FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[start]

Bonjour,

Après avoir installé un logiciel (deluge), je me suis retrouvé avec un grand nombre d'adwares et un changement de mon navigateur de recherche ainsi que des toolbars...
J'ai immédiatement désinstallé et supprimé ce programme en passant par le panneau de configuration désinstaller ou modifié un programme puis avec AdwCleaner, mais il me reste une icône de raccourci sur mon bureau "Continue Live Installation". La cible indiquée dans les Propriétés est la suivante : C:\Users\nom de l'ordi\AppData\Local\Temp\ICReinstall_nsy343A.tmp /RR.

Voici un récapitulatif de mes actions :

Avast ne trouve rien.
Malwarebytes ne trouve rien.
AdwCleaner a trouvé plusieurs infections et les a supprimés sauf 3 dans firefox et 1 dans chrome.
Junkware Removal Tool trouve un fichier dans firefox, mais ne le supprime pas.
ZHPCleaner ne fonctionne pas et me donne le message d'erreur suivant : AutoIt Error Line 6339 (File "C:\Users\nom de l'ordi\Desktop\antivirus\ZHPCleaner.exe") Error: Subscript used on non-accessible variable.
AdsFix commence la détection, mais cesse toujours de fonctionner à 65 %, le programme se ferme et je dois rebooter.

J'ai bien désactivé mon antivirus et ai exécuté tous ces programmes en tant qu'administrateur donc je me demande si un autre programme (indésirable) peut bloquer ou gêner l'exécution de ceux-ci ? Que puis-je faire ? Et sauriez-vous me dire si en supprimant simplement cette icône de raccourci "Continue Live Installation", je me débarrasse de ce programme ou bien si une intervention plus sérieuse est nécessaire ?

Merci pour votre aide

[g3n-h@ckm@n]

salut fais voir le rapport d'adsfix que tu as dans c: stp

[start]

http://cjoint.com/?DHocW0AOu5E

Voilà mon dernier rapport d'AdsFix. Le programme a cessé de fonctionner à 65 % alors qu'il me détectait huit infections.

Merci.

[g3n-h@ckm@n]

avast c'est le payant ou le gratuit ?

[start]

Le gratuit mis à jour.

[g3n-h@ckm@n]

re

ok retente de le passer en mode sans echec avec prise en charge reseau

[start]

Même en mode sans échecs avec prise en charge réseau AdsFix a cessé de fonctionner à 65 %, mais il ne m'a détecté aucune infection cette fois ci. Je poste mon rapport :

http://cjoint.com/?DHpdEzrGreg

[g3n-h@ckm@n]

ok mets à jour windows il est pas à jour

[start]

Voilà c'est fait je viens de le mettre à jour.

[g3n-h@ckm@n]

re

• Copie le script ci dessous :
  
  HKCU\Software
      HKCU\Software\AppDataLow /s
      HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s
      HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /s
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s
      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /s
      HKLM\Software\Microsoft\Windows\CurrentVersion\RunMRU /s
      HKLM\System\CurrentControlSet\Control\Session Manager\AppcertDlls /s
      %Homedrive%\*
      %Homedrive%\*.
      %Homedrive%\Recycler\*.exe /s
      %Homedrive%\Recycler\*.scr /s
      %Homedrive%\Recycler\*.pif /s
      %Homedrive%\Recycler\*.vb* /s
      %Homedrive%\$Recycle.bin\*.exe /s
      %Homedrive%\$Recycle.bin\*.scr /s
      %Homedrive%\$Recycle.bin\*.pif /s
      %Homedrive%\$Recycle.bin\*.vb* /s
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\*
      %Userprofile%\Local Settings\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programFiles%\*.
      %programfiles%\Google\Desktop\*.
      %ProgramFiles%\Common Files\*.
      %ProgramFiles(X86)%\Common Files\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\PSS\* /s
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\syswow64\Tasks\*
      %systemroot%\syswow64\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Aide : Comment héberger un fichier sur SOSUpload ?
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[start]

Voici mes 2 rapports OTL.txt et Extras.txt.

http://cjoint.com/?DHtqoi8nQkj
http://cjoint.com/?DHtqqaYfuXD

Merci

[g3n-h@ckm@n]

re

désinstalle java il est pas à jour

colle ca en bas d'OTL , clique sur correction , puis fournis le rapport qu'il te donnera au redemarrage

:OTL
[2014/07/30 06:24:02 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
[2014/07/30 06:24:02 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
O2 - BHO: (no name) - {074C1DC5-9320-4A9A-947D-C042949C6216} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1049370075-3775034073-3968020865-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2014/08/11 04:12:56 | 000,000,000 | ---D | C] -- C:\Users\najwa\Desktop\antivirus
[2014/08/08 01:04:17 | 000,000,000 | ---D | C] -- C:\Users\najwa\AppData\Roaming\ap_logs
[1 C:\Windows\*.tmp files - C:\Windows\*.tmp - ]
[1 C:\Users\najwa\AppData\Local\*.tmp files - C:\Users\najwa\AppData\Local\*.tmp - ]
[1 C:\Program Files (x86)\*.tmp files - C:\Program Files (x86)\*.tmp - ]
[2012/06/15 03:23:58 | 000,000,000 | -HSD | M] -- C:\ProgramData\NxtngnR
[2013/05/21 01:28:03 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{AC76BA86-7AD7-FFFF-7B44-A91000000001}


:reg
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
""=-
"iTunesHelper"=-
"QuickTime Task"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0

:files
C:\Windows\Temp\*

:commands
[emptytemp]

[start]

J'ai désinstallé java avec CCleaner et voici mon nouveau rapport d'OTL :

http://cjoint.com/?DHveCaVqS6C

[g3n-h@ckm@n]

hello

pourquoi tu l'as fait plusieurs fois ?

[start]

La première fois mon ordinateur a planté au redémarrage (je n'avais pas fermé tous les programmes) et la seconde je n'avais pas exécuté OTL en tant qu'administrateur, je l'ai donc refait en tant que tel. Pourquoi ? Il ne fallait pas ? J'ai les deux premiers rapports si tu veux ?

[g3n-h@ckm@n]

bonsoir tu peux préciser exactement ceci ?

La première fois mon ordinateur a planté au redémarrage

[start]

OTL m'a demandé de redémarrer l'ordinateur pour finaliser sa correction, mais comme j'avais oublié de fermer un programme en cours Windows m'a demandé si je voulais forcer l'arrêt de ce programme ce que j'ai accepté, mais voyant que le redémarrage prenait beaucoup de temps (environ 2h) j'ai estimé qu'il s'était bloqué et ai alors éteins l'ordinateur manuellement. Après l'avoir rallumé, OTL m'a quand même fourni un rapport. Le veux-tu ?

[g3n-h@ckm@n]

bah bien que je pense le connaitre , poste-le toujours

[start]

Le voila

http://cjoint.com/?DHwpgKed14t

[g3n-h@ckm@n]

bonjour c'était bien ca

des soucis persistent ?

[start]

Mon souci était d'avoir des adwares et une icône de raccourci sur mon bureau "Continue Live Installation" avec pour cible indiquée dans les Propriétés : C:\Users\nom de l'ordi\AppData\Local\Temp\ICReinstall_nsy343A.tmp /RR. Maintenant je n'ai il me semble plus d'adwares mais cette icône est toujours présente hors à présent si je double clic dessus cela m'indique : L'élément ICReinstall_nsy343A.tmp  auquel ce raccourci renvoie a été modifié ou déplacé si bien qu'il ne fonctionne plus correctement. Voulez-vous supprimer ce raccourci ?
Est-ce que je peux tout bêtement supprimer ce raccourci sans craindre qu'un quelconque programme reste et veux tu un nouveau rapport d'otl pour voir si mon ordi est clean ? merci

[g3n-h@ckm@n]

bonsoir oui tu peux il est tout seul

et tu peux finir avec ce ménage :

http://gen-hackman.purforum.com/t50-fin-de-desinfection

[start]

J'ai suivi toutes les instructions demandées dans le lien et la fin de la désinfection s'est achevée sans problème donc je pense que c'est bon. Je te poste mon rapport DelFix au cas ou. Merci.

http://cjoint.com/?DHCq5wXVY8y

[g3n-h@ckm@n]

tu avais désinstallé adsfix manuellement ? ok

bonne route alors