCleaner[S1].txt - [3125 octets] - [03/03/2012 16:00:34]
AdwCleaner[R3].txt - [1317 octets] - [04/03/2012 15:15:20]

########## EOF - C:\AdwCleaner[R3].txt - [1445 octets] ##########

Evasion60
 Posté le 04/03/2012 à 20:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir

Philae =>

Voilà le rapport MalwarebytesMalwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 3

1/
Fait ta mise à jour de MalwareBytes comme c'était demandés
Relance le après que la mise à jour soit effectuée
Poste son rapport / STP

2/
Relance ZHPDiag et héberge son rapport aussi

A te lire

Publicité
claila
 Posté le 04/03/2012 à 23:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Nouveau rapport Malwarebytes:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.04.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Claire et Stephen
ORDI-PERSO [administrateur]

04/03/2012 23:26:25
mbam-log-2012-03-04 (23-26-25).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 182694
Temps écoulé: 7 minute(s), 14 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

claila
 Posté le 04/03/2012 à 23:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag3.Txt

Evasion60
 Posté le 05/03/2012 à 12:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Change tes pratiques Web avec les flux P2P
PROCESSUS P2P (Vecteurs d'infections)
eMule PeerToPeer

1/
Fait tes mises à jour en Sécurité =>
- IE en V:8 ( via Windows Update )
- Java en 6u31

Java
http://java.sun.com/javase/downloads/index.jsp
Java Runtime Environnement--->JRE -> 7u3 ou 6u31 --->Windows offline

***********Le point avec => Java // Oracle *************
http://java.sun.com/javase/downloads/index.jsp
...Java Runtime Environnement--->JRE7u3 ou 6u31 à droite
Accepter le " Download "
Choisir votre plateforme Windows ou autre =>
Dans la majorité des cas ce sera " Windows x86 Offligne pour un 32 bits "
nota : Si votre votre navigateur IE est en 64Bits prenez le lien donné en 64bits
Cliquer sur " Continue "
Une nouvelle fenêtre s'ouvre
Cliquer sur " Windows Offline installation : jre-7u3 ou 6u31 -windows-i586.exe "

2/

  • Ouvre un bloc-notes (Démarrer>programmes>Accessoires>Bloc-notes),
  • Sélectionne et copie ces lignes. Pour les copier, tu cliques sur CTRL+C après les avoir sélectionnées. Elles sont présentées entre quotes comme ceci :

R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (...) -- (.not file.) => Possible Infection BT (Emusic.Adw)
O42 - Logiciel: Express Scribe Uninstall - (.Pas de propriétaire.) [HKLM] -- Scribe
O42 - Logiciel: Java 6 Update 13 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216013FF} => Sun Microsystems, Inc. Java Update
O42 - Logiciel: eMule - (.Pas de propriétaire.) [HKLM] -- eMule => eMule PeerToPeer
[HKCU\Software\C0A029279D2C639C5B75D20C65EDB9DA]
[HKCU\Software\Live-Player] => Infection MagicControl
[HKCU\Software\Nosibay] => Infection PUP
[HKCU\Software\eMule] => eMule PeerToPeer
[HKLM\Software\Live-Player] => Infection MagicControl
O43 - CFD: 04/11/2009 - 23:44:20 - [1456,677] ----D- C:\Program Files\eMule => eMule PeerToPeer
O43 - CFD: 04/03/2012 - 16:32:16 - [3,270] ----D- C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy
O53 - SMSR:HKLM\...\startupreg\LDM [Key] . (.Logicool - Logicool Desktop Messenger.) -- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O53 - SMSR:HKLM\...\startupreg\LogitechSoftwareUpdate [Key] . (.Logitech Inc. - Logitech Software Update.) -- C:\Program Files\Logitech\Video\ManifestEngine.exe
O64 - Services: CurCS - 12/12/2008 - C:\Program Files\Bonjour\mDNSResponder.exe (Bonjour Service) .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE
[MD5.54ACBA9CFD7154C02CEACF6310CF3CFA] [SPRF][03/02/2009] (.Safer Networking Limited - Spybot - Search & Destroy.) -- C:\Program Files\spybotsd162.exe [16409960]
[HKLM\Software\Classes\toolband.eb_explorerbar] => Toolbar.Agent
[HKLM\Software\Classes\toolband.eb_explorerbar.1] => Toolbar.Agent
[HKLM\Software\Classes\toolband.ipm_printlistitem] => Toolbar.Agent
[HKLM\Software\Classes\toolband.ipm_printlistitem.1] => Toolbar.Agent
[HKLM\Software\Classes\toolband.pm_launcher] => Toolbar.Agent
[HKLM\Software\Classes\toolband.pm_launcher.1] => Toolbar.Agent
[HKLM\Software\Classes\toolband.pm_printmanager] => Toolbar.Agent
[HKLM\Software\Classes\toolband.pm_printmanager.1] => Toolbar.Agent
[HKLM\Software\Classes\toolband.pr_bindstatuscallback] => Toolbar.Agent
[HKLM\Software\Classes\toolband.pr_bindstatuscallback.1] => Toolbar.Agent
[HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler] => Toolbar.Agent
[HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler.1] => Toolbar.Agent
[HKLM\Software\Classes\toolband.tbtoolband] => Toolbar.Agent
[HKLM\Software\Classes\toolband.tbtoolband.1] => Toolbar.Agent
[HKLM\Software\Classes\toolband.useroptions] => Toolbar.Agent
[HKLM\Software\Classes\toolband.useroptions.1] => Toolbar.Agent
[HKLM\Software\Classes\CLSID\{1a03f196-9617-4ca0-842b-a83ceecb022b}] => Toolbar.SweetIM
[HKCU\Software\live-player] => Infection MagicControl
[HKLM\Software\live-player] => Infection MagicControl
[HKCU\Software\Nosibay] => Infection PUP
C:\Program Files\IZArc\OpenCandy => Infection PUP

EmptyTemp
EmptyFlash

  • Enregistre le fichier dans le dossier C:\Program Files\ZHPDiag en choisisissant Fichiers>Enregistrer sous.... En nom de fichier, tu indiques ZHPDiag.txt. Une demande de confirmation est demandée car tu vas écraser l'ancien rapport. Tu acceptes.
  • Lance ZHPFix de Nicolas Coolman qui se trouve lui aussi dans le dossier ZHPDiag. Pour XP, double-clique sur ZHPFix; pour Vista, fais un clic droit sur l'icône et exécute en tant qu'administrateur.
  • Le logiciel s'ouvre. Il doit contenir dans la fenêtre de rapport uniquement les lignes que tu as sélectionnées au-dessus. Si ça ne correspond pas, tu interromps la procédure et tu me préviens.
  • Clique sur OK comme indiqué ci-dessous :

  • Les lignes du rapport apparaissent alors avec des cases à cocher.
  • Clique sur le bouton "Tous" après avoir vérifié une dernière fois que ces lignes sont conformes à celles sélectionnées au-dessus puis clique sur "Nettoyer" comme ceci :

  • Ceci va avoir pour effet de réaliser un correctif.
  • Dans la fenêtre du programme, celui-ci t'indique que le script a été effectué.
  • Si un redémarrage est demandé, effectue-le.

Copie-colle le contenu du rapport situé dans le dossier ZHPDiag et qui se nomme ZHPFixreport.txt

A te lire avec son rapport

claila
 Posté le 05/03/2012 à 15:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour,

J'ai supprimé Emule car de toute façon ça fait belle lurette que je ne l'utilise plus!{#}

Petite question: comment ça se fait que du jour au lendemain j'ai de nouveau pu accéder à toutes les fonctions de mon pc alors que tout était bloqué: ce virus ne fait effet que pendant un temps limité ou le pseudo nettoyage manuel et hasardeux que j'ai fait a joué un rôle?

Voici le dernier rapport:

Rapport de ZHPFix 1.12.3380 par Nicolas Coolman, Update du 05/02/2011
Fichier d'export Registre :
Run by Claire et Stephen at 05/03/2012 14:58:06
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Logiciel(s) ==========
ABSENT Uninstall Process: c:\program files\nch swift sound\scribe\uninst.exe
ABSENT Software Key: {26A24AE4-039D-4CA4-87B4-2F83216013FF}
ABSENT Software Key: eMule

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Program Files\spybotsd162.exe

========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Scribe]
SUPPRIME Key: HKCU\Software\C0A029279D2C639C5B75D20C65EDB9DA
SUPPRIME Key: HKCU\Software\Live-Player
SUPPRIME Key: HKCU\Software\Nosibay
ABSENT Key: HKCU\Software\eMule
SUPPRIME Key: HKLM\Software\Live-Player
SUPPRIME Key: StartupReg: LDM
SUPPRIME Key: StartupReg: LogitechSoftwareUpdate
SUPPRIME Key: Service Legacy: LEGACY_BONJOUR_SERVICE
SUPPRIME Key: HKLM\Software\Classes\toolband.eb_explorerbar
SUPPRIME Key: HKLM\Software\Classes\toolband.eb_explorerbar.1
SUPPRIME Key: HKLM\Software\Classes\toolband.ipm_printlistitem
SUPPRIME Key: HKLM\Software\Classes\toolband.ipm_printlistitem.1
SUPPRIME Key: HKLM\Software\Classes\toolband.pm_launcher
SUPPRIME Key: HKLM\Software\Classes\toolband.pm_launcher.1
SUPPRIME Key: HKLM\Software\Classes\toolband.pm_printmanager
SUPPRIME Key: HKLM\Software\Classes\toolband.pm_printmanager.1
SUPPRIME Key: HKLM\Software\Classes\toolband.pr_bindstatuscallback
SUPPRIME Key: HKLM\Software\Classes\toolband.pr_bindstatuscallback.1
SUPPRIME Key: HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler
SUPPRIME Key: HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler.1
SUPPRIME Key: HKLM\Software\Classes\toolband.tbtoolband
SUPPRIME Key: HKLM\Software\Classes\toolband.tbtoolband.1
SUPPRIME Key: HKLM\Software\Classes\toolband.useroptions
SUPPRIME Key: HKLM\Software\Classes\toolband.useroptions.1
SUPPRIME Key: HKLM\Software\Classes\CLSID\{1a03f196-9617-4ca0-842b-a83ceecb022b}
ABSENT Key: HKCU\Software\live-player
ABSENT Key: HKLM\Software\live-player

========== Valeur(s) du Registre ==========
ABSENT Toolbar: {1E796980-9CC5-11D1-A83F-00C04FC99D61}
SUPPRIME Toolbar: {1E796980-9CC5-11D1-A83F-00C04FC99D61}

========== Elément(s) de donnée du Registre ==========
SUPPRIME R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\eMule
SUPPRIME Folder: C:\Program Files\Spybot - Search & Destroy
SUPPRIME Folder: c:\program files\izarc\opencandy
SUPPRIME Temporaires Windows: : 86
SUPPRIME Flash Cookies: 156

========== Fichier(s) ==========
SUPPRIME File: c:\program files\logitech\desktop messenger\8876480\program\backweb-8876480.exe
SUPPRIME File: c:\program files\logitech\video\manifestengine.exe
SUPPRIME File: c:\program files\spybotsd162.exe
SUPPRIME Temporaires Windows: : 283
SUPPRIME Flash Cookies: 50


========== Récapitulatif ==========
1 : Processus mémoire
28 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
5 : Dossier(s)
5 : Fichier(s)
3 : Logiciel(s)


End of clean in 17mn 02s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 05/03/2012 14:58:06 [3420]

Evasion60
 Posté le 05/03/2012 à 17:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Petite question: comment ça se fait que du jour au lendemain j'ai de nouveau pu accéder à toutes les fonctions de mon pc alors que tout était bloqué: ce virus ne fait effet que pendant un temps limité ou le pseudo nettoyage manuel et hasardeux que j'ai fait a joué un rôle?


Mais depuis, ns avons travaillé tous les deux // Non ?
De plus c'est toi même, via tes clics Web qui te l'as pris " Internet Security "

Passe ce scanner en ligne =>
https://forum.pcastuces.com/eset_online_scanner___tutoriel-f31s56.htm

Poste son rapport / STP

@+

claila
 Posté le 05/03/2012 à 19:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Virus chopé sur un blog de jardinage...comme quoi on peut se faire avoir n'importe où.

Et je te remercie sincèrement de ton aide mais ma question n'était pas là.

Avec ce virus je ne pouvais plus aller sur internet ou activer tout ce qui ressemblait à qqchose.exe. Je me suis connectée dans un 1er temps via un autre ordi pour trouver de l'aide.

Et 3 jours après j'allume mon ordi et là plus de message d'erreur et tout remarche (avec des saletés incrustées certes). Et ce n'est que là que j'ai pu appliquer les solutions qui m'ont été proposées. Comprends pas...

Bon, le scan est en cours... à plus tard!

claila
 Posté le 05/03/2012 à 22:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Rapport Eset Online Scanner:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=ef52fd2b1a7ef04c9102b9f704617478
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-05 09:00:53
# local_time=2012-03-05 10:00:53 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=2048 16777195 100 0 33944110 97457015 0 0
# compatibility_mode=8192 67108863 100 0 3835 3835 0 0
# scanned=83474
# found=7
# cleaned=0
# scan_time=9071
C:\Documents and Settings\Claire et Stephen\Local Settings\Temp\BetterInstaller.exe Win32/Adware.Somoto.A application (unable to clean) 00000000000000000000000000000000 I
C:\Documents and Settings\Claire et Stephen\Mes documents\Téléchargements\idphotostudio_idphotostudio_2.7.7.27_francais_15341.exe multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\RelevantKnowledge\rlls.dll probably a variant of Win32/Adware.RK application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\RelevantKnowledge\rlls64.dll Win32/Adware.RK application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\RelevantKnowledge\rlservice.exe a variant of Win32/Adware.RK application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\RelevantKnowledge\rlvknlg.exe a variant of Win32/Adware.RK.AE application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\RelevantKnowledge\rlvknlg64.exe Win32/Adware.RK application (unable to clean) 00000000000000000000000000000000 I

Evasion60
 Posté le 06/03/2012 à 12:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Supprime les dossiers en gras =>

C:\Documents and Settings\Claire et Stephen\Local Settings\Temp\BetterInstaller.exe
C:\Documents and Settings\Claire et Stephen\Mes documents\Téléchargements\idphotostudio_idphotostudio_2.7.7.27_francais_15341.exe
C:\Program Files\RelevantKnowledge

Vide ta corbeille

Ensuite =>

Nettoyage des outils utilisés pour la désinfection; inutile de les garder sur le PC, puisque constamment mis à jour.

* Ferme toutes les applications en cours, puis télécharge ToolsCleaner (de A.Rothstein et Dj Quiou) sur ton Bureau :

  • Double clique sur ToolsCleaner2.exe -> clique sur -> Recherche et laisse le scan se terminer.
  • Clique sur -> Suppression pour finaliser
  • Clique sur -> Quitter, pour que le rapport puisse se créer.
  • Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
  • Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :
    • Ctrl+Alt+Supp pour ouvrir le Gestionnaire des tâches.
    • Puis rends toi à l'onglet "Processus", clique en haut à gauche sur "Fichiers" et choisis "Exécuter"
    • Tape : explorer.exe et valide. Cela fera ré-apparaître ton Bureau.

.
**
Tu peux par contre, garderMalwarebytes'Anti-malware et CCleaner. Utilise CCleaner tous les soirs avant de couper le PC (ne prends que quelques secondes!)

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.
.

Vaccination des clés USB, disques durs externes, etc.

Cela permet d'éviter un certain nombre d'infections utilisant ce moyen pour se propager.

Tu peux lire cet article et télécharger l'application pour vacciner tes supports USB . Il faut placer le vaccin sur le support et exécuter le programme.
.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

Il est fortement recommandé d'avoir tous ses logiciels de sécurité à jour, afin d'éviter les failles par lesquelles s'engouffrent les infections.

Celà englobe les mises à jour de Windows, du navigateur, de Java, des lecteurs PDF, et notamment AdobeReader.

Pour Java, il est possible d'utiliser Javara. Cela permet d'installer la dernière version de Java et d'effacer les anciennes versions.

Pour le lecteur pdf, on peut utiliser des lecteurs alternatifs plus légers, comme Sumatra pdf, à la place de Reader.

Pour tester les vulnérabilités et les logiciels non à jour, il est possible de se rendre sur le site de Secunia et de faire une analyse de la machine.

* Pour suivre l'évolution des mises à jour de quelques logiciels de protection, ainsi que de Java : https://forum.pcastuces.com/sujet.asp?f=25&s=25842


.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

Maintenant que ton PC n'est plus infecté, désactive la "Restauration du système" afin de créer un point de restauration sain.

Pour désactiver ou activer la Restauration du système, tu dois ouvrir une session Administrateur sous Windows XP.

Désactivation :
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok.

Ré-activation :
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok. Redémarre l'ordinateur.

Comment faire pour désactiver la Restauration du système sous XP

Vider les points de Restauration système sous Vista

Activerou désactiver la Restauration du système sous Windows 7

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.


Je te conseille de défragmenter ton PC :

Défragmenter tous ses disques durs en un clic - Windows Vista

Procédure de défragmentation de vos disques durs dans Windows XP


.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.


Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...

Sécuriser son PC +WIFI (versions "hot" & "light") : https://forum.pcastuces.com/sujet.asp?f=25&s=25892

Prévention et protection - Comment vous prémunir : https://forum.pcastuces.com/sujet.asp?f=25&s=36131

Les risques sécuritaires du peer-to-peer en 10 points : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

Pourquoi éviter le P2P ? Point législatif et dangers : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793

LE CRACK dans toute sa splendeur : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=65

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

S'il te plait, note ton sujet [Résolu] en cliquant sur Marquer comme résolu, à gauche, en bas de la page ou

dans la barre de titre de ton sujet. Merci !

Prudence sur Internet et parle de PC Astuces autour de toi!
Bonne continuation

claila
 Posté le 06/03/2012 à 18:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Encore merci pour ton aide!

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Program Files\ZHPDiag: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\ZHPDiag: supprimé !

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
89,99 €Caméra de sécurité connectée Blink XT2 (Intérieur/extérieur) à 89,99 €
Valable jusqu'au 24 Septembre

Amazon fait une belle promotion sur sa caméra de sécurité connectée Blink XT2 (Intérieur/extérieur) qui passe à 89,99 € livrée gratuitement au lieu de 120 € habituellement. Gardez l'esprit tranquille avec cette caméra polyvalente sans fil pour l'intérieur et l'extérieur, dotée d'une autonomie de 2 ans (piles au lithium fournies), d’un système audio bidirectionnel, de la détection de mouvements personnalisable, de la vision nocturne infrarouge et de l’enregistrement en direct en Full HD 1080p dans le cloud. Cette caméra est accompagnée d'un module de synchronisation (avec votre réseau WiFi) et fonctionne directement. 


> Voir l'offre
58,26 €SSD Crucial MX500 500 Go à 58,26 € livré
Valable jusqu'au 25 Septembre

Amazon Royaume-Uni propose actuellement le SSD Crucial MX500 500 Go à 47,99 £. Avec la conversion en euros et la livraison en France, il vous reviendra à 58,26 € livré. On le trouve ailleurs à partir de 70 €. Ce SSD salué par la critique par son rapport qualité prix imbattable offre des débits de 560 Mo/s en lecture et 510 Mo/s en écriture. Il est garanti 3 ans.

Rappelons que vous pouvez utiliser votre compte Amazon France sur Amazon UK et qu'il n'y a pas de douane.


> Voir l'offre
124 €Ecran 24 pouces Samsung C24F396 (incurvé, 4 ms, FreeSync) à 124 €
Valable jusqu'au 25 Septembre

Amazon propose actuellement l'écran 24 pouces Samsung C24F396 à 124 €. On le trouve ailleurs à partir de 170 €. Cet écran dispose d'une dalle VA incurvée Full HD (1920x1080) et offre un temps de réponse de 4ms. Il possède des entrées VGA et HDMI. Il possède des fonctions d'anti scintillement et anti lumière bleue.


> Voir l'offre

Sujets relatifs
virus qui a bloqué internet exp, rapport Adwcleaner
anti virus avg internet security 2012
virus qui bloque ma connexion internet
ZoneAlarm Internet Security Suite bloque internet
anti virus trend micro titanium internet security
probleme anti-virus Kaspersky Internet Security
virus "Xp internet security"
Internet Security "virus??"
Internet Security 2010 Virus (Sur XP avec Avast)
Virus avec message "XP internet security"
Plus de sujets relatifs à Virus Internet Security bloque mon pc
 > Tous les forums > Forum Sécurité