FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[so6power]

Bonjour à tous,

mon PC a attrapé la vérole

Je ne peux plus lancer des nombreux exe, y compris adwcleaner que je dois exécuter en mode sans échec.

Le rapport ZHPDiag se trouve ici: http://www.cjoint.com/?DHgxsvMCGGD

Merci pour vos conseils éclairés!

[g3n-h@ckm@n]

salut

Laisser travailler l'outil même s'il parait bloqué

Désactiver temporairement l'antivirus , ou les agents de protection qu'il contient. (jusqu'au redemarrage est le mieux pour la tranquilité)
Télécharger AdsFix ici :
http://www.telecharger.sosvirus.net/download/adsfix/
L' enregistrer sur le bureau, et le lancer



cliquer sur "Nettoyer" puis laisser tourner le scan :



Attention : il fermera les programmes en cours d'utilisation tels que IE, Firefox, Word etc...

Si l'outil détecte un proxy et qu'aucun n'a été installé et qu'il n'y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy
Il donnera un rapport en fin d’exécution , dans C:\AdsFix_xx_xx_xx_xx_xx_xx.txt (les "x" étant des chiffres)
le pc va redemarrer
Héberger le rapport sur http://cjoint.com puis fournir le lien obtenu

Note : En fin de désinfection (ET PAS AVANT) relancer l'outil et cliquer sur "Options" puis sur "Désinstaller" pour le desinstaller totalement

[so6power]

Bonjour,

l'install (et non le scan) d'AdsFix tourne depuis 1h, sans résultat
J'ai essayé en mode sans échec, ça télécharge la màj mais reviens systématiquement à la 1ère étape d'installation (je tourne en boucle).

Y a t'il une autre manip à faire?

Max

[g3n-h@ckm@n]

bonjour

• Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !
  
  Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
• Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( Aide )
• Télécharge Pre_Scan sur ton bureau !
• Si le lien n'est pas fonctionnel :
• #ICI (renommé winlogon)

[*]Si l'outil est bloqué par l'infection essaye avec d'autres extensions :

[*]#SCR
[*]#PIF
[*]#COM

[*]Si des Proxy sont détectés et que tu n'en as pas installé :

[*]Clique sur Supprimer le Proxy

[*]A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
[*]Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com puis donne le lien

[so6power]

Bonsoir,

voici le rapport Pre Scan: http://cjoint.com/?DHnwoUdC0Sw

Cordialement

[g3n-h@ckm@n]

re

si pre_scan passe , AdsFix doit passer

[so6power]

Bonjour,

après un peu de nettoyage et bidouille, j'ai réussi à utiliser AdsFix.
Voici le rapport: http://cjoint.com/?DHsifSn5RPB

http://cjoint.com/?DHsifSn5RPB

[g3n-h@ckm@n]

hello relance l'outil , clique sur option , puis restaurer fichier / dossiers , puis restaure ces trois fichiers :

C:\Program Files\MediaMonkey\LyricsFetcher.exe
C:\Program Files\MediaMonkey\LyricsFetcher.exe.config
C:\Program Files\MediaMonkey\LyricsFetcher.exe.manifest

te en selectionnes un et tu cliques sur restaurer , à chaque fichier

ensuite :

• Télécharge MalwareBytes
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
• Clic sur Mettre à jour (à droite, au centre)
• Clic sur Examen (en haut)
• Sélectionne Examen "Menaces"
• Clic sur Examiner maintenant
  
  
• A la fin du scan clic sur Tout mettre en quarantaine !
• Clic sur Copier dans le Presse-papiers
• Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

[so6power]

Bonsoir,

à la fin du scan, Malwarebytes a cessé de fonctionner.

Voici la copie du rapport après le 2d scan:

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Scan Date: 18/08/2014
Scan Time: 23:13:27
Logfile:
Administrator: Yes

Version: 2.00.2.1012
Malware Database: v2014.08.18.09
Rootkit Database: v2014.08.16.01
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled

OS: Windows 7 Service Pack 1
CPU: x86
File System: NTFS
User: Max

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 379735
Time Elapsed: 13 min, 57 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 0
(No malicious items detected)

Registry Values: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 0
(No malicious items detected)

Physical Sectors: 0
(No malicious items detected)


(end)

[g3n-h@ckm@n]

bonsoir tu as reussi à restaurer les trois fichiers précédemment cités ?

[so6power]

Bonjour,

oui ces fichiers ont été restaurés.

Cdt

[g3n-h@ckm@n]

re

ok on va faire un diag :

lance cet outil , et héberge le rapport sur cjoint.com et donne le lien

le rapport se trouvera sur ton bureau "Pre_Diag_da_te_heure.txt", et dans C:\ il y a une copie aussi

http://www.aht.li/2448447/QuickDiag.exe

[so6power]

Bonjour,

voici le rapport du diag: http://cjoint.com/?DHuiGItcbk4

[g3n-h@ckm@n]

re

Fais analyser le(s) fichier(s) suivants sur Virustotal :

http://www.virustotal.com/index.html

   clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\system32\AirfoilInject3.dll

   * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
   * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
   * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

=======================

▶ Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.

▶ Télécharge https://www.sosvirus.net/telecharger/otm/ OTM (OldTimer) sur ton Bureau :

▶ Double-clique sur OTM.exe afin de le lancer.

▶ Copie (Ctrl+C) le texte suivant ci-dessous :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:reg
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}"=-
[HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}]
[-HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]  
[-HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]
[-HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
[-HKLM\Software\Google\Chrome\Extensions\bodddioamolcibagionmmobehnbhiakf]    
[-HKLM\Software\ASK]    
[-HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\Software\YahooPartnerToolbar]    

:files
C:\Users\Go1bike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tbhcn.lnk
C:\ProgramData\{94D867E5-DFF5-4374-ADEE-C3F5BE97F03A}    
C:\windows\System32\Tasks\{261B61F8-EF73-4596-937B-7AEF2F621242}

:commands
[emptytemp]
[reboot]

▶ Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

▶ Clique maintenant sur le bouton MoveIt! puis ferme OTM

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

▶ Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

*Le nom du rapport correspond au moment de sa création : date_heure.log

[so6power]

Bonjour,

Voici pour Virustotal:
https://www.virustotal.com/fr/file/8242 ... /analysis/

Et pour OTM:
http://cjoint.com/?DHus77a0Xe6

Cordialement

[g3n-h@ckm@n]

ok comment va le pc ?

[so6power]

Bonsoir,

certains bugs persistent.

Par exemple lorsque j'exécute Skype, la fenêtre s'ouvre mais le processus ne répond pas, même après plusieurs minutes.

Voir: http://cjoint.com/?DHzvzRAYqYV

Cdt

[g3n-h@ckm@n]

re

regarde si ca le fait aussi en mode sans echec avec prise en charge reseau

[so6power]

Bonsoir,

Skype fonctionne correctement en mode sans échec.

[g3n-h@ckm@n]

bonsoir ca serait pas ton antivirus qui le bloque ou ton parefeu ?

[so6power]

Bonjour,

j'ai désinstallé Avira lors de la procédure de désinfection. Defender est également désactivé.

Skype est toujours sans réponse, de même pour le processus Explorer qui plante régulièrement. Voir photo, raccourci bureau et menu démarrer inopérants.
http://cjoint.com/?DHCsWCWEQJR

Je dois cesser et relancer le processus explorer à la mano.

NB: Quel antivirus me conseilles tu?

Maxime

[g3n-h@ckm@n]

retelecharge QuickDiag , supprime l'ancien , lance-le et clique sur Extended et meme chose envoie le rapport via cjoint , et surtout fais-le en mode normal

[so6power]

Bonsoir,

on va y arriver!

Voici le rapport Quickdiag extended:
http://cjoint.com/?DIbwwdffk1T

Cordialement

[g3n-h@ckm@n]

hello

supprime adsfix, puis retelecharge-le : http://www.telecharger.sosvirus.net/download/adsfix/

(te trompe pas de fichier , télécharge le bon , pas une pub ^^ )

Désactive ton antivirus.

selectionne ce texte , puis CTRL + C


bodddioamolcibagionmmobehnbhiakf
Community Alerts  
FA6DC595-39EE-45E6-BC91-1E4D385ABB11
3c471948-f874-49f5-b338-4f214a2ee0b1
71f9ae1b-08ee-4619-b2e3-378b366ea143
::D:\tbhelper.dll
::D:\iLividSetupV1.exe
::D:\uninstall.exe
relance AdsFix puis clique sur "Options" puis Script.
un fichier "module" va s'ouvrir avec les lignes copiées , si c'est le cas referme-le sinon fais en sorte qu il n'y ait que ca dedans , puis ferme en acceptant la modification s'il y a lieu.
Il Va réeffectuer un nettoyage en prenant ces paramètres en compte

poste enfin le nouveau rapport

[so6power]

Bonjour,

voici le nouveau rappor AdsFix.
Skype fonctionne désormais, je n'ai pas encore testé les autres softs.

http://cjoint.com/?DIdiC0RNRXP

[g3n-h@ckm@n]

re

bien donne donc des nouvelles