Erreur critique du disque dur : RécupérationRésolu/Fermé

Question

Bonjour tout le monde !

Je vous explique mon problème : Un virus m'a infecté, windows recovery ou quelque chose dans ce goût-là, celui qui fait croire à une erreur critique de la RAM et du disque dur. J'ai installé divers logiciels et le pc sans désinfecté, en tous cas Roguekiller ne mentionne plus aucun processus malicieux...
Oui seulement voilà, tous mes documents me sont toujours inaccessibles : typiquement ma bibliothèque est totalement vide... Pourtant je sais que les données sont toujours là (enfin pense le savoir plutôt...) car l'espace du disque dur utilisé est resté inchangé !

Si vous pouviez m'aider... Un grand merci par avance !


Configuration: Windows 7 / Firefox 5.0

Excessimo · Answer

Salut,

commence par désactiver l'UAC car elle pourrait entraver certains programmes :

https://www.commentcamarche.net/informatique/windows/261-desactiver-le-controle-de-compte-d-utilisateur-uac-de-windows/

Laisse désactivé durant toute la désinfection, je te dirai quand réactiver

LIS BIEN LES INSTRUCTIONS SI TU NE VEUX PAS PLANTER ton PC :) et tant que je ne t'ai PAS confirmé la fin de la désinfection il FAUT revenir consulter REGULIEREMENT le forum même si les symptômes ont disparu :)



mode sans échec :

redémarre ton pc et tapote la touche f8 avant l'apparition du logo de windows, ensuite sélectionne le mode sans échec avec prise en charge réseau.



###############Rogue Killer ###############

[x] Télécharge sur le bureau RogueKiller (merci à tigzy)
https://www.luanagames.com/index.fr.html

[x] ( Si vous êtes sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

[x] Ferme tous tes programmes
[x] Exécute RogueKiller.exe
[x] Lorsqu'il te le sera demandé, tape 2 et valide
[x] Un rapport (RKreport.txt) va apparaître sur le bureau.
* Si le programme a été bloqué, renomme le en winlogon et relance le, ne pas hésiter a essayer de le relancer plusieurs fois, si ça ne marche toujours pas, renomme le en winlogon.exe

Relance le en choisit le mode 6
Postes le rapport RogueKiller.


===============ZHPDIAG====================

On va faire un diagnostic du PC :

[*]Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

[*]Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

[*]Clique sur l'icône représentant une loupe en haut à gauche (« Lancer le diagnostic »)
[*]Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
[*]Héberge le rapport ZHPDiag.txt (qui se trouve sur ton bureau) sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

https://www.cjoint.com/ 

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

jlpjlp · Answer

slt

je laisse la main

Johnny_Knoxville · Answer

Tout d'abord bonjour et merci de t'intéresser à mon problème ! Bon, j'en suis à l'étape 'Option 2 de roguekiller', voici le rapport RogueKiller V5.2.5 [24/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: user [Droits d'admin] Mode: Suppression -- Date : 25/06/2011 09:35:47 Processus malicieux: 0 Entrees de registre: 2 [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1) Fichier HOSTS: Termine : << RKreport[6].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt Je fais tout de suite l'option 6 !

Johnny_Knoxville · Answer

Voici pour l'option 6 : RogueKiller V5.2.5 [24/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: user [Droits d'admin] Mode: Raccourcis RAZ -- Date : 25/06/2011 09:49:02 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 71 / Fail 0 Lancement rapide: Success 23 / Fail 0 Programmes: Success 11864 / Fail 0 Menu demarrer: Success 52 / Fail 0 Dossier utilisateur: Success 64601 / Fail 1 Mes documents: Success 3203 / Fail 0 Mes favoris: Success 41 / Fail 0 Mes images: Success 1924 / Fail 0 Ma musique: Success 3782 / Fail 0 Mes videos: Success 1 / Fail 0 Disques locaux: Success 2360 / Fail 1 Sauvegarde: [FOUND] Success 301 / Fail 0 Lecteurs: [C:] \Device\HarddiskVolume3 -- 0x3 --> Restored [D:] \Device\HarddiskVolume4 -- 0x2 --> Restored [E:] \Device\HarddiskVolume5 -- 0x2 --> Restored [F:] \Device\CdRom0 -- 0x5 --> Skipped [G:] \Device\HarddiskVolume6 -- 0x2 --> Restored Termine : << RKreport[7].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt ; RKreport[7].txt Je m'occupe de ZHPDiag !

Johnny_Knoxville · Answer

Et voilà pour le rapport ZHPdiag !
https://www.cjoint.com/?AFzj3YabdM1

Dans l'intervalle tous les fichiers sont réapparus (avec l'option 6 de RogueKiller) !

Excessimo · Answer

Toujours en mode sans échec

=============AD-REMOVER==================

* Télécharge AD-Remover ici
ferme toutes les applications en cours !!!

Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


############### Malwarebytes' Anti-Malware ###############

On va passer un scan généraliste,

[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

http://www.malwarebytes.org/mbam-download.php

* NB : pour lancer le téléchargement, cliquer sur Download NOW"

[x] Désactive ton Antivirus pour éviter les conflits

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, laisse les 2 cases pour l"éxécution et la mise à jour cochées.

[x] Une fois lancé, clique sur " Exécuter un examen rapide" puis sur " Rechercher "

[x] Clique ensuite sur " Afficher les résultats " puis sur " SUPPRIMER LA SELECTION !!! ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Note : Tu devra peut être redémarrer ton PC, accepte. Le rapport se trouve dans la partie " Rapports/Logs " du logiciel.

[*] Je te conseille de garder Malwarebytes' et de passer des scans de temps en temps, ne pas oublier de le mettre à jour avant un scan. Mais attention, il ne remplace pas ton antivirus, c'est un complément.

* (NB : S'il te manque"COMCTL32.OCX" lors de l'installation, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Johnny_Knoxville · Answer

Voici le rapport de Malwarebyte !

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6943

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

25/06/2011 10:21:38
mbam-log-2011-06-25 (10-21-38).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 181918
Temps écoulé: 4 minute(s), 14 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Johnny_Knoxville · Answer

Pour Ad-Remover :

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [14]) -> Lancé à 10:07:53 le 25/06/2011, Mode sans echec

Microsoft Windows 7 Édition Familiale Premium   (X64) 
user@USER-VAIO (Sony Corporation VPCF11M1E) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKCU\Software\Conduit


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [5.0 (fr)] ****

Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension for Firefox		)
HKLM_Extensions|FFToolbar@bitdefender.com - C:\Program Files\BitDefender\BitDefender 2010\bdaphffext\

-- C:\Users\user\AppData\Roaming\Mozilla\FireFox\Profiles\wmuczu9v.default --
Extensions\cfxe@Triton (Chromifox Extreme)
Extensions\cfxHelper@Triton (Chromifox Companion)
Extensions\extension@virtusdesigns.com (Virtus Search Opt-in)
Extensions\rein@notiz.jp (rein)
Extensions\SoCoolFox@sjcmankimo.tw (SoCool)
Extensions\{03c5aa89-a413-40df-8896-562697687bbc} (FoxWorld)
Extensions\{5c8bfb7c-9a54-11dc-8314-0800200c9a66} (Aero Fox XL)
Extensions\{c9c58820-7bd4-11da-a72b-0800200c9a66} (iPox)
Extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} (Download Statusbar)
Extensions\{de5809e0-2b07-11dd-bd0b-0800200c9a66} (Gradient iCool)
Prefs.js - browser.startup.homepage_override.buildID, 20110615151330
Prefs.js - browser.startup.homepage_override.mstone, rv:5.0

========================================

**** Google Chrome Version [12.0.742.100] ****


-- C:\Users\user\AppData\Local\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.searchqu.com/406
Preferences - homepage_is_newtabpage: false
Plugin - Chrome NaCl (Activé: false) (C:\Users\user\AppData\Local\Google\Chrome\Application\12.0.742.100\ppGoogleNaClPluginChrome.dll)
Plugin - "Java" (Activé: true)
Plugin - "Silverlight" (Activé: true)
Plugin - "Chrome NaCl" (Activé: false)

========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{31FFE6C0-631F-473F-B347-C489D680DA44} - "Zinio" (hxxp://www.zinio.com/search/index.jsp?s={searchTerms}&rf=sonyie8search)
HKCU_SearchScopes\{BB5A3FDD-A548-482A-9B1B-8941D2ED04E2} - "Shopping.com" (hxxp://fr.shopping.com/?linkin_id=8056351)
HKCU_SearchScopes\{D75A1B7B-A5C9-4FB8-A588-06FD9FFD21CE} - "eBay" (hxxp://rover.ebay.com/rover/1/709-42536-16445-8/4?satitle={searchTerms})
HKLM_Toolbar|{381FFDE8-2394-4f90-B10D-FC6124A40F8C} ("C:\Program Files\BitDefender\BitDefender 2010\Antispam32\IEToolbar.dll") (x)
HKLM_Toolbar|{99079a25-328f-4bd4-be04-00955acaa0a7} (x)
HKLM_ElevationPolicy\{01ED6AD2-9531-4358-84FE-9321D31DBD76} - C:\PROGRA~2\WI3C8A~1\ToolBar\dtUser.exe (Visicom Media Inc.)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{64DA00B7-88FE-49a8-8515-68A5C8C305DB} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{A2D14993-7315-4f91-AD76-20605495ED6C} - C:\Program Files (x86)\ESTsoft\ALUpdate\ALUpExt.exe (x)
HKLM_ElevationPolicy\{A39C536A-A41F-492f-B784-08D5A6DCF091} - c:\Program Files (x86)\Evernote\Evernote3.5\Evernote.exe (Evernote)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_ElevationPolicy\{E6856B61-272B-4e4f-AADE-1D73054BCAD1} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_ElevationPolicy\{ED4ABFF1-2CA0-4476-98EB-E9208D434752} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_ElevationPolicy\{F2632B95-A2AD-4283-B49A-34D4802BA647} - C:\Program Files (x86)\ESTsoft\ALUpdate\ALUpdate.exe (x)
HKLM_ElevationPolicy\{F3CD2902-C553-4d6a-B139-934BED1FAADF} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_ElevationPolicy\{F7897EF1-FE28-4f1a-9615-E45744D29F15} - C:\Program Files\Sony\VAIO Personalization Manager\VpmIfBroker.exe (Sony Corporation)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "Send To Bluetooth" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{E0B8C461-F8FB-49b4-8373-FE32E92528A6} - "Add to Evernote" (c:\Program Files (x86)\Evernote\Evernote3.5\enbar.dll,1001)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 187 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 45 Fichier(s)

C:\Ad-Report-CLEAN[10].txt - 25/06/2011 02:16:24 (459 Octet(s)) 
C:\Ad-Report-CLEAN[11].txt - 25/06/2011 02:17:47 (459 Octet(s)) 
C:\Ad-Report-CLEAN[12].txt - 25/06/2011 02:19:28 (459 Octet(s)) 
C:\Ad-Report-CLEAN[13].txt - 25/06/2011 09:00:03 (459 Octet(s)) 
C:\Ad-Report-CLEAN[14].txt - 25/06/2011 10:08:54 (0 Octet(s)) 
C:\Ad-Report-CLEAN[1].txt - 11/06/2011 22:59:42 (1790 Octet(s)) 
C:\Ad-Report-CLEAN[2].txt - 11/06/2011 23:02:44 (458 Octet(s)) 
C:\Ad-Report-CLEAN[3].txt - 11/06/2011 23:06:56 (458 Octet(s)) 
C:\Ad-Report-CLEAN[4].txt - 11/06/2011 23:22:15 (458 Octet(s)) 
C:\Ad-Report-CLEAN[5].txt - 11/06/2011 23:25:55 (14508 Octet(s)) 
C:\Ad-Report-CLEAN[6].txt - 25/06/2011 02:09:18 (458 Octet(s)) 
C:\Ad-Report-CLEAN[7].txt - 25/06/2011 02:10:52 (458 Octet(s)) 
C:\Ad-Report-CLEAN[8].txt - 25/06/2011 02:13:53 (458 Octet(s)) 
C:\Ad-Report-CLEAN[9].txt - 25/06/2011 02:15:09 (458 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 11/06/2011 23:05:01 (15802 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 25/06/2011 02:22:26 (531 Octet(s)) 
C:\Ad-Report-SCAN[3].txt - 25/06/2011 09:01:08 (6891 Octet(s)) 

Fin à: 10:10:10, 25/06/2011 
 
============== E.O.F ============== 

Est-ce que tout paraît ok ??

Johnny_Knoxville · Answer

Bon apparemment le rapport d'Ad-Remover est trop gros (?) pour être posté ici, donc j'ai refait un lien cjoint ! 	https://www.cjoint.com/?AFzk6uCCOuz

Est-ce que tout parait bon ?

Excessimo · Answer

===============ZHPFIX====================

* Lance ZHPFix il se trouve sur le bureau (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).

    * Copie les lignes suivantes :

    ---------------------------------------------------


G0 - GCSP: Preference [User Data\Default][HomePage] http://www.searchnu.com/
O2 - BHO: UrlHelper Class [64Bits] - {A40DC6C5-79D0-4ca8-A185-8FF989AF1115} . (.Discordia, LTD - IEHelper.) -- C:\PROGRA~2\WI3C8A~1\Datamngr\x64\IEBHO.dll
O20 - AppInit_DLLs: . (.Discordia, LTD - Data Manager.) - C:\PROGRA~2\WI3C8A~1\Datamngr\x64\datamngr.dll
O42 - Logiciel: Dealio Toolbar v4.1 - (.Spigot, Inc..) [HKLM][64Bits] -- {C1F83B10-0BEB-475f-BBA2-E235B02B9826}
O42 - Logiciel: Windows iLivid Toolbar - (.Bandoo Media, Inc.) [HKLM][64Bits] -- Searchqu 406 MediaBar
[HKCU\Software\AppDataLow\Software\searchqutoolbar]
[HKCU\Software\ilivid]
[HKLM\Software\ilivid]
O43 - CFD: 21/05/2011 - 12:26:10 - [38724252] ----D- C:\Program Files (x86)\iLivid
O43 - CFD: 21/05/2011 - 12:26:02 - [10435395] ----D- C:\Program Files (x86)\Windows iLivid Toolbar
[MD5.813EB60A3F2E3587DEAF57E8693D9B7C] [SPRF] (.Ask - Wrapper Application.) -- C:\Users\user\AppData\Local\Temp\setup.exe   [3486088]
[MD5.52C355E4323A707A1FA1FFAEBD9D4DDD] [SPRF] (...) -- C:\Users\user\AppData\Local\Temp\SetupDataMngr_Searchqu.exe   [2596544]
O87 - FAEL: "{E12F2684-4F55-46BA-8655-F00621713FCF}" | In - Private - P6 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files (x86)\Windows iLivid Toolbar\ToolBar\dtUser.exe
O87 - FAEL: "{FD6F860E-A05C-426A-87C0-23554FD3F287}" | In - Private - P17 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files (x86)\Windows iLivid Toolbar\ToolBar\dtUser.exe
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}]
[HKLM\Software\Classes\CLSID\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}]
[HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}]
[HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF]
[HKCU\Software\AppDataLow\Software\searchqutoolbar]
C:\Users\user\Appdata\LocalLow\searchquband
C:\Users\user\Appdata\Local\Temp\AskSearch
C:\Program Files (x86)\Windows iLivid Toolbar
[MD5.BFCA028BE041F4A6C0CD1BE3CF5803B0] [SPRF] (...) -- C:\Users\user\AppData\Local\Temp\Chatroulette-Desktop.86030.exe   [773530]
[MD5.67B660DDD33CBDA56DE40B918EA507A5] [SPRF] (...) -- C:\Users\user\AppData\Local\Temp\flacdec2.exe   [118784]
[MD5.F341A096BBC785DC39E0170FF725A7D5] [SPRF] (...) -- C:\Users\user\AppData\Local\Temp\gtalkwmp1.dll   [69632]
[MD5.403DA8628C89287DE1EEE4BF5CD2C582] [SPRF] (...) -- C:\Users\user\AppData\Local\Temp\mp3el.exe   [122880]
[MD5.BD65787C01F2A1A3536260C229A92F49] [SPRF] (.Pas de propriétaire - Setup Application.) -- C:\Users\user\AppData\Local\Temp\_ir_sf7_temp_0DirectorSetup.exe   [794008]
M2 - MFEP: prefs.js [user - wmuczu9v.default\rein@notiz.jp] [] rein v5.0.1 (.Naoto Kusumi.)
M2 - MFEP: prefs.js [user - wmuczu9v.default\SoCoolFox@sjcmankimo.tw] [] SoCool v0.1.2.5.1 (.sjcmankimo.)
M2 - MFEP: prefs.js [user - wmuczu9v.default\{03c5aa89-a413-40df-8896-562697687bbc}] [] FoxWorld v0.1.2.5.1 (.htsbai.)
M2 - MFEP: prefs.js [user - wmuczu9v.default\{c9c58820-7bd4-11da-a72b-0800200c9a66}] [] iPox v3.20100306 (.Thomas McMahon.)
[HKCU\Software\Conduit]
[HKCU\Software\DataMngr_Toolbar]
[HKLM\Software\Conduit]
[HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}]
[HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}]
[HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}]
[HKCU\Software\Conduit]
[HKLM\Software\Wow6432Node\Conduit]
[HKCU\Software\DataMngr_Toolbar]
[MD5.67255F18B6C63013B394F5D7E258F9FF] [SPRF] (.Yuna Software - Setup of Messenger Plus! 5.) -- C:\Users\user\AppData\Local\Temp\Update_c209.exe   [429448]
O87 - FAEL: "{54AAF857-E971-43A0-956F-A501E82A77EB}" | In - Private - P6 - TRUE | .(.Yuna Software - Setup of Messenger Plus! 5.) -- C:\Users\user\AppData\Local\Temp\Update_c209.exe
O87 - FAEL: "{A2B99E4B-F20E-4B45-817B-0ED7B23B4E73}" | In - Private - P17 - TRUE | .(.Yuna Software - Setup of Messenger Plus! 5.) -- C:\Users\user\AppData\Local\Temp\Update_c209.exe


    ---------------------------------------------------

    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Les lignes se collent automatiquement dans ZHPFix.
    * Clique sur « Go » pour lancer le nettoyage.
    
Poste le rapport (il se trouve sur le Bureau).

Johnny_Knoxville · Answer

Voilà le rapport !

Rapport de ZHPFix 1.12.3325 par Nicolas Coolman, Update du 23/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-25-06-2011-11-24-36.txt
Run by user at 25/06/2011 11:24:36
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: {C1F83B10-0BEB-475f-BBA2-E235B02B9826}
ABSENT Software Key: Searchqu 406 MediaBar

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\user\AppData\Local\Temp\setup.exe
SUPPRIME Memory Process: C:\Users\user\AppData\Local\Temp\SetupDataMngr_Searchqu.exe
SUPPRIME Reboot Memory Process: C:\Users\user\Appdata\LocalLow\searchquband
SUPPRIME Reboot Memory Process: C:\Users\user\Appdata\Local\Temp\AskSearch
SUPPRIME Memory Process: C:\Users\user\AppData\Local\Temp\mp3el.exe
SUPPRIME Memory Process: C:\Users\user\AppData\Local\Temp\_ir_sf7_temp_0DirectorSetup.exe
SUPPRIME Memory Process: C:\Users\user\AppData\Local\Temp\Update_c209.exe

========== Module(s) mémoire ==========
SUPPRIME Memory Module: C:\Users\user\AppData\Local\Temp\gtalkwmp1.dll

========== Clé(s) du Registre ==========
SUPPRIME Key*: CLSID BHO: {A40DC6C5-79D0-4ca8-A185-8FF989AF1115}
SUPPRIME Key*: HKCU\Software\AppDataLow\Software\searchqutoolbar
ERREUR Key**: HKCU\Software\ilivid
ABSENT Key: HKLM\Software\ilivid
ERREUR Key**: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
ERREUR Key**: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}
SUPPRIME Key*: HKLM\Software\Classes\CLSID\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}
SUPPRIME Key*: HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
ABSENT Key: HKCU\Software\AppDataLow\Software\searchqutoolbar
ABSENT Key: HKCU\Software\Conduit
ERREUR Key**: HKCU\Software\DataMngr_Toolbar
ABSENT Key: HKLM\Software\Conduit
SUPPRIME Key*: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
SUPPRIME Key*: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
SUPPRIME Key*: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
ABSENT Key: HKLM\Software\Wow6432Node\Conduit

========== Valeur(s) du Registre ==========
SUPPRIME {E12F2684-4F55-46BA-8655-F00621713FCF}
SUPPRIME {FD6F860E-A05C-426A-87C0-23554FD3F287}
SUPPRIME {54AAF857-E971-43A0-956F-A501E82A77EB}
SUPPRIME {A2B99E4B-F20E-4B45-817B-0ED7B23B4E73}

========== Elément(s) de donnée du Registre ==========
SUPPRIME AppInit: ta Manager.) - C:\PROGRA~2\WI3C8A~1\Datamngr\x64\datamngr.dll

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://www.searchnu.com/
SUPPRIME Chrome Site: http://www.searchnu.com/
SUPPRIME Chrome Site: http://www.searchnu.com/
SUPPRIME Chrome Site: http://www.searchnu.com/

========== Dossier(s) ==========
SUPPRIME C:\Program Files (x86)\iLivid
SUPPRIME C:\Program Files (x86)\Windows iLivid Toolbar
SUPPRIME C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\wmuczu9v.default\extensionsein@notiz.jp
SUPPRIME C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\wmuczu9v.default\extensions\SoCoolFox@sjcmankimo.tw
SUPPRIME C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\wmuczu9v.default\extensions\{03c5aa89-a413-40df-8896-562697687bbc}
SUPPRIME C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\wmuczu9v.default\extensions\{c9c58820-7bd4-11da-a72b-0800200c9a66}

========== Fichier(s) ==========
SUPPRIME c:\progra~2\wi3c8a~1\datamngr\x64\iebho.dll
SUPPRIME c:\progra~2\wi3c8a~1\datamngr\x64\datamngr.dll
ABSENT Folder/File: c:\program files (x86)\windows ilivid toolbar
ABSENT Folder/File: c:\users\user\appdata\local	emp\chatroulette-desktop.86030.exe
ABSENT Folder/File: c:\users\user\appdata\local	emp\flacdec2.exe


========== Récapitulatif ==========
7 : Processus mémoire
1 : Module(s) mémoire
20 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
6 : Dossier(s)
5 : Fichier(s)
2 : Logiciel(s)
5 : Préférences navigateur


========== Chemin du fichier rapport ==========
C:\Program Files (x86)\ZHPDiag\ZHPFixReport.txt


End of the scan

Johnny_Knoxville · Answer

Que peut-on en conclure ? Parce que je dois dire que je n'y comprends pas grand chose ^^'

Johnny_Knoxville · Answer

Voilà le dernier ZHPdiag ! 	https://www.cjoint.com/?AFzlHqGdUeE

Excessimo · Answer

Bien, tu peux démarrer en mode normal et m'en dire des nouvelles, il reste ceci :

===============ZHPFIX====================

* Lance ZHPFix il se trouve sur le bureau (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).

    * Copie les lignes suivantes :

    ---------------------------------------------------


O42 - Logiciel: Dealio Toolbar v4.1 - (.Spigot, Inc..) [HKLM][64Bits] -- {C1F83B10-0BEB-475f-BBA2-E235B02B9826}
O42 - Logiciel: Windows iLivid Toolbar - (.Bandoo Media, Inc.) [HKLM][64Bits] -- Searchqu 406 MediaBar
[HKCU\Software\ilivid]
[HKLM\Software\ilivid]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}]
C:\Users\user\Appdata\LocalLow\searchquband
C:\Users\user\Appdata\Local\Temp\AskSearch 
[HKCU\Software\DataMngr_Toolbar]
[HKCU\Software\DataMngr_Toolbar]


    ---------------------------------------------------

    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Les lignes se collent automatiquement dans ZHPFix.
    * Clique sur « Go » pour lancer le nettoyage.
    
Poste le rapport (il se trouve sur le Bureau).



commence par mettre à jour Windows c'est très très important !
Pour ce faire, va dans le menu démarrer, tous les programmes, puis windows update, tu fais rechercher les mises à jours et tu les installent, tu répètes l'opération jusqu'à ce qu'il n'y en ait plus :)


1- NOUS ALLONS METTRE A JOUR TON PC

Tout dabord désinstalles tout ce qui ne te sert pas, ça te fait de l'espace en plus

Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitées par un programme malveillant.

1ère étape : Java

> Télécharge JavaRa puis décompresse le sur ton bureau.
> Ouvre le dossier JavaRa puis exécute JavaRa.exe.
> Clique sur "Search For Updates".
> Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
> Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
> Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
> Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ".
> Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message.

/!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à cette adresse puis passe directement à la partie " Remove Older Versions " /!\

2ème étape : Adobe Reader

> Si tu utilises adobe reader, il est important qu'il soit à jour.
> Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC
> Pour vérifier qu'adobe reader est à jour, lance le puis clique sur [Aide] -> [Rechercher les mises à jour]

3ème étape : Mise à jour des logiciels

> Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
> Télécharge le Ici
> Un tutoriel pour son utilisation est disponible Ici.


2- Vacciner les supports amovibles

> Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent.
> Télécharge USBfix puis lance le. (Clique droit/Exéuter en tant qu'administrateur pour Vista/7).
> Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option [Vacciner].
> Appuie sur [Ok] au message de confirmation.
> Une fois la vaccination terminée, relance usbfix et choisis l'option désinstaller.

Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif )


3- DelFix

> Télécharge DelFix sur ton bureau.
> Lance le.
> Clique sur Supression puis valide en appuyant sur [Entrée].
> Patiente pendant le scan jusqu'à l'ouverture du rapport.
> Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFixSearch


4- Optimisation

1ère étape : Suppression des fichiers inutiles

> Télécharge CCleaner
> Installe le, puis lance le.
> Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ".
> Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer].
> Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées].
> Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après 

la suppression )
> Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer]
> Tu peux renouveller ces opérations tous les jours.

2ème étape : Défragmentation

Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.

> Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
> Clique sur [Propriété] puis sur l'onglet [Outils]
> Clique sur [Defragmenter maintenant] puis sélectionne le disque dur à défragmenter (le C:\ en temps normal).

3ème étape : Vérification des disques

> Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
> Clique sur [Propriété] puis sur l'onglet [Outils]
> Clique sur [Vérifier maintenant] puis coche les deux cases présentes.
> Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage )

4ème étape : Désactivation des programmes au démarrage

> Lance CCleaner
> Va dans [Outils] puis [Démarrage]
> Désactives les lignes que tu jugent inutiles
> Veilles à ne pas désactiver la/les lignes correspondantes à ton antivirus

4- Purge de la restauration système


La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

> Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

> Tutoriels :

- Windows XP
- Windows Vista
- Windows 7

N'oublies pas de réactiver la restauration système.


5- UAC ( Uniquement pour Vista/Seven )

Si tu as désactivé l'UAC, il est important de la réactiver.

-> Pourquoi garder l'UAC activée?


6- Secunia PSI

Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme.

->met à jour les autres avec secunia téléchargeable ici.
->TUTO, voir paragraphe Secunia Personal Software Inspector (Secunia PSI)

7- Liens utiles

Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire

Bon surf et @+++ ;) 
(je te conseille de garder Malwarebyte's et de passer des scans complet de temps en temps, ne pas oublier de le mettre à jour avant un scan ;)
Et n'oublies pas de passer ton sujet en RESOLU.

[FIN]

Johnny_Knoxville · Answer

Voilà le rapport de ZHPfix !

Rapport de ZHPFix 1.12.3325 par Nicolas Coolman, Update du 23/06/2011
Fichier d'export Registre : 
Run by user at 25/06/2011 11:48:47
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: {C1F83B10-0BEB-475f-BBA2-E235B02B9826}
ABSENT Software Key: Searchqu 406 MediaBar

========== Clé(s) du Registre ==========
ERREUR Key**: HKCU\Software\ilivid
ABSENT Key: HKLM\Software\ilivid
ERREUR Key**: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
ERREUR Key**: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}
ERREUR Key**: HKCU\Software\DataMngr_Toolbar

========== Fichier(s) ==========
ABSENT Folder/File: c:\users\user\appdata\locallow\searchquband
ABSENT Folder/File: c:\users\user\appdata\local	emp\asksearch


========== Récapitulatif ==========
5 : Clé(s) du Registre
2 : Fichier(s)
2 : Logiciel(s)


========== Chemin du fichier rapport ==========
C:\Program Files (x86)\ZHPDiag\ZHPFixReport.txt


End of the scan


Concernant Javara, il me dit qu'un rapport a été créé sur le répertoire racine et qu'il va l'ouvrir, mais dès qu'il essaye de le faire il me dit que ce fichier n'existe pas ?

Johnny_Knoxville · Answer

Un grand merci pour ton aide =)
C'est vraiment bien sympa de prendre du temps comme ça pour aider, et je t'en suis très reconnaissant !

Bon week-end !

Erreur critique du disque dur : Récupération

16 réponses

Newsletters