Infection par virus TR/Crypt.XPACK.Gen2
Résolu/Fermé
milar
-
5 avril 2012 à 18:46
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 9 avril 2012 à 23:34
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 9 avril 2012 à 23:34
A voir également:
- Infection par virus TR/Crypt.XPACK.Gen2
- Svchost.exe virus - Guide
- L'ordinateur d'arthur a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
- Faux message virus iphone - Forum iPhone
- Operagxsetup virus ✓ - Forum Virus
34 réponses
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
5 avril 2012 à 19:26
5 avril 2012 à 19:26
Bonjour,
Peux-tu poster le dernier rapport de MBAM (MalwareByte's)
Smart
Peux-tu poster le dernier rapport de MBAM (MalwareByte's)
Smart
C'est le premier aprés l'apparition du virus:
04/04/2012 16:52:24
mbam-log-2012-04-04 (16-52-24).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 202588
Temps écoulé: 8 minute(s), 7 seconde(s)
Processus mémoire détecté(s): 2
C:\ProgramData\QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> 4288 -> Suppression au redémarrage.
C:\ProgramData\tfChVgyrEllM1W.exe (Backdoor.Agent.RCGen) -> 7932 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> Données: C:\ProgramData\QULtyiwYAMF.exe -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\ProgramData\QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> Suppression au redémarrage.
C:\ProgramData\tfChVgyrEllM1W.exe (Backdoor.Agent.RCGen) -> Suppression au redémarrage.
(fin)
LE Deuxieme un peu plus tard :
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 350278
Temps écoulé: 2 heure(s), 45 minute(s), 50 seconde(s)
Processus mémoire détecté(s): 2
C:\ProgramData\QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> 4288 -> Suppression au redémarrage.
C:\ProgramData\tfChVgyrEllM1W.exe (Backdoor.Agent.RCGen) -> 7932 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\ProgramData\QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> Suppression au redémarrage.
C:\ProgramData\tfChVgyrEllM1W.exe (Backdoor.Agent.RCGen) -> Suppression au redémarrage.
(fin)
Puis un 3eme qui n'a rien detecté :
05/04/2012 17:53:51
mbam-log-2012-04-05 (17-53-51).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 203576
Temps écoulé: 7 minute(s), 27 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
A noter que le premier et le dernier ont ete fait en examen rapide et le deuxieme en complet.
J'ai fais aussi un scan en ligne avec eset nod32 online et il n'a rien trouvé apparemment.
Mais c'est surtout pour recupere mes fichiers et icones qui m'inquietent aussi. Comment faire?
Merci
04/04/2012 16:52:24
mbam-log-2012-04-04 (16-52-24).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 202588
Temps écoulé: 8 minute(s), 7 seconde(s)
Processus mémoire détecté(s): 2
C:\ProgramData\QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> 4288 -> Suppression au redémarrage.
C:\ProgramData\tfChVgyrEllM1W.exe (Backdoor.Agent.RCGen) -> 7932 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> Données: C:\ProgramData\QULtyiwYAMF.exe -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\ProgramData\QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> Suppression au redémarrage.
C:\ProgramData\tfChVgyrEllM1W.exe (Backdoor.Agent.RCGen) -> Suppression au redémarrage.
(fin)
LE Deuxieme un peu plus tard :
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 350278
Temps écoulé: 2 heure(s), 45 minute(s), 50 seconde(s)
Processus mémoire détecté(s): 2
C:\ProgramData\QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> 4288 -> Suppression au redémarrage.
C:\ProgramData\tfChVgyrEllM1W.exe (Backdoor.Agent.RCGen) -> 7932 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 2
C:\ProgramData\QULtyiwYAMF.exe (Backdoor.Agent.RCGen) -> Suppression au redémarrage.
C:\ProgramData\tfChVgyrEllM1W.exe (Backdoor.Agent.RCGen) -> Suppression au redémarrage.
(fin)
Puis un 3eme qui n'a rien detecté :
05/04/2012 17:53:51
mbam-log-2012-04-05 (17-53-51).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 203576
Temps écoulé: 7 minute(s), 27 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
A noter que le premier et le dernier ont ete fait en examen rapide et le deuxieme en complet.
J'ai fais aussi un scan en ligne avec eset nod32 online et il n'a rien trouvé apparemment.
Mais c'est surtout pour recupere mes fichiers et icones qui m'inquietent aussi. Comment faire?
Merci
JE le fais maintenant? Tu auras le temps de me repondre aprés?
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
6 avril 2012 à 00:20
6 avril 2012 à 00:20
Je serai présent demain ne t'inquiète pas.
Tu peux même le faire maintenant
Smart
Tu peux même le faire maintenant
Smart
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
6 avril 2012 à 20:14
6 avril 2012 à 20:14
OK :-)
N'oublie pas que tu as deux rapports à poster
Smart
N'oublie pas que tu as deux rapports à poster
Smart
Voici le 1er rapport aprés le scan et la suppression :
http://cjoint.com/?3DguO68B4T9
Puis le 2eme aprés racc.RAZ :
http://cjoint.com/?3DguSj7tRDd
http://cjoint.com/?3DguO68B4T9
Puis le 2eme aprés racc.RAZ :
http://cjoint.com/?3DguSj7tRDd
J'ai recupere mes favoris d'internet ainsi que tous les dossiers et documents mais par contre je n'ai pas encore mes icones sur mon bureau. Dois je redemarrer l'ordi pour cela?
Et surtout il y a l'icone smart HDD qui est present sur la barre de lancement rapide et quand avira a detecté le virus c'est cette connerie qui est apparu et qui a foutu le bordel.
j'attend ton retour.
merci
Et surtout il y a l'icone smart HDD qui est present sur la barre de lancement rapide et quand avira a detecté le virus c'est cette connerie qui est apparu et qui a foutu le bordel.
j'attend ton retour.
merci
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
6 avril 2012 à 23:48
6 avril 2012 à 23:48
Oui redémarre le PC et fais ceci:
Par précaution fais une sauvegarde de tous tes documents
Attention pour ceux qui parcourent ce sujet, cet outil n'est pas à utiliser à la légère, et doit être recommandé uniquement par une personne formée à cet outil
Imprime la procédure
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
- /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
- Double-clique sur ComboFix.exe
- Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
- Surtout si tu es sous XP, accepte d'installer la console de récupération
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Smart
Par précaution fais une sauvegarde de tous tes documents
Attention pour ceux qui parcourent ce sujet, cet outil n'est pas à utiliser à la légère, et doit être recommandé uniquement par une personne formée à cet outil
Imprime la procédure
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
- /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
- Double-clique sur ComboFix.exe
- Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
- Surtout si tu es sous XP, accepte d'installer la console de récupération
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Smart
Salut smart, avant de telecharger combofix et de continuer la procedure, peux tu m'expliquer "en gros" ( qu'est ce qui m'a infecté et qu'est ce qu'on doit supprimer par ex?)et si tu as le temps bien sur pourquoi tu utilises tel ou tel logiciel pour la desinfection.
Par exemple, aprés mes rapports roguekiller, quelles conclusions et diagnostique en as-tu tiré?
Et pourquoi on doit utiliser combofix pour la suite de la procedure (ce logiciel est apparemment trés puissant)?
Je te demande cela car je m'interresse à l'informatique et je pense que c'est tjs interressant de connaitre.
Mais si tu n'as pas le temps je me contenterai de suivre simplement la procedure.
merci d'avance.
AU fait j'ai recuperé tous mes fichiers et mes icones de bureau aprés roguekiller comme prévu.
Par exemple, aprés mes rapports roguekiller, quelles conclusions et diagnostique en as-tu tiré?
Et pourquoi on doit utiliser combofix pour la suite de la procedure (ce logiciel est apparemment trés puissant)?
Je te demande cela car je m'interresse à l'informatique et je pense que c'est tjs interressant de connaitre.
Mais si tu n'as pas le temps je me contenterai de suivre simplement la procedure.
merci d'avance.
AU fait j'ai recuperé tous mes fichiers et mes icones de bureau aprés roguekiller comme prévu.
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
7 avril 2012 à 19:36
7 avril 2012 à 19:36
Il n'est pas facile de t'expliquer pourquoi j'utilise tel ou tel outil. c'est l'expèrence et beucoup de recherche et communications avec d'autres Helpers sur les forums.
En fait tu as été infecté par un rogue un faux logiciel de sécurité qui te dis que ton PC est infecté.
Tu as dû attrpé cette infection surement en téléchargeant des cracks pour pour utiliser gratuitemment des logiciels payants.
pour ton info lis le dossier ci-dessus:
Les dangers des cracks
Comme tu as récupéré tous tes fichiers et tes icones, on va mettre de côté ComboFix pour le moment.
Refais un scan complet avec MBAM et poste le rapport. n'oublis pas de faire lma mise à jour de la base virale si MBAM ne le fait automatiquement au lancement
Smart
En fait tu as été infecté par un rogue un faux logiciel de sécurité qui te dis que ton PC est infecté.
Tu as dû attrpé cette infection surement en téléchargeant des cracks pour pour utiliser gratuitemment des logiciels payants.
pour ton info lis le dossier ci-dessus:
Les dangers des cracks
Comme tu as récupéré tous tes fichiers et tes icones, on va mettre de côté ComboFix pour le moment.
Refais un scan complet avec MBAM et poste le rapport. n'oublis pas de faire lma mise à jour de la base virale si MBAM ne le fait automatiquement au lancement
Smart
Je viens de lancer le scan complet de MBAM et je le posterai dés qu"il a fini.
Pour en revenir à l'infection, je n'ai pas de logiciel de telechargement et je ne telecharge pas de crack. Peut etre que cela vient de java car avant l'infection j'avais java 6 updade 29 et aprés nettoyage MBAM et roguekiller j'ai utilisé javara qui ma mis la mise à jour java 6 update 31, cela peut peut etre venir de là et de adobe dont j'ai fais la mise à jour aprés.
L'infection est arrivée alors que je consultais un site de foot qui est trés connu et que je regarde quotidiennement.
Pour en revenir à l'infection, je n'ai pas de logiciel de telechargement et je ne telecharge pas de crack. Peut etre que cela vient de java car avant l'infection j'avais java 6 updade 29 et aprés nettoyage MBAM et roguekiller j'ai utilisé javara qui ma mis la mise à jour java 6 update 31, cela peut peut etre venir de là et de adobe dont j'ai fais la mise à jour aprés.
L'infection est arrivée alors que je consultais un site de foot qui est trés connu et que je regarde quotidiennement.
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
7 avril 2012 à 22:31
7 avril 2012 à 22:31
OK. J'attends le rapport.
Quel est le site de foot que tu consultais ?
Smart
Quel est le site de foot que tu consultais ?
Smart
voila le scan de MBAM qui n'a rien trouvé :
http://cjoint.com/?3DhwFMDsWRP
Par contre dés que j'ai enregsitré sur le bureau le rapport à t'envoyer ce message avira m'a detecté :
-dernier logiciel malveillant detecté TR/Dropper.Gen
- dans dernier fichier infecté C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
c'est bizarre ca.
J'avais fais une manip en glissant le logiciel MBAM qui se trouvait dans demarrer/ Tous les programmes vers le bureau ( au lieu de creer un raccourci..), peut etre qu'il y a un rapport je ne sais pas. L'icone MBAM ne s'affiche pas comme d'habitude.
Sinon j'ai tjs smart HDD dans Demarrer/ tous les programmes et sur la barre de lancement rapide qui est la source des pb qd le rogue est arrivé.
J'attends ton retour pour continuer la procedure diamnche si tu es la.
merci
http://cjoint.com/?3DhwFMDsWRP
Par contre dés que j'ai enregsitré sur le bureau le rapport à t'envoyer ce message avira m'a detecté :
-dernier logiciel malveillant detecté TR/Dropper.Gen
- dans dernier fichier infecté C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
c'est bizarre ca.
J'avais fais une manip en glissant le logiciel MBAM qui se trouvait dans demarrer/ Tous les programmes vers le bureau ( au lieu de creer un raccourci..), peut etre qu'il y a un rapport je ne sais pas. L'icone MBAM ne s'affiche pas comme d'habitude.
Sinon j'ai tjs smart HDD dans Demarrer/ tous les programmes et sur la barre de lancement rapide qui est la source des pb qd le rogue est arrivé.
J'attends ton retour pour continuer la procedure diamnche si tu es la.
merci
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
7 avril 2012 à 23:33
7 avril 2012 à 23:33
OK. On va faire un diagnostic du PC pour voir s'il y a des infections ou des restes.
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe en haut à gauche pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien :http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le répertoire C:\ZHP
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier".
- Copie le lien obtenu dans ta réponse.
Smart
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe en haut à gauche pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien :http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le répertoire C:\ZHP
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier".
- Copie le lien obtenu dans ta réponse.
Smart
je ne trouve aucun lien pour telecharger le logiciel sur les 2 adresses que tu m'as données.
Sur le 2e lien il me dis : " Valeur du parametre idLink incorrecte."
et sur le 1er je ne vois pas où cliquer pour le telecharger.
Sur le 2e lien il me dis : " Valeur du parametre idLink incorrecte."
et sur le 1er je ne vois pas où cliquer pour le telecharger.
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
8 avril 2012 à 00:12
8 avril 2012 à 00:12
Sur le premier lien tu as deux possibilités de téléchargement:
1; - Técharger en visantant le forum Zébulon
2.- Télécharger simplment
Clique sur ce lien:
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Smart
1; - Técharger en visantant le forum Zébulon
2.- Télécharger simplment
Clique sur ce lien:
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
8 avril 2012 à 11:34
8 avril 2012 à 11:34
OK. Tout d'abord désinstalle Spybot, il est inutile et ne fait que ralentir ton PC ==>
https://www.commentcamarche.net/faq/7371-desinstaller-proprement-spybot-search-and-destroy-1-6
J'ai repéré smart HDD dans le rapport on va le supprimer dans un deuxième car il n'est plus actif.
On va d'abord s'occuper des barres d'outils inutiles et/ou infectées et de logiciels indérisables que tu as attrapés en téléchargeant gratuitement un tutoriel ou un logiciel sur le site PCtuto ou Tuto4PC ou alors EoRezo ou d'autres sites. Cette gratuité se fait en contrepartie de recevoir des pubilicités afin de se rémunérer. Eviter absolument d'aller sur ce site et surtout bien lire les Conditions Générales d'utilisation qui indiquent justement que tu acceptes de recevoir ces pubs en téléchargeant le logiciel.
Je te conseille de lire cet article concernant ces pratiques:
https://forum.malekal.com/viewtopic.php?t=33439&start=
Lis aussi ce dossier:
Les Toolbars ce n'est pas obligatoires
Tu vas faire ceci:
- Télécharge sur ton bureau AdwCleaner de Xplode
- Choisis "Suppression" et poste le rapport
Smart
https://www.commentcamarche.net/faq/7371-desinstaller-proprement-spybot-search-and-destroy-1-6
J'ai repéré smart HDD dans le rapport on va le supprimer dans un deuxième car il n'est plus actif.
On va d'abord s'occuper des barres d'outils inutiles et/ou infectées et de logiciels indérisables que tu as attrapés en téléchargeant gratuitement un tutoriel ou un logiciel sur le site PCtuto ou Tuto4PC ou alors EoRezo ou d'autres sites. Cette gratuité se fait en contrepartie de recevoir des pubilicités afin de se rémunérer. Eviter absolument d'aller sur ce site et surtout bien lire les Conditions Générales d'utilisation qui indiquent justement que tu acceptes de recevoir ces pubs en téléchargeant le logiciel.
Je te conseille de lire cet article concernant ces pratiques:
https://forum.malekal.com/viewtopic.php?t=33439&start=
Lis aussi ce dossier:
Les Toolbars ce n'est pas obligatoires
Tu vas faire ceci:
- Télécharge sur ton bureau AdwCleaner de Xplode
- Choisis "Suppression" et poste le rapport
Smart
Bonjour, j'ai donc desinstallé spybot à partir du menu ajout/suppression de programmes mais il me dit à la fin que certains fichiers ne peuvent etre supprimé que manuellement.
Je dois supprimer ces 2 dossiers à la main? :
C:\ProgramData\Spybot - Search & Destroy\
C:\Programmes\Spybot - Search & Destroy\
Spybot ne m'avait jamais rien trouvé avant dc je n'ai pas de fichier en quarantaine.
Voici le rapport ADW :
http://cjoint.com/?3DinS6hyoJj
C'est bizarre pcq je fais tjs attention de ne pas telecharger de toolbar qd j'installe un logiciel, je n'ai que google toolbar que j'utilise frequemment.
Sinon, pour un autre PC, pour supprimer Babylon je peux utiliser Adwcleaner?
Je dois supprimer ces 2 dossiers à la main? :
C:\ProgramData\Spybot - Search & Destroy\
C:\Programmes\Spybot - Search & Destroy\
Spybot ne m'avait jamais rien trouvé avant dc je n'ai pas de fichier en quarantaine.
Voici le rapport ADW :
http://cjoint.com/?3DinS6hyoJj
C'est bizarre pcq je fais tjs attention de ne pas telecharger de toolbar qd j'installe un logiciel, je n'ai que google toolbar que j'utilise frequemment.
Sinon, pour un autre PC, pour supprimer Babylon je peux utiliser Adwcleaner?
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
8 avril 2012 à 16:24
8 avril 2012 à 16:24
Oui tu peux supprimer ces deux dossiers spybot
Sur l'autre PC tu peux utiliser Adwcleaner et ensuite MBAM
Refais un cscan ZHPDiag pour voi' s'il y a des restes et poste le rapport vi pjjoint
Smart
Sur l'autre PC tu peux utiliser Adwcleaner et ensuite MBAM
Refais un cscan ZHPDiag pour voi' s'il y a des restes et poste le rapport vi pjjoint
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
8 avril 2012 à 17:39
8 avril 2012 à 17:39
Il y avait encore des traces
- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> "en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
O2 - BHO: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (...) -- C:\Program Files\vShare\vshare_toolbar.dll
O3 - Toolbar: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (...) -- C:\Program Files\vShare\vshare_toolbar.dll
O18 - Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} . (...) -- C:\Program Files\vShare\vshare_toolbar.dll
O42 - Logiciel: vShare Plugin - (.Pas de propriétaire.) [HKLM] -- vShare
[HKCU\Software\vShare]
O43 - CFD: 08/12/2010 - 21:40:29 - [1,124] ----D C:\Program Files\vShare
O69 - SBI: SearchScopes [HKCU] {043C5167-00BB-4324-AF7E-62013FAEDACF} - (Web Search...) - http://ww1.toolbarhome.com
[HKLM\Software\Classes\PROTOCOLS\Handler\vsharechrome]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\vShare]
[HKLM\Software\Classes\vShare.IMedixProtocol]
[HKLM\Software\Classes\vShare.IMedixProtocol.1]
[HKLM\Software\Classes\vShare.PugiObj]
[HKLM\Software\Classes\vShare.PugiObj.1]
[HKLM\Software\Classes\vShare.ScriptHelpers]
[HKLM\Software\Classes\vShare.ScriptHelpers.1]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Classes\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Classes\TypeLib\{3E315C81-442B-431C-AEC8-ED189699EC24}]
[HKLM\Software\Classes\CLSID\{3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484}]
[HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]
[HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}]
[HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}]
[HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}]
[HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]
[HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}]
[HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare]
C:\Program Files\vShare
C:\Users\youcef\AppData\LocalLow\vShare
O4 - Global Startup: C:\Users\youcef\Desktop\Ordinateur - Raccourci.lnk - Clé orpheline
O4 - Global Startup: C:\Users\youcef\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk . (...) -- C:\ProgramData\tfChVgyrEllM1W.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{B62FBCA5-79F3-4BA8-AF6C-AA3F29076ACB}] (...) -- C:\Program Files\Internet Explorer\iexplore.exeed;alreadyoffered (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{ECFFFAC3-5AA1-4E62-9164-7BA41C71659B}] (...) -- C:\Program Files\Internet Explorer\iexplore.exelreadyoffered (.not file.)
O43 - CFD: 04/04/2012 - 16:46:33 - [0,001] ----D C:\Users\youcef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SMART HDD
EmptyTemp
EmptyFlash
FirewallRAZ
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Smart
- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> "en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
O2 - BHO: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (...) -- C:\Program Files\vShare\vshare_toolbar.dll
O3 - Toolbar: vShare Plugin - {043C5167-00BB-4324-AF7E-62013FAEDACF} . (...) -- C:\Program Files\vShare\vshare_toolbar.dll
O18 - Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} . (...) -- C:\Program Files\vShare\vshare_toolbar.dll
O42 - Logiciel: vShare Plugin - (.Pas de propriétaire.) [HKLM] -- vShare
[HKCU\Software\vShare]
O43 - CFD: 08/12/2010 - 21:40:29 - [1,124] ----D C:\Program Files\vShare
O69 - SBI: SearchScopes [HKCU] {043C5167-00BB-4324-AF7E-62013FAEDACF} - (Web Search...) - http://ww1.toolbarhome.com
[HKLM\Software\Classes\PROTOCOLS\Handler\vsharechrome]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\vShare]
[HKLM\Software\Classes\vShare.IMedixProtocol]
[HKLM\Software\Classes\vShare.IMedixProtocol.1]
[HKLM\Software\Classes\vShare.PugiObj]
[HKLM\Software\Classes\vShare.PugiObj.1]
[HKLM\Software\Classes\vShare.ScriptHelpers]
[HKLM\Software\Classes\vShare.ScriptHelpers.1]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Classes\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Classes\TypeLib\{3E315C81-442B-431C-AEC8-ED189699EC24}]
[HKLM\Software\Classes\CLSID\{3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484}]
[HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]
[HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}]
[HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}]
[HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}]
[HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]
[HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}]
[HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare]
C:\Program Files\vShare
C:\Users\youcef\AppData\LocalLow\vShare
O4 - Global Startup: C:\Users\youcef\Desktop\Ordinateur - Raccourci.lnk - Clé orpheline
O4 - Global Startup: C:\Users\youcef\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk . (...) -- C:\ProgramData\tfChVgyrEllM1W.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{B62FBCA5-79F3-4BA8-AF6C-AA3F29076ACB}] (...) -- C:\Program Files\Internet Explorer\iexplore.exeed;alreadyoffered (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{ECFFFAC3-5AA1-4E62-9164-7BA41C71659B}] (...) -- C:\Program Files\Internet Explorer\iexplore.exelreadyoffered (.not file.)
O43 - CFD: 04/04/2012 - 16:46:33 - [0,001] ----D C:\Users\youcef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SMART HDD
EmptyTemp
EmptyFlash
FirewallRAZ
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Smart
