Infection + arrêt non planifié de windows 7 [Résolu]

Bonjour,

[x] Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !

[x] Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\

[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Parcourir ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

merci pour ton aide,

J'ai donc installer ZHP.diag mais lors de la fin de l'installation lorsque je clique sur terminer un message d'erreur apparait : impossible d'éxecuter le fichier c/.../ZHPDiag.exe createProcess a echouer ; code 740. L'operation demander demande une evaluation.

Malgré tout je lance le programme en tant que administrateur=> c ok
Cependant je ne trouve pas l'icone dont tu parle . ce qui se rapproche le plus d'un diagnostque est Windows Clean Manager en haut a droite...

ça m'embête de buter sur des bêtises pareils . Désolé

autant pour moi :) j'ai mal regarder
donc voici la rapport/diagnostic, enfin le lien :
http://cjoint.com/data/0cluWiVQJka.htm

Ok, fais ceci :

-+-+-+-+-> RstHosts <-+-+-+-+-


[x] Télécharge RstHosts sur ton bureau.

[x] Lance le et clique sur [Restaurer]

[x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\RstHosts.txt )


-+-+-+-+-> AD-Remover <-+-+-+-+-


[x] Télécharge AD-Remover ( de C_XX ).

[x] Lance AD-Remover puis choisis l'option " Nettoyer ".

Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

[x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

[x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt

RstHosts => le lien est mort.
J'ai essayé avec google mais de même...

Télécharge le ici : http://www.teamxscript.org/too/Xplode/RstHosts.exe

Voici le fichier RstHosts :

Rapport RstHosts v1.5 - 11/02/2011 à 21:07
Mis à jour le 30/11/10 à 19h30 par Xplode
Système d'exploitation : Windows 7 Ultimate (32 bits) [version 6.1.7600]
Nom d'utilisateur : thib - THIB-PC (Administrateur)
Exécuté depuis : C:\Users\thib\Downloads\RstHosts.exe
Option : [Restaurer]

++++++++++ [[Restauration du fichier hosts]] ++++++++++

-> Suppression... OK !
-> BackUp sauvegardé sous C:\RstHostsBkp.bak ... OK !
-> Copie du fichier hosts sain vers C:\Windows\system32\drivers\etc\hosts ... OK !

-> Fichier Hosts restauré avec succès !

++++++++++ [[Propriétés du fichier hosts]] ++++++++++

Emplacement : C:\Windows\system32\drivers\etc\hosts
Attribut(s) : RASH
Taille : 89 octets
Date de création : 14/07/2009 - 03:04
Date de modification : 21/11/2010 - 14:59
Date de dernier accès : 11/02/2011 - 21:07

++++++++++ [[Contenu du fichier hosts ( Avant restauration )]] ++++++++++

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
#74.208.105.171 gs.apple.com
74.208.10.249 gs.apple.com
#127.0.0.1 gs.apple.com


++++++++++ [[Contenu du fichier hosts ( Après restauration )]] ++++++++++

# Fichier Hosts créé par RstHosts

127.0.0.1 localhost
::1 localhost

########## EOF - "C:\RstHosts.txt" - [2110 octets] ##########

Et le rapport AD :


======= REPORT FROM AD-REMOVER 2.0.0.2,E | ONLY XP/VISTA/7 =======

Updated by TeamXscript on 08/02/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Launched at 21:15:25 on 11/02/2011, Normal boot

Microsoft Windows 7 Ultimate (X86)
thib@THIB-PC (System manufacturer P5K-E)

============== ACTION(S) ==============



(!) -- Temporary files deleted.




============== ADDITIONNAL SCAN ==============

**** Mozilla Firefox Version [3.6.13 (fr)] ****

Plugins\npContribute.dll (Adobe Systems, Inc.)
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension for Firefox )
HKLM_Extensions|{01A8CA0A-4C96-465b-A49B-65C46FAD54F9} - C:\Program Files\Adobe\Adobe Contribute CS5\Plugins\FirefoxPlugin\{01A8CA0A-4C96-465b-A49B-65C46FAD54F9}

-- C:\Users\thib\AppData\Roaming\Mozilla\FireFox\Profiles\tk08ac6n.default --
Extensions\cacaoweb@cacaoweb.org (cacaoweb)
Prefs.js - browser.download.lastDir, C:\\Users\\thib\\Documents\\Alexis\\Pictures\\majors
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13

-- C:\Users\superannecat\AppData\Roaming\Mozilla\FireFox\Profiles\ch6o0kh8.default --
Prefs.js - browser.startup.homepage, hxxp://www.google.be/ig?hl=fr&source=iglk
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

**** Google Chrome Version [9.0.597.94] ****


-- C:\Users\thib\AppData\Local\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Enabled: true) (?)
Preferences - homepage: hxxp://www.google.com/
Preferences - homepage_is_newtabpage: false
Plugin - Adobe Contribute CS5 (Enabled: true) (C:\Program Files\Mozilla Firefox\plugins\npContribute.dll)
Plugin - "Adobe Contribute CS5 " (Enabled: true)

========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Toolbar|{517BDDE4-E3A7-4570-B21E-2B52B6139FC7} (C:\Program Files\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{28A36D69-07EA-44CE-B298-1A8B3E8B6FE1} - C:\Program Files\Skype\Phone\Skype.exe (Skype Technologies S.A.)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{71274DC5-D6B8-4B74-BBCF-04D76E30772B} - C:\Program Files\Skype\Toolbars\Shared\SkypeNames2.exe (Skype Technologies S.A.)
HKLM_ElevationPolicy\{88B89B96-F7B2-469D-8F22-5F3BE33DEDDE} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPluginBroker.exe (Skype Technologies S.A.)
HKLM_Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - "Skype add-on for Internet Explorer" (C:\Program Files\Skype\Toolbars\Internet Explorer\icon.ico)
BHO\{074C1DC5-9320-4A9A-947D-C042949C6216} - "ContributeBHO Class" (C:\Program Files\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll)
BHO\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - "Skype add-on for Internet Explorer" (C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 File(s)
C:\Program Files\Ad-Remover\Backup: 16 File(s)

C:\Ad-Report-CLEAN[1].txt - 11/02/2011 (427 Byte(s))
C:\Ad-Report-CLEAN[2].txt - 11/02/2011 (4170 Byte(s))

End at: 21:16:31, 11/02/2011

============== E.O.F ==============

Ok fais maintenant ceci :

▶▷▶▷▶▷▶▷▶▷ ZHPFix ◁◀◁◀◁◀◁◀◁◀


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

[x] Copie le texte en gras ci-dessous ( CTRL + C pour copier )


M2 - MFEP: prefs.js [thib - tk08ac6n.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.9 (.http://www.cacaoweb.org/.)
[HKCU\Software\cacaoweb]
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline
O4 - HKUS\S-1-5-21-2535507182-72855083-1578473593-1001\..\Run: [AdobeBridge] Clé orpheline
O51 - MPSK:{ce207e13-b1bc-11df-9c64-001bfcd5003d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- I:\SETUP.exe (.not file.)
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
FireWallRaz
EmptyTemp


[x] Lance ZHPFix qui est présent sur ton bureau.

[x] Clique sur le "H" bleu ( Coller les lignes Helper )

[x] Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.

[x] Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]

[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

Et celui après le netoyage de ZHPFix :


Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-11-02-2011-21-36-29.txt
Run by thib at 11/02/2011 21:36:29
Windows 7 Ultimate Edition, 32-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\cacaoweb => Clé supprimée avec succès
O51 - MPSK:{ce207e13-b1bc-11df-9c64-001bfcd5003d}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- I:\SETUP.exe (.not file.) => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2535507182-72855083-1578473593-1001\..\Run: [AdobeBridge] Clé orpheline => Valeur absente
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe => Valeur supprimée avec succès
FirewallRaz : Aucune valeur présente dans la clé de registre "Standard Profile"
FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"
FirewallRaz (Private) : TCP Query User{6BC4BB85-B4A0-41A5-BF4A-611551B6BD45}C:\program files\electronic arts\crytek\crysis wars\bin32\crysis.exe => Valeur supprimée avec succès
FirewallRaz (Private) : UDP Query User{8887A348-F9FE-47DC-AF49-36AE6A8ACEF5}C:\program files\electronic arts\crytek\crysis wars\bin32\crysis.exe => Valeur supprimée avec succès
FirewallRaz (Private) : TCP Query User{9BBE93DD-616A-4C2C-A565-AB26083B9A51}C:\users\thib\appdata\roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
FirewallRaz (Private) : UDP Query User{0F9EF9D5-8B61-46C2-8CC6-54B3B354A15F}C:\users\thib\appdata\roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
FirewallRaz (Private) : TCP Query User{378A3C02-2DB5-47AE-88F3-2720CFF34D80}C:\users\thib\downloads\tinyumbrella-4.21.02.exe => Valeur supprimée avec succès
FirewallRaz (Private) : UDP Query User{05E1C384-1169-4A2B-A3D0-0167FADD599B}C:\users\thib\downloads\tinyumbrella-4.21.02.exe => Valeur supprimée avec succès

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 347

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 874


========== Récapitulatif ==========
2 : Clé(s) du Registre
13 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


End of the scan

J'ai vu qu'il y avais certain programme de ta propre conception! C sympa ça :)

Bien. Comment se porte le PC maintenant?

et bien bcp mieux ...
merci beaucoup pour ton aide . heureusement qu'il y a des gens comme toi ^^
tu a vu d'autre chose que ce sale truc de cacaoweb ? pour que je sache qui aurait pu mettre quoi sur le PC vu que c'est familiale :)
Tout grand merci encore.

Non hormis cacaotruc il y avait rien d'autre de particulier.. On va terminer la désinfection en supprimant tout les outils utilisés puis en purgeant la restauration système :

-+-+-+-+-> DelFix <-+-+-+-+-


[x] Télécharge DelFix sur ton bureau.

[x] Lance le et appuie sur [Suppression]

[x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

[x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation].


-+-+-+-+-> Purger la restauration système <-+-+-+-+-


[x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

[x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

[x] Tutoriels :

- Windows XP
- Windows Vista
- Windows 7

# DelFix v7.4 - Rapport créé le 11/02/2011 à 22:14
# Mis à jour le 09/02/11 à 23h par Xplode
# Système d'exploitation : Windows 7 Ultimate (32 bits) [version 6.1.7600]
# Nom d'utilisateur : thib - THIB-PC (Administrateur)
# Exécuté depuis : C:\Users\thib\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\thib\Desktop\ZHPDiag.txt
Supprimé : C:\Users\thib\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\thib\Desktop\RstHosts.txt
Supprimé : C:\Users\thib\Downloads\RstHosts.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1009 octets] ##########

Ok c'est clean. ;-)

Bonne soirée. @+

Bonne soirée a toi aussi!

Ciao.