virus Gen:Variant.Adware.Zwangi.2Résolu/Fermé

Question

Bonjour, 

Bonjour, j'ai un virus Gen:Variant.Adware.Zwangi.2 a cet endroit C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\ZT9V0D3P\upgrade[1].cab\upgrade.exe ,j'ai reformaté mon ordinateur mais rien a faire il est toujours la, je n'y connais pas grand chose que dois je faire s'il vous plait, est ce que ce virus est dangeureux?

Configuration: Windows XP / Firefox 3.6.16

Smart91 · Answer

Bonjour,

On va faire un diagnostic de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/c

Smart

Smart91 · Answer

Le rapport se trouve ici:

C:\Program Files\ZHPDiag\ZHPDiag.txt

Et n'oublie pas il faut le poster via le site cijoint

Smart

Smart91 · Answer

Il faut poster le lien pour que je puisse y avoir accés.  
Lis bien la procédure que je t'ai donnée 


Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Il faut que tu répondes à la suite de mes réponses sinon il est difficile de s'y retrouver.

Tu as peut-être déposé le fichier, mais tu n'as pas donné le lien pour que je puisse y avoir accés

Smart

Smart91 · Answer

Mamie1957, j'ai bien vu le lien. mais il faut absolument que tu répondes à la suite de mes messages car dans pas longtemps il va être difficile de s'y retrouver. Cela fait deux fois que je le dis.
Quand tu veux répondre, il faut cliquer sur le carré vert "Répondre au sujet"

Je rzgarde le rapport et je reviens vers toi.

Smart

Smart91 · Answer

OK. J'ai vu le rapport. Le PC est bien infecté. Il faut faire attention quand on surfe sur internet il ne faut pas accepter n'importe quoi. 
Tu as des barres d'outils infectées et plusieurs adwares,  et peut-être une infection par clé USB. En fin de désinfection je te donnerai des conseils de prévention. 
Tu peux déjà lire ce dossier: 
Les Toolbars ce n'est pas obligatoires  

Ensuite tu vas faire ceci 
-  Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html 
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau. 
- Déconnecte toi et ferme toutes les applications en cours  
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.   
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .  
- Laisse travailler l'outil et ne touche à rien ...  
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)  
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )  

Ensuite tu vas faire ceci: 

* Télécharge et installe Malwarebytes 
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très imortant 
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher" 
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser  
* A la fin de l'analyse, clique sur "Afficher les résultats" 
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection" 
* Enregistre le rapport 
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes 
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse. 

Cela fait deux rapports à poster. Tu peux les coller directement dans ta réponse A LA SUITE DE LA MIENNE 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

mamie1957 · Answer

merci et encore pardon pour mes difficultés pour comprendre, je n'ai pas l'habitude je suis novice en la matière

Smart91 · Answer

J'ai bien vu. mais il y a déjà un progrès, tu as répondu à la suite de mon message. J'attends tes rapports

Smart

mamie1957 · Answer

http://www.teamxscript.org/adremoverTelechargement.html 
celui la mon antivirus ne pas se rendre sur le site qu'il me dit dangeureux

Smart91 · Answer

Pas de problème tu peux y aller. Souvent les antivirus détectent les outils de désinfection comme malicieux mais dans ce cas tu peux me faire confiance

Smart

mamie1957 · Answer

je déconnecte mon ordi d'internet c'est a dire de ma box

Smart91 · Answer

Non pas du tout sinon tu ne pourras pas télécharger le programme.
Donc si j'ai bien compris l'antivirus empêche l'accés au site pour télécharger AD-Remover. Normalment tu devrais pouvoir passr outre. Si ce n'est le cas désactive l'antivirus le temps de la désinfection

Smart

mamie1957 · Answer

non je voulais dire une fois télécharger

Smart91 · Answer

Non tu n'as pas besoin de te déconnecter de la box et d'internet

Smart

mamie1957 · Answer

il ma demander de redemarrer l'ordi qu'est que je fait maintenant

Smart91 · Answer

Je ne comprends pas, il suffit de télécharger le logiciel AD-Remover et de le lancer et de poster le rapport 
Reprends exactement ce que j'ai dit ici ==>  
https://forums.commentcamarche.net/forum/affich-21904084-virus-gen-variant-adware-zwangi-2#11 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Je suis simplement allé me coucher. Il était tard et je suis de retour :-)

Essaie de poster les rapports AD-R et MBAM via le site cijoint comme tu as fait pour ZHPdiag.txt.
Et n'oublie pas de me donner les liens d'accés

Smart

Smart91 · Answer

S'il vous plait répondre à la suite, sinon on s'y perd
Heureusement que j'ai vu que tu as posté tout en haut (message N°11) alors que ma réponse est en N°27 (tout en bas)
Il faut cliquer sur le bouton vert pour répondre

Je regarde les rapports et reviens vers toi

Smart

mamie1957 · Answer

pardon, mais comme hier vous m'aviez dit de le faire à la suite de votre message, je l'ai fait ce matin.
Excusez moi encore pour ne pas bien comprendre le fonctionnement de se site, et merci pour votre amabilité

Smart91 · Answer

OK J'ai bien vu le rapport MBAM. En revanche je n'ai pas eu le rapport AD-Remover. Tu as posté le lien vers le rapprt ZHPDiag que j'ai déjà eu hier.
Peux-tu reposter le rapport AD-Remover

Smart

mamie1957 · Answer

je reposte les trois car je suis perdu

http://www.cijoint.fr/cjlink.php?file=cj201104/cijLB2mWVK.txt

http://www.cijoint.fr/cjlink.php?file=cj201104/cij6xUwVeq.txt

http://www.cijoint.fr/cjlink.php?file=cj201104/cijHmEynU3.txt

Smart91 · Answer

Non tu n'as toujours pas poster le rapport AD-Remover. J'en ais besoin pour ce qui s'est passé.
Ce rapport se trouve ici: C:\Ad-Report-CLEAN[1].txt

En fait le mieux est de t'inscrire sur le site, comme cela pour les petits rapport comme AD-R et MBAM tu pourras coller directement le rapport dans ta réponse. Je pense que cela sera plus facile pour toi

Smart

mamie1957 · Answer

pardon le voici

http://www.cijoint.fr/cjlink.php?file=cj201104/cijujk5DFT.txt

Smart91 · Answer

OK;
Relance AD-Remover et choisis "désinstaller"
Relance MBAM va sur l'onglet quarantaine et clique sur "tout" supprimer"

Ensuite tu refais un scan avec ZHPDiag et tu postes le rapport via cijoint

Smart

mamie1957 · Answer

voici le rapport du scan 

http://www.cijoint.fr/cjlink.php?file=cj201104/cijCImBdDY.txt

merci pour toute cette aide apporter

Smart91 · Answer

Il restes encore des traces

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O42 - Logiciel: WahOO - (.Pas de propriétaire.) [HKLM] -- {0271A4CB-D48C-4CDF-826F-62EE8D91663F}_is1
[HKCU\Software\ImInstaller]
[HKLM\Software\CrazyLoader]
[HKLM\Software\ImInstaller]
[HKLM\Software\Iminent]
O47 - AAKE:Key Export SP - "C:\Program Files\CrazyLoader\crazyloader.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\CrazyLoader\crazyloader.exe (.not file.)
[HKCR\Interface\{65A16874-2ED0-460E-A547-5FE2EC3A13A7}]
[HKCR\Interface\{71E02280-5212-45C3-B174-4D5A35DA254F}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{754FF233-5D4E-11D2-875B-00A0C93C09B3}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B1549E58-3894-11D2-BB7F-00A0C999C4C1}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C533ADF1-0C80-11D1-8C54-00A02468F316}]
C:\Documents and Settings\martine\Local Settings\Application Data\WahOO
O23 - Service:  (FSIHS) - Clé orpheline
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F}
FirewallRAZ  

---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

mamie1957 · Answer

oui mon virus est toujours là

Smart91 · Answer

En effet ce n'est pas terminé. Fais ce que j'ai dit plus haut

Smart

mamie1957 · Answer

lorsque je mets en gras tout se met en gras

Smart91 · Answer

Tu n'as pas à mettre en gras. 
  
Sélectionne les lignes en gras dans ma réponse ensuite tu fais clic froit copier  
Tu vas sur le fenêtre H de ZHPFix, dans cette fenêtre tu fais clic droit coller  
Toutes les lignes seont copiées dans cette fenêtre  
et ensuite tu cliques sur Go pour lancer le nettoyage  
Tu copies et colles le rapport dans la prochiane réponse  

Sinon le rapport se trouve ici ==> C:\Program Files\ZHPDiag\ZHPFixReport.txt

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

mamie1957 · Answer

voila le nouveau rapport

http://www.cijoint.fr/cjlink.php?file=cj201104/cijNlE6dWA.txt

Smart91 · Answer

Ce n'est pas le bon rapport. Tu as posté le rapport de registry

Il faut poster ce rapport:
C:\Program Files\ZHPDiag\ZHPFixReport.txt 

Smart

mamie1957 · Answer

pardon je sais plus ou j'en suis avec tous ces rapports

http://www.cijoint.fr/cjlink.php?file=cj201104/cijOwytV7c.txt

Smart91 · Answer

J'ai un doute. Il faut dire que le PC était bien infecté
Toujours l'alerte du virus ?

Redémarre le PC
Refais un scan ZHpDiag et poste le rapport via cijoint.

Smart

mamie1957 · Answer

voilà le nouveau rapport

http://www.cijoint.fr/cjlink.php?file=cj201104/cijCbvKDdA.txt

Smart91 · Answer

C'est bien ce qu'il me semblait certaines clés n'ont pas été supprimées. 
Tu ne m'as pas répondu, est-que tu as toujours l'alerte concernant le virus ? 

Pour les clés bon supprimées on va faire autrement: 
- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.itxassociates.com/OT-Tools/OTM.exe 
- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.  
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :  

-------------------------------------------------------------- 
:reg 
[-HKCU\Software\ImInstaller] 
[-HKLM\Software\ImInstaller] 
[-HKCR\Interface\{65A16874-2ED0-460E-A547-5FE2EC3A13A7}] 
[-HKCR\Interface\{71E02280-5212-45C3-B174-4D5A35DA254F}] 


:commands  
[emptytemp]  
[Reboot]  
-------------------------------------------------------------- 

- Colle (Ctrl+V) le texte précédemment copié dans le cadre:  Paste Instructions for Items to be Moved.  

- Clique maintenant sur le bouton MoveIt!  

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\  
Le nom du rapport correspond au moment de sa création : date_heure.log 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

mamie1957 · Answer

j'ai fait un scan de mon  antivirus  il y est toujours

Smart91 · Answer

Est-ce qu'il se trouve dans la quarantaine. Est-ce que tu as essayé de le supprimer  

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

mamie1957 · Answer

il ne m'accepte pas les fichiers log
non je n'est pas fait attention s'il était dans la quarantaine qand je l'ai supprimé

mamie1957 · Answer

si j'avais votre mail je pourrais directement vous envoyer les fichiers se serai je crois plus simple en tout cas merci pour le temps que vous passez à m'aider

mamie1957 · Answer

merci je viens de faire un scan avec mon antivirus il n'y est plus, si vous pouviez me donner la marche à suivre pour que je ne recommence pas.

Je vous en serai reconnaissante, merci encore pour votre temps et votre patience pour une novice comme moi à votre avis faut il que je réinstalle mes jeux sims ou maintenant vont ils marcher?

Smart91 · Answer

La désinfection n'est pas terminé il y a encore des traces sur le PC.
Il faut faire ce que j'i dit ici ==>
https://forums.commentcamarche.net/forum/affich-21904084-virus-gen-variant-adware-zwangi-2?page=2#48

Smart

mamie1957 · Answer

j'ai aucun moyen de vous envoyer l'autre rapport le site d'envoi des fichiers ne le veut pas et je ne peut pas le coller ici alors comment faire

Smart91 · Answer

Essaie cet autre site:
https://www.luanagames.com/index.fr.html

Smart

mamie1957 · Answer

voila le nouveau rapport, merci pour le nouveau site

http://up.sur-la-toile.com/iLR1

mamie1957 · Answer

merci pour le nouveau site voila le rapport

http://up.sur-la-toile.com/iLR1

Smart91 · Answer

Maintenat je pense qu ecela va être bon.
Tu vas faire un dernier scan ZHPDiag et poster le rapport.
Ensuite on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

mamie1957 · Answer

voila le rapport je commence  à me débrouiller un peu merci

http://up.sur-la-toile.com/iLR8

Smart91 · Answer

Ok avat de passer à la phase finale. Je voudrais que tu fasses ceci
Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\WINDOWS\system32\Winlogon.exe
- Clique sur Send File et puis reanalyze
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport
Le lien se trouve en haut dans la barre d'adresse du navigateur Internet


Smart

mamie1957 · Answer

c'est fait comment j'envoie ce rapport

Smart91 · Answer

Tu colles le lien qui se trouve dans la barre d'adresse en haut du navigateur internet dans ta réponse

Smart

mamie1957 · Answer

http://www.virustotal.com/...

Smart91 · Answer

Ah oui c'est vrai le lien est trop long et comme tu n'es pas inscrite sur le forum il n'est pas accepté.

Il faut que tu le coupe en deux et mettre les deux parties dans ta réponse

Smart

mamie1957 · Answer

http://www.virustotal.com/file-
scan/report.html?id=27d80d36e7e98a875a9016148136b0697ac986003624f687635606e525534d3c-1303588960

Smart91 · Answer

OK. Le fichier est propre. On passe à la phase Finale

Le mieux pour toi est d'imprimer cette réponse pour bien suivre la procédure

Fais les mises à jour suivantes:

Mise à jour Windows:
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr

Mise à jour IE8
https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
Ou alors par Windows Update (le lein de la mise à jour de Windows)

Mise à jour Java 6 update 24 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 24

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O43 - CFD: 23/04/2011 - 15:08:34 - [3991891] ----D- C:\Program Files\Spybot - Search & Destroy
O4 - HKCU\..\Run: [WahOO] C:\Documents and Settings\martine\Local Settings\Application Data\WahOO\WahOO.exe (.not file.)
O4 - HKUS\S-1-5-21-299502267-1645522239-725345543-1003\..\Run: [WahOO] C:\Documents and Settings\martine\Local Settings\Application Data\WahOO\WahOO.exe (.not file.)
OPT:O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\WINDOWS\RTHDCPL.exe
OPT:O4 - HKLM\..\Run: [Alcmtr] . (.Realtek Semiconductor Corp. - Realtek Azalia Audio - Event Monitor.) -- C:\WINDOWS\ALCMTR.exe
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard Co. - Hewlett-Packard Product Assistant.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKCU\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-299502267-1645522239-725345543-1003\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-299502267-1645522239-725345543-1003\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk . (.Microsoft Corporation.)  -- C:\Program Files\Microsoft Office\Office10\OSA.EXE
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\IncrediMail.lnk . (.IncrediMail, Ltd..)  -- C:\Program Files\IncrediMail\Bin\IncMail.exe
OPT:O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 06/04/2011 349472 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
CTFDisabled
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) 
- Sélectionne Suppression 
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. 

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) 
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation. 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
Dans la barre des tâches de Windows, clique sur Démarrer. 
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
Clique sur Appliquer. 
Ensuite décoche "Désactiver la restauration du systeme" 
Clique sur appliquer puis ok 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox 
==> http://www.mozilla-europe.org/fr/firefox/

Une fois que c'est fait, lance le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités 
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Par rapport au P2P : http://www.libellules.ch/... 

- Les logiciels gratuits à éviter

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection


Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas 

Smart

mamie1957 · Answer

Merci pour ton aide, je pense que je vais certainement être obligé de réinstaller mes sims car d'aprés ce que j'ai compris il a détruit nombre de mes fichiers de jeu.
Peut tu me le confirmer?

merci en tous cas pour ton temps et ta patience

mamie1957 · Answer

jene me sers pas d'internet explorer juste mozilla

Smart91 · Answer

Même si tru n'utilises pas IE, il est important qu'il soit à jour car il est utilisé pour les mises à jour de Windows

Au niveau de sims je suis incapable de te répondre, car là je n'y connais rien
Ce que je peux te dire c'est qu'une fais que tu auras tout terminé ton PC est propre

Smart

mamie1957 · Answer

Merci pour ton aide et ta patience pour m'expliquer,je te renvoie un dernier rapport si j'ai bien compris avec ZHPfix.
De toute façon si je vois que mes sims ne redémarre pas je réinstalle c'est tout.
Je te souhaite de bonne fête et une bonne journeé

Smart91 · Answer

OK. @+

Smart

mamie1957 · Answer

Rapport de ZHPFix 1.12.3278 par Nicolas Coolman, Update du 21/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-24-04-2011-19-21-26.txt
Run by martine at 24/04/2011 19:21:17
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe  => Clé non supprimée

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [WahOO] C:\Documents and Settings\martine\Local Settings\Application Data\WahOO\WahOO.exe (.not file.)  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-299502267-1645522239-725345543-1003\..\Run: [WahOO] C:\Documents and Settings\martine\Local Settings\Application Data\WahOO\WahOO.exe (.not file.)  => Valeur absente
O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\WINDOWS\RTHDCPL.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Alcmtr] . (.Realtek Semiconductor Corp. - Realtek Azalia Audio - Event Monitor.) -- C:\WINDOWS\ALCMTR.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard Co. - Hewlett-Packard Product Assistant.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe  => Valeur absente
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-299502267-1645522239-725345543-1003\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur absente
O4 - HKUS\S-1-5-21-299502267-1645522239-725345543-1003\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe  => Valeur absente

========== Elément(s) de donnée du Registre ==========
CTFDisabled  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Spybot - Search & Destroy  => Fichier supprimé au reboot

========== Fichier(s) ==========
c:\documents and settings\martine\local settings\application data\wahoo\wahoo.exe  => Fichier absent
c:\documents and settings\all users\menu démarrer\programmes\démarrage\microsoft office.lnk  => Supprimé et mis en quarantaine
c:\documents and settings\all users\menu démarrer\programmes\incredimail.lnk  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Clé(s) du Registre
16 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
3 : Fichier(s)


End of the scan

mamie1957 · Answer

voila le second rapport

# DelFix v7.7B - Rapport créé le 24/04/2011 à 19:29
# Mis à jour le 15/04/11 à 19h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : martine - BEGUE-D27A6EF44 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\martine\Mes documents\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTM
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ZHPExportRegistry-24-04-2011-19-21-26.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Documents and Settings\martine\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\martine\Mes documents\Téléchargements\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1410 octets] ##########

mamie1957 · Answer

salut smart 21,

merci encore pour ton aide, j'ai posté les derniers rapports , et j'ai suivi tes instructions, merci aussi pour tes astuces et ton dossier de prévention et protection je vais l'éplucher.
Pourrais faire appel à toi directement dans ton domaine car tu est trés calé, si besoin.

Amitiés mamie1957

Smart91 · Answer

Heureux de t'avoir aidée.

Si tu as d'autres soucis poste ton problème dans le forume Virus/sécurité, et il y aura toujours quelqu'un aussi compétent que moi voire plus pour t'aider

Smart

mamie1957 · Answer

pardon Smart 91 pardon de la bévue

Smart91 · Answer

En fait j'ai pris le 21 comme 21 ans et là cela me fait très plaisir.
Malheureusement ce n'est pas le cas

Ce n'est pas grave entre le le 2 et 9 il y a que 7 touches de clavier. 
Tu es peut-être comme moi : besoin de lunettes pour voir de près.
Hé quand on dépasse la quarantaine :-)

Smart

lugila · Answer

help !! 

J'ai le même problème, même virus mais peut être pas même emplacement ... Alors je reprends au début :  
Voici ce que me donne ZHPdiag 

http://www.cijoint.fr/cjlink.php?file=cj201104/cij98tEVdL.txt 

Pouvez vous m'aidez ?

Smart91 · Answer

Ce sujet est résolu. Si tu veux avoir des réponse, je te conseille de poster une nouvelle discussion dans le forum Virus/sécurité, de bien expliquer ton problème pour avoir des réponses

Virus Gen:Variant.Adware.Zwangi.2

68 réponses

Discussions similaires

Newsletters