quand l’ordi est trop infecté pour télécharger ADW cleaner 2014-10-17T16:20:31+00:00

SOSVirus : Dépannage PC Gratuit Support Aide à la désinfection – Forum Virus Sécurité quand l’ordi est trop infecté pour télécharger ADW cleaner

  • Auteur
    Messages
  • patard
    Participant
    Nombre d'articles : 35

    Bonjour
    J’ai voulu nettoyer un ordinateur portable HP équipé de vista en suivant la procédure que vous conseillez. Avec ccleaner déjà installé sur la machine, il est possible de voir qu’il y a quatre logiciels malveillants reg clean pro ,et trois autres du meme style. Groovrio, advanced system protector , speed up my pc.

    Au démarrage avast propose de les éliminer, mais ça n’a aucun effet.

    J’ai voulu télécharger adwcleaner, mais en vain , après plusieurs tentatives pendant deux heures , j’ai du renoncer, des tas d’autres fenetres s’ouvrent et l’ordinateur plante systématiquement.

    J’envisage de télécharger adwc sur une clef usb , à partir d’un autre ordinateur , puis de l’installer , sans me brancher sur internet.
    puis de faire nettoyer après le scan.

    Est ce que la méthode vous partait pertinente , où vaut il mieux procéder autrement

    Bonne journée à toutes et à tous et merci pour votre aide à venir

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    Hello et bienvenue ! 😉

    Je vais te prendre en charge pour la désinfection, mais d’abord, je vais te demander de prendre connaissance de ces quelques règles :

    La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu’au bout, même si les symptômes apparents ont disparu.

    Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
    (merci à H.A.W.X).

    Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d’endommager ton système d’exploitation.

    Ne fais rien de ta propre initiative.

    Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

    Zoek – Analyse :

    • Désactive temporairement ton antivirus : aide en images.
    • Télécharge Zoek.exe sur ton bureau.
    • Ferme toutes les applications en cours, puis lance Zoek.exe.

    Sous Windows Vista/Seven/8, clique droit sur Zoek.exe puis Exécuter en tant qu’administrateur

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    standardsearch;
    services-list;
    installedprogs;
    installer-list;
    uninstall-list;
    torpigcheck;
    srinfo;
    hostslook;
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost" /v netsvcs /se "─" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionDrivers32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components" /s >> C:zoek-results.log;b
    C:WindowsSystem32driversafd.sys;i
    C:WindowsSystem32driversatapi.sys;i
    C:WindowsSystem32driverscdfs.sys;i
    C:WindowsSystem32driverscdrom.sys;i
    C:WindowsSystem32driversdfsc.sys;i
    C:WindowsSystem32drivershdaudbus.sys;i
    C:WindowsSystem32driversi8042prt.sys;i
    C:WindowsSystem32driversipnat.sys;i
    C:WindowsSystem32driversipsec.sys;i
    C:WindowsSystem32driversmrxsmb.sys;i
    C:WindowsSystem32driversnetbt.sys;i
    C:WindowsSystem32driversntfs.sys;i
    C:WindowsSystem32driversparport.sys;i
    C:WindowsSystem32driversrasl2tp.sys;i
    C:WindowsSystem32driversrdpdr.sys;i
    C:WindowsSystem32driverssmb.sys;i
    C:WindowsSystem32driverssptd.sys;i
    C:WindowsSystem32driverstcpip.sys;i
    C:WindowsSystem32driverstdx.sys;i
    C:WindowsSystem32driversvolsnap.sys;i
    C:WindowsSystem32cmd.exe;i
    C:WindowsSysWOW64cmd.exe;i
    C:Windowsexplorer.exe;i
    C:WindowsSysWOW64explorer.exe;i
    C:WindowsSystem32services.exe;i
    C:WindowsSysWOW64services.exe;i
    C:WindowsSystem32svchost.exe;i
    C:WindowsSysWOW64svchost.exe;i
    C:WindowsSystem32userinit.exe;i
    C:WindowsSysWOW64userinit.exe;i
    C:WindowsSystem32wininit.exe;i
    C:WindowsSysWOW64wininit.exe;i
    C:WindowsSystem32winlogon.exe;i
    C:WindowsSysWOW64winlogon.exe;i
    C:WindowsSystem32kernel32.dll;i
    C:WindowsSysWOW64kernel32.dll;i
    C:WindowsSystem32rpcss.dll;i
    C:WindowsSysWOW64rpcss.dll;i
    C:WindowsSystem32user32.dll;i
    C:WindowsSysWOW64user32.dll;i
    %temp%*.exe;vs
    %SYSTEMDRIVE%*.exe;v
    %ALLUSERSPROFILE%Application Data;v
    %ALLUSERSPROFILE%Application Data*.exe;vs
    %APPDATA%;v
    %APPDATA%*.exe;vs
    C:Windowssystem32consrv.dll;i
    %SystemDrive%$RECYCLE.BIN;vs
    %SystemDrive%RECYCLER;vs
    %SystemRoot%assemblyGAC;v
    %SystemRoot%assemblyGAC_32;v
    %SystemRoot%assemblyGAC_64;v
    reg query "HKEY_CURRENT_USERSoftwareClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesWow6432nodeclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesclsid{fbeb8a05-beee-4442-804e-409d6c4515e9}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesWow6432nodeclsid{fbeb8a05-beee-4442-804e-409d6c4515e9}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{5839FCA9-774D-42A1-ACDA-D6A79037F57F}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{5839FCA9-774D-42A1-ACDA-D6A79037F57F}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}InProcServer32" >> C:zoek-results.log;b
    %WINDIR%pss;v
    %LOCALAPPDATA%;v
    %LOCALAPPDATA%GoogleDesktop;vs
    C:Program FilesGoogleDesktop;vs
    C:Program Files (x86)GoogleDesktop;vs
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce" >> C:zoek-results.log;b
    %systemroot%System32config*.sav;v
    reg query "HKEY_LOCAL_MACHINESOFTWARE" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSOFTWARE" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeClientsStartMenuInternet" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAINFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeMicrosoftInternet ExplorerMAINFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-19SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-20SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREClassesUnknownshellopenascommand" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyDomainProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyStandardProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyPublicProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "{*}" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "TCP Query User" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "UDP Query User" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters" /v DhcpNameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters" /v NameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces" /s /v DhcpNameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces" /s /v NameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify" /s /v DLLName >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogonNotify" /s /v DLLName >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v Debugger >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v Debugger >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v BreakOnDllLoad >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v BreakOnDllLoad >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2" /s /f "command" > %LOCALAPPDATA%Tempmount.txt;b
    for /f %%i in (%LOCALAPPDATA%Tempmount.txt) do reg query %%i >> C:zoek-results.log;b
    nslookup www.google.fr >> C:zoek-results.log;b
    dir /AL /S %systemroot% >> C:zoek-results.log;b
    • Colle ensuite les lignes précédemment copiées dans la fenêtre de Zoek :

    • Puis clique sur le bouton Run Script. Patiente jusqu’à ce que le logiciel se ferme tout seul.
    • A la fin du scan, un rapport s’ouvrira : zoek-result.log.
    • Celui-ci est disponible ici : C:zoek-result.log.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.



    Est attendu le rapport de Zoek.

  • patard
    Participant
    Nombre d'articles : 35

    Merci , pas de problème pour suivre les recommandations.

    Par contre , je doute de la possibilité de télécharger quoi que ce soit directement sur cet ordi.
    Y a t il une contre indication à télécharger le logiciel sur une clef usb , puis à l’installer sur l’ordi en n’allant surtout pas sur internet, des fenêtres s’ouvrent en cascade saturant totalement la machine.

    Merci pour ton boulot de bénévole. bonne soirée.

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    Essaye de le télécharger directement depuis l’ordinateur pour voir si cela passe.

    Y a t il une contre indication à télécharger le logiciel sur une clef usb , puis à l’installer sur l’ordi

    Si vraiment tu ne parviens pas à télécharger l’outil, dans ce cas là, oui, procède de cette manière.

  • patard
    Participant
    Nombre d'articles : 35

    Merci

    Je ne suis de nouveau pas arrivé à télécharger l’outil à partir de l’ordi pollué ( en vista), dès que j’ouvre firefox , des pages diverses et variées s’ouvrent en cascade et passent devant la page que je veux ouvrir.

    J’ai téléchargé l’outil Zoek à partir d’un ordi sous windows XP.

    Je l’ai mis sur une clef usb et j’ai copié ton texte sur word avant de le transférer sur la même clef usb.

    je vais le mettre sur l’ordi infecté qui est plus ” manoeuvrant ” tant qu’on n’ouvre pas une connexion internet.

    Comme l’outil Zoek semble ne pas avoir de fonction de nettoyage , j’aurai du mal à renvoyer le rapport via sosupload à partir de l’ordinateur pollué .
    je pensais mettre ce rapport sur la clef usb et le renvoyer via l’ordi xp. Est ce que je risque de polluer à son tour l’ordi xp au travers de la clef usb.

    Si le risque existe , je peux renvoyer le rapport avec xubuntu, voir un mac; y vois tu un inconvénient.

    Encore une fois merci pour ta disponibilité

    Bernard

    P.S. je peux aussi faire la même manip avec adwcleaner qui a une fonction de nettoyage qui permettrait peut être ensuite de réexpédier le rapport depuis l’ordi infecté?

  • guugues
    Participant
    Nombre d'articles : 572

    Bonjour ! 😉

    Comme l’outil Zoek semble ne pas avoir de fonction de nettoyage

    Si, il en a une. 😉

    @patard wrote:

    je pensais mettre ce rapport sur la clef usb et le renvoyer via l’ordi xp. Est ce que je risque de polluer à son tour l’ordi xp au travers de la clef usb.
    Si le risque existe , je peux renvoyer le rapport avec xubuntu, voir un mac; y vois tu un inconvénient.

    Si le PC est à ce point inutilisable, le plus simple va être de passer un autre outil de diagnostic avec Windows inactif : cela t’évitera en plus bon nombre de manipulations.

    Le PC infecté (sous Vista) a t-il un Windows 32 bits ou 64 bits ?

  • patard
    Participant
    Nombre d'articles : 35

    Bonjour et merci de me répondre aussi vite , et un dimanche matin en plus.

    Vu l’age de l’ordi à traiter , avec vista, sept ans , je pense que c’est un 32.

  • guugues
    Participant
    Nombre d'articles : 572

    @patard wrote:

    Vu l’age de l’ordi à traiter , avec vista, sept ans , je pense que c’est un 32.

    OK ! Alors applique la procédure suivante :

    FRST – WinRE :

    A partir d’un PC fonctionnel :

    • Connecte une clé USB.
    • Télécharge FRST et place-le sur la clé USB.
    • Retire la clé USB.

    A partir du PC infecté :

    • Insère la clé USB dans le PC infecté.
    • Démarre le PC.
    • Tapote sur la touche F8 jusqu’à l’apparition des options de démarrage avancées.
    • Utilise les flèches du clavier pour sélectionner Réparer l’ordinateur :

    • Choisis Français comme langue puis clique sur Suivant.
    • Sélectionne le système d’exploitation à réparer, puis clique sur Suivant.
    • Sélectionne ton compte d’utilisateur et clique sur Suivant.
    • Entre ton mot de passe de session si demandé.
    • Un menu apparaît : sélectionne Invite de commandes :

    • Dans la fenêtre de commande, tape notepad et valide par Entrée.
    • Le Bloc-notes s’ouvre. Clique sur Fichier puis sur Ouvrir….
    • Clique sur Ordinateur, cherche la lettre associée à la clé USB sur laquelle est installé FRST.
    • Ferme le Bloc-notes.
    • Dans la fenêtre de commande, tape e:frst.exe et valide par Entrée.

    A noter : Remplace la lettre e par la lettre associée à ta clé USB.

    • Le logiciel se lance.
    • Clique sur le bouton Scan :

    • A la fin du scan, un rapport du nom de FRST.txt est créé sur la clé USB.
    • Tu peux donc éteindre le PC infecté, débrancher la clé puis la connecter au PC fonctionnel.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.



    Est attendu le rapport de FRST.

  • patard
    Participant
    Nombre d'articles : 35

    Bonjour

    Décidément , je me suis trompé.

    L’ordinateur est un hp pavillon dv600 , d’après les caractéristiques sur le net, il est équipé d’un processeur AMD Turion 64 donc , un 64 bits.

    je crains donc que le logiciel ne convienne pas.

    Pourrais tu m’en envoyer un autre? Je n’avais pas l’ordi sous la main , et je pensais qu’en 2007, les processeurs étaient tous en 32.

    Merci de bien vouloir continuer à m’aider.

    Bernard

  • patard
    Participant
    Nombre d'articles : 35

    Bonjour

    Quand je vois le mal que tu te donnes , et la précision de tes réponses , j’ai honte .

    Peut être puis je tout simplement télécharger sur ma clé la version 64bits

    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/” onclick=”window.open(this.href);return false;

    Bonne journée à toi

    Bernard

  • patard
    Participant
    Nombre d'articles : 35

    Bonjour

    j’avais les deux versions de frst sur la clé usb, mais à un moment , après avoir tapoté sur F8, je suis tombé sur un win32. J’ai donc utilisé frst et non frst64

    je le mets les liens vers les différents rapports le premier correspond à texte

    https://antimalware.top/www/?a=d&i=CBcMiobG0N” onclick=”window.open(this.href);return false;

    le deuxième correspond à Bootex

    https://antimalware.top/www/?a=d&i=lEmfWrRHxy” onclick=”window.open(this.href);return false;

    le troisième à addition

    https://antimalware.top/www/?a=d&i=lEmfWrRHxy” onclick=”window.open(this.href);return false;

    Je ne sais pas si c’est exactement ce que tu souhaitais.

    En tout cas merci pour ton aide, votre site est très bien fait , dans la mesure où vous ne sautez pas d’étapes dans l’explication.

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    Windows est bien en 32 bits, il faut donc bel et bien utiliser FRST.exe.

    Il y a des traces de Rootkit ZeroAccess sur ce PC, une grosse infection.

    Ton PC est également infecté par des PUP / Adwares, qui ont les caractéristiques d’afficher des pubs intempestives, de collecter tes habitudes de navigation et d’installer des toolbars , car tu n’es pas assez vigilant(e) lors de l’installation de logiciels gratuits, qui proposent souvent ces PUP / Adwares pré-cochés pour l’installation.

    Afin d’éviter ce genre d’infections, quelques recommandations :

    En cas de téléchargements de logiciels, les effectuer uniquement via les sites officiels des éditeurs.

    Ne télécharge donc pas tes logiciels sur des sites comme Softonic ou 01.net.

    Prends connaissance de ce qui est indiqué lors de l’installation de logiciels : assure-toi de décocher les éventuelles cases pré-sélectionnées.

    A lire impérativement : Stop les publicités intempestives

    FRST – WinRE – Fix :

    A partir d’un PC fonctionnel :

    • Connecte la clé USB contenant FRST.
    • Télécharge la pièce jointe suivante et place-la sur la clé USB (au même endroit que FRST) :

    [attachment=0:15y0977u]fixlist.txt[/attachment:15y0977u]

    • Retire la clé USB.

    A partir du PC infecté :

    • Insère la clé USB dans le PC infecté.
    • Démarre le PC.
    • Tapote sur la touche F8 jusqu’à l’apparition des options de démarrage avancées.
    • Utilise les flèches du clavier pour sélectionner Réparer l’ordinateur :

    • Choisis Français comme langue puis clique sur Suivant.
    • Sélectionne le système d’exploitation à réparer, puis clique sur Suivant.
    • Sélectionne ton compte d’utilisateur et clique sur Suivant.
    • Entre ton mot de passe de session si demandé.
    • Un menu apparaît : sélectionne Invite de commandes :

    • Dans la fenêtre de commande, tape notepad et valide par Entrée.
    • Le Bloc-notes s’ouvre. Clique sur Fichier puis sur Ouvrir….
    • Clique sur Ordinateur, cherche la lettre associée à la clé USB sur laquelle est installé FRST.
    • Ferme le Bloc-notes.
    • Dans la fenêtre de commande, tape e:frst.exe et valide par Entrée.

    A noter : Remplace la lettre e par la lettre associée à ta clé USB.

    • Le logiciel se lance.
    • Clique sur le bouton Fix :

    • Un rapport du nom de Fixlog.txt sera créé sur la clé USB.
    • Redémarre alors le PC infecté et essaye de me joindre le rapport à partir de celui-ci.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.


    Après cette manipulation, dis-moi si le PC se comporte déjà mieux et te permet d’aller sur internet pour me joindre les rapports.

  • patard
    Participant
    Nombre d'articles : 35

    Merci

    Juste une petite précision avant d’aller plus loin.

    Sur la clé usb, j’ai frst et le fixlist.text

    Dans l’invite de commande , si je tape X:frst.exe est ce que ça ira chercher tout seul fixlist.text, où y a t il une manip supplémentaire pour mettre fixlist.text dans frst ?

    Merci, et bonne soirée à toi

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    @patard wrote:

    Dans l’invite de commande , si je tape X:frst.exe est ce que ça ira chercher tout seul fixlist.text, où y a t il une manip supplémentaire pour mettre fixlist.text dans frst ?

    Tout se fera automatiquement lorsque tu appuieras sur le bouton Fix. La seule condition, c’est que l’application FRST.exe et le fichier texte fixlist.txt doivent se trouver au même endroit, à savoir au même endroit sur la clef usb, comme je l’ai précisé dans la procédure. 😉

  • patard
    Participant
    Nombre d'articles : 35

    bonjour
    je suis sur l’ordi infecté, ça va un peu mieux , mais pas au point de de pouvoir te renvoyer le résultat avec.

    je te renvoie ça sur l’autre à bientôt merci.

    Bernard

  • patard
    Participant
    Nombre d'articles : 35

    Voici le lien

    https://antimalware.top/www/?a=d&i=7goTp5PO62” onclick=”window.open(this.href);return false;

    j’ai réussi à taper les deux lignes , avec l’ordi infecté ,mais avec beaucoup de difficultés , il fallait attendre très longtemps entre chaque lettre . A chaque fois que je tapais sur le carré souris , j’ouvrais une nouvelle page sur firefox.

    Avant que windows ne s’ouvre il y avait encore deux propositions de scanner.

    Moins grave , mais désagréable , le moteur de recherche sur firefox n’était pas google comme précédemment , mais Yahoo.

    Merci pour ton aide.

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    @patard wrote:

    j’ai réussi à taper les deux lignes , avec l’ordi infecté ,mais avec beaucoup de difficultés , il fallait attendre très longtemps entre chaque lettre . A chaque fois que je tapais sur le carré souris , j’ouvrais une nouvelle page sur firefox.

    Je n’ai absolument pas compris ce que tu voulais dire …

    Avant que windows ne s’ouvre il y avait encore deux propositions de scanner.

    Deux propositions émises par quoi ?

    Moins grave , mais désagréable , le moteur de recherche sur firefox n’était pas google comme précédemment , mais Yahoo.

    Ça, on s’en occupera à la fin de la procédure, quand le PC sera clean.


    Applique les procédures suivantes :

    1- TDSSKiller :

    • Télécharge TDSSKiller sur ton bureau.
    • Lance TDSSKiller.

    Sous Windows Vista/Seven/8, clique droit sur TDSSKiller puis Exécuter en tant qu’administrateur

    • Une fois le logiciel ouvert, clique sur Change parameters.

    • Coche la case Loaded modules : un redémarrage est demandé, accepte en cliquant sur Reboot now.

    • L’ordinateur redémarre. Au redémarrage, TDSSKiller se relance automatiquement.
    • Clique de nouveau sur Change parameters.
    • Coche les cases Verify file digital signatures et Detect TDLFS file system.
    • Assure-toi que la case Use KSN to scan objects soit cochée.
    • Valider par OK.

    • Clique sur Start scan pour lancer l’analyse. Laisse l’outil travailler sans l’interrompre.

    • Si l’outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l’outil pour l’action à effectuer et vérifie bien ceci :

    Si TDSS.tdl2 est détecté, assure toi que Delete est sélectionné.
    Si TDSS.tdl3 est détecté, assure toi que Cure est sélectionné.
    Si TDSS.tdl4 est détecté, assure toi que Cure est sélectionné.
    Si Suspicious objects est indiqué, assure toi que Skip est sélectionné.
    Si un fichier du type C:Windows123456789:987654321.exe (C:Windowschiffres_aléatoires:chiffres_aléatoires.exe) est détecté, assure toi que Delete est sélectionné.
    Si un fichier TDSS File System est détecté, assure toi que Delete est sélectionné.

    • Clique sur Continue puis sur Reboot computer si l‘outil te le demande.
    • Un rapport sera créé ici : C:TDSSKillerVersion_Date_Heure_log.txt.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.

    2- RogueKiller – Recherche :

    • Télécharge RogueKiller sur ton bureau.
    • Ferme toutes les applications en cours, y compris Internet.
    • Lance RogueKiller.

    Sous Windows Vista/Seven/8, clique droit sur RogueKiller puis Exécuter en tant qu’administrateur

    • Patiente pendant le pre-scan. Cela peut prendre un peu de temps.
    • Une fois le pre-scan fini, clique sur le bouton Scan :

    • Patiente pendant le scan. Cela peut prendre un peu de temps.
    • Une fois le scan terminé, un rapport est généré.
    • Héberge ce rapport en utilisant le site SOSUpload.
    • Pour ce faire, après avoir cliqué sur Choisissez un fichier, colle la ligne suivante dans la catégorie Nom du fichier :
    %programdata%RogueKillerLogs
    • Puis clique sur Ouvrir.
    • Sélectionne alors le rapport de scan RKreport_SCN_Date_Heure.log.
    • Puis poste le lien généré dans ta prochaine réponse.



    Sont attendus les rapports de TDSSKiller et RogueKiller.

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=WWxJ5Iqphd” onclick=”window.open(this.href);return false;

    https://antimalware.top/www/?a=d&i=3N8kDiV93I” onclick=”window.open(this.href);return false;

  • patard
    Participant
    Nombre d'articles : 35

    bonsoir

    j’ai mis les deux liens avec l’ordi infecté. Mais il est d’une lenteur infernale et j’ai préféré passer sur un autre ordi pour mettre des commentaires.

    ce qui continue à apparaitre quand on lance l’ordi c’est speed up my pc il y a une première fenêtre, puis une seconde, toujours de speed up

    l’autre problème c’est que lorsque l’on est sur firefox , et que l’on clique avec la souris ou le mouse pad , je crois que ça s’appelle comme ça , à chaque clique on a un nouvel onglet qui s’ouvre . Par exemple si je clique sur le 2 pour passer de la page 1 à la page 2, , au lieu de passer de la page 1 à la 2 j’ai un nouvel onglet qui s’ouvre.

    je pense que l’un des problèmes tient à l’encombrement de l’ordi , il y a 10,7 G de libre sur une taille totale de 141 G, ça pourrait expliquer la lenteur du clavier , il faut taper une lettre , puis attendre qu’elle apparaisse avant de taper la seconde.

    Bonne soirée à toi , ou bonne journée si tu te reconnectes demain matin, et merci pour ton aide

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 😉

    OK, merci pour les explications, on va s’occuper de tout le reste (speed up, firefox) par la suite, mais avant cela, je vais te demander de me fournir de nouveau le rapport de RogueKiller, car celui que tu as joint est vide.

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=Vvi27bIEPx” onclick=”window.open(this.href);return false;

  • patard
    Participant
    Nombre d'articles : 35

    bonjour et encore une fois merci

    je ne sais pas ce qui s’est produit cette fois, ça n’est pas vide.

  • patard
    Participant
    Nombre d'articles : 35

    Je repasse sur un autre ordi , j’espère que le lien t’apportera des info permettant de nettoyer le système.

    il se confirme que chaque clic de souris provoque l’ouverture d’un ou de plusieurs onglets dans firefox onglets totalement indésirables.

    Merci pour ton aide patiente.

    Bernard

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=iLETSR1VFT” onclick=”window.open(this.href);return false;

    Peut être le lien loupé hier

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    Je ne t’ai pas demandé de passer à la suppression avec RogueKiller ! Merci de ne pas prendre d’initiatives toi-même et de suivre uniquement mes recommandations.

    RogueKiller – Suppression :

    • Ferme toutes les applications en cours, y compris Internet.
    • Relance RogueKiller.

    Sous Windows Vista/Seven/8, clique droit sur RogueKiller puis Exécuter en tant qu’administrateur

    • Patiente pendant le pre-scan. Cela peut prendre un peu de temps.
    • Une fois le pre-scan fini, clique sur le bouton Scan.
    • Patiente pendant le scan. Cela peut prendre un peu de temps.
    • Une fois le scan terminé, rends-toi dans l’onglet Registre du logiciel.
    • Coche alors les cases suivantes :

      • Case n°1 :
      [PUP] HKEY_CLASSES_ROOTCLSID{02A96331-0CA6-40E2-A87D-C224601985EB}

      • Case n°3 :
      [PUP] HKEY_CLASSES_ROOTCLSID{3278F5CF-48F3-4253-A6BB-004CE84AF492}

      • Case n°4 :
      [PUP] HKEY_CLASSES_ROOTCLSID{3B5702BA-7F4C-4D1A-B026-1E9A01D43978}

      • Case n°5 :
      [PUP] HKEY_CLASSES_ROOTCLSID{577975B8-C40E-43E6-B0DE-4C6B44088B52}

      • Case n°6 :
      [PUP] HKEY_CLASSES_ROOTCLSID{761F6A83-F007-49E4-8EAC-CDB6808EF06F}

      • Case n°7 :
      [PUP] HKEY_CLASSES_ROOTCLSID{7E49F793-B3CD-4BF7-8419-B34B8BD30E61}

      • Case n°8 :
      [PUP] HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}

      • Case n°9 :
      [PUP] HKEY_LOCAL_MACHINESystemCurrentControlSetServicesIePluginServices (C:ProgramDataIePluginServicesPluginService.exe -service)

      • Case n°10 :
      [PUP] HKEY_LOCAL_MACHINESystemCurrentControlSetServicesSPPD (??C:Windowssystem32driversSPPD.sys)

      • Case n°11 :
      [PUP] HKEY_LOCAL_MACHINESystemControlSet001ServicesIePluginServices (C:ProgramDataIePluginServicesPluginService.exe -service)

      • Case n°12 :
      [PUP] HKEY_LOCAL_MACHINESystemControlSet001ServicesSPPD (??C:Windowssystem32driversSPPD.sys)

      • Case n°13 :
      [PUM.Proxy] HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet Settings | ProxyEnable : 1

      • Case n°14 :
      [PUM.Proxy] HKEY_USERSS-1-5-18SoftwareMicrosoftWindowsCurrentVersionInternet Settings | ProxyEnable : 1

      • Case n°15 :
      [PUM.Proxy] HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet Settings | ProxyServer : http=127.0.0.1:51224;https=127.0.0.1:51224

      • Case n°16 :
      [PUM.Proxy] HKEY_USERSS-1-5-18SoftwareMicrosoftWindowsCurrentVersionInternet Settings | ProxyServer : http=127.0.0.1:51224;https=127.0.0.1:51224

    • Puis clique sur le bouton Suppression :

    • Une fois l’opération terminée, un rapport est généré.
    • Héberge ce rapport en utilisant le site SOSUpload.
    • Pour ce faire, après avoir cliqué sur Choisissez un fichier, colle la ligne suivante dans la catégorie Nom du fichier :
    %programdata%RogueKillerLogs
    • Puis clique sur Ouvrir.
    • Sélectionne alors le rapport de scan RKreport_DEL_Date_Heure.log.
    • Puis poste le lien généré dans ta prochaine réponse.



    Est donc attendu le rapport de RogueKiller.

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=5oA3skWn17” onclick=”window.open(this.href);return false;

    Merci

    je ne pense pas avoir pris l’initiative d’une suppression. Par contre la souris ou plutot l’indexe se déplace sans arrêt sur l’écran, et le temps de taper ces quelques mots j’ai eu l’ouverture de plusieurs pages indésirées et une alerte virus de avast.

    Merci

  • guugues
    Participant
    Nombre d'articles : 572

    @patard wrote:

    je ne pense pas avoir pris l’initiative d’une suppression

    Si, puisque tu m’as fourni un rapport de suppression sans que je te le demande. 😉
    C’est OK pour le rapport.

    Applique la procédure suivante :

    Zoek – Analyse :

    • Désactive temporairement ton antivirus : aide en images.
    • Télécharge Zoek.exe sur ton bureau.
    • Ferme toutes les applications en cours, puis lance Zoek.exe.

    Sous Windows Vista/Seven/8, clique droit sur Zoek.exe puis Exécuter en tant qu’administrateur

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    standardsearch;
    services-list;
    installedprogs;
    installer-list;
    uninstall-list;
    torpigcheck;
    srinfo;
    hostslook;
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost" /v netsvcs /se "─" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionDrivers32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components" /s >> C:zoek-results.log;b
    C:WindowsSystem32driversafd.sys;i
    C:WindowsSystem32driversatapi.sys;i
    C:WindowsSystem32driverscdfs.sys;i
    C:WindowsSystem32driverscdrom.sys;i
    C:WindowsSystem32driversdfsc.sys;i
    C:WindowsSystem32drivershdaudbus.sys;i
    C:WindowsSystem32driversi8042prt.sys;i
    C:WindowsSystem32driversipnat.sys;i
    C:WindowsSystem32driversipsec.sys;i
    C:WindowsSystem32driversmrxsmb.sys;i
    C:WindowsSystem32driversnetbt.sys;i
    C:WindowsSystem32driversntfs.sys;i
    C:WindowsSystem32driversparport.sys;i
    C:WindowsSystem32driversrasl2tp.sys;i
    C:WindowsSystem32driversrdpdr.sys;i
    C:WindowsSystem32driverssmb.sys;i
    C:WindowsSystem32driverssptd.sys;i
    C:WindowsSystem32driverstcpip.sys;i
    C:WindowsSystem32driverstdx.sys;i
    C:WindowsSystem32driversvolsnap.sys;i
    C:WindowsSystem32cmd.exe;i
    C:WindowsSysWOW64cmd.exe;i
    C:Windowsexplorer.exe;i
    C:WindowsSysWOW64explorer.exe;i
    C:WindowsSystem32services.exe;i
    C:WindowsSysWOW64services.exe;i
    C:WindowsSystem32svchost.exe;i
    C:WindowsSysWOW64svchost.exe;i
    C:WindowsSystem32userinit.exe;i
    C:WindowsSysWOW64userinit.exe;i
    C:WindowsSystem32wininit.exe;i
    C:WindowsSysWOW64wininit.exe;i
    C:WindowsSystem32winlogon.exe;i
    C:WindowsSysWOW64winlogon.exe;i
    C:WindowsSystem32kernel32.dll;i
    C:WindowsSysWOW64kernel32.dll;i
    C:WindowsSystem32rpcss.dll;i
    C:WindowsSysWOW64rpcss.dll;i
    C:WindowsSystem32user32.dll;i
    C:WindowsSysWOW64user32.dll;i
    %temp%*.exe;vs
    %SYSTEMDRIVE%*.exe;v
    %ALLUSERSPROFILE%Application Data;v
    %ALLUSERSPROFILE%Application Data*.exe;vs
    %APPDATA%;v
    %APPDATA%*.exe;vs
    C:Windowssystem32consrv.dll;i
    %SystemDrive%$RECYCLE.BIN;vs
    %SystemDrive%RECYCLER;vs
    %SystemRoot%assemblyGAC;v
    %SystemRoot%assemblyGAC_32;v
    %SystemRoot%assemblyGAC_64;v
    reg query "HKEY_CURRENT_USERSoftwareClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesWow6432nodeclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesclsid{fbeb8a05-beee-4442-804e-409d6c4515e9}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesWow6432nodeclsid{fbeb8a05-beee-4442-804e-409d6c4515e9}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{5839FCA9-774D-42A1-ACDA-D6A79037F57F}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{5839FCA9-774D-42A1-ACDA-D6A79037F57F}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}InProcServer32" >> C:zoek-results.log;b
    %WINDIR%pss;v
    %LOCALAPPDATA%;v
    %LOCALAPPDATA%GoogleDesktop;vs
    C:Program FilesGoogleDesktop;vs
    C:Program Files (x86)GoogleDesktop;vs
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce" >> C:zoek-results.log;b
    %systemroot%System32config*.sav;v
    reg query "HKEY_LOCAL_MACHINESOFTWARE" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSOFTWARE" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeClientsStartMenuInternet" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAINFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeMicrosoftInternet ExplorerMAINFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-19SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-20SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREClassesUnknownshellopenascommand" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyDomainProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyStandardProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyPublicProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "{*}" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "TCP Query User" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "UDP Query User" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters" /v DhcpNameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters" /v NameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces" /s /v DhcpNameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces" /s /v NameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify" /s /v DLLName >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogonNotify" /s /v DLLName >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v Debugger >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v Debugger >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v BreakOnDllLoad >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v BreakOnDllLoad >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2" /s /f "command" > %LOCALAPPDATA%Tempmount.txt;b
    for /f %%i in (%LOCALAPPDATA%Tempmount.txt) do reg query %%i >> C:zoek-results.log;b
    nslookup www.google.fr >> C:zoek-results.log;b
    dir /AL /S %systemroot% >> C:zoek-results.log;b
    • Colle ensuite les lignes précédemment copiées dans la fenêtre de Zoek :

    • Puis clique sur le bouton Run Script. Patiente jusqu’à ce que le logiciel se ferme tout seul.
    • A la fin du scan, un rapport s’ouvrira : zoek-result.log.
    • Celui-ci est disponible ici : C:zoek-result.log.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.



    Est attendu le rapport de Zoek.

  • patard
    Participant
    Nombre d'articles : 35

    Bonsoir et merci

    J’ai un problème; je ne peux rien coller dans le cadre indiqué, par contre , ça propose d’ouvrir le fichier zipé, et la , je ne sais plus quoi faire.

  • guugues
    Participant
    Nombre d'articles : 572

    Retente : il y a juste besoin de :

    • Sélectionner tout le contenu du cadre en cliquant sur Tout sélectionner.
    • Cliquer-droit sur la zone sélectionnée puis choisir Copier.
    • Cliquer-droit dans la zone de scripts de Zoek et choisir Coller.
    • Fermer toutes les applications et exécuter Zoek comme demandé.
  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=xTgNDcufqy” onclick=”window.open(this.href);return false;

    Je sais pas si c’est ça.

    merci

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 😉

    Le PC est vraiment très infecté. De plus, il n’y a effectivement que 14,9GB d’espace disque de libre : je t’invite à désinstaller dès maintenant tous les logiciels dont tu ne te sers pas / plus et à supprimer également des documents dont tu ne te sers plus non plus (de gros dossiers etc).

    1- Désinstallation des PUP / Adwares / logiciels inutiles via le panneau de configuration :

    Désinstalle les logiciels suivants via : DémarrerPanneau de configurationProgrammesProgrammes et fonctionnalités :

    • Advanced-System Protector (Adware)
    • RegClean-Pro (Adware)

    Si certains ne veulent pas se désinstaller, ce n’est pas grave, passe aux suivants.

    2- Zoek – Correction :

    • Ferme toutes les applications en cours, puis relance Zoek.exe.

    Sous Windows Vista/Seven/8, clique droit sur Zoek.exe puis Exécuter en tant qu’administrateur

    • Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.
    • Colle ensuite les lignes précédemment copiées dans la fenêtre de Zoek :

    • Puis clique sur le bouton Run Script. Patiente.
    • A la fin du scan, le PC va redémarrer.
    • Un rapport est généré ici : C:zoek-result.log.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.

    3- ComboFix :

    Ce logiciel doit être exécuté uniquement sous l’assistance d’un Helper
    Désactive impérativement toute protection antivirale (aide en images)

    • Télécharge ComboFix sur ton bureau.
    • Lance ComboFix.exe.

    Sous Windows Vista/Seven/8, clique droit sur ComboFix.exe puis Exécuter en tant qu’administrateur

    • Ferme toutes les applications en cours, y compris Internet.
    • Une fenêtre apparaît : clique sur J’accepte.
    • Si tu es sous Windows XP, l’outil peut demander d’installer la console de récupération : accepte de suite.
    • Le logiciel commence son analyse.
    • Ne touche surtout pas au PC pendant le scan :

    • Lorsque la recherche sera terminée, un rapport apparaîtra.
    • Celui-ci est disponible ici : C:Combofix.txt.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.

    A noter : tutoriel officiel d’utilisation de ComboFix.



    Sont attendus les rapports de Zoek et ComboFix.

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=nUvfIJ0PCy” onclick=”window.open(this.href);return false;

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=oldMAU4H2C” onclick=”window.open(this.href);return false;

    Bonjour

    J’ai posté le précédent lien à la hussarde car j’avais peur de le perdre.
    j’espère ne pas avoir fait d’erreur.

    Merci encore pour ton aide

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    Très bien ! Voilà un sacré nettoyage de fait ! On passe à la suite :

    1- Zoek – Correction :

    • Ferme toutes les applications en cours, puis relance Zoek.exe.

    Sous Windows Vista/Seven/8, clique droit sur Zoek.exe puis Exécuter en tant qu’administrateur

    • Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.
    • Colle ensuite les lignes précédemment copiées dans la fenêtre de Zoek :

    • Puis clique sur le bouton Run Script. Patiente.
    • A la fin du scan, le PC va redémarrer.
    • Un rapport est généré ici : C:zoek-result.log.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.

    2- AdwCleaner – Nettoyage :

    • Télécharge AdwCleaner sur ton bureau.
    • Lance AdwCleaner.

    Sous Windows Vista/Seven/8, clique droit sur AdwCleaner puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Scanner.

    • Une fois le scan terminé, clique sur le bouton Nettoyer.
    • Accepte le message d’informations en cliquant sur OK.
    • Il te sera demandé de redémarrer l’ordinateur : accepte en cliquant sur OK.
    • Une fois le PC redémarré, un rapport s’ouvrira automatiquement.
    • Celui-ci est disponible ici : C:AdwCleanerAdwCleaner[S0].txt.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.

    3- Junkware Removal Tool :

    Sous Windows Vista/Seven/8, clique droit sur JRT puis Exécuter en tant qu’administrateur

    • Lorsque la fenêtre suivante apparaît, appuie sur n’importe quelle touche de ton clavier pour lancer l’outil :

    • Le nettoyage commence. Le bureau est susceptible de disparaître, c’est normal. Laisse travailler l’outil.
    • Un rapport va s’ouvrir automatiquement.
    • Celui-ci est présent sur ton bureau sous le nom de JRT.txt.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.



    Sont attendus les rapports de Zoek, AdwCleaner et JRT.

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=KhtmE1AqeC” onclick=”window.open(this.href);return false;

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=gkol6GCo5s” onclick=”window.open(this.href);return false;

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=LqK3HUStLR” onclick=”window.open(this.href);return false;

    je pense avoir fait les trois analyses à peu près correctement

    encore une fois merci, ça va déjà infiniment mieux

    Bonnne soirée

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    Re !

    Ok pour les rapports ! 😉

    ça va déjà infiniment mieux

    J’imagine ! 😉 On poursuit :

    1- Zoek – Correction :

    • Ferme toutes les applications en cours, puis relance Zoek.exe.

    Sous Windows Vista/Seven/8, clique droit sur Zoek.exe puis Exécuter en tant qu’administrateur

    • Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.
    • Colle ensuite les lignes précédemment copiées dans la fenêtre de Zoek :

    • Puis clique sur le bouton Run Script. Patiente.
    • A la fin du scan, un rapport est généré ici : C:zoek-result.log.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.

    2- Malwarebytes Anti-Malware :

    • Télécharge Malwarebytes Anti-Malware sur ton bureau.
    • Le fichier mbam-setup apparaît sur ton bureau : lance-le pour installer le logiciel.
    • Lors de l’installation, décoche la case Activer l’essai gratuit de Malwarebytes Anti-Malware Premium.
    • Clique sur le bouton Terminer. Le logiciel démarre.
    • Pour changer la langue, clique sur Settings, dans General Settings, choisis French pour Language.
    • Dans l’onglet Détection et protection, configure le logiciel comme ci-dessous :

    • Dans l’onglet Examen, coche la case Examen « Menaces » :

    • Clique alors sur Examiner maintenant :

    • Mets alors le logiciel à jour en cliquant sur Mettre à jour maintenant :

    • Le logiciel se met à jour et l’analyse commence. Cela peut prendre un certain temps.
    • Laisse travailler l’outil sans l’interrompre, jusqu’à ce que l’analyse soit terminée.
    • Si des menaces sont détectées, clique sur le bouton Tout mettre en quarantaine :

    • Clique ensuite sur Exporter le journal puis sur Fichier texte (*.txt) :

    • Attribue au fichier le nom de mbam puis clique sur Enregistrer.
    • Le rapport est disponible ici : C:mbam.txt.
    • Si l’outil t’a demandé de redémarrer le PC, fais-le de suite.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.



    Sont donc attendus les rapports de Zoek et Malwarebytes.

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=pEFtgJoFTm” onclick=”window.open(this.href);return false;

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    OK pour le rapport de Zoek. En attente du rapport de MBAM.

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=h9IfHEl6yF” onclick=”window.open(this.href);return false;

    Bonjour et bon samedi cher guugues et cher helper

    Je mets le lien immédiatement car j’ai toujours peur de le perdre.
    Dans les trucs à noter
    je dois toujours déconnecter avast pour utiliser Zoek, sinon avast le détruit.

    Dans les trucs visibles restant , il y a yohoo qui d’impose toujours sur firefox quand je le lance.

    j’ai encore ce truc qui s’impose lors de certains clics de souris

    Windows Vista Réparation d’ordinateur

    il y a aussi régulièrement une demande de mise à jour de java.

    Merci pour ta compétence.

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    @patard wrote:

    Bonjour et bon samedi cher guugues et cher helper

    Merci ! Bon samedi (et week-end) à toi aussi ! 😉

    je dois toujours déconnecter avast pour utiliser Zoek, sinon avast le détruit.

    C’est normal, Avast le détecte à tort comme une menace : c’est un faux positif. 😉

    Dans les trucs visibles restant , il y a yohoo qui d’impose toujours sur firefox quand je le lance.

    Yahoo est légitime mais si tu veux retrouver Google à la place, fais ceci :

    • Lance Firefox.
    • Appuie sur la touche Alt (gauche) de ton clavier.
    • Un menu s’affiche alors en haut de page : clique sur Outils.
    • Clique ensuite sur Options.
    • Une fenêtre s’ouvre : dans l’onglet Général, colle la ligne suivante dans le champ Page d’accueil :
    https://www.google.fr/
    • Puis valide en cliquant sur OK.

    Je t’invite également à mettre à jour Firefox (tu utilises une vieille version, la nouvelle aura une interface légèrement différente). Pour ce faire :

    • Lance Firefox.
    • Appuie sur la touche Alt (gauche) de ton clavier.
    • Un menu s’affiche alors en haut de page : clique sur le point d’interrogation : ?.
    • Sélectionne alors A propos de Firefox.
    • Une mise à jour va alors être téléchargée. Patiente.
    • Une fois le téléchargement terminé, clique sur Redémarrer pour appliquer la mise à jour.

    j’ai encore ce truc qui s’impose lors de certains clics de souris

    Cela va peut-être disparaître avec la nouvelle version de Firefox : dis-moi si c’est le cas.

    Windows Vista Réparation d’ordinateur

    Pour le coup, il faudrait que tu sois plus précis dans ta description…

    il y a aussi régulièrement une demande de mise à jour de java.

    Ne fais rien pour le moment, on s’en occupera plus tard dans la procédure.


    Applique cette procédure :

    1- Eset Online Scanner :

    Sous Windows Vista/Seven/8, clique droit sur le fichier puis Exécuter en tant qu’administrateur

    • Coche la case OUI, j’accepte les conditions d’utilisation, puis clique sur Démarrer.

    • Laisse le logiciel télécharger ses mises à jour.
    • Assure-toi que la case Supprimer les menaces détectées soit bien cochée et coche la case Analyser les archives.
    • Puis clique sur Paramètres avancés : coche les cases Rechercher les applications potentiellement indésirables et Rechercher les applications potentiellement dangereuses.
    • Assure-toi que la case Activer la technologie Anti-Stealth (anti-furtivité) soit cochée.

    Désactive ton antivirus afin de ne pas ralentir l’analyse et de ne pas afficher des messages d’alerte

    • Ferme Internet.
    • Clique sur Démarrer pour lancer l’analyse. Cela peut durer longtemps. Laisse l’outil travailler sans l’interrompre.
    • Si aucune menace n’est détectée dis le moi simplement dans ta prochaine réponse.
    • Si des menaces sont trouvées, elles seront supprimées automatiquement.
    • Dans ce cas, génère le rapport en cliquant sur Liste des menaces détectées puis Exporter dans un fichier texte…
    • Poste le contenu du rapport sur le forum.

    2- Zoek – Réanalyse :

    • Désactive temporairement ton antivirus : aide en images.
    • Ferme toutes les applications en cours, puis relance Zoek.exe.

    Sous Windows Vista/Seven/8, clique droit sur Zoek.exe puis Exécuter en tant qu’administrateur

    • Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :
    standardsearch;
    services-list;
    installedprogs;
    installer-list;
    uninstall-list;
    torpigcheck;
    srinfo;
    hostslook;
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost" /v netsvcs /se "─" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionDrivers32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components" /s >> C:zoek-results.log;b
    %temp%*.exe;vs
    %SYSTEMDRIVE%*.exe;v
    %ALLUSERSPROFILE%Application Data;v
    %ALLUSERSPROFILE%Application Data*.exe;vs
    %APPDATA%;v
    %APPDATA%*.exe;vs
    C:Windowssystem32consrv.dll;i
    %SystemDrive%$RECYCLE.BIN;vs
    %SystemDrive%RECYCLER;vs
    %SystemRoot%assemblyGAC;v
    %SystemRoot%assemblyGAC_32;v
    %SystemRoot%assemblyGAC_64;v
    reg query "HKEY_CURRENT_USERSoftwareClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesWow6432nodeclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesclsid{fbeb8a05-beee-4442-804e-409d6c4515e9}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareClassesWow6432nodeclsid{fbeb8a05-beee-4442-804e-409d6c4515e9}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{42aedc87-2188-41fd-b9a3-0c966feabec1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{5839FCA9-774D-42A1-ACDA-D6A79037F57F}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{5839FCA9-774D-42A1-ACDA-D6A79037F57F}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareClassesclsid{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}InProcServer32" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeClassesclsid{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}InProcServer32" >> C:zoek-results.log;b
    %WINDIR%pss;v
    %LOCALAPPDATA%;v
    %LOCALAPPDATA%GoogleDesktop;vs
    C:Program FilesGoogleDesktop;vs
    C:Program Files (x86)GoogleDesktop;vs
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce" >> C:zoek-results.log;b
    %systemroot%System32config*.sav;v
    reg query "HKEY_LOCAL_MACHINESOFTWARE" >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSOFTWARE" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeClientsStartMenuInternet" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystems" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAINFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESoftwareWow6432NodeMicrosoftInternet ExplorerMAINFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-19SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_USERSS-1-5-20SoftwareMicrosoftInternet ExplorerMainFeatureControl" /s /f "svchost.exe" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center" /s >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREClassesUnknownshellopenascommand" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyDomainProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyStandardProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyPublicProfile" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "{*}" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "TCP Query User" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyFirewallRules" /f "UDP Query User" >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters" /v DhcpNameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters" /v NameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces" /s /v DhcpNameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces" /s /v NameServer >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify" /s /v DLLName >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWinlogonNotify" /s /v DLLName >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon" /v Shell >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v Debugger >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v Debugger >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v BreakOnDllLoad >> C:zoek-results.log;b
    reg query "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionImage File Execution Options" /s /v BreakOnDllLoad >> C:zoek-results.log;b
    reg query "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2" /s /f "command" > %LOCALAPPDATA%Tempmount.txt;b
    for /f %%i in (%LOCALAPPDATA%Tempmount.txt) do reg query %%i >> C:zoek-results.log;b
    nslookup www.google.fr >> C:zoek-results.log;b
    dir /AL /S %systemroot% >> C:zoek-results.log;b
    • Colle ensuite les lignes précédemment copiées dans la fenêtre de Zoek :

    • Puis clique sur le bouton Run Script. Patiente jusqu’à ce que le logiciel se ferme tout seul.
    • A la fin du scan, un rapport s’ouvrira : zoek-result.log.
    • Celui-ci est disponible ici : C:zoek-result.log.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.



    Sont attendus : l’éventuel rapport de Eset et le rapport de Zoek.

  • patard
    Participant
    Nombre d'articles : 35

    bonsoir

    C’est le lien de la page qui s’affiche systématiquement à chaque fois que j’ouvre firefox

    La premlère page est maintenant telle que souhaité.

    La mise à jour s’est bien passée.

    Merci

    voici les liens
    https://antimalware.top/www/?a=d&i=OpnFiDgbah” onclick=”window.open(this.href);return false;

    https://antimalware.top/www/?a=d&i=OpnFiDgbah” onclick=”window.open(this.href);return false;

    le premier a été long, plus deux heures.

    J’espère que c’est correct

    Bonne soirée à toi

    Bernard

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=hG8At5f8Ox” onclick=”window.open(this.href);return false;

    je crois que j’avais fait une erreur

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 😉

    C’est le lien de la page qui s’affiche systématiquement à chaque fois que j’ouvre firefox

    Ok pour le lien : le script de Zoek ci-après devrait résoudre le souci (j’ai supprimé le lien de ton message).

    Le disque dur a encore perdu de l’espace disque : il n’y a plus que 12,1GB d’espace libre, il faut vraiment que tu désinstalles tous les programmes dont tu ne te sers pas/plus afin de faire de la place, comme je te l’ai demandé.

    Encore quelques restes à fixer, et on passe au contrôle des mises à jour des logiciels sensibles :

    1- Zoek – Correction :

    • Ferme toutes les applications en cours, puis relance Zoek.exe.

    Sous Windows Vista/Seven/8, clique droit sur Zoek.exe puis Exécuter en tant qu’administrateur

    • Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.
    • Colle ensuite les lignes précédemment copiées dans la fenêtre de Zoek :

    • Puis clique sur le bouton Run Script. Patiente.
    • A la fin du scan, un rapport est généré ici : C:zoek-result.log.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.

    2- SX Check&Update :

    • Télécharge SX Check&Update sur ton bureau.
    • Si l’antivirus émet des alertes, désactive-le temporairement.
    • Lance sxcu.exe.

    Sous Windows Vista/Seven/8, clique droit sur sxcu.exe puis Exécuter en tant qu’administrateur

    • Clique ensuite sur le bouton Rapport :

    • Un rapport, du nom de rapport_SX.txt, s’ouvre automatiquement.
    • Celui-ci est présent sur ton bureau.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.



    Sont attendus les rapports de Zoek et SXCU.

  • patard
    Participant
    Nombre d'articles : 35

    Bonjour

    j’avais supprimé quelques logiciels , l’espace disque de libre a diminué par l’adjonction des logiciels de désinfection.

    Je viens de faire un peu de ménage, mais , au niveau des logiciels je ne vois pas bien ce que je peux supprimer de plus.

    Il faudra ensuite mettre une grande partie des documents sur un disque externe, mais je préférerais ne pas rentrer d’infection sur ce disque que je dois au surplus commander vu ma localisation.
    N’étant pas l’utilisateur principal de cet appareil, je ne peux pas éliminer de fichiers documents.

    En allant sur sosupload je me suis aperçu que les commandes à n’allaient pas jusqu’à empty…. puis je les coller tout de même dans Zoek
    il reste une saloperie dans firefox , en haut à droite des pages internet, quelque soit la page , il y a une “corne ” avec une croix qui s’ouvre, et en dessous , il y a un petit ads by info.

    OK j’attends de savoir si je peux coller la commande dans Zoek telle quelle ou non avant de continuer

    Merci

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    Je viens de modifier le script ! 😉 Tu peux faire la manipulation (les paramètres de Firefox seront réinitialisés, tu devras peut-être remettre Google comme page d’accueil comme je te l’ai montré hier).

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=wRC9ab6Jrx” onclick=”window.open(this.href);return false;

    https://antimalware.top/www/?a=d&i=4BXms7Dm5X” onclick=”window.open(this.href);return false;

    Merci pour ta disponibilité par ce dimanche matin ensoleillé , en tout cas , en Bretagne.

    Il n’y a eu aucune modification de la page d’ouverture de firefox, ni dans les ads by info. Je ne me souviens plus si la page dont je t’avais mis le lien avait disparu ou non , mais , elle est la encore ou de nouveau.

    bon courage à toi aussi

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    @patard wrote:

    Merci pour ta disponibilité par ce dimanche matin ensoleillé , en tout cas , en Bretagne.

    Idem dans le Sud-Ouest, avec plus de 30° ! 🙂

    Il n’y a eu aucune modification de la page d’ouverture de firefox, ni dans les ads by info. Je ne me souviens plus si la page dont je t’avais mis le lien avait disparu ou non , mais , elle est la encore ou de nouveau.

    OK alors fais les deux manipulations suivantes, cela devrait régler définitivement le problème :

    1- ZHPCleaner :

    Sous Windows Vista/Seven/8, clique droit sur ZHPCleaner puis Exécuter en tant qu’administrateur

    • Accepte les conditions d’utilisation du logiciel.
    • Clique sur le bouton Réparer :

    • L’analyse démarre. Patiente sans toucher à ton pc.
    • Si l’outil affiche ” Avez-vous installé ce proxy ? ” alors que tu n’en as pas installé, clique sur Non.
    • Si l’outil affiche ” Voulez-vous remplacer la page d’accueil ? “, clique sur Oui.
    • Une fois l’analyse terminée, un rapport du nom de ZHPCleaner.txt apparaît sur ton bureau.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.

    Après cela, je t’invite à installer Adblock Plus sur Firefox :


    Adobe Flash Player n’est pas à jour sur ce PC. Pour info :

    Adobe Flash Player, Adobe Reader ainsi que Java sont des logiciels qui présentent des failles de sécurité lorsqu’ils ne sont pas à jour, failles qui sont exploitées par des hackers pour véhiculer des infections graves.

    Il faut donc les maintenir à jour très régulièrement.

    Désinstalle les logiciels suivants via : DémarrerPanneau de configurationProgrammesProgrammes et fonctionnalités :

    • Adobe FlashPlayer 15 ActiveX (obsolète, constitue une faille de sécurité)
    • Adobe FlashPlayer 15 Plugin FF (obsolète, constitue une faille de sécurité)
    • Adobe FlashPlayer 15 Plugin (obsolète, constitue une faille de sécurité)

    Puis :

    • Lance Internet Explorer.
    • Lance Mozilla Firefox
    • Avec chacun des 2 navigateurs ouverts, télécharge et installe la dernière version de Adobe Flash Player via cette page.

    Pense à décocher les cases pré-sélectionnées, comme ici avec McAfee Security Scan Plus :


    Une fois tout ceci fait, applique cette procédure :

    2- SFTGC – Nettoyage des fichiers temporaires :

    • Télécharge SFTGC sur ton bureau.
    • Lance SFTGC.exe.

    Sous Windows Vista/Seven/8, clique droit sur SFTGC.exe puis Exécuter en tant qu’administrateur

    • Le logiciel s’initialise puis s’ouvre.
    • Clique alors sur le bouton Go pour supprimer les fichiers temporaires inutiles :

    • Un rapport du nom de SFTGC.txt est alors créé sur ton bureau.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.



    Sont donc attendus les rapports de ZHPCleaner et de SFTGC.

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=oxun7bQBRi” onclick=”window.open(this.href);return false;

    Ce rapport est sans doute de peu d’intérêt. En effet , après un premier passage de ZHP, j’ai fermé l’ordinateur pour remettre en route l’antivirus , mais sans enregistrer le rapport, que je n’ai pas retrouvé. J’ai refait un passage de ZHP car il y avait toujours ad by…, et la page dont tu avais supprimé les coordonnées.

    après ce deuxième passage , il y a toujours ad by…et la page dont je parle.

    je vais continuer, à plus tard

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    Re ! 😉

    Coriace la bestiole ! ^^ Une fois que tu auras fait toutes les manipulations de mon message précédent, tu feras ceci :

    FRST – Scan :

    • Télécharge FRST sur ton bureau (← Important !).
    • Le téléchargement se lance automatiquement, tu n’as donc pas besoin de cliquer sur un lien.
    • Ferme toutes les applications en cours, y compris ton navigateur.
    • Lance FRST.

    Sous Windows Vista/Seven/8, clique droit sur FRST puis Exécuter en tant qu’administrateur

    • Accepte les conditions d’utilisation, puis clique sur le bouton Scan :

    • A la fin du scan, deux rapports s’ouvriront.
    • Ceux-ci sont présents sur ton bureau sous le nom de FRST.txt et Addition.txt.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.



    Sont donc attendus les 2 rapports de FRST.

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=QSLphoCVCE” onclick=”window.open(this.href);return false;

    Il n’y a pas eu de problème particulier pour la suite.

    Ad by info est toujours présent, et aussi la page m’invitant à faire une mise à jour de windows dont je t”avais mis le lien.

    Bonne soirée à toi

    Bernard

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=3gmeMN3GQV” onclick=”window.open(this.href);return false;

    https://antimalware.top/www/?a=d&i=cWcJgUt7gc” onclick=”window.open(this.href);return false;

    je suis un peu saturé, je ne sais pas si c’est ça.

    Bonne soirée à toi , je vais aller dans les bras de morphée, merci

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    C’est bien ça ! 😉

    Quelques restes à supprimer et il faudra réinitialiser complètement Firefox (tu devras donc remettre en place la page de démarrage comme je te l’ai indiqué, mais également remettre l’extension AdblockPlus via le lien que je t’ai donné).

    1- FRST – Fix :

    • Télécharge la pièce jointe suivante sur ton bureau (au même endroit que FRST) :

    [attachment=0:2e6r5y7k]fixlist.txt[/attachment:2e6r5y7k]

    • Ferme toutes les applications, y compris ton navigateur.
    • Relance FRST.

    Sous Windows Vista/Seven/8, clique droit sur FRST puis Exécuter en tant qu’administrateur

    • Clique sur le bouton Fix :

    • Le PC va redémarrer.
    • Un rapport du nom de Fixlog.txt sera créé sur ton bureau.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.

    2- Réinitialisation de Firefox :

    • Lance Firefox.
    • Effectue une sauvegarde de tes marque-pages en suivant ce tutoriel officiel.
    • Une fois la sauvegarde faite, appuie sur la touche Alt (gauche) de ton clavier.
    • Un menu apparaît en haut de la page : clique sur le point d’interrogation.
    • Puis clique sur Informations de dépannage.
    • Clique alors sur le bouton Réinitialiser Firefox :



    Est attendu le rapport de FRST.

  • patard
    Participant
    Nombre d'articles : 35

    Salut et bon début de semaine

    https://antimalware.top/www/?a=d&i=p2j39NLnP6” onclick=”window.open(this.href);return false;

    je ne suis pas sur que ça soit ça, je continue

    Bernard

  • patard
    Participant
    Nombre d'articles : 35

    Cette fois si , ça a l’air bon , plus de ads by info , ni de proposition de truc pour remettre windows à jour.

    Dis moi s’il y a encore des trucs à faire.

    je ne sais pas si je pourrais me reconnecter avant ce soir , je dois prendre le bateau pour aller voir une charmante blonde avec des taches de rousseur …..ma dentiste cet am.

    :merci2:

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    Hello ! 😉

    Bonne nouvelle ! 😉
    Eh bien on va pouvoir finaliser dans ce cas ! Bravo pour ta ténacité au passage ! 😉

    ma dentiste cet am.

    Oula, bon courage ! ^^

    Purge de la restauration système / Suppression des outils de désinfection :

    • Télécharge DelFix sur ton bureau.
    • Lance Delfix.

    Sous Windows Vista/Seven/8, clique droit sur DelFix puis Exécuter en tant qu’administrateur

    • Coche la case Réactiver l’UAC (grisée sous Windows XP).
    • Coche la case Supprimer les outils de désinfection.
    • Coche la case Purger la restauration système.
    • Coche la case Réinitialisation des paramètres système.
    • Enfin, clique sur Exécuter :

    • Le rapport est ici : C:Delfix.txt.
    • Héberge ce rapport en utilisant le site SOSUpload pour poster le lien dans ta prochaine réponse.



    Est attendu le rapport de DelFix.

    =====================================================================================================

    La procédure de désinfection est désormais terminée. Je te remercie de l’avoir suivie jusqu’au bout.
    Je t’invite maintenant à prendre connaissance des conseils de sécurité ci-dessous.

    =====================================================================================================

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Sécurisation du PC ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Tenir à jour Windows, les navigateurs et les programmes installés

    Analyser régulièrement l’ordinateur

    Bloquer les publicités, potentiellement dangereuses

    Savoir si un site web possède une bonne ou mauvaise réputation

    Éviter d’être de nouveau infecté

    Les pratiques à éviter

    [fin2desinf:14284mcp][/fin2desinf:14284mcp]

    Si tu as des questions, n’hésite pas ! 😉

  • patard
    Participant
    Nombre d'articles : 35

    https://antimalware.top/www/?a=d&i=whHH38VStF” onclick=”window.open(this.href);return false;

    Un très grand merci à toi.
    C’est l’ordi d’un pote bénévole dans la même association que moi, il va être ravi de retrouver son ordi en bon ordre , il me semble qu’en faisant attention, en faisant le ménage dans ses fichiers , en en mettant une partie sur un disque dur externe, il pourra utiliser cet ordi pendant encore longtemps, grace à toi et à toute l’équipe de sosvirus.

    Merci pour les conseils , mais les pièges sont nombreux , et bien fait. Avec un ancien élève de l’enseth de Toulouse , très méfiant en général , on s’est fait piéger , en réinstallant les logiciels désinstallés sur un ordi équipé de windows7 et remis en état d’origine.

    il fut un temps ou 01….était un site tout à fait fiable pour faire des téléchargements.

    Enfin , sur un plan pratique , j’avais un autre ordinateur , sur lequel j’ouvrais la même page , je pouvais ainsi suivre tes conseils , et les mettre en oeuvre sur l’ordi infecté.

    Je suppose qu’on se reverra , je suis très peiné de voir des gens coincés par un ordinateur totalement infecté comme celui ci , ne pouvant pas s’en acheter un autre , et se retrouvant désocialisés sans courriel , ni accès à internet.

    Bonne soirée à toi , et à toute l’équipe.

    Bernard

  • guugues
    Participant
    Nombre d'articles : 572

    Hello Bernard ! 😉

    C’est OK pour le rapport, c’est tout bon ! 😉

    il pourra utiliser cet ordi pendant encore longtemps, grace à toi et à toute l’équipe de sosvirus.

    Je l’espère ! 😉

    mais les pièges sont nombreux , et bien fait

    Tout à fait, d’où la nécessité de redoubler de vigilance ! Comme il s’agit du PC d’un de tes amis, tu lui transmettras donc toutes les recommandations que j’ai indiquées dans ce sujet. 😉

    Je suppose qu’on se reverra

    Le plus tardivement possible, du moins dans cette section du forum ! 😀

    Bonne continuation !

    ++

Le sujet ‘quand l’ordi est trop infecté pour télécharger ADW cleaner’ est fermé à de nouvelles réponses.