Wscript.exe corrompu? 2015-04-11T22:40:18+00:00
  • Auteur
    Messages
  • maadmai
    Participant
    Nombre d'articles : 6

    Bonjour!
    Depuis pas longtemps, j’ai remarqué des raccourcis qui apparaissaient sur tout mes disques durs locaux et amovibles: “PCcompaQ” (mon nom d’utilisateur) et “Nouveau Dossier”. Je les supprime et à chaque fois ils réapparaissent. Dernièrement j’ai vérifié la cible de ces raccourcis et découvert qu’ils envoient tous vers “Wscript.exe”.J’ai essayé nombreux logiciels anti-malwares sans succès.
    Est-ce que quelqu’un peut me venir en aide?

  • buckhulk
    Participant
    Nombre d'articles : 2391

    Je m’appelle buckhulk… ^^

    C’est moi qui vais prendre en charge le soucis …. 😉

    [glow=red:z4euvty5]Je te conseille de désactiver ton antivirus pour chaque téléchargement de logiciel de désinfection[/glow:z4euvty5]

    Á savoir que je ne prend pas en charge les ordinateurs encore sous XP

    Nous allons commencer par passer ZHPCleaner afin de simplifier le téléchargement des outils qui suivront .

    ZHPCleaner

    Cliquer sur le bouton vert : télécharger en toute sécurité

    Patientez le temps de préparation du téléchargement

    ou :
    Mirroir

    Tutoriel : [spoiler:z4euvty5][center:z4euvty5]ZHPCleaner[/center:z4euvty5]

    [center:z4euvty5][/center:z4euvty5]

    Désactiver l'Anti-virus

    Ton moteur de recherche va se fermer il faudra le réouvrir pour poster les rapports

    téléchargement : ZHPcleaner de Nicolas Cooleman

    – Cliquer sur le Bouton Bleu + Nicolas Coolman :

    Cet outil ne nécessite aucune installation, il est très rapide car basé sur l'éxécution de scripts.
    Clique droit sur le dossier téléchargé

    Ceci apparait sur ton bureau :

    Clique sur Scanner :

    Savoir que tous les navigateurs ou onglets ouvert seront fermés et qu'il faudra les remettre

    En cas de présence d'un proxy, un message apparaît avec la question suivante
    Avez-vous installé ce proxy ? suivi de l'adresse IP du proxy
    Si vous n'avez pas installé de Proxy, cliquer sur “NON” pour accepter la réparation du proxy.

    En cas de présence d'un serveur inconnu, un message peut apparaître avec la question suivante
    Avez-vous installé ce serveur ? suivi du nom du serveur
    Si vous n'avez pas installé de serveur,, cliquer sur “NON” pour accepter la réparation

    Fournir le rapport

    _________________________________
    ensuite si demandé :

    Cliquer sur Nettoyer

    Fermeture des navigateurs pour le nettoyage
    Si tu veux réparer le fichier hôte, il faut désactiver ton antivirus.
    Fournir le rapport[/spoiler:z4euvty5]
    ____________________________________________________________________________________________________

    Ensuite pour bien continuer il va falloir que tu fasses un ZHPDiag :

    ZHPDiag ICI

    Cliquer sur le bouton vert : télécharger en toute sécurité

    Patientez le temps de préparation du téléchargement
    Puis cliquer sur le Bouton Bleu

    ou :
    Miroir

    Tutoriel : [spoiler:z4euvty5][center:z4euvty5]ZHPDiag[/center:z4euvty5]

    suis bien les instructions

    1) * Télécharge ZHPDiag (de Nicolas coolman) sur ton bureau !!

    ZHPDiag (de Nicolas coolman)

    Cliquer sur le Bouton Vert : télécharger en toute sécurité
    Patientez le temps de la préparation du téléchargement
    Puis cliquez sur le Bouton Bleu (téléchargement)

    OU : miroir : ftp://zebulon.fr/ZHPDiag2.exe” onclick=”window.open(this.href);return false; (Lien direct)

    Si ton système d'exploitation est Vista ou Win7/8, lance les logiciels par simple clic droit et choisis “exécuter en tant qu'administrateur”

    a) * Une fois le téléchargement achevé,
    b) * double clique (ou clic droit pour seven , vista et 8 exécuter en tant qu'administrateur) sur ZHPDiag2.exe et suis les instructions.
    c) * L'outil va créer 2 icônes de racourcis : ZHPDiag >> ZHPFix
    d) * Clique droit sur le parchemin
    e) *A l'ouverture le programme te proposes “Rechercher” , “Configurer” , Complet –

    Clique sur “Complet” le scan démarre…….le rapport s'affiche

    Si tu cliques sur Configurer :
    * Des icônes apparaissent en bas de la fenêtre.
    * Clique sur le tournevis en bas à droite et choisis “Tous” puis “OK”

    2)* Maintenant clique sur “Rechercher”.

    * Important >> Pendant l analyse de ton PC par ZHPDIag ne touche à plus rien !!!!!
    * Laisse l'outil travailler, il peut être assez long

    3) * Le rapport s'affiche sur ton Bureau une fois terminé !

    une fenêtre peut s'ouvrir à la fin de la recherche :

    Il suffit de cliquer sur :
    le programme s'est installé correctement

    Tu peux fermer ZHPDiag

    IMPORTANT

    Les rapports de diagnostique sont trop long, ils dépassent la taille autorisée par les éditeurs des forums , il faut donc héberger les rapports :

    [center:z4euvty5]Hébergement[/center:z4euvty5]

    A/ – Héberge le rapport ZHPDiag.txt sur : Paste&Furious et “les captures d'écran sur” : sosUpload

    ou sur cjoint

    B/ – Cliques sur >> Parcourir (ou choisissez un fichier)

    C/ – Cherche le rapport de ZHPDiag que tu viens de faire qui est sur ton bureau

    D/ – Cliques sur >> envoyer le fichier (ou créer le lien)

    E/ – Un lien sera généré, Un lien de cette forme: http://cjoint.com/index.php?file=cjge368/cijSKAP5fU.txt” onclick=”window.open(this.href);return false;

    F/ – Il te suffit de le poster ici[/spoiler:z4euvty5]
    ________________________________________________________________________________________________________

    Donc 2 rapports s’il te plait, Merci { ZHPCleaner (1) ZHPDiag (1) }

    Ne suis pas deux désinfections en même temps et si tu as un problème avec un outil parles-en .

    Ensuite donne moi des “nouvelles de ton ordinateur assez fréquement (comme un médecin pour adapter les “médicaments”) et héberges bien les rapports .

    Les outils doivent être téléchargés sur le bureau (c’est à dire dans un raccourcis de ton dossier téléchargement, puis tranférés sur ton bureau )

    Ouvert avec un clic droit (exécuter en tant que..).

    Même si ton ordinateur à l’air de mieux fonctionner , une désinfection doit être faite complètement

    Désinstalle tes µtorrent car bien qu’il ne soient pas infectieux , c’est leur utilisation (mauvaise) qui t’amènent des virus …Après si tu veux les remettre….. :electriksock:

    Regarde ICI

    Et aussi , à lire , instructif :

    [glow=red:z4euvty5]Concernant les P2P[/glow:z4euvty5]

  • maadmai
    Participant
    Nombre d'articles : 6

    ZHPCleaner:

    RAPPORT DE SCAN:

    ~ ZHPCleaner v2015.4.11.165 by Nicolas Coolman (12/04/2015)
    ~ Run by pc compaQ (Administrator) (12/04/2015 16:41:22)
    ~ Forum : http://forum.nicolascoolman.fr
    ~ Facebook : https://www.facebook.com/nicolascoolman1
    ~ State version : Version OK
    ~ Type : Scanner
    ~ Report : C:Userspc compaQDesktopZHPCleaner.txt
    ~ Quarantine : C:Userspc compaQAppDataRoamingZHPZHPCleaner_Quarantine.txt
    ~ UAC : Activate
    ~ Boot Mode : Normal (Normal boot)
    ~ Windows 81, 64-bit (Build 9600)

    —\ Service. (0)
    ~ Aucun élément malicieux trouvé.

    —\ Navigateur internet. (11)
    TROUVÉ Chrome URL: hxxp://isearch.avg.com/?cid={4CA9F030-0F8E-4983-A735-1CB48BD3D30F}&mid=&lang=&ds=&pr=&d=&v=&sap=hp,h[…] (PUP.SweetPage)
    TROUVÉ IE Params: HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain\Default_Page_URL [hxxp://www.sweet-page.com/?type=hp&ts=1422032248&from=cor&uid=HitachiXHTS545050A[…]] (PUP.SweetPage)
    TROUVÉ IE Params: HKLM64SOFTWAREMicrosoftInternet ExplorerMAIN\Default_Page_URL [hxxp://www.sweet-page.com/?type=hp&ts=1422032248&from=cor&uid=HitachiXHTS545050A[…]] (PUP.SweetPage)
    TROUVÉ IE Params: HKLM64SOFTWAREMicrosoftInternet ExplorerMAIN\Default_Search_URL [hxxp://www.sweet-page.com/web/?type=ds&ts=1422032248&from=cor&uid=HitachiXHTS545[…]] (PUP.SweetPage)
    TROUVÉ IE Params: HKLM64SOFTWAREMicrosoftInternet ExplorerMAIN\Start Page [hxxp://www.sweet-page.com/?type=hp&ts=1422032248&from=cor&uid=HitachiXHTS545050A[…]] (PUP.SweetPage)
    TROUVÉ IE Params: HKLM64SOFTWAREMicrosoftInternet ExplorerMAIN\Search Page [hxxp://www.sweet-page.com/web/?type=ds&ts=1422032248&from=cor&uid=HitachiXHTS545[…]] (PUP.SweetPage)
    TROUVÉ IE Params: HKLM64SOFTWAREWow6432NodeMicrosoftInternet ExplorerMAIN\Default_Page_URL [hxxp://www.sweet-page.com/?type=hp&ts=1422032248&from=cor&uid=HitachiXHTS545050A[…]] (PUP.SweetPage)
    TROUVÉ IE Params: HKLM64SOFTWAREWow6432NodeMicrosoftInternet ExplorerMAIN\Default_Search_URL [hxxp://www.sweet-page.com/web/?type=ds&ts=1422032248&from=cor&uid=HitachiXHTS545[…]] (PUP.SweetPage)
    TROUVÉ IE Params: HKLM64SOFTWAREWow6432NodeMicrosoftInternet ExplorerMAIN\Start Page [hxxp://www.sweet-page.com/?type=hp&ts=1422032248&from=cor&uid=HitachiXHTS545050A[…]] (PUP.SweetPage)
    TROUVÉ IE Params: HKLM64SOFTWAREWow6432NodeMicrosoftInternet ExplorerMAIN\Search Page [hxxp://www.sweet-page.com/web/?type=ds&ts=1422032248&from=cor&uid=HitachiXHTS545[…]] (PUP.SweetPage)
    TROUVÉ fichier: C:Userspc compaQAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupStart.lnk [Bad : C:WINDOWSsystem32wscript.exe] (Hijacker.Shortcut)

    —\ Fichier hôte. (1)
    ~ Le fichier hôte est légitime. (21)

    —\ Tâche planifiée. (0)
    ~ Aucun élément malicieux trouvé.

    —\ Explorateur ( Dossiers, Fichiers ). (5)
    TROUVÉ fichier: C:Userspc compaQAppDataLocalLowDataMngr{99BB1406-1CFB-488C-90D1-2D978E04F707}64 (PUP.Datamngr)
    TROUVÉ dossier: C:Userspc compaQAppDataLocalLowDataMngr (PUP.Datamngr)
    TROUVÉ fichier: C:WINDOWSPrefetchNDIWPMOW0IUSNJW.EXE-5CADD0C6.pf (PUP.WpManager)
    TROUVÉ dossier: C:Userspc compaQAppDataLocal{2CFFB611-9F29-4E3E-BAF1-96428523C45D} (Empty)
    TROUVÉ dossier: C:Userspc compaQAppDataLocal{CF9CFE68-9F59-42C8-8B6E-4C979EE188F1} (Empty)

    —\ Base de Registres ( Clés, Valeurs, Données ). (14)
    TROUVÉ clé: [X64] HKLMSOFTWAREMicrosoftInternet ExplorerSearchScopes{33BB0A4E-99AF-4226-BDF6-49120163DE86} [http://www.sweet-page.com/web/?type=ds&ts=1422032248&from=cor&uid=HitachiXHTS545050A7E380_TEJ51239D5[…]] [sweet-page] (PUP.SweetPage)
    TROUVÉ donnée: HKCRChromeHTML.YYPOVWXVICYF34XAUCLITXALSYShellOpenCommand\Default [Bad : [html] “C:Userspc compaQAppDataLocalGoogleChromeApplicationchrome.exe” — “%1”] (Broken.OpenCommand)
    TROUVÉ clé: HKCUSOFTWAREace race [] (Adware.Sambreel)
    TROUVÉ clé: [X64] HKLMSOFTWAREWow6432Nodeace race [] (Adware.Sambreel)
    TROUVÉ clé: HKEY_USERSS-1-5-21-2183152388-2625180137-1348088648-1001Softwareace race [] (Adware.Sambreel)
    TROUVÉ clé: HKEY_USERSS-1-5-21-2183152388-2625180137-1348088648-1001SoftwareLinkey [] (PUP.LinkeySearch)
    TROUVÉ clé: HKCUSoftwareLinkey [] (PUP.LinkeySearch)
    TROUVÉ clé: HKCUSoftwareMicrosoftWindowsCurrentVersionUninstallLinkey [Aztec Media Inc] (PUP.SystemK)
    TROUVÉ clé: HKCUSoftwareMicrosoftWindowsCurrentVersionUninstallLinkey [Linkey] (PUP.LinkeySearch)
    TROUVÉ clé: [X64] HKLMSOFTWARELinkey [] (PUP.LinkeySearch)
    TROUVÉ clé: [X64] HKLMSOFTWAREWow6432NodeLinkey [] (PUP.LinkeySearch)
    TROUVÉ clé: [X64] HKLMSOFTWAREWow6432NodeSmdmF [] (SettingsManager)

    —\ Bilan de la réparation
    ~ Aucune réparation effectuée.
    ~ Ce navigateur est absent (Mozilla Firefox)

    —\ Statistiques
    ~ Items scannés : 84688
    ~ Items trouvés : 30
    ~ Items réparés : 0

    End of clean at 16:50:13

    RAPPORT DE NETTOYAGE:

    ~ ZHPCleaner v2015.4.11.165 by Nicolas Coolman (12/04/2015)
    ~ Run by pc compaQ (Administrator) (12/04/2015 16:51:15)
    ~ Forum : http://forum.nicolascoolman.fr
    ~ Facebook : https://www.facebook.com/nicolascoolman1
    ~ State version : Version OK
    ~ Type : Netttoyer
    ~ Report : C:Userspc compaQDesktopZHPCleaner.txt
    ~ Quarantine : C:Userspc compaQAppDataRoamingZHPZHPCleaner_Quarantine.txt
    ~ UAC : Activate
    ~ Boot Mode : Normal (Normal boot)
    ~ Windows 81, 64-bit (Build 9600)

    —\ Service. (0)
    ~ Aucun élément malicieux trouvé.

    —\ Navigateur internet. (11)
    REMPLACÉ Chrome URL: hxxp://isearch.avg.com/?cid={4CA9F030-0F8E-4983-A735-1CB48BD3D30F}&mid=&lang=&ds=&pr=&d=&v=&sap=hp,h[…] (PUP.SweetPage)
    REMPLACÉ IE Params: HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain\Default_Page_URL [hxxp://www.sweet-page.com/?type=hp&ts=1422032248&from=cor&uid=HitachiXHTS545050A[…]] (PUP.SweetPage)
    REMPLACÉ IE Params: HKLM64SOFTWAREMicrosoftInternet ExplorerMAIN\Default_Page_URL [hxxp://www.sweet-page.com/?type=hp&ts=1422032248&from=cor&uid=HitachiXHTS545050A[…]] (PUP.SweetPage)
    REMPLACÉ IE Params: HKLM64SOFTWAREMicrosoftInternet ExplorerMAIN\Default_Search_URL [hxxp://www.sweet-page.com/web/?type=ds&ts=1422032248&from=cor&uid=HitachiXHTS545[…]] (PUP.SweetPage)
    REMPLACÉ IE Params: HKLM64SOFTWAREMicrosoftInternet ExplorerMAIN\Start Page [hxxp://www.sweet-page.com/?type=hp&ts=1422032248&from=cor&uid=HitachiXHTS545050A[…]] (PUP.SweetPage)
    REMPLACÉ IE Params: HKLM64SOFTWAREMicrosoftInternet ExplorerMAIN\Search Page [hxxp://www.sweet-page.com/web/?type=ds&ts=1422032248&from=cor&uid=HitachiXHTS545[…]] (PUP.SweetPage)
    REMPLACÉ IE Params: HKLM64SOFTWAREWow6432NodeMicrosoftInternet ExplorerMAIN\Default_Page_URL [hxxp://www.sweet-page.com/?type=hp&ts=1422032248&from=cor&uid=HitachiXHTS545050A[…]] (PUP.SweetPage)
    REMPLACÉ IE Params: HKLM64SOFTWAREWow6432NodeMicrosoftInternet ExplorerMAIN\Default_Search_URL [hxxp://www.sweet-page.com/web/?type=ds&ts=1422032248&from=cor&uid=HitachiXHTS545[…]] (PUP.SweetPage)
    REMPLACÉ IE Params: HKLM64SOFTWAREWow6432NodeMicrosoftInternet ExplorerMAIN\Start Page [hxxp://www.sweet-page.com/?type=hp&ts=1422032248&from=cor&uid=HitachiXHTS545050A[…]] (PUP.SweetPage)
    REMPLACÉ IE Params: HKLM64SOFTWAREWow6432NodeMicrosoftInternet ExplorerMAIN\Search Page [hxxp://www.sweet-page.com/web/?type=ds&ts=1422032248&from=cor&uid=HitachiXHTS545[…]] (PUP.SweetPage)
    DEPLACÉ fichier: C:Userspc compaQAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupStart.lnk [Bad : C:WINDOWSsystem32wscript.exe] (Hijacker.Shortcut)

    —\ Fichier hôte. (1)
    ~ Le fichier hôte est légitime. (21)

    —\ Tâche planifiée. (0)
    ~ Aucun élément malicieux trouvé.

    —\ Explorateur ( Dossiers, Fichiers ). (5)
    DEPLACÉ fichier: C:Userspc compaQAppDataLocalLowDataMngr{99BB1406-1CFB-488C-90D1-2D978E04F707}64 (PUP.Datamngr)
    DEPLACÉ dossier: C:Userspc compaQAppDataLocalLowDataMngr (PUP.Datamngr)
    DEPLACÉ fichier: C:WINDOWSPrefetchNDIWPMOW0IUSNJW.EXE-5CADD0C6.pf (PUP.WpManager)
    DEPLACÉ dossier: C:Userspc compaQAppDataLocal{2CFFB611-9F29-4E3E-BAF1-96428523C45D} (Empty)
    DEPLACÉ dossier: C:Userspc compaQAppDataLocal{CF9CFE68-9F59-42C8-8B6E-4C979EE188F1} (Empty)

    —\ Base de Registres ( Clés, Valeurs, Données ). (9)
    SUPPRIMÉ clé: [X64] HKLMSOFTWAREMicrosoftInternet ExplorerSearchScopes{33BB0A4E-99AF-4226-BDF6-49120163DE86} [http://www.sweet-page.com/web/?type=ds&ts=1422032248&from=cor&uid=HitachiXHTS545050A7E380_TEJ51239D5[…]] [sweet-page] (PUP.SweetPage)
    SUPPRIMÉ donnée: HKCRChromeHTML.YYPOVWXVICYF34XAUCLITXALSYShellOpenCommand\Default [Bad : [html] “C:Userspc compaQAppDataLocalGoogleChromeApplicationchrome.exe” — “%1”] (Broken.OpenCommand)
    SUPPRIMÉ clé*: HKCUSOFTWAREace race [] (Adware.Sambreel)
    SUPPRIMÉ clé*: [X64] HKLMSOFTWAREWow6432Nodeace race [] (Adware.Sambreel)
    SUPPRIMÉ clé*: HKEY_USERSS-1-5-21-2183152388-2625180137-1348088648-1001SoftwareLinkey [] (PUP.LinkeySearch)
    SUPPRIMÉ clé*: HKCUSoftwareMicrosoftWindowsCurrentVersionUninstallLinkey [Aztec Media Inc] (PUP.SystemK)
    SUPPRIMÉ clé*: [X64] HKLMSOFTWARELinkey [] (PUP.LinkeySearch)
    SUPPRIMÉ clé*: [X64] HKLMSOFTWAREWow6432NodeLinkey [] (PUP.LinkeySearch)
    SUPPRIMÉ clé*: [X64] HKLMSOFTWAREWow6432NodeSmdmF [] (SettingsManager)

    —\ Bilan de la réparation
    ~ Réparation réalisée avec succès.
    ~ Ce navigateur est absent (Mozilla Firefox)

    —\ Statistiques
    ~ Items scannés : 84678
    ~ Items trouvés : 0
    ~ Items réparés : 25

    End of clean at 16:58:35
    ===================
    ZHPCleaner-[R]-12042015-16_58_35.txt
    ZHPCleaner--12042015-16_50_13.txt

    ZHPDiag:

    https://antimalware.top/download/6z299kqr3ukkxbzynit63bdoeis0vreluhql7i5t

    NB: j’ai aimé votre analogie avec la médecine, je suis médecin moi-même donc je comprend 😀 . Merci pour votre aide.

  • buckhulk
    Participant
    Nombre d'articles : 2391

    bon maintenant tu vas passer ce script :

    • Séléctionne et copie le script suivant :

      Script ZHPFix
      ShortcutFix
      O3 - Toolbar: (no name) - [HKLM]{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} Clé orpheline => Toolbar.Avast
      O4 - GSQuickLaunch [pc compaQ]: Chrome.LNK . (.Google Inc. - Google Chrome.) -- C:Documents and Settingspc compaQLocal SettingsApplic~1GoogleChromeApplicationchrome.exe http://www.bahaty.com =>PUP.Bahaty
      O4 - GSQuickLaunch [pc compaQ]: Internet Explorer.LNK . (.Microsoft Corporation - Internet Explorer.) -- C:Program Files (x86)Internet Exploreriexplore.exe http://www.bahaty.com =>PUP.Bahaty
      O4 - GSTaskBar [pc compaQ]: µTorrent.lnk . (.BitTorrent Inc. - µTorrent.) -- C:Userspc compaQAppDataRoaminguTorrentuTorrent.exe =>P2P.BitTorrent
      OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:Program FilesBonjourmDNSResponder.exe
      [MD5.00000000000000000000000000000000] [APT] [Opera scheduled Autoupdate 1413940097] (...) -- C:Program Files (x86)Operalauncher.exe (.not file.) [0] => Opera Software
      [MD5.00000000000000000000000000000000] [APT] [RealDownloaderRealUpgradeLogonTaskS-1-5-21-2183152388-2625180137-1348088648-1001] (...) -- C:Program Files (x86)RealNetworksRealDownloaderrealupgrade.exe (.not file.) [0] => RealNetworks Inc - RealDownloader
      [MD5.00000000000000000000000000000000] [APT] [RealDownloaderRealUpgradeScheduledTaskS-1-5-21-2183152388-2625180137-1348088648-1001] (...) -- C:Program Files (x86)RealNetworksRealDownloaderrealupgrade.exe (.not file.) [0] => RealNetworks Inc - RealDownloader
      O42 - Logiciel: µTorrent - (.BitTorrent Inc..) [HKCU][64Bits] -- uTorrent =>P2P.BitTorrent
      [HKCUSoftwareBitTorrent] =>P2P.BitTorrent
      O43 - CFD: 12/04/2015 - 16:34:59 - [] ----D C:Userspc compaQAppDataRoaminguTorrent =>P2P.µTorrent
      O44 - LFC:[MD5.0B865C4DDE3B4E2A10CD9936A2506430] - 05/04/2015 - 23:27:48 ---A- . (...) -- C:EamClean.log [4548] => Fichier de rapport (Log)
      O45 - LFCP:[MD5.AC9E5A7326D7D50B84EA07FBEE1C1027] - 12/04/2015 - 14:38:20 ---A- - C:WindowsPrefetchUTORRENT.EXE-BF970521.pf =>P2P.µTorrent
      O51 - MPSK:{7a99c459-f96b-11e3-bfa8-10604b47f0d1}AutoRuncommand. (...) -- J:HTC_Sync_Manager_PC.exe (.not file.) => Fichier absent
      O51 - MPSK:{9c6386b1-3637-11e4-bfb3-10604b47f0d1}AutoRuncommand. (...) -- F:SISetup.exe (.not file.) => Fichier absent
      O61 - LFC: 06/04/2015 - 17:07:18 ---A- . (...) -- C:Userspc compaQAppDataLocalTempdropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpvdwz5w.dll [43008] => Temporary file not necessary
      O87 - FAEL: "{ABEBB046-7406-4F5D-8EED-AB03B8296D3C}" | In - None - P17 - TRUE | .(.BitTorrent Inc. - µTorrent.) -- C:Userspc compaQAppDataRoaminguTorrentuTorrent.exe =>P2P.BitTorrent
      O87 - FAEL: "{362601BD-FE5F-4713-A645-7C912F7E2D4C}" | In - None - P6 - TRUE | .(.BitTorrent Inc. - µTorrent.) -- C:Userspc compaQAppDataRoaminguTorrentuTorrent.exe =>P2P.BitTorrent
      OPT:SR - | Auto 30/08/2011 462184 | (Bonjour Service) . (.Apple Inc..) - C:Program FilesBonjourmDNSResponder.exe
      [HKCUSoftwareMicrosoftWindowsCurrentVersionUninstalluTorrent] =>P2P.BitTorrent^
      [HKLMSoftwareWow6432NodeMicrosoftInternet ExplorerSearchScopes{B7FCA997-D0FB-4FE0-8AFD-255E89CF9671}] =>Toolbar.Yahoo
      C:Userspc compaQAppDataRoaminguTorrent =>P2P.µTorrent^
      [HKCUSoftwareBitTorrent] =>P2P.BitTorrent^
      ProxyFix
      EmptyPrefetch
      EmptyFlash
      SysRestore
      FirewallRAZ
      EmptyTemp

    • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      1. Clique sur Importer
      2. Les lignes précedemment copiées doivent être collées dans le cadre
      3. Si c’est le cas, Clic sur “GO


      exemple :

    • Confirmes les nettoyages des données en cliquant sur “Oui
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.
    • Ensuite faire un nouveau ZHPDiag , après un redémarrage

    Merci

  • buckhulk
    Participant
    Nombre d'articles : 2391

    et me dire comment ça va ?

  • maadmai
    Participant
    Nombre d'articles : 6

    Rapport ZHPfix:
    https://antimalware.top/download/i0kv8lpnvmy7ny0ph1po66cdrbln4raezzvah8ou

    Rapport ZHPdiag après redémarrage:
    https://antimalware.top/download/on9zz3jugltochpbkx30ukl0iqzdw2njsynjobbw

    En ce qui conserne mon problème, il persiste toujours :unhappy:

  • buckhulk
    Participant
    Nombre d'articles : 2391

    Bonjour,

    En ce qui conserne mon problème, il persiste toujours  :unhappy:

    encore une petite infection

    tu vas passer Roguekiller puis le script :
    [center:3jkb2m3j]
    Roguekiller
    [/center:3jkb2m3j]

    RogueKiller est un outil (créé par Tigzy) permettant de tuer les processus appartenant à des rogues de manière automatique. Dans la mesure où certaines infections empêchent l’exécution des scans antivirus/antimalware habituels, cet outil est un outil préliminaire à un processus complet de désinfection.

    Roguekiller

    Cliquer sur le bouton vert : télécharger en toute sécurité

    Patientez le temps de préparation du téléchargement

    Ou >> Téléchargement : Roguekiller officiel

    Attention, afin d’éviter tout désagrément dû aux anciennes versions de Roguekiller, il est fortement recommandé d’utiliser le lien de téléchargement officiel de Roguekiller

    bien choisir sa version :

    1/ Quitter tous les programmes en cours.

    2/ Sous Vista/Seven, clique droit => Éxécuter en tant qu’administrateur

    3/ Sinon lancer simplement RogueKiller.exe

    Si Roguekiller ne se lance pas, il ne faut pas hésiter à le renommer en Winlogon.

    4/ Attendre la fin du PreScan .

    5/ S’il y a une nouvelle version , le logiciel vous le dira :

    ou :

    6/ Cliquer sur scan et attendre la fin du scan. A ce stade aucune modification n’a été apportée au système (vous pouvez vérifier dans les différents onglets)

    Cocher toutes les entrées du registre et aussi, vérifier les autres onglet

    7/ Cliquer sur le bouton Suppression….SI…
    A l’inverse du bouton Scan, ce bouton supprime les infections de type rogue et modifie donc le système.
    Le rapport a été généré sur le bureau. ou dans l’onglet rapport :

    8/ Poster le rapport :(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)

    Important : Pour quitter l’outil

    Il faut passer par le bouton Fichier -> Quitter.

    Ce mode est le moyen de fermer l’outil correctement. En effet, si l’on ferme RogueKiller sans avoir utilisé ce mode, le driver créé par l’outil ne sera pas supprimé.

    Important : Toute sorte de manipulation avec un logiciel de désinfection peut planter le PC.
    Si vous utilisez seul un logiciel, c’est à vos risques et périls

    tutoriel officiel
    ICI

    le script :

    • Séléctionne et copie le script suivant :

      Script ZHPFix
      ShortcutFix
      O4 - GSQuickLaunch [pc compaQ]: Chrome.LNK . (.Google Inc. - Google Chrome.) -- C:Documents and Settingspc compaQLocal SettingsApplic~1GoogleChromeApplicationchrome.exe http://www.bahaty.com =>PUP.Bahaty
      O4 - GSQuickLaunch [pc compaQ]: Internet Explorer.LNK . (.Microsoft Corporation - Internet Explorer.) -- C:Program Files (x86)Internet Exploreriexplore.exe http://www.bahaty.com =>PUP.Bahaty
      O61 - LFC: 12/04/2015 - 21:27:11 ---A- . (...) -- C:Userspc compaQAppDataLocalTempdropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpy1b3wl.dll [43008] => Temporary file not necessary
      O61 - LFC: 12/04/2015 - 21:27:11 ---A- . (...) -- C:Userspc compaQAppDataLocalTempnss4872.tmpDropboxNSISTools.dll [68096] => Temporary file not necessary
      O61 - LFC: 12/04/2015 - 21:27:11 ---A- . (...) -- C:Userspc compaQAppDataLocalTempnss4872.tmpUAC.dll [30208] => Infection Rootkit (Rootkit.Agent)
      ProxyFix
      EmptyPrefetch
      EmptyFlash
      SysRestore
      FirewallRAZ
      EmptyTemp

    • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      1. Clique sur Importer
      2. Les lignes précedemment copiées doivent être collées dans le cadre
      3. Si c’est le cas, Clic sur “GO


      exemple :

    • Confirmes les nettoyages des données en cliquant sur “Oui
    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    • Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.
    • Ensuite faire un nouveau ZHPDiag , après un redémarrage

    Merci
    ^^

  • maadmai
    Participant
    Nombre d'articles : 6

    Rapport Rogue Killer:
    https://antimalware.top/download/kavheml35zrcygjuhkwarwu2ugxxyuxycqgpdfq8

    Rapport ZHPFix:
    https://antimalware.top/download/8et4kuvqzezxw7xv7gl27sekstv6lwc4req47nxo

    Rapport ZHPDiag après redémarrage:
    https://antimalware.top/download/lgbyu9gxw5vxzbyediskzyqh2pvxld7mrdisk6k6

    Le problème est toujours là :’)
    Merci pour l’aide, j’espère qu’il y a encore des trucs à faire :p:

  • buckhulk
    Participant
    Nombre d'articles : 2391

    Tu vas essayer de ^passer USBFix :

    1. Télécharge USBFix (de El Desaparecido) sur ton Bureau !

      Cliquer sur le bouton vert : télécharger en toute sécurité

      Patientez le temps de préparation du téléchargement

      OU Lien direct : Téléchargement USBFix

    2. Branche toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc…) sans les ouvrir.
    3. Fais clic droit dessus, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    4. Choisis l’option Nettoyage

    5. Copie et Colle le contenu du rapport qui apparaît à la fin du scan dans ta réponse

    Ensuite tu vas réinitialiser tous tes navigateurs (même ceux dont tu ne te sert pas !!) :

    [center:2p9kdbj7]Réinitialisations des Navigateurs[/center:2p9kdbj7]

    Souvent malgré des outils performants il est parfois nécessaire de réinitialiser ces navigateurs soi-même !

    Il est de plus conseillé de supprimer les raccourcis (marque page etc) que vous êtes habitué d’utiliser !

    Voici des liens officiels pour effectuer cette réinitialisation :

    Firefox

    Google Chrome

    Internet Explorer

    Ensuite faire un nouveau ZHPDiag , après un redémarrage et me dire comment ça va ?

    si cela ne va pas mieux il va falloir supprimer pas mal de trucs ….

    Merci ^^

  • maadmai
    Participant
    Nombre d'articles : 6

    Rapport USBFix:
    https://antimalware.top/download/79eovpduxhf2fep214ew4bs2k951bi6m8ai8wv2z

    Rapport ZHPDiag:
    https://antimalware.top/download/okt6rjzzawaqrl0j4sz40ng3lylgz3aqe1hxxz9m

    Désolé pour le retard, j’ai été pris par le boulot :’)
    Pour le problème initial, les raccourcis ne semble plus apparaître.
    Néanmoins, il y a des fichiers bizarres qui sont apparus sur mes disques durs, notamment un certain “bizo.mp3”. Dois-je les supprimer?

  • buckhulk
    Participant
    Nombre d'articles : 2391
    Désolé pour le retard, j'ai été pris par le boulot  :')

    Pas grave !

    Pour le problème initial, les raccourcis ne semble plus apparaître.

    Oui je pense que le problème est réglé !

    Néanmoins, il y a des fichiers bizarres qui sont apparus sur mes disques durs, notamment un certain "bizo.mp3". Dois-je les supprimer?

    Si tu ne les connais pas oui c’est que tu as du brancher un MP” ou quelque chose y ressemblant ??

    pour l’infection sur Internet Explorer , supprime là manuellement (tu suis le chemin….:

    C:Program Files (x86)Internet Exploreriexplore.exe http://www.bahaty.com =>PUP.Bahaty

    et réinitialise Internet Explorer : Internet Explorer

    dis moi ce qu’il en est …

    :merci2:

  • maadmai
    Participant
    Nombre d'articles : 6

    Je n’arrive pas à le supprimer!
    Message d’erreur: Vous avez besoin de l’autorisation de la part de TrustedInstaller pour modifier ce fichier.
    Par contre j’ai déjà réinitialisé mon IE. N’est-ce pas suffisant?

  • buckhulk
    Participant
    Nombre d'articles : 2391
    Par contre j'ai déjà réinitialisé mon IE. N'est-ce pas suffisant?

    C’est à toi de voir , moi ZHPDiag montre cette ligne comme infectieuse , donc…..

    mais si ça ne te gène pas !!!

    Vous avez besoin de l'autorisation de la part de TrustedInstaller pour modifier ce fichier.

    sinon là tu as toutes les explications : TrustedInstaller

    pourquoi vous installez toujours des antivirus bizarre ?

    sinon tu as aussi ça pour arrêter TrustedInstaller :

    TrustedInstaller 2

    si pour toi ça va , pour moi aussi :
    voici les canneds de fin et quelques conseils :

    [fin2desinf:2f0k51ap][/fin2desinf:2f0k51ap]
    [diapo2:2f0k51ap][/diapo2:2f0k51ap]

    Mes conseils :

    fin de désinfection

    Pour commencer , à lire , instructif :

    [glow=red:2f0k51ap]Concernant les P2P[/glow:2f0k51ap]
    __________________________________________________________________________________
    Et aussi :

    Guide des menaces informatiques PDF

    Et :

    Adware prévention: lien direct

    __________________________________________________________________________________

    Pour terminer :
    Les programmes que nous avons utilisés ne doivent pas être conservés.
    Beaucoup d’entre eux peuvent être dangereux et entrainer des dommages irréversibles sur ton système s’ils sont utilisés sans l’aide d’une personne qualifiée, de plus, fréquemment modifiés et mis à jour par leurs auteurs ils deviennent très rapidement obsolètes, en plus d’encombrer inutilement ton bureau.

    1/ Désinstallation des outils :
    Delfix

    Delfix à changé et est devenu plus performant !
    A – Télécharges DelFix sur votre bureau ICI
    Cliquer sur le bouton vert : télécharger en toute sécurité

    Patientez le temps de préparation du téléchargement

    B – Vous pouvez cocher la case “réactiver l’UAC” s’il a été désactivé !

    la case “supprimer les outils de désinfection est cochée par défaut !

    C – vous pouvez cocher la case “éffectuer une sauvegarde du registre ! (au cas ou il y est un pb.)
    D – vous pouvez cocher la case “purger la restauration système” tous les anciens points seront supprimés et un nouveau “sain” sera créé !
    E – enfin cliquez sur : exécuter
    ps : Pour usage simple si rien n’est indiqué le passer comme il est programmé !
    __________________________________________________________________________________

    2/ Puis nettoyage
    CCleaner

    Instalation et fonctionnement de Ccleaner (N’installe pas la Yahoo Toolbar)
    Cliquer sur le bouton vert : télécharger en toute sécurité

    Patientez le temps de préparation du téléchargement
    __________________________________________________________________________________

    a – Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n’est pas un logiciel qui supprime les infections
    b- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc….
    c- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
    d- Lance le nettoyage autant de fois qu’il faut pour que ce soit vide !

    Attention aux programmes du démarrage , (qui restent actifs tout le temps (évidement))
    laisse Ccleaner comme il est paramétré , c’est plus léger mais c’est plus sur !!!
    pour les désactiver (les programmes au démarrage) , moi j’utilise ccleaner
    >> je l’ouvre >> onglet >> option , puis >>démarrage et je désactive certains programmes
    je te conseille de désactiver tous les programmes (surtout ceux que tu ne connais pas !) sinon >> recherche google !
    sauf l’antivirus !
    (sur les 3 ou 4 moteurs de recherche présent ! si..!)
    (les programmes seront toujours là quand tu en auras besoin mais ne “tourneront” plus continuellement !)

    puis à l’onglet recherche , supprimer , puis encore recherche et supprimer !plusieurs fois , jusqu’a ce qu’il n’y ai plus rien
    en suite la fin tu fermes et tu redemarres ton ordinateur pour que tes paramètrages soit pris en compte !

    ___________________________________________________________________________________
    3/ (si cela n’a pas été fait avec Delfix) Désactive la restauration système et crée un point de restauration

    1 – Dans la barre des tâches de Windows, clique sur Démarrer.
    2 – Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
    3 – Dans l’onglet Restauration du système, coche “Désactiver la Restauration du système”
    4 – Clique sur Appliquer.
    5 – Ensuite décoche “Désactiver la restauration du système”
    6 – Clique sur appliquer puis ok

    Crée un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils système => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides .
    ___________________________________________________________________________________

    OU : Logiciel de Lady >>(très simple d’utilisation) : oneclick-2-restore-point
    ___________________________________________________________________________________

    SXCU de Igor 51, Logiciel intéressant pour les mises à jour java, adobe , etc..
    ____________________________
    Tutoriel
    ___________________________________________________________________________________
    D’autre liens TRÈS utiles Pour les mises à jour :

    Java : https://www.sosvirus.net/telecharger/java/
    Adobe reader : https://www.sosvirus.net/telecharger/adobe-reader/
    Flash player : https://www.sosvirus.net/telecharger/flash-player/
    Update checker : https://www.sosvirus.net/telecharger/update-checker/
    Delfix : https://www.sosvirus.net/telecharger/delfix/
    Ccleaner : https://www.sosvirus.net/telecharger/ccleaner/
    Unchecky : https://www.sosvirus.net/telecharger/unchecky/
    Comodo : https://www.sosvirus.net/telecharger/comodo-firewall-windows/
    ___________________________________________________________________________________

    Maintenant je te propose un peu de lecture !

    1/ – Conserve MBAM ICI
    Cliquer sur le bouton vert : télécharger en toute sécurité

    Patientez le temps de préparation du téléchargement

    Il te servira à scanner les fichiers douteux en complément de l’antivirus et scanne le disque dur régulièrement. Mais n’oublie pas de faire la mise à jour avant de lancer le scan.

    2/ – Installe l’extension de sécurité adblock plus pour bloquer les publicités
    3/ – Extension pour ton navigateur internet : WOT

    Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :

    Pour Firefox : WOT Firefox

    Pour internet explorer: WOT IE

    Pour Chrome : plus d’outils >> Extension >> plus d’extensions >> WOT

    4/ – Tutoriel pour t’aider à installer WOT

    5/ – Tu peux lire ce sujet sur les logiciels recommandés

    6/ – Quels sont les logiciels à éviter ?

    7/ – Si tu utilises FireFox, vérifie que tes plugins sont à jour

    8/ – Comment reconnaitre les PUPS ?

    9/ – Les Toolbars ce n’est pas obligatoire !

    10/ – La sécurité de son PC c’est quoi ?

    11/ – Maintenir ses programmes à jour : Sécunia

    – Sois plus vigilant(e) sur Internet à l’avenir !
    Voilà pour moi c’est terminé.
    Si tu as des questions n’hésite pas.

    Bonne fin de semaine ^^

  • maadmai
    Participant
    Nombre d'articles : 6

    C’est bon j’ai réussi à supprimer le PUP.
    Merci énormément pour votre aide. Je prendrai compte de vos conseils à l’avenir!
    Je recommanderai biensur ce forum à chacun de mes connaissances 😀
    Merci encore!

Le sujet ‘Wscript.exe corrompu?’ est fermé à de nouvelles réponses.