FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Ofredo]

Bonjour,
Je ne suis pas un génie de l'informatique et c'est bien dommage

C'est pourquoi je vous demande de l'aide pour récupérer mon PC
J'ai le virus SACEM, même en mode sans échec.
Impossible de restaurer à une date antérieure car j'ai un fichier qui est annoncé endommagé.

Que faire ?!?!!?
Merci d'avance pour votre aide

[roro04]

Hello!

Nous allons débloquer le mode sans échec

• Suis Ce tuto
• Quand le rapport s'ouvre, repérez le fichier donné en suspicious modification (voir capture ci-dessous)
  
  
• Dis moi alors l'emplacement de ce fichier ici comme encadré ci-dessus.

Tu devrais avoir accès au mode sans échec, peux-tu confirmer?

++

[Ofredo]

Bonjour.
J'ai bien suivi ton tuto et je t'en remercie.
J'arrive à l'écran noir où est inscrit en rouge et bleu: "kavrescue ~ #"
Mais le rapport n'apparait pas
Que dois-je faire pour l'obtenir ???

Merci

[Ofredo]

J'ai redémarré mon PC en mode sans échec et maintenant ce mode fonctionne.
J'attends maintenant qu'on me dise que faire pour éradiquer ce virus
Merci

[roro04]

Re,

C'est une bonne chose!

En mode sans echec,

On va faire un diagnostique de ton pc.

• Télécharges ZHPDiag (de Nicolas coolman) sur ton bureau.
• Une fois le téléchargement terminé, double cliques sur ZHPDiag.exe et suis les instructions d'installation. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
• Coches la case Créer une icône sur le bureau lors de l'installation.
• A la fin de l'installation, ZHPDiag va se lancer tout seul.
• Cliques sur l'icône représentant une loupe.
• En fin de scan, enregistres le rapport sur ton Bureau. Pour cela, clique sur l’icône représentant une disquette.
• Héberge le rapport sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Ne redémarre pas en mode normal.

++

[Ofredo]

Voici le lien vers le rapport
http://cjoint.com/?0Ibr530e4pb

[roro04]

Re,

On va rechercher si des adwares sont présants sur ton PC

• Télécharges AdwCleaner (de Xplode) sur ton bureau.
• Lance-le (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
• Clique sur Suppression
• Patiente le temps du scan.
• Poste le rapport qui apparait à la fin.
• Clique sur Quitter

Ensuite refais un ZHPDiag.

++

[Ofredo]

Voici le rapport AdwCleaner:
http://www.cjoint.com/confirm.php?cjoint=0Ibs0xOO5L9

Ensuite j'ai refait un scan avec ZHPDiag:
Voici le rapport: http://www.cjoint.com/confirm.php?cjoint=BIbs4zAjnl3

Merci

[Ofredo]

Désolé, je crois que le 2nd rapport n'est pas le bon.
Voici donc le bon (enfin j'espère):
http://cjoint.com/12sp/BIbs6qf7Psl.htm

[roro04]

Re,

Passe AdwCleaner en mode Supression.
Le deuxième lien était bon

On va supprimer quelques lignes manuellement
/!\ Le script proposé ci-dessous n'est valable que pour l'helpé en cours /!\

• Clique sur l'icône ZHPFix présente sur ton bureau. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
• Clique sur le H bleu.
• Copie/Colle le texte en gras ci-dessous.
  
  [HKLM\Software\WOW6432Node\Classes\Interface\{81E852CC-1FD5-4004-8761-79A48B975E29}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\Interface\{95B6A271-FEB4-4160-B0FF-44394C21C8DC}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\CLSID\{A9A56B8E-2DEB-4ED3-BC92-1FA450BCE1A5}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\CLSID\{AE338F6D-5A7C-4D1D-86E3-C618532079B5}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}] = Infection BT (Toolbar.Babylon)
  [HKLM\Software\WOW6432Node\Classes\Interface\{B2CA345D-ADB8-4F5D-AC64-4AB34322F659}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\Classes\TypeLib\{B87F8B63-7274-43FD-87FA-09D3B7496148}] = Infection BT (Hijacker.Seeearch)
  [HKLM\Software\WOW6432Node\Classes\Interface\{B9F43021-60D4-42A6-A065-9BA37F38AC47}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\Interface\{BF921DD3-732A-4A11-933B-A5EA49F2FD2C}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\CLSID\{C339D489-FABC-41DD-B39D-276101667C70}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\Classes\TypeLib\{C4BAE205-5E02-4E32-876E-F34B4E2D000C}] = Infection BT (Hijacker.Seeearch)
  [HKLM\Software\WOW6432Node\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}] = Infection BT (Toolbar.Babylon)
  [HKLM\Software\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}] = Infection BT (Toolbar.Babylon)
  [HKLM\Software\WOW6432Node\Classes\Interface\{D83B296A-2FA6-425B-8AE8-A1F33D99FBD6}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\CLSID\{D89031C2-10DA-4C90-9A62-FCED012BC46B}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F}] = Infection BT (Adware. BullseyeToolbar)
  [HKLM\Software\Classes\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}] = Infection BT (Adware.SocialSkinz)
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}] = Infection BT (Adware.SocialSkinz)
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\Interface\{FCC9CDD3-EFFF-11D1-A9F0-00A0244AC403}] = Infection BT (Adware.SocialSkinz)
  [HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks]:{CA3EB689-8F09-4026-AA10-B9534C691CE0} = Infection BT (Adware.SocialSkinz)
  C:\Users\Ofredo\AppData\LocalLow\Toolbar4 = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\AppID\{628F3201-34D0-49C0-BB9A-82A26AEFB291}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\Interface\{6B458F62-592F-4B25-8967-E6A350A59328}] = Infection BT (Adware.SocialSkinz)
  R3 - URLSearchHook: (no name) [64Bits] - {CA3EB689-8F09-4026-AA10-B9534C691CE0} . (.Microsoft Corporation - Office Authorization plug-in for NPAPI browsers.) (No version) -- (.not file.) = Infection BT (Adware.SocialSkinz)
  O39 - APT:Automatic Planified Task - C:\Windows\Tasks\AutoKMS.job = Infection Diverse (Trojan.Keygen)
  O44 - LFC:[MD5.485055033BCDDFDE56325C0D2FEEA4F2] - 01/09/2012 - 16:16:27 ---A- . (...) -- C:\Windows\KMSEmulator.exe [151552] = Infection Diverse (Trojan.Keygen)
  [MD5.9B079876E1077EB7E74C56E8814C41A0] [SPRF][30/08/2012] (...) -- C:\Users\Ofredo\AppData\Roaming\1.exe [391505]
  O87 - FAEL: "TCP Query User{5733C96B-7744-48C5-AA95-D3A6E04E58DE}C:\windows\kmsemulator.exe" | In - Public - P6 - TRUE | .(...) -- C:\windows\kmsemulator.exe = Infection Diverse (Trojan.Keygen)
  O87 - FAEL: "UDP Query User{E2DF7A01-6F44-4966-8F19-C128239C96EF}C:\windows\kmsemulator.exe" | In - Public - P17 - TRUE | .(...) -- C:\windows\kmsemulator.exe = Infection Diverse (Trojan.Keygen)
  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]:Shell
  [HKLM\Software\WOW6432Node\Classes\AppID\esrv.EXE]
  [HKLM\Software\WOW6432Node\Classes\escort.escortIEPane]
  [HKLM\Software\WOW6432Node\Classes\escort.escortIEPane.1]
  [HKLM\Software\WOW6432Node\Classes\Interface\{01221FCC-4BFB-461C-B08C-F6D2DF309921}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}] = Infection BT (Adware.Agent)
  [HKLM\Software\WOW6432Node\Classes\Interface\{0FA32667-9A8A-4E9C-902F-CA3323180003}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\CLSID\{1C950DE5-D31E-42FB-AFB9-91B0161633D8}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\Interface\{2A42D13C-D427-4787-821B-CF6973855778}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\Interface\{452AE416-9A97-44CA-93DA-D0F15C36254F}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\Interface\{45CDA4F7-594C-49A0-AAD1-8224517FE979}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\Interface\{4897bba6-48d9-468c-8efa-846275d7701b}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\AppID\{4CE516A7-F7AC-4628-B411-8F886DC5733E}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\Interface\{4D8ED2B3-DC62-43EC-ABA3-5B74F046B1BE}] = Infection BT (Adware.SocialSkinz)
  [HKLM\Software\WOW6432Node\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}] = Infection BT (Toolbar.Babylon)
  [HKLM\Software\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}] = Infection BT (Toolbar.Babylon)
  [HKLM\Software\WOW6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}] = Infection BT (Adware.BHO)
  [MD5.9B079876E1077EB7E74C56E8814C41A0] [SPRF][30/08/2012] (...) -- C:\Users\Ofredo\AppData\Local\Temp\cccccc.exe [391505]
  O4 - Global Startup: C:\Users\Ofredo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet - Raccourci.lnk - Clé orpheline
  O43 - CFD: 05/02/2012 - 20:45:58 - [4,199] ----D C:\Program Files (x86)\RechercherWeb Toolbar = RechercherWeb Toolbar
  O43 - CFD: 05/02/2012 - 20:45:58 - [4,199] ----D C:\Program Files (x86)\RechercherWeb Toolbar = RechercherWeb Toolbar
  O69 - SBI: SearchScopes [HKCU] {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} - (Customized Search) - http://search.fr-recherche.com = Toolbar.Agent
  [HKLM\Software\WOW6432Node\Classes\URLSearchHook.ToolbarURLSearchHook]
  [HKLM\Software\WOW6432Node\Classes\urlsearchhook.toolbarurlsearchhook]
  [HKLM\Software\WOW6432Node\Classes\urlsearchhook.toolbarurlsearchhook.1]
  [HKLM\Software\WOW6432Node\Classes\Interface\{2a42d13c-d427-4787-821b-cf6973855778}] = Toolbar.Agent
  [HKLM\Software\WOW6432Node\Classes\Interface\{3d8478aa-7b88-48a9-8bcb-b85d594411ec}] = Toolbar.Agent
  [HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}] = Toolbar.Conduit
  [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}] = Toolbar.Agent
• Clique sur Go.
• Poste le rapport qui s'affiche.

Ensuite

• Télécharge RogueKiller (by tigzy) sur ton bureau.
• Quitter tous tes programmes en cours d'éxécution.
• Lancer RogueKiller.exe.
• Attends que le Prescan ait fini ...
• Clique sur Scan.
• Clique sur Rapport et copie/colle le contenu du notepad.

Ensuite

Refais un ZHPDiag.

++

[Ofredo]

J'ai fais ce que tu m'as indiqué.
Voici les rapports:
http://www.cjoint.com/confirm.php?cjoint=BIbtNXtkw4s

http://www.cjoint.com/confirm.php?cjoint=BIbtNBcxmGC

Quand je veux fermer RogueKiller pour refaire un ZHPDiag, Roguekiller me prévient qu'aucun élément n'a été supprimé

[roro04]

Re,

Il faut faire la SUPPRESSION de adwcleaner et non RECHERCHE.

Pour roguekiller, normal mais poste d'abord le rapport comme indiqué.

As-tu bien fait ZHPFix en tant qu'administrateur?

++

[Ofredo]

Je viens de faire SUPPRESSION dans adwcleaner.

Voici le rapport pour roguekiller: http://cjoint.com/12sp/BIcakLip5Rw.htm

Je n'ai rien sélectionné dans ZHPFix pour être administrateur.
Est-on admin par défaut ?

[roro04]

Re,

Peux tu me poster le rapport de suppression d'Adwcleaner contenu dans C:\ ?

Ensuite

• Relance RogueKiller.exe.
• Attends que le Prescan ait fini ...
• Clique sur Scan.
• Clique sur Suppression.
• Clique sur Rapport et copie/colle le contenu du notepad.

Pour ZHPFix il faut le lancer en faisant un clique droit su son icône puis Exécuter en tant qu'administrateur puis, refais les manip ZHPFix données plus haut.

Ensuite refais un ZHPDiag.

++

[Ofredo]

Salut,
Voici les rapports :
http://cjoint.com/12sp/BIckJhg0lhz.htm

http://cjoint.com/12sp/BIckJHYnaOZ.htm

Je relance ZHPFix pour refaire les manip ZHPFix données plus haut.
Ensuite je refais un ZHPDiag.

Merci

[Ofredo]

Je ne peux pas lancer ZHP Fix en mode admin car le bouton droit sur l'icone du bureau ne fait rien
Existe-t-il un autre moyen ?

[Ofredo]

J'ai refais un ZHPDiag
Je ne peux pas lancer ZHP Fix en mode admin car le bouton droit sur l'icone du bureau ne fait rien
Existe-t-il un autre moyen ? Pourtant je peux faire un clic droit à l'intérieur d'un dossier...

[roro04]

Re,

Tu dois faire un clique droit sur l'icône de ZHPFix!

Donc fais ZHPFix en mode administrateur puis refais un ZHPDiag. Et n'oublis pas de poster les 2 rapports.

++

[Ofredo]

Je ne peux pas faire de clique droit sur l'icone de ZHPFix qui se trouve sur mon bureau. Il ne se passe rien
Par contre quand je suis dans un fichier, le clique droit fonctionne.
Donc soit j'ai un truc désactivé qui fait que le clique droit ne fonctionne pas sur le bureau soit il me faut une autre manière d'ouvrir ZHPFix en mode admin

Merci

[Ofredo]

En faite même dans un fichier le clique droit ne fonctionne pas !
Faut-il l'activer ???

[roro04]

Re,

Suis ce tuto http://www.generation-nt.com/desactiver ... 539-1.html

Ne recrées pas la clé NoViewContextMenu si elle est déjà présente.

Mais au lieu de mettre la valeur 1 met la valeur 0.

Regarde si le clique droit marche.

++

[Ofredo]

Salut,
J'ai fait ZHPDiag en mode admin:
http://cjoint.com/12sp/BIdsB3q0HXT.htm

Puis j'ai fait ADWCleaner en mode admin et Suppression:
http://cjoint.com/data/0IdsC5EUEdr.htm

Puis j'ai fait ZHPFix en mode admin:
http://cjoint.com/data/0IdsENfA7hO.htm
en collant ce que tu m'avais donné

Puis j'ai fait RogueKiller en mode admin:
http://cjoint.com/data/0IdsIC9yQFJ.htm

Enfin j'ai refait ZHPDiag:
http://cjoint.com/data/0IdsJoORTY5.htm

Voilà où j'en suis. J'attends tes infos

[Ofredo]

J'ai oublié de préciser que pour récupérer mon clic droit, il suffisait de cliquer sur le bandeau en bas et de faire clic droit, puis "afficher le bureau"

[roro04]

Re,

Refais AdwCleaner et RogueKiller en mode admin ET Suppression.

Puis

Reposte un ZHPDiag toujours en mode admin

++

[Ofredo]

Salut,
J'ai refais AdwCleaner:
http://cjoint.com/12sp/BIebOYZbXJe.htm

Puis RogueKiller en mode admin ET Suppression:
http://cjoint.com/data/0IebPIp1Ig1.htm

Puis ZHPDiag toujours en mode admin:
http://cjoint.com/data/0IebQoVAGlj.htm

Qu'est-ce que ça donne ?
Merci

[roro04]

Salut!

Les rapports sont OK

Il reste quelques traces d'infections mais rien de méchant, je pense que Malwarebytes devrait s'en charger.


On va faire un scan généraliste de ton PC

• Télécharges Malwarebytes sur ton bureau.
• Lance le. Laisse les options par défaut lors de l'installation. A la fin, il va se mettre à jour, laisse-le faire.
• Branche toutes tes sources de données externes à ton PC. (Clés USB...)
• Rends-toi dans l'onglet Recherche, clique sur Exécuter un examen complet puis clique sur Rechercher.
• Sélectionnes tes disques durs et disques amovibles puis clique sur Rechercher
• A la fin du scan, un rapport s'ouvre. Clique sur Fichier puis sur Enregistrer sous. Clique sur Bureau et met le nom Malwarebytes.
• Si MalwareBytes détecte des infections, clique sur Afficher les résultats, puis sur Supprimer la sélection.
• Si Malwarebytes te demande de redémarrer ton pc, clique sur Oui.
• Poste le rapport.
  
  !!! Ne pas vider la quarantaine de MBAM sans avis !!!
  
  Tuto pour t'aider Ici

++

[Ofredo]

C'est bon, j'ai fait ce que tu m'as indiqué et tout est rentré dans l'ordre.

MERCI sincèrement pour ton aide, sans toi je serais encore à me demander quoi faire

[roro04]

Re,

Attends, pas si vite! J'aimerais avoir le rapport malwarebytes. L’infection a peut-être disparu mais on a pas fini, il faut finaliser autrement l'infection reviendra.

++

[2011N2]

Où en-est votre problème ?

Deux solutions,

• Votre problème est résolu, dans ce cas pensez à nous le signaler en cochant l'icône en éditant votre premier message, ainsi qu'en mettant le titre en vert.
• Votre problème est toujours d'actualité, merci de nous renseigner sur ce qui ne va pas, et donner des nouvelles régulièrement.
  
  
  À bientôt sur FEI !

[dr.pc1]

Bonjour,

Afin que votre sujet ne sois pas verrouillé et considéré comme abandonné vous avez un total de 24 heures pour nous donner des nouvelles de votre demande.


Votre problème est résolu ?
- Pensez à nous le signaler en éditant votre premier message et en cochant l'icône et en mettant le titre en vert.

À bientôt sur FEI !

[2011N2]

Bonjour,

Nous n'avons plus de nouvelle de l'auteur de ce sujet depuis plusieurs semaines. Nous considérons donc ce problème comme résolu ou abandonné par son auteur. La prochaine fois, merci de nous tenir au courant de l'évolution de votre problème, ou à faire un UP régulièrement !

Ce sujet est verrouillé, si vous souhaitez le reprendre, merci de contacter par message privé un membre de l'équipe de modération du forum.

À bientôt sur FEI !