Problème de Proxy Windows 7.Résolu/Fermé

Question

Bonjour,  

En surfant, j'ai un jour pris un virus (ou plutôt un Spyware: je ne fais pas une excellente distinction), dont il ne reste aux yeux d'Avast, de Malwarebytes ainsi que de Spybot S&D, aucune trace. 
Si ça peut aider, ça ressemblait à un système de protection, mais mal ficelé. J'ai pris sa source avec le gestionnaire de tâches, ait fermé le processus, et ait supprimé le tout. 
Cependant, j'avais des entrées en plus au démarrage, que j'ai toutes virées avec CCleaner, dont conhost.exe (qui pourtant est un processus Windows...). 

Il y avait aussi dans le gestionnaire plein de copies des processus Windows de base "Conhost"... ainsi que d'autres. 
Je suis allé à leur source. Ils se trouvait dans /Appdata, et venaient tous d'être créés il y a 4 minutes (moment de l'infection). J'ai alors tout supprimé. J'ai relancé l'ordi plusieurs fois depuis, rien. J'ai aussi fait des scans (j'en parle au début). 

Le problème, c'est que depuis ce jour, impossible de se connecter à internet. Temporairement, du moins. Firefox m'envoyait alors des messages "le serveur proxy refuse la connexion. Firefox est configuré pour utiliser un serveur proxy..." 
Après être passé dans les options/avancé/paramètres à "détection automatique des paramètres proxy pour ce réseau", tout va bien. 

Seulement, se connecter à MSN via Pidgin ne marchait plus (avec plus ou moins le même bidouillage, si - en cochant "Pas de Proxy" et "utiliser le protocole HTTP"-). 

Alors, le plus amusant, c'est que tout ce qui utilise internet ailleurs, part en vrille. Mises à jour de VLC, mises à jour d'Avast, Windows Update , aussi... O_o 

Après, n'importe quel jeu qui doit se connecter en ligne, Via Windows Live par exemple (Fallout 3), ne marche plus, en raison de ce problème. Egalement, la dernière démo online de Crysis 2 n'arrive pas à se connecter lors de la phase de "login" du compte, et m'invite à vérifier ma connexion internet. 

C'est un peu désespérant. Je regrette de ne pas avoir plus d'informations à ce sujet. 
Voyant votre efficacité précédente, j'espère que vous pourrez m'aider. =) 


J'utilise Windows Seven, Ultimate (64 Bits), je suis abonné chez Orange, j'utilise un câble pour une connexion d'environ 150 kbit/s. 
Si ça peut servir: mon processeur est un I7, une carte graphique HD 5770, 2 go de Ram, un disque dur 500 go séparé en deux partitions d'à peu-près 250 go chacune. 

Merci d'avance pour vos réponses. =)

juju666 · Accepted Answer

Comment se porte ton pc mon petit? :)

Il me fait chier conhost, il va avoir mal au c*l

&#9654 Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

&#9654 Double-clique sur OTM.exe pour le lancer.

&#9654 Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
   
 
:Processes
explorer.exe
iexplore.exe 
firefox.exe 
msnmsgr.exe 
Teatimer.exe
:Reg
[-HKLM\...\startupreg\conhost]
:files 
C:\Users\Lucien\AppData\Roaming\Microsoft\conhost.exe    
:commands 
[purity] 
[emptytemp] 
[start explorer]
[reboot]


&#9654 Clique sur MoveIt! puis ferme OTM.

&#9654 Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

&#9654 Accepte en cliquant sur YES.

&#9654 Poste le rapport situé dans C:\_OTM\MovedFiles.

&#9654 Le nom du rapport correspond au moment de sa création : date_heure.log

@+

juju666 · Answer

salut,

on va le viré 

Attention, avant de commencer, lit attentivement la procédure, et imprime la  

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  
tutoriel combofix  

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

&#9654 Mets-le en langue française F  

&#9654 Tape sur la touche 1 (Yes) pour démarrer le scan.  
  

&#9654 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

&#9654En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

&#9654 Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

&#9654 Note : Le rapport se trouve également là : C:\ComboFix.txt   

++

juju666 · Answer

Yeah, combo n'a pas trouvé ce que j'aurais pensé mais bon ... ^^
Redémarre ta machine ;)


Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

Au fait, quels soucis persistent encore ?

juju666 · Answer

Oublie zhpdiag, j'ai trouvé quelque chose en lisant mieux :P

&#9654 &#9654 DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE 

&#9654 Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


KillAll::

Folder::
c:\programdata\regid.1986-12.com.adobe

DDS::
uInternet Settings,ProxyServer = http=127.0.0.1:63273

Firefox::
FF - prefs.js: network.proxy.http_port - 63273
FF - prefs.js: network.proxy.type - 4

RegLock::
[HKEY_USERS\S-1-5-21-1990591876-2567078531-3154985333-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
[HKEY_USERS\S-1-5-21-1990591876-2567078531-3154985333-1000\Software\SecuROM\License information*]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] 



&#9654 Enregistre ce fichier sous le nom CFScript 

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif 

&#9654 Combofix se lance, laisse toi guider.. 

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! 
Ne touche à rien tant que le scan n'est pas terminé. 
&#9654 Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis 

&#9654 Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt  

;) ++

juju666 · Answer

Okey :)

Passe à ZHPDiag pour voir :)

++

juju666 · Answer

Tu peux supprimer spybot qui sert à rien :)

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


 O53 - SMSR:HKLM\...\startupreg\conhost  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Lucien\AppData\Roaming\Microsoft\conhost.exe 
OPT:O4 - Global Startup: C:\Users\Lucien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Xfire.lnk . (.Xfire Inc..)  -- C:\Program Files (x86)\Xfire\Xfire.exe
O4 - Global Startup: C:\Users\Lucien\Desktop\Adobe Photoshop CS5 (64 Bit).lnk . (...)  -- C:\Program Files (x86)\Adobe\Adobe Photoshop CS5 (64 Bit)\Photoshop.exe (.not file.)
O52 - TDSD: \Drivers32\"VIDC.XFR1"="xfcodec64.dll" . (.Pas de propriétaire - Xfire Video Codec.) -- (.not file.)
O52 - TDSD: \Drivers32\"VIDC.TMB0"="tmbvcm64.dll" . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O52 - TDSD: \drivers.desc\"xfcodec64.dll"="Xfire video codec [XFR1]" . (.Pas de propriétaire - Xfire Video Codec.) -- (.not file.)
O52 - TDSD: \drivers.desc\"tmbvcm64.dll"="PlayClaw video decoder" . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O87 - FAEL: "TCP Query User{CB10ED59-05CA-418B-87DE-71F84B98AF96}C:\program files (x86)\unreal tournament 3\binaries\ut3oshelper.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\unreal tournament 3\binaries\ut3oshelper.exe (.not file.)
O87 - FAEL: "UDP Query User{FDD06F9A-EE10-43FF-AAF1-4BC448AB7855}C:\program files (x86)\unreal tournament 3\binaries\ut3oshelper.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\unreal tournament 3\binaries\ut3oshelper.exe (.not file.)
O87 - FAEL: "TCP Query User{B2791D92-DBE0-4F7F-BD90-DE189F93DF0E}C:\users\lucien\desktop\unreal tournament 3\binaries\ut3oshelper.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\lucien\desktop\unreal tournament 3\binaries\ut3oshelper.exe (.not file.)
O87 - FAEL: "UDP Query User{727AE8AA-A3D3-4516-B9FF-70ADB14127DD}C:\users\lucien\desktop\unreal tournament 3\binaries\ut3oshelper.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\lucien\desktop\unreal tournament 3\binaries\ut3oshelper.exe (.not file.)
O87 - FAEL: "TCP Query User{BD50A562-FF12-43F5-B52D-A9D72847A1D9}C:\program files (x86)\left 4 dead 1\left4dead.exe" |In - Private - P6 - FALSE | .(...) -- C:\program files (x86)\left 4 dead 1\left4dead.exe (.not file.)
O87 - FAEL: "UDP Query User{FA6E1FB4-FD37-47B5-8730-7DAD07B4BA5E}C:\program files (x86)\left 4 dead 1\left4dead.exe" |In - Private - P17 - FALSE | .(...) -- C:\program files (x86)\left 4 dead 1\left4dead.exe (.not file.)
O87 - FAEL: "TCP Query User{3B1BC9A9-3EE5-4101-B706-99BBA27BF839}C:\program files (x86)\swat 4\content\system\swat4.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\swat 4\content\system\swat4.exe (.not file.)
O87 - FAEL: "UDP Query User{4684AEA7-B0D6-4B5B-83D8-CE1127C9C54A}C:\program files (x86)\swat 4\content\system\swat4.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\swat 4\content\system\swat4.exe (.not file.)
O87 - FAEL: "TCP Query User{CF03EF55-EE1F-40D5-BB93-77EBD2EF90D8}C:\users\lucien\desktop\swat 4\content\system\swat4.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\lucien\desktop\swat 4\content\system\swat4.exe (.not file.)
O87 - FAEL: "UDP Query User{32F73EA0-9BA5-4CAC-A452-3D0089CE6BD2}C:\users\lucien\desktop\swat 4\content\system\swat4.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\lucien\desktop\swat 4\content\system\swat4.exe (.not file.)
O87 - FAEL: "TCP Query User{8E95AF9B-0714-4A03-BDBF-2E9FB730C8C5}D:	mp\jeux\crysis2(5620)_r\crysis2(5620)_01_13\bin32\crysis2.exe" |In - Private - P6 - TRUE | .(...) -- D:	mp\jeux\crysis2(5620)_r\crysis2(5620)_01_13\bin32\crysis2.exe (.not file.)
O87 - FAEL: "UDP Query User{B84F22DE-A38C-448C-B093-F324C41AD62F}D:	mp\jeux\crysis2(5620)_r\crysis2(5620)_01_13\bin32\crysis2.exe" |In - Private - P17 - TRUE | .(...) -- D:	mp\jeux\crysis2(5620)_r\crysis2(5620)_01_13\bin32\crysis2.exe (.not file.)
O87 - FAEL: "TCP Query User{AC3C58C3-8E08-47C9-AE3B-99D975004A31}D:	mp\jeux\crysis2(5620)_r\crysis2(5620)_01_13\bin64\crysis2.exe" |In - Private - P6 - TRUE | .(...) -- D:	mp\jeux\crysis2(5620)_r\crysis2(5620)_01_13\bin64\crysis2.exe (.not file.)
O87 - FAEL: "UDP Query User{E644D595-0F66-468F-BC73-EC00142929B4}D:	mp\jeux\crysis2(5620)_r\crysis2(5620)_01_13\bin64\crysis2.exe" |In - Private - P17 - TRUE | .(...) -- D:	mp\jeux\crysis2(5620)_r\crysis2(5620)_01_13\bin64\crysis2.exe (.not file.)





&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".  

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

++

juju666 · Answer

Refais la même manip en ne copiant que ça:

O53 - SMSR:HKLM\...\startupreg\conhost [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Lucien\AppData\Roaming\Microsoft\conhost.exe

y'a l'air que la clé est pas supprimée, le fichier oui. mais autant que ça soit nickel :P

Toujours pas d'internet ??

juju666 · Answer

Arf :|

oui oui j'ai lu, pour les messages d erreur mais ?

DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Exécuter List_Kill'em

une fois terminée , clic sur "terminer" 

lance-le via le raccourci apparu sur ton bureau comme précité au début 

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal ,c'est une recherche supplémentaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

++

juju666 · Answer

Regarde si les rapports sont créés sur le bureau :)

juju666 · Answer

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta réponse

juju666 · Answer

J'en pense que c'est la deuxième fois que Kill'em me fait ça aujourd'hui, je vais gronder mon Jedi gen-hackman :D

T'as pas le rapport de Kill'em sur ton bureau ?

Passe Delfix pour le supprimer : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

juju666 · Answer

Nos messages c'étaient croisés !

Non c'est bon il a bien bossé !

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

juju666 · Answer

On va utiliser un truc mieux que spybot :)
et tu peux le garder ;)

&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau. 

&#9654 &#9654 Miroir 1 si inaccessible  
&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.  
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log  
&#9654 Tu clique dessus pour l'afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

juju666 · Answer

Hum c'est bizarre ça.
On va faire un diagnostic plus poussé:

&#9654 Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

&#9654 Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

&#9654 Lance OTL
&#9654 Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c 
&#9654 Clique sur le bouton Analyse.
&#9654 Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés. 

++

juju666 · Answer

C est normal pour les fichiers cachés ;)

Tu connais ça: C:\Users\Lucien\Desktop\MinecraftSP.exe ?

juju666 · Answer

Me revoilà :)

&#9654 Rentre dans ton panneau de configuration....      
&#9654 Apparence et personnalisation...      
&#9654 Option des dossiers...(double cliquer dessus)      
&#9654 Dans l'onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option   
&#9654 Encore plus bas : Masquer les fichiers protégés du système d'exploitation (recommandé) : à décocher.   

&#9654 &#9654 ensuite rends toi sur ce lien:   
https://www.virustotal.com/gui/   

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr  


&#9654 Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"   
recherche les entrées suivante dans ton disque :   


C:\Windows\SysWow64\SI.bin


&#9654 Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant   

&#9654 Copie et colle le lien de ta barre d'adresse ici, après que l'analyse soit terminée

juju666 · Answer

Et la suite ^^ 

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer. 


&#9654 Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" : 

 
:processes 
explorer.exe 
iexplore.exe 
firefox.exe 
msnmsgr.exe 
Teatimer.exe 

  

:OTL 
FF - prefs.js..network.proxy.http: "127.0.0.1" 
FF - prefs.js..network.proxy.http_port: 63273  
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) => Sun Java Runtime Environment 1.6.0 
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) => Sun Microsystems Java Runtime 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) => Sun Java Runtime 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) => Adobe Platform getPlusPlus  
  
:Files 
C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe  
C:\dvmexp.idx 
C:\Users\xxxxx\AppData\Roaming\B6F4.F71 
C:\Users\xxxxxx\AppData\Roaming\rjakse 
C:\ProgramData\TEMP:661DFA1C  

:commands 
[emptytemp] 
[start explorer] 
[reboot]  

 

&#9654 Clique sur « Correction » et laisse l'outil travailler. L'ordinateur redémarre. 

&#9654 Copie/colle la totalité du rapport dans ta prochaine réponse. 

Normalement ton proxy a sauté :) 
 .::. Membre Contributeur Commentçamarche .::. 

xxxxx remplace un prénom  (à la demande de l'auteur)

juju666 · Answer

Arf. Désinstalle et réinstalle firefox.

J'me renseigne pour le reste.

juju666 · Answer

On va repartir à zéro :)

Télécharge ça : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

Lance le en suppression.

Puis

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

++

juju666 · Answer

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   

O4 - Global Startup: C:\Users\Lucien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.)  -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe    => Safer Net Working®Spybot S&D
O23 - Service:  (SBSDWSCService) . (...) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe    => Spybot®Search & Destroy
O24 - Default MHTML Editor: Last - .(...) -  (.not file.)
O42 - Logiciel: AC2 server emulator 0.44 by Dormine - (.bjamikel.) [HKLM][64Bits] -- {675DD1E6-637A-4F0E-B6DE-26F45CC26092}_is1    => bjamikel AC2 server emulator
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM][64Bits] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1    => Safer Networking Limited Spybot - Search & De
O43 - CFD: 08/03/2011 - 08:29:18 - [130252] ----D- C:\ProgramData\Spybot - Search & Destroy    => Spybot - Search & Destroy
O43 - CFD: 08/03/2011 - 21:25:44 - [66847918] ----D- C:\Program Files (x86)\Spybot - Search & Destroy    => Spybot - Search & Destroy
O87 - FAEL: "TCP Query User{B153888E-82CD-4021-8319-2F0ACDB89964}D:	mp\jeux\jeux biens\iv tmpockstar games\grand theft auto iv\gtaiv.exe" |In - Private - P6 - FALSE | .(...) -- D:	mp\jeux\jeux biens\iv tmpockstar games\grand theft auto iv\gtaiv.exe 
O87 - FAEL: "UDP Query User{7151B578-EF7B-4179-A0AE-9731DD77E1C6}D:	mp\jeux\jeux biens\iv tmpockstar games\grand theft auto iv\gtaiv.exe" |In - Private - P17 - FALSE | .(...) -- D:	mp\jeux\jeux biens\iv tmpockstar games\grand theft auto iv\gtaiv.exe
SS - | Auto 30/05/2010 0 |  (SBSDWSCService) . (...) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe    => Spybot®Search & Destroy



&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".  

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Rentre dans ton panneau de configuration....      
&#9654 Apparence et personnalisation...      
&#9654 Option des dossiers...(double cliquer dessus)      
&#9654 Dans l'onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option   
&#9654 Encore plus bas : Masquer les fichiers protégés du système d'exploitation (recommandé) : à décocher.   

&#9654 &#9654 ensuite rends toi sur ce lien:   
https://www.virustotal.com/gui/   

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr  


&#9654 Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"   
recherche les entrées suivante dans ton disque :   


C:\Users\Lucien\AppData\Roaming\Microsoft\conhost.exe    


&#9654 Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant   

&#9654 Copie et colle le lien de ta barre d'adresse ici, après que l'analyse soit terminée

juju666 · Answer

salut ^^

oui conhost est néfaste si pas dans system32..

Refais un ZHPDiag car je vois toujours ce conhost malgré qu'on l'ai déjà delete au début

++

juju666 · Answer

Arf mais il m'innerve ^^

File/Folder C:\Users\Lucien\AppData\Roaming\Microsoft\conhost.exe not found.

Et je suis là et je suis pas là 

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


 O53 - SMSR:HKLM\...\startupreg\conhost  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Lucien\AppData\Roaming\Microsoft\conhost.exe



&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".  

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

@+

juju666 · Answer

Okey :P

&#9654 Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

&#9654 Double-clique sur OTM.exe pour le lancer.

&#9654 Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
   
 
:Processes
explorer.exe
iexplore.exe 
firefox.exe 
msnmsgr.exe 
Teatimer.exe
:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\conhost]

:commands 
[purity] 
[emptytemp] 
[start explorer]
[reboot]



&#9654 Clique sur MoveIt! puis ferme OTM.

&#9654 Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

&#9654 Accepte en cliquant sur YES.

&#9654 Poste le rapport situé dans C:\_OTM\MovedFiles.

&#9654 Le nom du rapport correspond au moment de sa création : date_heure.log
    
++

juju666 · Answer

la clé du registre se la joue aussi chieuse on dirait ^^'

Refais un zhpdiag stp :)

juju666 · Answer

Tu as toujours combofix sur ton pc ?

Si pas tu le charge là : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Tu le place sur ton bureau et 

&#9654 &#9654 DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE 

&#9654 Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


KillAll::

File::
C:\Users\Lucien\AppData\Roaming\Microsoft\conhost.exe

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\conhost]





&#9654 Enregistre ce fichier sous le nom CFScript 

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif 

&#9654 Combofix se lance, laisse toi guider.. 

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! 
Ne touche à rien tant que le scan n'est pas terminé. 
&#9654 Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis 

&#9654 Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

juju666 · Answer

bon il devrait avoir dégagé là

refais zhpdiag ;)

juju666 · Answer

Enfin il a dégagé lol

Redémarre ta machine quand même pour vérifier ;)

Pour steam réinstalle le ;)

++

juju666 · Answer

Tiens regarde mes procédures de fin ;)


&#9654 télécharge Ccleaner et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l'installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur » 

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK 
&#9654 clique sur suivant 
&#9654 lis la licence et j'accepte 
&#9654 cliques sur suivant 
&#9654 là tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
&#9654 cliques sur installer 
&#9654 cliques sur fermer 
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir 
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
&#9654 &#9654 cliques sur nettoyeur 
&#9654cliques sur windows et dans la colonne avancé 
&#9654coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
&#9654 cliques sur analyse une fois l'analyse terminé 
&#9654 cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
&#9654 &#9654 cliques maintenant sur registre et puis sur rechercher les erreurs 
&#9654 laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
&#9654 il te demande de sauvegarder OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
&#9654 il supprime et fermer tu vérifies en relançant rechercher les erreurs 
&#9654 tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
&#9654 tu peux fermer Ccleaner 

------ 

&#9654 &#9654 pour supprimer les outils de désinfection :

&#9654 Télécharge Delfix sur ton bureau : 

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message 
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------ 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web 
Et celui ci, sur les logiciels gratuits à éviter 

------ 

Mise à jour Windows : 

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp  

&#9654 Désinstaller les anciennes versions de Java :  

&#9654 Télécharge JavaRa.zip  

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)  

&#9654 Double-clique sur le répertoire JavaRa obtenu.  

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)  

&#9654 Clique sur Remove Older Versions.  

&#9654 Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.  

&#9654 Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.  

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )  

&#9654 Tu peux fermer l'application   

&#9654 &#9654 Met à jour Adobe : 

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/
&#9654 &#9654 Décocher le scan Macàfric

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

Tu peux garder Malwarebytes pour un scan de temps à autres 

----- 

&#9654 &#9654 Pense à marquer le fil comme résolu  

------ 

Si tu as d'autres questions, je t'écoute avec plaisir :)

++

juju666 · Answer

Lol ^^
J'adore ça :P

Bah heu sur ton dernier ZHPDiag j'vois pas ce que j'aurais pu améliorer. Au pire, 1 go de ram ça coute quoi, 30€ ;)

juju666 · Answer

Dis moi quand t'as écouté que je supprime ça :P 
 .::. Membre Contributeur Commentçamarche .::.

juju666 · Answer

A pris feu carrément !

J'ai pas pensé à ça:

Retélécharge list_kill'em

&#9654 Télécharge ici :List_Kill'em

<gras>DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

Clique sur Outils, puis Reinitialiser la pile TCP/IP
Puis sur Reinitialiser le Proxy

@+

cheikhmamina · Answer

bonjour je travaille sur le serveur2008 est je vais integre 2 machines different comment sa marche

Problème de Proxy Windows 7.

32 réponses

Discussions similaires

Newsletters