Vous pensez être infecté, des pubs s'affichent quand vous naviguez sur internet ?
Perte de données, ralentissement système, virus USB ?
Désinfectez votre ordinateur gratuitement !
  • Avatar du membre
  • Avatar du membre
#219237
Bonjour à  tous,

Après un formatage et une réinstallation assez fastidieuse (un peu plus de 100 Go pour c:windows, soit 120 programmes installés - oui, oui, je les utilise tous), j'ai enfin le PC dont je rêvais... . ...Dont je rêvais à  l'exception près que j'ai quand même attrapé une infection avec HKLM et HKUS. Spybot et ADWCleaner combinés ne parviennent pas à  éradiquer cette vermine tenace.

J'espère donc que quelqu'un parmi vous va pouvoir m'aider à  parfaire mon installation en supprimant le vilain petit nuage noir de mon ciel bleu.

- Windows 8.1 Pro 64bit
- Windows Defender
- Malwarebites Home (Premium)
- Spybot (Technician)

D'avance, un tout grand merci aux pilotes qui voudront bien prendre momentanément le volant de ma bécane.

Jean-Michel.
#219248
Bonsoir et :welcome: sur SOSVirus! :)
j'ai quand même attrapé une infection avec HKLM et HKUS. Spybot et ADWCleaner combinés ne parviennent pas à  éradiquer cette vermine tenace.
Commence à  désinstaller Spybot, il ne sert à  rien!
Qui a détecté cette infection ?
-----------------
  • Télécharge Farbar Recovery Scanner Tool (FRST) sur ton bureau
  • Choisis la version compatible avec votre système 32 bits ou 64 bits)
  • Ferme toutes tes applications ouvertes
  • Double-clique sur l'icône FRST pour l'exécuter (pour Vista/7 et 8, clic droit et Exécuter en tant qu'administrateur)

    Image
  • Sous "Optional Scan", vérifiez que la case "Addition.txt" soit cochée

    Image
  • Clique sur Scan
  • Patiente durant l'analyse
  • Deux ou trois rapports seront générés et s'ouvriront automatiquement nommés : FRST.txt, Addition.txt et shortcut.txt
  • Héberge-les sur :SOSupload ou sur : malekal
  • Copie/Colle les liens dans ta prochaine réponse.
En cas de besoin, tu peux suivre : ce tutoriel

Bonne soirée
#219253
Merci beaucoup Fish66 de bien vouloir m'aider.

Ok, je vais désinstaller Spybot qui ne sert à  rien. Mais c'est quand même lui qui a détecté l'infection. Au moins, il aura servi à  ça. Malwarebites ne voit rien... .

Voici les 2 liens vers les fichiers texte générés par FRST :

http://upload.sosvirus.net/download/ok4 ... rbo0kn2878

http://upload.sosvirus.net/download/foe ... kgr9xe28ej

A tout hasard, en attendant une réponse, m'inspirant d'autres cas traités sur ce forum, j'avais déjà  généré un diagnostic ZHPdiag. Je te le mets aussi à  disposition au cas o๠il pourrait servir :

http://upload.sosvirus.net/download/ga0 ... v5a6y4hks4

Voilà . Encore merci pour ton aide. A bientôt,

Jean-Michel.
#219258
:hello: ,
On continue alors :
1/
Voici la correction à  effectuer avec FRST.
  • Appuies simultanément sur les touches Windows et R
  • Une fenêtre va s'ouvrir, tape ceci : notepad
  • Clic sur OK (Le bloc note va s'ouvrir)
  • Coller tous le script ci-dessous dans votre bloc-notes

Code : Tout sélectionner
start
CloseProcesses: 

CHR StartupUrls: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3333205&octid=EB_ORIGINAL_CTID&ISID=I28D1E5A2-F62F-4D03-B6ED-5FDEC1A07029&SearchSource=55&CUI=&UM=8&UP=SP9968E7C9-441A-4E79-AD83-DCF985FE2320&SSPV=, hxxp://www.google.com/, hxxp://www.istartsurf.com/?type=hp&ts=1429451842&from=smt&uid=WDCXWD5000AAKX-08U6AA0_WD-WCC2ELFZRAXSZRAXS [Pays NL - 195.78.120.88] 
2015-05-11 01:40 - 2015-05-11 01:40 - 00000000 ____D () C:\Program Files\DPHDR6 
2015-05-08 22:20 - 2015-05-08 22:20 - 00000000 ____D () C:\Program Files (x86)\GUM21C6.tmp 
2015-05-02 10:26 - 2015-05-02 10:28 - 00003566 _____ () C:\Windows\System32\Tasks\CreaticeProcessTask 
 2015-05-04 00:30 - 2015-05-12 19:47 - 0000034 _____ () C:\Users\Jean-Michel\AppData\Roaming\AdobeWLCMCache.dat  
 2015-05-02 18:23 - 2015-05-02 18:23 - 0000000 ____H () C:\ProgramData\DP45977C.lfl  
AlternateDataStreams: C:\Users\Jean-Michel\SkyDrive:ms-properties 

EmptyTemp: 
end
  • Une fois, le texte coller dans le bloc-note.
  • Cliquez sur "Fichier" puis dans le menu déroulant sur "Enregistrer sous"
  • A cette fenêtre cliquez sur "Bureau"
  • Dans la zone de "Nom de fichier" tapez : fixlist puis validez en cliquant sur Enregistrer
  • Sur votre bureau vous avec le fichier texte (fixlist.txt & FRST.exe)
  • Lancez FRST, "exécuter en tant qu'administrateur" sous Windows Vista, Windows Seven et Windows 8/8.1
  • Cliquez sur "Fix"
  • Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
  • Redémarrez l'ordinateur
  • ===> Aide : <<<ICI>>>.
2/
Télécharger Eset Nod32 : http://download.eset.com/special/eos/es ... er_fra.exe
  • Lancer le fichier
  • Accepter les conditions
  • Autoriser le programme à  accéder à  Internet
  • Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)
  • Téléchargement des signatures

    Il est recommandé de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte !
  • Le scan débute dés la fin du téléchargement
  • Générer le rapport
  • Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte...
  • Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum.
  • Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt
  • Pour vous aider voici un tuto rédigé par dorgane : http://www.commentcamarche.net/faq/2964 ... eset-nod32
3/
Après on aura besoin du rapport ZHPDiag! :)

Bonne soirée
#219261
Voici donc le contenu du fichier texte généré par le bouton "fix" de FRST :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 14-05-2015 02
Ran by Jean-Michel at 2015-05-14 22:40:57 Run:1
Running from C:\Users\Jean-Michel\Desktop
Loaded Profiles: Jean-Michel (Available profiles: Jean-Michel)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
start
CloseProcesses:

CHR StartupUrls: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3333205&octid ... 2320&SSPV=, hxxp://www.google.com/, hxxp://www.istartsurf.com/?type=hp&ts=14294518 ... ZRAXSZRAXS [Pays NL - 195.78.120.88]
2015-05-11 01:40 - 2015-05-11 01:40 - 00000000 ____D () C:\Program Files\DPHDR6
2015-05-08 22:20 - 2015-05-08 22:20 - 00000000 ____D () C:\Program Files (x86)\GUM21C6.tmp
2015-05-02 10:26 - 2015-05-02 10:28 - 00003566 _____ () C:\Windows\System32\Tasks\CreaticeProcessTask
2015-05-04 00:30 - 2015-05-12 19:47 - 0000034 _____ () C:\Users\Jean-Michel\AppData\Roaming\AdobeWLCMCache.dat
2015-05-02 18:23 - 2015-05-02 18:23 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
AlternateDataStreams: C:\Users\Jean-Michel\SkyDrive:ms-properties

EmptyTemp:
end
*****************

Processes closed successfully.
Chrome StartupUrls deleted successfully.
C:\Program Files\DPHDR6 => Moved successfully.
C:\Program Files (x86)\GUM21C6.tmp => Moved successfully.
"C:\Windows\System32\Tasks\CreaticeProcessTask" => File/Directory not found.
C:\Users\Jean-Michel\AppData\Roaming\AdobeWLCMCache.dat => Moved successfully.
C:\ProgramData\DP45977C.lfl => Moved successfully.
C:\Users\Jean-Michel\SkyDrive => ":ms-properties" ADS removed successfully.
EmptyTemp: => Removed 12.7 GB temporary data.


The system needed a reboot.

==== End of Fixlog 22:41:45 ====
#219270
Ca y est, le scan de ESET est terminé après 1h35m !

A cette heure, je dois sans doute te dire bonjour.

Je n'ose pas aller plus loin que le stade 2 des opérations que tu m'as demandées car je pense que, dans le résultat, les deux dernières cibles sont en fait des "faux-positifs".

http://upload.sosvirus.net/download/rhi ... qgww7l3e19

Tous les "recycle bin" sont des traces d'anciens programmes que j'ai virés avant ma nouvelle installation et je ne vois aucun inconvénient à  les supprimer définitivement mais sur D:\téléchargement......., je stocke les programmes que j'installe sur mes PC. Portrait Professional Studio n'est pas installé car j'attends la version 12 mais Daemon est installé et une des manips précédentes a dà» prendre l'activateur pour une menace car, au lancement, il m'affiche maintenant : "Invalid Serial Number" alors qu'hier encore, il fonctionnait à  merveille.

En attendant ton avis, je laisse mon PC en l'état et en marche comme sur cette copie d'écran :

http://upload.sosvirus.net/download/d8g ... o0tc0dnfv9

D'avance, merci,

Bonne nuit ou bonjour,

Jean-Michel.
#219291
Bonjour Fish,

J'ai bien reçu ton message privé. J'ai aussi pu restaurer ce qui devait l'être.

Voici donc le ZHPDiag :

http://upload.sosvirus.net/download/elf ... dxznbfkw5u

N'ayant pas encore désinstallé Spybot, j'ai tenté, à  ce stade, un petit diagnostique :

http://upload.sosvirus.net/download/zsf ... 3okop6zn7p

Comme tu vois, HKLM et HKUS sont encore là  et même d'autres choses encore. Mais peut-être, à  ce stade, est-ce normal ? Je ne sais pas ce que tu as en tête.

Merci de bien vouloir prendre tant de peine pour m'aider,

Bonne après-midi,

Jean-Michel.
#219296
Aà¯e, c'est la cata. Je viens de tenter un surf sur Internet, et maintenant, c'est un festival de pubs et de pages publicitaires qui s'ouvrent. Avant, si je n'avais pas eu l'attention attirée par le diagnostic de Spybot, je ne me rendais compte de rien. Ca devient grave :badsmile:
#219310
Mais je vois aussi que nos manip. ont enlevé toutes mes extensions de Chrome. Mais pas de Firefox. Or, c'est Chrome que j'utilise par défaut.

Je n'ai donc plus Adblock. C'est peut-être ça qui a libéré les fauves qui attendaient, tapis dans un coin ?

Non, je viens d'essayer Firefox et c'est la même folie de pubs qui sautent partout. D'ailleurs, dans l'analyse de Spybot (précédent message), je vois des trucs qui n'y étaient pas avant :

.doubleclick.net
.casalemedia.com
.tradedoubler.com

Pour le reste, c'est comme avant (HKUS, HKLM) à  part le soi-disant Trojan dans le uninstall (???) du Plugin Photoshop.
#219350
Bonsoir,
Non, je viens d'essayer Firefox et c'est la même folie de pubs qui sautent partout. D'ailleurs, dans l'analyse de Spybot (précédent message), je vois des trucs qui n'y étaient pas avant :

.doubleclick.net
.casalemedia.com
.tradedoubler.com
  • Surement tu as accepté l'installation des programmes parasites et des adwares!
  • Désinstalle depuis le panneau de configuration s'il est possible : Topaz Detail 3
  • Est ce que as fait le dernier rapport ZHPDiag avant l'apparition de ces publicités ?
---------------
Suivant l'ordre fais ceci stp :
1/
  • Copie tout le texte présent ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").
    Code : Tout sélectionner
    Script ZHPFix
    EmptyPrefetch
    ShortcutFix
    
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified     
    O42 - Logiciel: Topaz Detail 3 - (.Topaz Labs, LLC.) [HKLM][64Bits] -- Topaz Detail 3  =>PUP.TopDeal
    [HKCR\CLSID\{320AF880-6646-11D3-ABEE-C5DBF3571F49}] (SavePass)  =>PUP.CrossRider
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Topaz Detail 3]   =>PUP.TopDeal^
    [HKCR\CLSID\{320AF880-6646-11D3-ABEE-C5DBF3571F49}] (SavePass)   =>PUP.CrossRider^
    O51 - MPSK:{6ee61901-f0a3-11e4-8250-806e6f6e6963}\AutoRun\command. (...) -- F:\Autorun.exe (.not file.)
    
    Emptytemp
    Emptyclsid
    FirewallRaz
    
  • Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
    (Sous Vista/Win7/Win8, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)
  • Une fois ZHPFix ouvert, clique sur "importer"

    Image
  • Les lignes précédemment copiées vont se coller d'elles-mêmes dans la fenêtre de ZHPFix (si ce n'est pas le cas, clic droit dans la fenêtre et Coller)
    NB (W8) : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
  • clique sur GO en bas de page et confirme par oui pour lancer le nettoyage des données

    Image
  • Clique sur Oui à  la demande de confirmation de nettoyage des données

    Image
  • Une boîte de dialogue va te demander si tu souhaites vider la corbeille : clique sur oui ou non selon ton choix. Si tu cliques sur Oui, le temps de nettoyage sera plus ou moins allongé

    Image
  • laisse travailler l'outil et ne touche à  rien ...
  • S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !
  • Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
  • Ce rapport est copié sur le bureau
2/
Tu vas maintenant réinitialiser, refaire le reparamétrage de tes navigateurs et supprimer/désactiver les extensions inutiles/parasites :

Aide : 3/
  • Lance ZHPDiag depuis le bureau.

    Image
  • lance l&#130;analyse et héberge le rapport.
  • Colle le lien dans ta prochaine réponse
Bonne soirée

bonsoir oki pour la fermeture je m'en charge car[…]

how to clean junk files

Hello don't use this program , it's a bullshit :)

Bonjour https://www.aht.li/3213847/AdsFix.exe b[…]

De rien Bon WE :)