|
Posté le 06/12/2011 à 12:12 |
| Re
1/
Connais-tu tous ces programmes ? =>
C:\Program Files\Auto Updater C:\Program Files\Clip Extractor C:\Program Files\Clip Extractor Toolbar C:\Program Files\CréaForm C:\Program Files\DHTML Menu Builder C:\Program Files\eDisplay C:\Program Files\Mech-Q C:\Program Files\PipeData-PRO80 C:\Program Files\Plate 'n' Sheet Professional C:\Program Files\ReySoft C:\Program Files\uc C:\Program Files\UltraMenu
2/
- Ouvre le bloc-note (Démarrer>programmes>Accessoires>Bloc-notes),
- Sélectionne et copie ces lignes. Pour les copier, tu cliques sur CTRL+C après les avoir sélectionnées. Elles sont présentées entre quotes comme ceci :
EmptyTemp EmptyFlash R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (...) (No version) -- (.not file.) => Yahoo Companion! O3 - Toolbar: Clip Extractor Toolbar - {338B4DFE-2E2C-4338-9E41-E176D497299E} . (.Pas de propriétaire - IE Toolbar Engine.) -- C:\Program Files\Clip Extractor Toolbar\tbcore3.dll => Infection BT (Adware.Softomate) [HKCU\Software\SMTTB2009] => HyperCam Toolbar [HKCU\Software\Somoto Toolbar] => Infection BT [HKCU\Software\Summit Software Company] [HKCU\Software\system32NT] => Infection Diverse [HKCU\Software\system32] => Infection Diverse O44 - LFC:[MD5.B22DAEA15A3536F969853F6CC4A15424] - 05/12/2011 - 18:00:21 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt [2971] O44 - LFC:[MD5.BD674B9D49FC4CBB7D1302665BEF937C] - 05/12/2011 - 17:58:10 ---A- . (...) -- C:\Ad-Report-SCAN[1].txt [2763] O47 - AAKE:Key Export SP - "C:\Program Files\Namo\WebEditor 6\bin\WebEditor.exe" [Disabled] .(...) -- C:\Program Files\Namo\WebEditor 6\bin\WebEditor.exe (.not file.) => Fichier absent O47 - AAKE:Key Export SP - "C:\Program Files\Namo\WebBoard Trial\Server\Apache\Apache.exe" [Disabled] .(...) -- C:\Program Files\Namo\WebBoard Trial\Server\Apache\Apache.exe (.not file.) => Fichier absent O47 - AAKE:Key Export SP - "C:\Program Files\Namo\WebBoard Trial\Server\MySQL\bin\mysqld.exe" [Disabled] .(...) -- C:\Program Files\Namo\WebBoard Trial\Server\MySQL\bin\mysqld.exe (.not file.) => Fichier absent O47 - AAKE:Key Export SP - "C:\Program Files\Namo\WebBoard Trial\Bin\BDMng.exe" [Disabled] .(...) -- C:\Program Files\Namo\WebBoard Trial\Bin\BDMng.exe (.not file.) => Fichier absent O47 - AAKE:Key Export SP - "C:\Program Files\Namo\WebCanvas Trial\bin\WebCanvas.exe" [Disabled] .(...) -- C:\Program Files\Namo\WebCanvas Trial\bin\WebCanvas.exe (.not file.) => Fichier absent O47 - AAKE:Key Export SP - "C:\Program Files\eMule\emule.exe" [Enabled] .(...) -- C:\Program Files\eMule\emule.exe (.not file.) => eMule®PeerToPeer O47 - AAKE:Key Export SP - "G:\EpsonNet EasyInstall\EasyInstall.exe" [Enabled] .(...) -- G:\EpsonNet EasyInstall\EasyInstall.exe (.not file.) => Fichier absent O47 - AAKE:Key Export SP - "G:\Setup.exe" [Enabled] .(...) -- G:\Setup.exe (.not file.) => Existe aussi en malware DELF-CA.Troj O64 - Services: CurCS - 27/07/2010 - C:\Program Files\Bonjour\mDNSResponder.exe (Bonjour Service) .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE O67 - Shell Spawning: <>[HKU\..\open\Command] (.Not Key.) O67 - Shell Spawning: <>[HKU\..\open\Command] (.Not Key.) [HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\EoEngine_is1] => Infection PUP (PUP.Eorezo) [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{338B4DFE-2E2C-4338-9E41-E176D497299E}] => Infection BT (Adware.Softomate) [HKLM\Software\Classes\CLSID\{338B4DFE-2E2C-4338-9E41-E176D497299E}] => Infection BT (Adware.Softomate) [HKCU\Software\Somoto Toolbar] => Infection BT [HKCU\Software\Somoto Toolbar] => Infection BT
- Enregistre le fichier dans le dossier C:\Program Files\ZHPDiag en choisisissant Fichiers>Enregistrer sous.... En nom de fichier, tu indiques ZHPDiag.txt. Une demande de confirmation est demandée car tu vas écraser l'ancien rapport. Tu acceptes.
- Lance ZHPFix de Nicolas Coolman qui se trouve lui aussi dans le dossier ZHPDiag. Pour XP, double-clique sur ZHPFix; pour Vista, fais un clic droit sur l'icône et exécute en tant qu'administrateur.
- Le logiciel s'ouvre. Il doit contenir dans la fenêtre de rapport uniquement les lignes que tu as sélectionnées au-dessus. Si ça ne correspond pas, tu interromps la procédure et tu me préviens.
- Clique sur OK comme indiqué ci-dessous :

- Les lignes du rapport apparaissent alors avec des cases à cocher.
- Clique sur le bouton "Tous" après avoir vérifié une dernière fois que ces lignes sont conformes à celles sélectionnées au-dessus puis clique sur "Nettoyer" comme ceci :

- Ceci va avoir pour effet de réaliser un correctif.
- Dans la fenêtre du programme, celui-ci t'indique que le script a été effectué.
- Si un redémarrage est demandé, effectue-le.
Copie-colle le contenu du rapport situé dans le dossier ZHPDiag et qui se nomme ZHPFixreport.txt
A te lire 
Edité => Dans les programmes du point n°1, bcps sont liés a YouTube ? ( qu'est que cela fait sur un PC pro ) 
Modifié par Evasion60 le 06/12/2011 12:24 |
|
Posté le 06/12/2011 à 12:48 |
Petite astucienne
| 
Pour les programmes : mes réponses
C:\Program Files\Auto Updater -> Je ne connais pas C:\Program Files\Clip Extractor -> Je le désinstalle dés que j'ai terminé de m'en servir C:\Program Files\Clip Extractor Toolbar -> Je le désinstalle dés que j'ai terminé de m'en servir C:\Program Files\CréaForm -> Je connais, mais n'a jamais servi C:\Program Files\DHTML Menu Builder -> téléchargé lors de la création de notre site web C:\Program Files\eDisplay -> je ne le connais pas C:\Program Files\Mech-Q -> Log addidtionnel à un programme pro C:\Program Files\PipeData-PRO80 -> Log addidtionnel à un programme pro C:\Program Files\Plate 'n' Sheet Professional -> Log addidtionnel à un programme pro C:\Program Files\ReySoft -> je ne le connais pas C:\Program Files\uc -> je ne le connais pas C:\Program Files\UltraMenu -> téléchargé lors de la création de notre site web
Je ne sais pas si beaucoup sont liés à Youtube... Ils nous est arrivé de regarder des vidéos dessus, mais c'est rarissime...
Je me penche sur le 2/ tout de suite |
|
Posté le 06/12/2011 à 14:25 |
Petite astucienne
|
Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011 Fichier d'export Registre : Run by Admin at 06/12/2011 13:10:57 Windows XP Home Edition Service Pack 3 (Build 2600) Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ========== SUPPRIME Key: HKCU\Software\SMTTB2009 SUPPRIME Key: HKCU\Software\Somoto Toolbar SUPPRIME Key: HKCU\Software\Summit Software Company SUPPRIME Key: HKCU\Software\system32NT SUPPRIME Key: HKCU\Software\system32 ABSENT Key: Service Legacy: LEGACY_BONJOUR_SERVICE SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\EoEngine_is1 SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{338B4DFE-2E2C-4338-9E41-E176D497299E} ABSENT Key: HKLM\Software\Classes\CLSID\{338B4DFE-2E2C-4338-9E41-E176D497299E} ABSENT Key: HKCU\Software\Somoto Toolbar
========== Valeur(s) du Registre ========== SUPPRIME URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} SUPPRIME Toolbar: {338B4DFE-2E2C-4338-9E41-E176D497299E} SUPPRIME AAKE KeyValue: C:\Program Files\Namo\WebEditor 6\bin\WebEditor.exe SUPPRIME AAKE KeyValue: C:\Program Files\Namo\WebBoard Trial\Server\Apache\Apache.exe SUPPRIME AAKE KeyValue: C:\Program Files\Namo\WebBoard Trial\Server\MySQL\bin\mysqld.exe SUPPRIME AAKE KeyValue: C:\Program Files\Namo\WebBoard Trial\Bin\BDMng.exe SUPPRIME AAKE KeyValue: C:\Program Files\Namo\WebCanvas Trial\bin\WebCanvas.exe SUPPRIME AAKE KeyValue: C:\Program Files\eMule\emule.exe SUPPRIME AAKE KeyValue: G:\EpsonNet EasyInstall\EasyInstall.exe SUPPRIME AAKE KeyValue: G:\Setup.exe
========== Dossier(s) ========== SUPPRIME Temporaires Windows: : 75 SUPPRIME Flash Cookies: 463
========== Fichier(s) ========== SUPPRIME Temporaires Windows: : 17 SUPPRIME Flash Cookies: 237 SUPPRIME File: c:\program files\clip extractor toolbar\tbcore3.dll SUPPRIME File: c:\ad-report-clean[1].txt SUPPRIME File: c:\ad-report-scan[1].txt ABSENT File: c:\program files\namo\webeditor 6\bin\webeditor.exe ABSENT File: c:\program files\namo\webboard trial\server\apache\apache.exe ABSENT File: c:\program files\namo\webboard trial\server\mysql\bin\mysqld.exe ABSENT File: c:\program files\namo\webboard trial\bin\bdmng.exe ABSENT File: c:\program files\namo\webcanvas trial\bin\webcanvas.exe ABSENT File: c:\program files\emule\emule.exe ABSENT File: g:\epsonnet easyinstall\easyinstall.exe ABSENT File: g:\setup.exe
========== Récapitulatif ========== 10 : Clé(s) du Registre 10 : Valeur(s) du Registre 2 : Dossier(s) 13 : Fichier(s)
End of clean in 04mn 02s
========== Chemin de fichier rapport ========== C:\ZHP\ZHPFix[R1].txt - 06/12/2011 13:10:57 [2689] |
|
Posté le 06/12/2011 à 19:00 |
| Re, bonsoir
Désinstalle dans les programmes sités, ceux dont tu ne sers plus ou inconnus
A demain  |
|
Posté le 07/12/2011 à 09:02 |
Petite astucienne
| Bonjour Evasion60,
Donc avec Démarrer -> Panneau de configuration -> Ajout et suppression de programme, je désinstalle
- Auto Updater
- Créaform
- DHTML Menu Builder
- eDisplay
- ReySoft
- UC
- UltraMenu
|
|
Posté le 07/12/2011 à 09:19 |
Petite astucienne
| Il n'y a que Auto Updater que j'ai pu supprimer.
Menu Builder apparait sous le nom "CoffeeCup Free DHTML Menu Builder", mais aucune fenêtre ne s'ouvre lorsque je clique sur l'icône "modifier/supprimer"... En faisant une recherche avec "menu builder", le résultat de la recherche affiche quatre dossiers et un fichier texte appelé "DHTML Menu Builder Uninstall Log.txt" et un raccourci vers ce fichier.
Les autres n'apparraissent pas dans la liste des programmes installés, mais dans "Program Files". Dois-je les supprimer là ?
Au plaisir de vous lire !
Edité pour UC, que je n'ai trouvé nulle part... Modifié par lola22730 le 07/12/2011 09:20 |
|
Posté le 07/12/2011 à 09:34 |
Petite astucienne
| Je viens d'ouvrir le dossier "program files", et j'ai trouvé dedans UC, mais aussi Mahjong Quest, MSN Gaming zone, MSN, Messenger... Et peut être aussi Apple Software Update !
Peut-on supprimer tout ça aussi ? |
|
Posté le 07/12/2011 à 11:20 |
| Bonjour
Désinstalle tout, sauf Apple 
@+  |
|
|
|
|
|
Posté le 07/12/2011 à 11:53 |
Petite astucienne
| 
Il suffit de mettre à la poubelle les dossiers correspondants dans program files, c'est bien ça ? je ne voudrais pas faire d'impair...
Mais pourquoi pas Apple ?  |
|
Posté le 07/12/2011 à 11:58 |
Petite astucienne
| Je viens de voir qu'il y a même un dossier nommé "Bonjour" ! A quoi peut-il bien servir ??
ça, c'est mon côté curieuse qui reprend le dessus... 
Edit : "impossible de supprimer MSN Gaming Zone : accès refusé. Vérifiez que le disque n'est pas plein ou protégé en écriture, et que le fichier n'est pas utilisé actuellement." Modifié par lola22730 le 07/12/2011 12:01 |
|
Posté le 07/12/2011 à 12:09 |
| Re
Je viens de voir qu'il y a même un dossier nommé "Bonjour" ! A quoi peut-il bien servir ??
Tu peux le désinstaller ce Service " Bonjour "
Il suffit de mettre à la poubelle les dossiers correspondants dans program files, c'est bien ça ? je ne voudrais pas faire d'impair...
J'aurai préférer via " ajout/suppression ", si présent dans la liste !
@ +  |
|
Posté le 07/12/2011 à 12:59 |
Petite astucienne
| Malheureusement, ils ne sont pas présents dans la liste ! J'ai déplacé les dossiers à la corbeille...
Sauf "bonjour", qui me demande de fermer la fenêtre PCA et me propose de "cancel", "retry" ou "ignore"... ... Et pendant ce temps, je dois "patienter pendant que Windows configure Bonjour" et collecte les informations requises... |
|
Posté le 07/12/2011 à 13:08 |
Petite astucienne
| Et Bonjour est désinstallé ! |
|
Posté le 07/12/2011 à 13:51 |
| |
|
Posté le 07/12/2011 à 14:50 |
Petite astucienne
| 
Le scan s'effectue... je poste dés qu'il est fini.
|
|
Posté le 07/12/2011 à 16:17 |
Petite astucienne
| |
|
|
|
|
|
Posté le 07/12/2011 à 16:40 |
Petite astucienne
| Il est fini, aucune menace détectée !! 
Il y a un rapport à poster quand même ? je n'ai pas vu... |
|
Posté le 07/12/2011 à 16:41 |
| lola22730 a écrit :
Il est fini, aucune menace détectée !! 
Il y a un rapport à poster quand même ? je n'ai pas vu...
Re
Nickel 
Tu as encore des problèmes avec cette machine en libre service ?
A te lire  |
|
Posté le 07/12/2011 à 16:49 |
Petite astucienne
| Tout d'abord, je tenais sincérement à vous remercier de votre aide. Sans vous, je ne sais pas ce que j'aurais fait.
Mais il me semble que non, je n'ai plus de soucis majeur sur cet ordi. Je vais juste désinstaller et réinstaller Adobe, la version que j'ai réinstallée suite à la tentative de piratage (je pense que c'est ça...) est en anglais ! |
|
Posté le 07/12/2011 à 16:52 |
Petite astucienne
| Et réinstaller la suite Office, mais là, je ne sais pas si j'ai les bons CD !
|
|
Posté le 07/12/2011 à 22:56 |
| Hello,
Je me permets d'intervenir:
L'application "bonjour" est liée à Itunes ! Si tu l'enlève, vires aussi itunes car tu ne pourras plus l'ouvrir sans :)
Bonne continuation :) |
|
Posté le 08/12/2011 à 10:24 |
Petite astucienne
| Bonjour Prospère911 
Merci de ta précision. Cependant, dans la société, personne ne possède de "produits" Mac à titre professionnel. Donc ça n'a rien à faire sur l'ordi de la société, tout comme iTunes ! 
Au plaisir ! |
|
Posté le 08/12/2011 à 13:10 |
| Bonjour Lola
lola22730 a écrit :
Et réinstaller la suite Office, mais là, je ne sais pas si j'ai les bons CD !
1/ J'espère effectivement que tu vas retrouver le CD d'origine, de la suite " Office ", de MicroSoft Sinon, mais je t'ai relu, tu as parlé aussi de la suite gratuite " Open Office ", que tu aurais installé 
2/ Maintenant que la machine est stable et propre => tu dois créer un point de " restauration propre " ( si tu ne sais pas faire tu me le dis )
3/ Ensuite et surtout => Il faut créer un compte " invité ", pour le personnel de cette entreprise ( user et mot de passe ) Changer le mot de passe sur les anciennes sessions qu'ils utilisaient avant les infections 
Si tu le souhaites tu marquer ton sujet comme " Résolu "
@+  Modifié par Evasion60 le 08/12/2011 13:17 |
|
Posté le 08/12/2011 à 14:12 |
Petite astucienne
| Evasion !
j'ai retrouvé les bons cd. Seulement, les clés d'activation qui étaient dans la pochette du CD ont été jetées par une stagiaire avant mon arrivée dans la société ! Je vais voir si on peut retrouver les clés sur une autre machine, mais j'ai un doute !
Par contre, je crée un point de restauration dés que j'ai accés à l'ordi en question. Je crois que ce tuto va m'être utile : http://www.pcastuces.com/pratique/windows/contextuel_bureau/page2.htm
Et je marque le sujet comme résolu.
Merci encore, Evasion60 et Somebodyone ! |
|
Posté le 08/12/2011 à 17:38 |
| Re, bonsoir
Non c'est ici pour créer un point de restauration propre =>
Maintenant que ton PC n'est plus infecté, désactive la "Restauration du système" afin de créer un point de restauration sain.
Pour désactiver ou activer la Restauration du système, tu dois ouvrir une session Administrateur sous Windows XP.
Désactivation : Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs" > Appliquer et Ok.
Ré-activation : Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs" > Appliquer et Ok. Redémarre l'ordinateur.
Comment faire pour désactiver la Restauration du système sous XP
Vider les points de Restauration système sous Vista
Activerou désactiver la Restauration du système sous Windows 7
Ensuite, avec le code barre du CD de la suite " Office ", tu appelles MicroSoft France, via le phone, ils vont te donner une clé d'activation pour le réactiver 

|
|
|
|
|
|