[Résolu] ordi très infecté - Forum d'Entraide Informatique (FEI)

[Résolu] ordi très infecté#120150

par pascalerevert - mer. 16 avr. 2014 13:48

- mer. 16 avr. 2014 13:48 #120150

Bonjour, j'ai des fenêtres qui s'ouvrent sur internet ainsi que des logiciels qui démarrent tous seuls

Merci de votre aide

PS je poste un rapport adw cleaner
http://cjoint.com/?3DqnVYlrFwS

ordi très infecté#120247

par 2011N2 - mer. 16 avr. 2014 16:16

- mer. 16 avr. 2014 16:16 #120247

Bonjour,

Passe Shortcut_Module et poste le rapport hébergé : http://www.forum-entraide-informatique. ... e-tutoriel

Gabriel.

ordi très infecté#120252

par Dori@n - mer. 16 avr. 2014 16:28

- mer. 16 avr. 2014 16:28 #120252

Bonjour Gabriel

J'ai commencé avec Katy par MP, et vu que là tu as répondu, je te laisse la suite

Elle a fait Adwcleaner - JRT - SFTGC - Malwarebytes - zhpdiag -

Je te donne les rapports :

http://cjoint.com/?3Dqo7IEJdrX

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.4 (04.06.2014:1)
OS: Windows 7 Home Premium x64
Ran by Famille_revert on 16/04/2014 at 14:46:21,16
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~ Services

~~~ Registry Values

~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\dynconie.dynconieobject
Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\dynconie.dynconieobject.1
Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\Interface\{2830488C-079B-45C2-88B6-AFE4EAA2DF85}
Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\TypeLib\{781CA792-9B6E-400B-B36F-15C097D2CA54}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-3515235471-2405683350-3946769568-1000\Software\sweetim
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\sweetim
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110411411150}
Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110511161180}

~~~ Files

~~~ Folders

Successfully deleted: [Folder] "C:\Users\Famille_revert\appdata\locallow\datamngr"

~~~ Event Viewer Logs were cleared

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 16/04/2014 at 14:53:07,18
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

http://cjoint.com/?3DqqkgBIYJG

Et voilà le zhpdiag :

http://cjoint.com/?3DqqvqZyiYX

Cdlt

[

ordi très infecté#120256

par pascalerevert - mer. 16 avr. 2014 16:42

- mer. 16 avr. 2014 16:42 #120256

coucou Gabriel,

du coup c'est fini la désinfection ?

ordi très infecté#120258

par Dori@n - mer. 16 avr. 2014 16:43

- mer. 16 avr. 2014 16:43 #120258

Re,

Non loin de là, fais shortcut_module pour Gabriel

Allez je me sauve

Cdlt.

[

ordi très infecté#120260

par pascalerevert - mer. 16 avr. 2014 16:43

- mer. 16 avr. 2014 16:43 #120260

d'ac a bientot Angel, je t'enverrai des chocolats

ordi très infecté#120265

par pascalerevert - mer. 16 avr. 2014 16:47

- mer. 16 avr. 2014 16:47 #120265

re,
shorcut module me demande ue mise à jour je fais ok et rien ne se passe, il me demande toute les 3 secondes

ordi très infecté#120269

par 2011N2 - mer. 16 avr. 2014 16:58

- mer. 16 avr. 2014 16:58 #120269

Salut,

Il y a un bug avec Shortcut_Module en ce moment, le développeur devrait corriger ça, passe AdwCleaner.

Gabriel.

Re: [Résolu] ordi très infecté#120274

par pascalerevert - mer. 16 avr. 2014 17:05

- mer. 16 avr. 2014 17:05 #120274

re,

voila adw cleaner

# AdwCleaner v3.023 - Rapport créé le 16/04/2014 à 17:02:51
# Mis à jour le 01/04/2014 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Famille_revert - FAMILLE-REVERT
# Exécuté depuis : C:\Users\Famille_revert\Downloads\adwcleaner (1).exe
# Option : Nettoyer

***** [ Services ] *****

***** [ Fichiers / Dossiers ] *****

***** [ Raccourcis ] *****

***** [ Registre ] *****

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.16521

-\\ Google Chrome v33.0.1750.117

[ Fichier : C:\Users\Famille_revert\AppData\Local\Google\Chrome\User Data\Default\preferences ]

*************************

AdwCleaner[R0].txt - [32964 octets] - [16/04/2014 13:40:37]
AdwCleaner[R1].txt - [960 octets] - [16/04/2014 17:01:22]
AdwCleaner[S0].txt - [28102 octets] - [16/04/2014 13:41:31]
AdwCleaner[S1].txt - [882 octets] - [16/04/2014 17:02:51]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [941 octets] ##########

ordi très infecté#120278

par 2011N2 - mer. 16 avr. 2014 17:14

- mer. 16 avr. 2014 17:14 #120278

Re,

OK, patientons pour Shortcut_Module.

Gabriel.

ordi très infecté#120282

par pascalerevert - mer. 16 avr. 2014 17:16

- mer. 16 avr. 2014 17:16 #120282

re,

ok ça m'arrange je dois y aller donc a plus tard

merci Gabriel

ordi très infecté#120283

par 2011N2 - mer. 16 avr. 2014 17:17

- mer. 16 avr. 2014 17:17 #120283

Re,

OK @+

Gabriel.

ordi très infecté#120403

par 2011N2 - jeu. 17 avr. 2014 09:56

- jeu. 17 avr. 2014 09:56 #120403

Salut,

Relance Shortcut_Module cela devrait être OK, sinon supprime-le puis retélécharge-le.

Gabriel.

ordi très infecté#120520

par pascalerevert - jeu. 17 avr. 2014 19:02

- jeu. 17 avr. 2014 19:02 #120520

Salut Gabriel,

j'ai passé shortcut par contre je n'ai pas de rapport qui s'est affiché.

J'ai une fenetre qui s'est affiché :
avgnt.exe - erreur d'application
L'instruction à 0x6d6b990a emploi l'adresse mémoire 0x00000020. la mémoire ne peut pas être en état "read". Cliquez sur ok pour relancer le programme

ordi très infecté#120522

par pascalerevert - jeu. 17 avr. 2014 19:05

- jeu. 17 avr. 2014 19:05 #120522

J'ai trouvé

http://cjoint.com/?3Drte0Z5zEs

ordi très infecté#120525

par 2011N2 - jeu. 17 avr. 2014 19:16

- jeu. 17 avr. 2014 19:16 #120525

Re,

Fais un diagnostic de ton PC avec ZHPDiag et poste le rapport hébergé : http://www.forum-entraide-informatique. ... g-tutoriel

Gabriel.

ordi très infecté#120529

par pascalerevert - jeu. 17 avr. 2014 19:25

- jeu. 17 avr. 2014 19:25 #120529

re,

voila zhpdiag

http://cjoint.com/?3DrtyCY2GlU

ordi très infecté#120535

par 2011N2 - jeu. 17 avr. 2014 19:43

- jeu. 17 avr. 2014 19:43 #120535

Re,

Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.

Gabriel.

ordi très infecté#120538

par pascalerevert - jeu. 17 avr. 2014 19:59

- jeu. 17 avr. 2014 19:59 #120538

re,

voila

Rapport de ZHPFix 2014.4.13.3 par Nicolas Coolman, Update du 13/04/2014
Fichier d'export Registre :
Run by Famille_revert at 17/04/2014 19:58:16
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 01s)
Dossier Prefetcher vidé

========== Etat des services ==========
WSTLIBG64 Arrêté

========== Clés du Registre ==========
SUPPRIMÉ Driver Key: wStLibG64
SUPPRIMÉ:* HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASAPI32
SUPPRIMÉ:* HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BabMaint_RASAPI32
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BabMaint_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\biclient_RASAPI32
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\biclient_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\fst_fr_105_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\iMeshSetup-r333-w-bc_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Iminent_1712-b2fcad5e_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Lollipop_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\melondrea_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\omigaplus_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updatemelondrea_RASMANCS
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilFortunitas_RASMANCS

========== Valeurs du Registre ==========
SUPPRIMÉ: {9280176E-3CF6-4A64-A4AF-D7C3D9D101F4}
SUPPRIMÉ: UDP Query User{5D9252F6-6BF2-4040-8446-D869974BBC24}C:\users\famille_revert\appdata\roaming\cacaoweb\cacaoweb.exe
SUPPRIMÉ: UDP Query User{32634E54-A11F-4354-A567-3B5D65BE8313}C:\users\famille_revert\appdata\roaming\cacaoweb\cacaoweb.exe
SUPPRIMÉ: {0BC45411-57CA-4D08-A810-5E206BE443C7}

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichiers ==========
SUPPRIMÉ Redémarrage: c:\windows\system32\drivers\wstlibg64.sys
SUPPRIMÉS Temporaires Windows (5) (7 039 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Tache planifiée ==========
SUPPRIMÉ: PCHelpers1st
SUPPRIMÉ: PCHelpers_period
SUPPRIMÉ: {18E794FF-80B5-474A-AB9D-4CF81CDF80B1}

========== Restauration Système ==========
Aucun Point de restauration du système crée

========== Récapitulatif ==========
15 : Clés du Registre
4 : Valeurs du Registre
1 : Dossiers
3 : Fichiers
1 : Etat des services
3 : Tache planifiée
1 : Restauration Système

End of clean in 00mn 26s

========== Chemin de fichier rapport ==========
C:\Users\Famille_revert\AppData\Roaming\ZHP\ZHPFix[R1].txt - 17/04/2014 19:58:18 [2651]

ordi très infecté#120548

par 2011N2 - jeu. 17 avr. 2014 20:48

- jeu. 17 avr. 2014 20:48 #120548

Re,

Comment se comporte le PC ?

Fais un nouveau rapport ZHPDiag.

Gabriel.

ordi très infecté#120551

par pascalerevert - jeu. 17 avr. 2014 20:53

- jeu. 17 avr. 2014 20:53 #120551

voila Gabriel,

http://cjoint.com/?3Dru0bjszVG

l'ordi va beaucoup mieux, plus de fenêtre qui s'ouvrent ....

ordi très infecté#120552

par 2011N2 - jeu. 17 avr. 2014 21:07

- jeu. 17 avr. 2014 21:07 #120552

Re,

Analyse sur VirusTotal comme ceci : http://www.forum-entraide-informatique. ... l-tutoriel
Le fichier suivant : C:\Windows\System32\drivers\wStLibG64.sys
Poste le lien de l'analyse.

Gabriel.

ordi très infecté#120568

par pascalerevert - jeu. 17 avr. 2014 21:53

- jeu. 17 avr. 2014 21:53 #120568

re Gabriel,

Je ne l'ai pas ce fichier en passant par virustotal, je le vois pourtant dans l'explorateur

ordi très infecté#120569

par 2011N2 - jeu. 17 avr. 2014 21:55

- jeu. 17 avr. 2014 21:55 #120569

Re,

Alors installe le petit utilitaire VirusTotalUploader : https://www.virustotal.com/fr/documenta ... l-uploader

Ensuite tu feras un clic droit sur le fichier = Send to VirusTotal = Reanalyze.

Gabriel.

ordi très infecté#120570

par pascalerevert - jeu. 17 avr. 2014 21:58

- jeu. 17 avr. 2014 21:58 #120570

Voila, je pense...

https://www.virustotal.com/fr/file/2993 ... 397764612/

ordi très infecté#120571

par 2011N2 - jeu. 17 avr. 2014 21:59

- jeu. 17 avr. 2014 21:59 #120571

Re,

Mmmmmh non tu as analysé VirusTotalUploader et pas le fichier que j'ai indiqué.

Gabriel.

ordi très infecté#120572

par pascalerevert - jeu. 17 avr. 2014 22:19

- jeu. 17 avr. 2014 22:19 #120572

et la?

https://www.virustotal.com/fr/file/61a5 ... 395855020/

ordi très infecté#120573

par 2011N2 - jeu. 17 avr. 2014 22:21

- jeu. 17 avr. 2014 22:21 #120573

Re,

Toujours pas apparemment.

Va sur ce fichier : C:\Windows\System32\drivers\wStLibG64.sys
Clic droit dessus = Send to VirusTotal.

Gabriel.

ordi très infecté#120575

par pascalerevert - jeu. 17 avr. 2014 22:26

- jeu. 17 avr. 2014 22:26 #120575

j'ai fais j'espere que c'est bon j'ai bien pris celui que tu m'a dis

https://www.virustotal.com/fr/file/61a5 ... 395855020/

ordi très infecté#120576

par 2011N2 - jeu. 17 avr. 2014 22:35

- jeu. 17 avr. 2014 22:35 #120576

Re,

Il y a comme nom du fichier : vt-upload-r3sEmC
Et en plus l'analyse date du 26/03, il faut que tu cliques sur Reanalyze dans la petite fenêtre de VirusTotalUploader.

Gabriel.

ordi très infecté#120577

par pascalerevert - jeu. 17 avr. 2014 22:43

- jeu. 17 avr. 2014 22:43 #120577

Oué la je crois qu'on est bon

https://www.virustotal.com/fr/file/61a5 ... 397767322/

ordi très infecté#120604

par 2011N2 - ven. 18 avr. 2014 09:49

- ven. 18 avr. 2014 09:49 #120604

Salut,

Oui c'est bon.

Tu peux passer à la finalisation : http://www.forum-entraide-informatique. ... nalisation
Tiens-moi au courant de ton avancée au fur et à mesure.

Gabriel.

ordi très infecté#120848

par pascalerevert - sam. 19 avr. 2014 18:28

- sam. 19 avr. 2014 18:28 #120848

salut Gabriel,

J'ai commencé la finalisation

J'ai installé SECUNIA PSI et il m'a mis un message me disant que windows update n'etait pas a jour donc j'ai lancé une mise à jour en passant par internet explorer.

Peux tu me dire aussi si l'antivirus que l'ai (avira) est bon ou si je dois le changer ?

merci

ordi très infecté#120854

par pascalerevert - sam. 19 avr. 2014 19:18

- sam. 19 avr. 2014 19:18 #120854

Re,

SECUNIA PSI me demande des mises à jours que j'ai fait deja 2 fois
il y a "microsoft xxl score service 5 fois et cd bruner xp

J'ai fais les mises à jour en passant internet explorer mais il ne les prend pa en compte on dirait

bon je continue la finalisation en attendant .....

ordi très infecté#120866

par 2011N2 - sam. 19 avr. 2014 20:29

- sam. 19 avr. 2014 20:29 #120866

Salut,

Pour Secunia il faut que tu fasses un nouveau scan des logiciels.

Avira est correcte, mais personnellement je préfère Avast (Avira obligeant à installer une barre d'outil pour fonctionner...).

Gabriel.

ordi très infecté#120869

par pascalerevert - sam. 19 avr. 2014 20:48

- sam. 19 avr. 2014 20:48 #120869

Re Gabriel,

C'est bon pour secunia....

Par delfix ne fonctionne pas, lorsque je clic sur le lien ça bug et me met page instrouvable..
J'ai essayé en passant directement par le site Changelog mais c'est pareil

ordi très infecté#120881

par 2011N2 - sam. 19 avr. 2014 22:05

- sam. 19 avr. 2014 22:05 #120881

Re,

Essaye de le prendre ici : http://www.commentcamarche.net/download ... 650-delfix

Gabriel.

ordi très infecté#120889

par pascalerevert - sam. 19 avr. 2014 22:34

- sam. 19 avr. 2014 22:34 #120889

Re Gabriel,

ça a fonctionné voila le rapport

# DelFix v10.6 - Rapport créé le 19/04/2014 à 22:33:18
# Mis à jour le 11/11/2013 par Xplode
# Nom d'utilisateur : Famille_revert - FAMILLE-REVERT
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\Shortcut_Module
Supprimé : C:\AdwCleaner
Supprimé : C:\Users\Famille_revert\AppData\Roaming\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Famille_revert\Desktop\JRT.txt
Supprimé : C:\Users\Famille_revert\Desktop\SFTGC.txt
Supprimé : C:\Users\Famille_revert\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Famille_revert\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Famille_revert\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Famille_revert\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Famille_revert\Downloads\adwcleaner (1).exe
Supprimé : C:\Users\Famille_revert\Downloads\adwcleaner.exe
Supprimé : C:\Users\Famille_revert\Downloads\JRT.exe
Supprimé : C:\Users\Famille_revert\Downloads\SFTGC.exe
Supprimé : C:\Users\Famille_revert\Downloads\ZHPDiag2.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########