Trojan ZeroAccess.hi impossible à supprimerRésolu/Fermé

Question

Bonjour, 

En allumant mon PC ce matin, McAfee me met une alerte me signifiant qu'un cheval de troie, ZeroAccess.hi, a été mis en quarantaine et qu'il faut redémarrer le PC pour que le logiciel puisse agir. Je l'ai fait et ça m'a remis la même chose, le fichier est toujours présent en C:\Windows\assembly\GAC_32\Desktop.ini . 
J'ai fait un scan complet avec Malwarebytes, il a trouvé plusieurs Rootkit.0Access, j'ai fait "tout supprimer" et ils reviennent aussi.
Je ne sais pas quoi faire. Merci d'avance pour votre aide.

Configuration: Windows 7 / Chrome 26.0.1410.64

Smart91 · Answer

Bonjour,

* Va sur ce lien https://www.luanagames.com/index.fr.html (par tigzy) 
* Clique sur l'icône RogueKiller qui correspond à ta version de Windows (64 bits ou non) pour télécharger RogueKiller

* Quitte tous les programmes en cours 
* Lance RogueKiller.exe. 
* Attendre la fin du Prescan ... 
* Clique sur Scan. 
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse

Smart

fairyta7e · Answer

Il a planté la première fois mais la deuxième ça a marché. RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Noemie [Droits d'admin] Mode : Recherche -- Date : 09/05/2013 19:26:20 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 6 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJPOL] HKLM\[...]\Wow6432Node\System : DisableTaskMgr (0) -> TROUVÉ [HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] @ : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\@ [-] --> TROUVÉ [ZeroAccess][FOLDER] U : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\U --> TROUVÉ [ZeroAccess][FOLDER] L : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\L --> TROUVÉ [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ [Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> TROUVÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD10 EARS-22Y5B1 SCSI Disk Device +++++ --- User --- [MBR] 5b72797c8f9dfb06f4da6e0b19b28432 [BSP] 22820d540b036e7b80f0e56e2edb598d : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 16000 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 32770048 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 32974848 | Size: 468882 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 993245184 | Size: 468885 Mo User = LL1 ... OK! Error reading LL2 MBR! +++++ PhysicalDrive1: SAMSUNG HD103SI USB Device +++++ --- User --- [MBR] 0299ad4386a5405af35462403941b8e7 [BSP] 2a18ccc767a30c5aeb8e906418116ba2 : Empty MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 953867 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1]_S_09052013_192620.txt >> RKreport[1]_S_09052013_192620.txt

Smart91 · Answer

* Quitte tous les programmes en cours 
* Lance RogueKiller.exe. 
* Attendre la fin du Prescan ... 
* Clique sur Scan. 
* A la fin du scan Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse 

Smart

fairyta7e · Answer

Après redémarrage : RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Noemie [Droits d'admin] Mode : Suppression -- Date : 09/05/2013 19:36:23 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 4 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] @ : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\@ [-] --> SUPPRIMÉ AU REBOOT [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\U --> SUPPRIMÉ [Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\L\00000004.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 201d3dde : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\L\201d3dde [-] --> SUPPRIMÉ [Del.Parent][FILE] 76603ac3 : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\L\76603ac3 [-] --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\L --> SUPPRIMÉ [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD10 EARS-22Y5B1 SCSI Disk Device +++++ --- User --- [MBR] 5b72797c8f9dfb06f4da6e0b19b28432 [BSP] 22820d540b036e7b80f0e56e2edb598d : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 16000 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 32770048 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 32974848 | Size: 468882 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 993245184 | Size: 468885 Mo User = LL1 ... OK! Error reading LL2 MBR! +++++ PhysicalDrive1: SAMSUNG HD103SI USB Device +++++ --- User --- [MBR] 0299ad4386a5405af35462403941b8e7 [BSP] 2a18ccc767a30c5aeb8e906418116ba2 : Empty MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 953867 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2]_D_09052013_193623.txt >> RKreport[1]_S_09052013_192620.txt ; RKreport[2]_D_09052013_193623.txt

Smart91 · Answer

Est-ce que le PC a redémarré sinon fais le.

Tu vas faire ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Ensuite ceci:

Va sur ce site https://www.virustotal.com/gui/
- Clique sur "Choose File"
- Dans nom du fichier colle ce fichier : C:\Windows\system32\services.exe
- Clique sur "Ouvrir" puis sur "Scan It"
- Le Fichier est mis en file d'attente. 
- Clique sur Reanalyse si  c'est proposé
- Attends la fin du scan ey poste le lien vers le rapport
Le lien se trouve en haut dans la barre d'adresse du navigateur Internet 

Cela fait deux rapports à poster

Smart

fairyta7e · Answer

Le problème est résolu. J'ai refait un scan complet avec Malwarebytes (3h57, en effet ça dure un peu) et il n'y a plus rien. McAfee ne trouve plus rien non plus. C'est parfait :-)
Vraiment merci pour l'aide et la rapidité de réponse.

Smart91 · Answer

C'est comme tu veux, mais la désinfection n'est terminé. Il y  a surement des résidus et/ou d'autres infections.

J'aimerais bien que tu fasses ce que je t'ai demandé pour le fichier services.exe.

Après c'est toi qui vois 

Smart

fairyta7e · Answer

Je veux bien continuer mais le fichier services.exe n'existe pas chez moi, ou du moins dans ce répertoire, mais j'ai services.msc, c'est pareil ?

Smart91 · Answer

Ce n'est pas normal que tu n'aies pas services.exe (services est au pluriel)
Est-ce que tu as fait un copié/collé dans la fenêtre cette ligne après avoir cliqué sur "Choisir un fichier"
C:\Windows\system32\services.exe 

Est-ce que tu as un message d'erreur  

Smart

fairyta7e · Answer

J'ai un message me demandant de vérifier l'orthographe et de réessayer. J'ai cherché à le sélectionner directement depuis C:\Windows\system32\ et il n'y a pas de services.exe ,  seulement un services.msc

Smart91 · Answer

OK. je te crois. On va quand même vérifier quelque chose:

- Télécharge SEAF (de C_XX) sur ton Bureau. 
http://general-changelog-team.fr/fr/downloads/viewdownload/14-outils-de-c-xx/6-seaf
- Lance SEAF 
- Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre" 
- Copie colle la ligne en gras ci dessous dans le champs de recherche, clique sur "Lancer la recherche" et patiente. 

----------------------------------------------------------------

services.exe

---------------------------------------------------------------

* Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche. 

Smart

fairyta7e · Answer

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 23:58:29 le 10/05/2013
4. 
5. Valeur(s) recherchée(s):
6. services.exe
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13. 
14. ====== Fichier(s) ======
15. 
16. 
17. "C:\Program Files (x86)\bfgclient\bfggameservices.exe" [ ARCHIVE | 256 Ko ]
18. TC: 19/08/2011,06:29:44 | TM: 19/08/2011,06:29:44 | DA: 25/12/2011,20:00:22
19. 
20. Hash MD5: 454249FCAB4B50602D7F43896110FF8A
21. 
22. ProductName: Game Services Application
23. InternalName: Game Services
24. OriginalFileName: bfggameservices.exe
25. LegalCopyright: Copyright (C)2006-2010 Big Fish Games, Inc 
26. ProductVersion: 3.0.1.60
27. FileVersion: 3.0.1.60
28. 
29. =========================
30. 
31. 
32. "C:\Windows\Prefetch\BFGGAMESERVICES.EXE-273E0D4D.pf" [ NOT_CONTENT_INDEXED|ARCHIVE | 40 Ko ]
33. TC: 08/05/2013,19:03:58 | TM: 08/05/2013,19:03:58 | DA: 08/05/2013,19:03:58
34. 
35. Hash MD5: 9B9B4AF47A090D50D223156F932318A4
36. 
37. 
38. =========================
39. 
40. 
41. "C:\Windows\winsxs\amd64_microsoft-windows-s..ontroller.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_68750ba1329f3c6f\services.exe.mui" [ ARCHIVE | 20 Ko ]
42. TC: 07/07/2009,10:48:01 | TM: 07/07/2009,10:48:01 | DA: 07/07/2009,10:48:01
43. 
44. Hash MD5: 18A525B3727F2AE7E8D440F42FC82C2E
45. 
46. CompanyName: Microsoft Corporation
47. ProductName: Système d'exploitation Microsoft® Windows®
48. InternalName: services.exe
49. OriginalFileName: services.exe.mui
50. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
51. ProductVersion: 6.1.7600.16385
52. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
53. 
54. =========================
55. 
56. 
57. "C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe" [ ARCHIVE | 329 Ko ]
58. TC: 14/07/2009,01:19:46 | TM: 14/07/2009,03:39:37 | DA: 14/07/2009,01:19:46
59. 
60. Hash MD5: 24ACB7E5BE595468E3B9AA488B9B4FCB
61. 
62. CompanyName: Microsoft Corporation
63. ProductName: Système d'exploitation Microsoft® Windows®
64. InternalName: services.exe
65. OriginalFileName: services.exe.mui
66. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
67. ProductVersion: 6.1.7600.16385
68. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
69. 
70. =========================
71. 
72. 
73. "C:\Windows\winsxs\Backup\amd64_microsoft-windows-s..ontroller.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_68750ba1329f3c6f_services.exe.mui_86ea5e71" [ ARCHIVE | 20 Ko ]
74. TC: 07/07/2009,10:49:10 | TM: 07/07/2009,10:48:54 | DA: 07/07/2009,10:48:54
75. 
76. Hash MD5: 18A525B3727F2AE7E8D440F42FC82C2E
77. 
78. CompanyName: Microsoft Corporation
79. ProductName: Système d'exploitation Microsoft® Windows®
80. InternalName: services.exe
81. OriginalFileName: services.exe.mui
82. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
83. ProductVersion: 6.1.7600.16385
84. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
85. 
86. =========================
87. 
88. 
89. "C:\Windows\winsxs\Backup\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1_services.exe_abfc33da" [ ARCHIVE | 329 Ko ]
90. TC: 14/07/2009,04:59:34 | TM: 14/07/2009,04:58:23 | DA: 14/07/2009,04:58:23
91. 
92. Hash MD5: 24ACB7E5BE595468E3B9AA488B9B4FCB
93. 
94. CompanyName: Microsoft Corporation
95. ProductName: Système d'exploitation Microsoft® Windows®
96. InternalName: services.exe
97. OriginalFileName: services.exe.mui
98. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
99. ProductVersion: 6.1.7600.16385
100. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
101. 
102. =========================
103. 
104. 
105. 
106. ====== Entrée(s) du registre ======
107. 
108. 
109. [HKLM\Software\Microsoft\FTH]
110. "ExclusionList"="smss.exe
111. csrss.exe
112. wininit.exe
113. services.exe
114. lsass.exe
115. lsm.exe
116. svchost.exe
117. winlogon.exe
118. SLsvc.exe
119. spoolsv.exe
120. taskhost.exe" (REG_MULTI_SZ)
121. 
122. [HKLM\Software\Wow6432Node\Microsoft\FTH]
123. "ExclusionList"="smss.exe
124. csrss.exe
125. wininit.exe
126. services.exe
127. lsass.exe
128. lsm.exe
129. svchost.exe
130. winlogon.exe
131. SLsvc.exe
132. spoolsv.exe
133. taskhost.exe" (REG_MULTI_SZ)
134. 
135. [HKLM\System\ControlSet001\services\eventlog\System\Service Control Manager]
136. "EventMessageFile"="%SystemRoot%\system32\services.exe" (REG_EXPAND_SZ)
137. 
138. [HKLM\System\ControlSet002\services\eventlog\System\Service Control Manager]
139. "EventMessageFile"="%SystemRoot%\system32\services.exe" (REG_EXPAND_SZ)
140. 
141. [HKLM\System\CurrentControlSet\services\eventlog\System\Service Control Manager]
142. "EventMessageFile"="%SystemRoot%\system32\services.exe" (REG_EXPAND_SZ)
143. 
144. =========================
145. 
146. Fin à: 00:07:55 le 11/05/2013
147. 854995 Éléments analysés
148. 
149. =========================
150. E.O.F

Smart91 · Answer

En effet il n'est pas présent dans c:\windows\system32, amis il y a des copies sur ton disque.

Tu vas faire ceci;

Va sur ce site https://www.virustotal.com/gui/
- Clique sur "Choisir un fichier"
- Dans nom du fichier colle ce fichier : C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe
- Clique sur "Ouvrir" puis sur "Analyser !"
- Le Fichier est mis en file d'attente. 
- Clique sur Reanalyse si  c'est proposé
- Attends la fin du scan et poste le lien vers le rapport
Le lien se trouve en haut dans la barre d'adresse du navigateur Internet

Si le fichier est sain on le copiera dans c:\windows\system32
 
Smart

fairyta7e · Answer

Voilà le résultat : https://www.virustotal.com/gui/file/63541e3432fce953f266ae553e7a394978d6ee3db52388d885f668cf42c5e7e2

Smart91 · Answer

Télècharge sur ton bureau ce fichier fairyti.bat en faisant clic droit enregistrer la cible sous.

Double clic sur fairity. Une fenêtre noire va s'ouvrir et se fermer rapidement. C'est normal.

Ensuite on va faire un diagnostic afin de voir s'il y a des résidus et/ou d'autres infections

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista, Windows 7 et Windows 8 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement" 
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur le bouton tournevis en haut à droite et coche toutes les options
- Clique sur la loupe en haut à droite  sans signe  pour lancer l'analyse. 
- Laisse l'outil travailler, il peut être assez long. 
- Ferme ZHPDiag en fin d'analyse. 
- Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le répertoire C:\ZHP
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier". 
- Copie le lien obtenu  dans ta réponse.

Smart

fairyta7e · Answer

Voilà le rapport 
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130511_e11m7m13l13i8

Smart91 · Answer

Ton ordinateur est aussi infecté par plusieurs logiciels publicitaires... Pour éviter ce genre de problème :
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net, Softronic, Tuto4PC, etc modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.
Pour ton information lis ces dossier sur les Programmes Potentiellement Indésirables et Les Barres d'Outils ce n'est pas obligatoires 

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Lance AdwCleaner
- Clique sur[Suppression]. Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.
- Patiente le temps du nettoyage.
- Une fois le scan fini, il te sera proposé de redémarrer.
- Au redémarrage du PC, un rapport s'ouvrira. Poste le contenu dans ta prochaine réponse.
- Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Smart

fairyta7e · Answer

Je décoche tout ce qui est barre d'outils et là je suis sur le cul en voyant la quantité de browser and cie installés sur mon ordi.


# AdwCleaner v2.300 - Rapport créé le 11/05/2013 à 16:07:27 
# Mis à jour le 28/04/2013 par Xplode 
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits) 
# Nom d'utilisateur : Noemie - NOEMIE-PC 
# Mode de démarrage : Normal 
# Exécuté depuis : D:\Télechargements\adwcleaner.exe 
# Option [Suppression] 


***** [Services] ***** 


***** [Fichiers / Dossiers] ***** 

Dossier Supprimé : C:\ProgramData\Browse2sauVe 
Dossier Supprimé : C:\ProgramData\InstallMate 
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Browse2sauVe 
Dossier Supprimé : C:\ProgramData\SoftSafe 
Dossier Supprimé : C:\ProgramData\Trymedia 
Dossier Supprimé : C:\Users\Noemie\AppData\Local\Google\Chrome\User Data\Default\Extensions\gpjpcfckfbkndgmalikjnfipchloidfk 
Dossier Supprimé : C:\Users\Noemie\AppData\Roaming\QuickStoresToolbar 
Dossier Supprimé : C:\Windows\assembly\GAC_MSIL\QuickStoresToolbar 
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml 
Fichier Supprimé : C:\Users\Noemie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url 
Fichier Supprimé : C:\Users\Noemie\AppData\Roaming\Microsoft\Windows\Start Menu\QuickStores.url 

***** [Registre] ***** 

Clé Supprimée : HKCU\Software\APN PIP 
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar 
Clé Supprimée : HKCU\Software\AppDataLow\SProtector 
Clé Supprimée : HKCU\Software\Conduit 
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F} 
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F} 
Clé Supprimée : HKCU\Software\Softonic 
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5} 
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB} 
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL 
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr 
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1 
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947} 
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3} 
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755} 
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32 
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS 
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670} 
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88} 
Clé Supprimée : HKLM\Software\PIP 
Clé Supprimée : HKLM\Software\SP Global 
Clé Supprimée : HKLM\Software\SProtector 
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F} 
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B} 
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD} 
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1} 
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C} 
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785} 
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb 
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670} 
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F} 
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C3F3165C-74D3-6FDB-3274-14FDA8698CFA} 
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\QuickStores-Toolbar_is1 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C} 
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785} 
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}] 

***** [Navigateurs] ***** 

-\ Internet Explorer v9.0.8112.16476 

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=54f4cc310000000000000014d16c5f0b&tlver=1.4.19.19&affID=16553 --> hxxp://www.google.com 
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=54f4cc310000000000000014d16c5f0b&tlver=1.4.19.19&affID=16553 --> hxxp://www.google.com 

-\ Google Chrome v26.0.1410.64 

Fichier : C:\Users\Noemie\AppData\Local\Google\Chrome\User Data\Default\Preferences 

[OK] Le fichier ne contient aucune entrée illégitime. 

************************* 

AdwCleaner[S1].txt - [5085 octets] - [11/05/2013 16:07:27] 

########## EOF - C:\AdwCleaner[S1].txt - [5145 octets] ##########

Smart91 · Answer

Refais un scan ZHPDiag comme je l'avais indiqué plus haut et poste le rapport via pjjoint 
 
Smart

fairyta7e · Answer

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130511_z6g6r13v12q11

Smart91 · Answer

On va supprimer par un script tous les restes et les élément inutiles.

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie les lignes en gras suivantes :
 
---------------------------------------------------------- 
O42 - Logiciel: BrowseToSave - (...) [HKLM][64Bits] -- {93440185-3DA0-4D88-AF63-758248A72373}
O43 - CFD: 17/03/2013 - 01:24:12 - [1,473] ----D C:\Program Files (x86)\BrowseToSave
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}]
[HKLM\Software\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SP_f2a323db]
O4 - HKCU\..\Run: [AdobeBridge] Orphean Key
[MD5.00000000000000000000000000000000] [APT] [{2EB9FAA9-8ACA-484D-B6A9-7450A8FB1CE4}] (...) -- D:\T'lechargements\Last.fm-1.5.4.27091.exe (.not file.)   [0]
[MD5.00000000000000000000000000000000] [APT] [{F36B48DA-F11E-468C-AC77-348214828A53}] (...) -- D:\T'lechargements\format-factory-270.exe (.not file.)   [0]
[MD5.00000000000000000000000000000000] [APT] [{F380B06E-C465-4804-BC0E-E8C0F4846F3A}] (...) -- D:\T'lechargements\QuickTimeInstaller.exe (.not file.)   [0]
O61 - LFC: 09/05/2013 - 20:09:43 ----- C:\Users\Noemie\AppData\Local\Temp\qtsingleapp-lastfm-4952-1-lockfile   [0]
O61 - LFC: 10/05/2013 - 17:09:07 ---A- C:\Users\Noemie\AppData\Local\Temp\a8256d3c-6ea7-4188-903c-e2dd409523bb.dmp   [545967]
O61 - LFC: 11/05/2013 - 10:06:02 ---A- C:\Users\Noemie\AppData\Local\Temp\CRX_75DAF8CB7768\crl-set   [755]
O61 - LFC: 11/05/2013 - 10:06:02 ---A- C:\Users\Noemie\AppData\Local\Temp\CRX_75DAF8CB7768\manifest.json   [34]
O61 - LFC: 11/05/2013 - 15:16:27 ---A- C:\Users\Noemie\AppData\Local\Temp\au-descriptor-1.7.0_21-b11.xml   [8818]
[MD5.59A46F65BBDAF49DEF0257F7D0017571] [SPRF][11/05/2013] (...) -- C:\Users\Noemie\Desktop\fairyta.bat   [188]
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ

---------------------------------------------------------- 
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et redémarre le PC
 
Smart

fairyta7e · Answer

Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-11-05-2013-17-33-02.txt
Run by Noemie at 11/05/2013 17:33:02
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Recycle Files Deleted

========== Software ==========
NOT FOUND Software Key: {93440185-3DA0-4D88-AF63-758248A72373}

========== Registry Key ==========
DELETED Key*: HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
NOT FOUND Key: HKLM\Software\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
DELETED Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SP_f2a323db

========== Registry Value ==========
NOT FOUND IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
DELETED RunValue: AdobeBridge
No Value in Standard Profile Register Key FirewallRaz : 
No Value in Domain Profile Register Key FirewallRaz : 
No Value in Firewall Exception Register Key (FirewallRaz)

========== Repertory ==========
DELETED Folder: C:\Users\Noemie\AppData\Local\{1D5F9A05-B87B-4BC6-9129-4C998AE6A665}

========== File ==========
DELETE on Reboot c:\users
oemie\appdata\local	emp\qtsingleapp-lastfm-4952-1-lockfile
DELETED File: c:\users
oemie\appdata\local	emp\a8256d3c-6ea7-4188-903c-e2dd409523bb.dmp 
DELETED File: c:\users
oemie\appdata\local	emp\crx_75daf8cb7768\crl-set 
DELETED File: c:\users
oemie\appdata\local	emp\crx_75daf8cb7768\manifest.json 
DELETED File: c:\users
oemie\appdata\local	emp\au-descriptor-1.7.0_21-b11.xml 
DELETED File: C:\Users\Noemie\Desktop\fairyta.bat
DELETED File*: c:\users
oemie\desktop\fairyta.bat
DELETED Window Temporary
DELETED Flash Cookies

========== Task ==========
DELETED Task: {2EB9FAA9-8ACA-484D-B6A9-7450A8FB1CE4}
DELETED Task: {F36B48DA-F11E-468C-AC77-348214828A53}
DELETED Task: {F380B06E-C465-4804-BC0E-E8C0F4846F3A}


========== Summary ==========
3 : Registry Key
5 : Registry Value
1 : Repertory
9 : File
1 : Software
3 : Task


End of clean in 00mn 06s

========== Report File ==========
C:\ZHP\ZHPFix[R1].txt - 11/05/2013 17:33:02 [2083]

Smart91 · Answer

As-tu bien redémarré le PC, sinon fais le.

Ensuite refais un dernier scan ZHPDiag et poste le rapport via pjjoint.
Ensuite on va passer à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

fairyta7e · Answer

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130511_r6v13t9j11q12

Smart91 · Answer

Il y a encore des restes qui sont toujours là:

On va ler supprimer autrement:

- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer. 
- Copie (Ctrl+C) le texte suivant en gras ci-dessous : 

--------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{93440185-3DA0-4D88-AF63-758248A72373}]
[-HKEY_CLASSES_ROOT\CLSID\{93440185-3DA0-4D88-AF63-758248A72373}]
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\SProtector]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=-
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\SProtector]

:Files
C:\Program Files (x86)\BrowseToSave

:commands 
[emptytemp] 

--------------------------------------------------------------

- Colle (Ctrl+V) le texte précédemment copié dans le cadre:  Paste Instructions for Items to be Moved. 

- Clique maintenant sur le bouton MoveIt! 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log
 
Smart

fairyta7e · Answer

All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{93440185-3DA0-4D88-AF63-758248A72373}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{93440185-3DA0-4D88-AF63-758248A72373}\ not found.
Registry key HKEY_CLASSES_ROOT\CLSID\{93440185-3DA0-4D88-AF63-758248A72373}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{93440185-3DA0-4D88-AF63-758248A72373}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\SProtector\ deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\svchost.exe deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\svchost.exe not found.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\SProtector\ not found.
========== FILES ==========
C:\Program Files (x86)\BrowseToSave folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56502 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Noemie
->Temp folder emptied: 139961072 bytes
->Temporary Internet Files folder emptied: 2465562 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 365641290 bytes
->Flash cache emptied: 931 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 41620 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 23884 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 39239076 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 753 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 53604 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 522,00 mb
 
 
OTM by OldTimer - Version 3.1.21.0 log created on 05122013_100312

Files moved on Reboot...
C:\Users\Noemie\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Smart91 · Answer

Refais un scan ZHPDiag et poste le rapport via pjjoint 

Smart

fairyta7e · Answer

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130513_t12t10d12z8q15

Smart91 · Answer

Tout d'abord désinstalle Microsoft security Essential et Microsoft Sécurity Client, cela fait double emploi avec McAffee et cela peut entraîner des conflits.

Désinstalle  également Java Update 17 par ajout/suppression de programmes. Tu as déjà la dernière mise à jour qui est Java Update 21.

Enfin, vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : http://www.filehippo.com/updatechecker/UpdateChecker.exe
et lis ceci: Pourquoi tenir ses programmes a jour 

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie les lignes en gras suivantes :
 
---------------------------------------------------------- 
O42 - Logiciel: BrowseToSave - (...) [HKLM][64Bits] -- {93440185-3DA0-4D88-AF63-758248A72373}
[MD5.00000000000000000000000000000000] [APT] [{F097FAEE-69E9-4D4F-9304-7F6228C9FF45}] (...) -- E:\Setup.exe (.not file.)   [0]
O61 - LFC: 12/05/2013 - 09:11:47 ---A- C:\Users\Noemie\AppData\Local\Temp\au-descriptor-1.7.0_21-b11.xml   [8818]
O61 - LFC: 12/05/2013 - 09:39:48 ---A- C:\Users\Noemie\AppData\Local\Temp\CRX_75DAF8CB7768\crl-set   [293]
O61 - LFC: 12/05/2013 - 09:39:48 ---A- C:\Users\Noemie\AppData\Local\Temp\CRX_75DAF8CB7768\manifest.json   [34]
O61 - LFC: 12/05/2013 - 10:45:36 ---A- C:\Users\Noemie\AppData\Local\Temp\qtsingleapp-lastfm-4952-1-lockfile   [0]
[HKLM\Software\Wow6432Node\AVAST Software] 
O43 - CFD: 12/06/2011 - 19:07:22 - [0] ----D C:\ProgramData\AVAST Software
OPT:O4 - HKLM\..\Wow6432Node\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 30/08/2011 462184 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe

---------------------------------------------------------- 
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance CCleaner. va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 

Désinstallation des outils - Réactivation de l'UAC - Purge Restauration et Création d'un point de restauration

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Coche toutes les cases sauf "Faire une sauvegarde du registre"
- Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
- Le rapport sera enregistré dans le presse-papier. Copie/Colle le dans ta prochaine réponse.

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

Installe l'extension de sécurité adblock plus pour bloquer les publicités 
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 
Pour Chrome: https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Installe également ce programme qui va bloquer tous les sites qui proposent  des adwares HOSTS Anti-PUPs/Adware
Voici un tutoriel pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Si tu souhaites plus tard désinstaller  HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
Tu  peux  aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commande.

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html 

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up publicitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

- Super Important, comme tu es sous Windows 8 : 
Quelques précautions à prendre surtout si tu n'as pas de CD Windows 

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

fairyta7e · Answer

Je suis sous Windows 7 donc pas de soucis par rapport à Windows 8.
Par contre j'aurais quelques questions.
J'ai voulu mettre à jour Nero, mais il veut installer d'office Ask toobar. Je lance quand même la mise à jour ?

Je voulais tout mettre en même temps et en lançant Delfix ça a supprimé celui de ZHPFix.

# DelFix v10.2 - Rapport créé le 13/05/2013 à 18:25:35
# Mis à jour le 02/04/2013 par Xplode
# Nom d'utilisateur : Noemie - NOEMIE-PC

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\_OTM
Supprimé : C:\ZHP
Supprimé : C:\Users\Noemie\Desktop\RK_Quarantine
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\Program Files (x86)\SEAF
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\SeafLog.txt
Supprimé : C:\Users\Noemie\Desktop\OTM.exe
Supprimé : C:\Users\Noemie\Desktop\seaf.exe
Supprimé : C:\Users\Noemie\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Noemie\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\log.txt
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #120 [Point de contrôle planifié | 05/05/2013 16:18:09]
Supprimé : RP #121 [Removed HP Update | 05/09/2013 15:30:36]
Supprimé : RP #122 [Installed Java 7 Update 21 (64-bit) | 05/09/2013 16:56:59]
Supprimé : RP #123 [Windows Update | 05/10/2013 20:55:54]
Supprimé : RP #124 [Installed Adobe Reader XI. | 05/11/2013 16:58:13]
Supprimé : RP #125 [Installé Microsoft Visual C++ 2005 Redistributable | 05/12/2013 07:58:22]
Supprimé : RP #126 [Removed Java 7 Update 17 | 05/13/2013 16:05:51]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########


En tout cas, vraiment merci pour ton aide =)

Smart91 · Answer

"J'ai voulu mettre à jour Nero, mais il veut installer d'office Ask toobar. Je lance quand même la mise à jour ? "
Il n'y a pas une case à décocher pour ne pas installer Ask.

Smart

Laura · Answer

Bonjour, je viens d'hériter d'un ZeroAccess.hi (oh bonheur...) et j'essaye en vain de m'en débarrasser j'ai lu tes réponses pour d'autres cas Smart91 et voici les procédures que j'ai déjà faite... 1) Prescan et Scan avec Rogue Killer. Voici le rapport : RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Laura [Droits d'admin] Mode : Recherche -- Date : 05/30/2013 14:56:11 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 12 ¤¤¤ [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{23FACE56-7907-45D9-9933-FF15A43EDEA2} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{2D7D65D1-8481-4D7B-B07C-143C391A0478} : NameServer (10.4.182.22 10.4.81.105) -> TROUVÉ [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{571B0DA3-9C31-441E-8BBE-433C4EA6F7B6} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ [DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{23FACE56-7907-45D9-9933-FF15A43EDEA2} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ [DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{2D7D65D1-8481-4D7B-B07C-143C391A0478} : NameServer (10.4.182.22 10.4.81.105) -> TROUVÉ [DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{571B0DA3-9C31-441E-8BBE-433C4EA6F7B6} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ [HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJPOL] HKLM\[...]\Wow6432Node\System : DisableTaskMgr (0) -> TROUVÉ [HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] @ : C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\@ [-] --> TROUVÉ [ZeroAccess][FOLDER] U : C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U --> TROUVÉ [ZeroAccess][FOLDER] L : C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\L --> TROUVÉ [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ [Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> TROUVÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS547575A9E384 +++++ --- User --- [MBR] 11873b81392702dc5cf10e0478b9cc7a [BSP] 98af57227a42c6bd0971f618540236ea : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 690657 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1414875136 | Size: 24444 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1464936448 | Size: 102 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_05302013_02d1456.txt >> RKreport[1]_S_05302013_02d1456.txt 2) Téléchargement et installation de Malwarebytes, mise à jour ok. J'ai lancé un examen complet, coché les éléments détectés et supprimer la sélection. J'ai également redémarrer mon portable. Voici le rapport : 2013/05/31 07:40:17 +0200 LAURA-HP Laura MESSAGE Starting protection 2013/05/31 07:40:17 +0200 LAURA-HP Laura MESSAGE Protection started successfully 2013/05/31 07:40:17 +0200 LAURA-HP Laura MESSAGE Starting IP protection 2013/05/31 07:40:17 +0200 LAURA-HP Laura ERROR IP protection failed: FwpmEngineOpen0 failed with error code 1753 2013/05/31 07:44:33 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE 2013/05/31 07:48:36 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE 2013/05/31 07:52:51 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE 2013/05/31 07:57:21 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE 2013/05/31 08:01:38 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE 2013/05/31 08:05:55 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE 2013/05/31 08:09:58 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE 2013/05/31 08:14:26 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE 3) J'ai été sur virus total pour rechercher C:\Windows\system32\services.exe Mais tout comme Fairyta7e je ne l'ai pas. J'ai téléchargé SEAF et suivi ce qui lui avait été conseillé : règle "Calculer le checksum" sur "MD5" puis cocher "Informations supplémentaires" et "Chercher également dans le Registre". Voici le rapport : 1. ========================= SEAF 1.0.1.0 - C_XX 2. 3. Commencé à: 08:13:52 le 31/05/2013 4. 5. Valeur(s) recherchée(s): 6. services.exe 7. 8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès 9. 10. (!) --- Calcul du Hash "MD5" 11. (!) --- Informations supplémentaires 12. (!) --- Recherche registre 13. 14. ====== Fichier(s) ====== 15. 16. 17. "C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe" [ ARCHIVE | 346 Ko ] 18. TC: 11/10/2010,03:48:14 | TM: 11/10/2010,03:48:14 | DA: 10/02/2012,16:58:48 19. 20. Hash MD5: 6A181452D4E240B8ECC7614B9A19BDE9 21. 22. CompanyName: Hewlett-Packard Company 23. ProductName: HP Client Services 24. InternalName: HP Client Services 25. OriginalFileName: HPClientServices.exe 26. LegalCopyright: ? 2009-2010 Hewlett-Packard Development Company, L.P. 27. ProductVersion: 1, 1, 0, 3539 28. FileVersion: 1, 1, 0, 3539 29. 30. ========================= 31. 32. 33. "C:\Windows\winsxs\amd64_microsoft-windows-s..ontroller.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_68750ba1329f3c6f\services.exe.mui" [ ARCHIVE | 20 Ko ] 34. TC: 11/02/2012,00:32:07 | TM: 11/02/2012,00:32:07 | DA: 11/02/2012,00:32:07 35. 36. Hash MD5: 18A525B3727F2AE7E8D440F42FC82C2E 37. 38. CompanyName: Microsoft Corporation 39. ProductName: Système d'exploitation Microsoft® Windows® 40. InternalName: services.exe 41. OriginalFileName: services.exe.mui 42. LegalCopyright: © Microsoft Corporation. Tous droits réservés. 43. ProductVersion: 6.1.7600.16385 44. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255) 45. 46. ========================= 47. 48. 49. "C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe" [ ARCHIVE | 329 Ko ] 50. TC: 14/07/2009,01:19:46 | TM: 14/07/2009,03:39:37 | DA: 14/07/2009,01:19:46 51. 52. Hash MD5: 24ACB7E5BE595468E3B9AA488B9B4FCB 53. 54. CompanyName: Microsoft Corporation 55. ProductName: Système d'exploitation Microsoft® Windows® 56. InternalName: services.exe 57. OriginalFileName: services.exe.mui 58. LegalCopyright: © Microsoft Corporation. Tous droits réservés. 59. ProductVersion: 6.1.7600.16385 60. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255) 61. 62. ========================= 63. 64. 65. "C:\Windows\winsxs\Backup\amd64_microsoft-windows-s..ontroller.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_68750ba1329f3c6f_services.exe.mui_86ea5e71" [ ARCHIVE | 20 Ko ] 66. TC: 11/02/2012,00:33:27 | TM: 11/02/2012,00:33:15 | DA: 11/02/2012,00:33:15 67. 68. Hash MD5: 18A525B3727F2AE7E8D440F42FC82C2E 69. 70. CompanyName: Microsoft Corporation 71. ProductName: Système d'exploitation Microsoft® Windows® 72. InternalName: services.exe 73. OriginalFileName: services.exe.mui 74. LegalCopyright: © Microsoft Corporation. Tous droits réservés. 75. ProductVersion: 6.1.7600.16385 76. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255) 77. 78. ========================= 79. 80. 81. "C:\Windows\winsxs\Backup\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1_services.exe_abfc33da" [ ARCHIVE | 329 Ko ] 82. TC: 14/07/2009,04:59:34 | TM: 14/07/2009,04:58:23 | DA: 14/07/2009,04:58:23 83. 84. Hash MD5: 24ACB7E5BE595468E3B9AA488B9B4FCB 85. 86. CompanyName: Microsoft Corporation 87. ProductName: Système d'exploitation Microsoft® Windows® 88. InternalName: services.exe 89. OriginalFileName: services.exe.mui 90. LegalCopyright: © Microsoft Corporation. Tous droits réservés. 91. ProductVersion: 6.1.7600.16385 92. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255) 93. 94. ========================= 95. 96. 97. 98. ====== Entrée(s) du registre ====== 99. 100. 101. [HKLM\Software\Microsoft\FTH] 102. "ExclusionList"="smss.exe 103. csrss.exe 104. wininit.exe 105. services.exe 106. lsass.exe 107. lsm.exe 108. svchost.exe 109. winlogon.exe 110. SLsvc.exe 111. spoolsv.exe 112. taskhost.exe" (REG_MULTI_SZ) 113. 114. [HKLM\System\ControlSet001\services\eventlog\System\Service Control Manager] 115. "EventMessageFile"="%SystemRoot%\system32\services.exe" (REG_EXPAND_SZ) 116. 117. [HKLM\System\ControlSet001\services\HPClientSvc] 118. "ImagePath"=""C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe"" (REG_EXPAND_SZ) 119. 120. [HKLM\System\ControlSet002\services\eventlog\System\Service Control Manager] 121. "EventMessageFile"="%SystemRoot%\system32\services.exe" (REG_EXPAND_SZ) 122. 123. [HKLM\System\ControlSet002\services\HPClientSvc] 124. "ImagePath"=""C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe"" (REG_EXPAND_SZ) 125. 126. [HKLM\System\CurrentControlSet\services\eventlog\System\Service Control Manager] 127. "EventMessageFile"="%SystemRoot%\system32\services.exe" (REG_EXPAND_SZ) 128. 129. [HKLM\System\CurrentControlSet\services\HPClientSvc] 130. "ImagePath"=""C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe"" (REG_EXPAND_SZ) 131. 132. ========================= 133. 134. Fin à: 08:16:13 le 31/05/2013 135. 423543 Éléments analysés 136. 137. ========================= 138. E.O.F Maintenant... je n'y connais pas grand chose... comment savoir si services.exe est présent ou pas ? Et que dois-je faire maintenant ? Merci mille fois pour votre aide.

wapin77 · Answer

Salut salut !

J'ai également le même problème, est ce ce que si je suis toute cette meme procédure, cela fonctionnera aussi pour moi ?

adam · Answer

teleche hitmanpro
http://www.surfright.nl/en/hitmanpro/

Trojan ZeroAccess.hi impossible à supprimer

34 réponses

Discussions similaires

Newsletters