probleme seeearch en page d'accueilRésolu/Fermé

Question

Bonjour, 

je suis debutante en informatique et je me retrouve avec seeearch.com comme page d'accueil sur Firefox. impossible a suprimer j'ai donc suivi la fiche pratique sur CCM pour desinstaler seeearch et ai telecharger AD-R, voici ce qui sort du scan d'AD-R:

 RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 11:05:57 le 22/09/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X64) 
alice@PC-DE-ALICE (ACER Aspire M1641) 
 
============== RECHERCHE ==============


Fichier trouvé: C:\Users\alice\AppData\Local\gxxppaas.bat
Fichier trouvé: C:\Users\alice\AppData\Local\zeyeekg_nav.dat
Fichier trouvé: C:\Users\alice\AppData\Local\zeyeekg.dat
Fichier trouvé: C:\Users\alice\AppData\Local\zeyeekg_navps.dat
Fichier trouvé: C:\Users\alice\Downloads\Live-Player_setup.exe

Clé trouvée: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé trouvée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gxxppaas
Clé trouvée: HKLM\Software\PopCap
Clé trouvée: HKCU\Software\fcn
Clé trouvée: HKCU\Software\AppDataLow\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7}
Clé trouvée: HKCU\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}

Valeur trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|zeyeekg


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [6.0.2 (fr)] ****

Configuration: Windows Vista / Firefox 6.0.2


que dois-je nettoyé ? que dois-je faire ? merci pour votre aide

Smart91 · Answer

Bonjour,

Relance AD-Remover et choisis l'option "Nettoyer" et poste le rapport

Ensuite tu vas faire ceci:

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Choisis "Suppression" et poste le rapport 

Smart

ali322 · Answer

merci d'avoir repondu rapidement, voici rapport de AD-R et le 2eme ds 2 minutes ;
 
 RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:33:53 le 22/09/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X64) 
alice@PC-DE-ALICE (ACER Aspire M1641) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Users\alice\AppData\Local\gxxppaas.bat
Fichier supprimé: C:\Users\alice\AppData\Local\zeyeekg_nav.dat
Fichier supprimé: C:\Users\alice\AppData\Local\zeyeekg.dat
Fichier supprimé: C:\Users\alice\AppData\Local\zeyeekg_navps.dat
Fichier supprimé: C:\Users\alice\Downloads\Live-Player_setup.exe

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gxxppaas
Clé supprimée: HKLM\Software\PopCap
Clé supprimée: HKCU\Software\fcn
Clé supprimée: HKCU\Software\AppDataLow\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7}
Clé supprimée: HKCU\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}

Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|zeyeekg


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [6.0.2 (fr)] ****

HKLM_MozillaPlugins\Adobe Reader (x)
Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Users\alice\AppData\Roaming\Mozilla\FireFox\Profiles\mxhapmlz.default --
Searchplugins\Chercher Malin.xml (hxxp://www.cherchermalin.com/result.php)
User.js - browser.startup.homepage, hxxp://www.seeearch.com/
Prefs.js - browser.startup.homepage, hxxp://www.seeearch.com/
Prefs.js - browser.startup.homepage_override.buildID, 20110902133214
Prefs.js - browser.startup.homepage_override.mstone, rv:6.0.2
Prefs.js - privacy.popups.showBrowserMessage, false

========================================

**** Internet Explorer Version [7.0.6002.18005] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\Program Files (x86)\OrangeHSS\SearchURLHook\SearchPageURL.dll)
HKCU_URLSearchHooks|{E5BC62D7-FB66-4885-9FAA-66AA66842AF8} (x)
HKCU_Toolbar\ShellBrowser|{5CBE3B7C-1E47-477E-A7DD-396DB0476E29} (C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll)
HKCU_Toolbar\WebBrowser|{09B445AE-2345-4FCA-85AE-FB3626ECEBDD} (D:\seeearch.dll)
HKLM_Toolbar|{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} (C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll)
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
HKLM_Toolbar|{09B445AE-2345-4FCA-85AE-FB3626ECEBDD} (D:\seeearch.dll)
HKCU_ElevationPolicy\{6052BF20-EA23-4A04-B3C1-A20EFE01A95A} - C:\Program Files (x86)\Veetle\Player\vtl_hfs.exe (?)
HKCU_ElevationPolicy\{680FA47E-AB59-46BE-B594-7358726E108B} - C:\Program Files (x86)\Veetle\Player\player.exe (?)
HKCU_ElevationPolicy\{E8BC6C2B-DD90-4397-96EB-2AAF0E48ABE6} - C:\Program Files (x86)\Veetle\Player\vtl_hfax.exe (?)
HKLM_ElevationPolicy\{6052BF20-EA23-4A04-B3C1-A20EFE01A95A} - C:\Program Files (x86)\Veetle\Player\vtl_hfs.exe (?)
HKLM_ElevationPolicy\{680FA47E-AB59-46BE-B594-7358726E108B} - C:\Program Files (x86)\Veetle\Player\player.exe (?)
HKLM_ElevationPolicy\{E8BC6C2B-DD90-4397-96EB-2AAF0E48ABE6} - C:\Program Files (x86)\Veetle\Player\vtl_hfax.exe (?)
BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)
BHO\{2DA14D1D-AE74-4A74-A0FE-C79504755DB8} - "TBSB06155 Class" (D:\seeearch.dll)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
BHO\{CC59E0F9-7E43-44FA-9FAA-8377850BF205} - "FDMIECookiesBHO Class" (C:\Program Files (x86)\Free Download Manager\iefdm2.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 5 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 22/09/2011 11:33:58 (4848 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 22/09/2011 11:06:03 (5021 Octet(s)) 

Fin à: 11:35:09, 22/09/2011 
 
============== E.O.F ==============

ali322 · Answer

rapport de adwcleaner ;

# AdwCleaner v1.307 - Rapport créé le 22/09/2011 à 11:46:18
# Mis à jour le 19/09/11 à 09h par Xplode
# Système d'exploitation : Windows (TM) Vista Home Premium Service Pack 2 (64 bits)
# Nom d'utilisateur : alice - PC-DE-ALICE (Administrateur)
# Exécuté depuis : C:\Users\alice\Downloads\adwcleaner0.exe
# Option [Suppression]


***** [KillNav] *****

# firefox.exe [PID:4428] -> Tué

***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Registre (64 bits)] *****


***** [Navigateurs] *****

-\ Internet Explorer v7.0.6002.18005

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v6.0.2 (fr)

Profil : mxhapmlz.default
Fichier : C:\Users\alice\AppData\Roaming\Mozilla\Firefox\Profiles\mxhapmlz.default\prefs.js

C:\Users\alice\AppData\Roaming\Mozilla\Firefox\Profiles\mxhapmlz.default\user.js ... Supprimé !
Supprimée : user_pref("browser.startup.homepage", "hxxp://www.seeearch.com/");

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\alice\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

***** [Autres] *****

[HKCU\..\Control Panel] - HomePage = 1 -> Supprimée

*************************

AdwCleaner[S1].txt - [1332 octets] - [22/09/2011 11:46:18]

*************************

Dossier Temporaire : 12 dossier(s) et 9 fichier(s) supprimé(s)

########## EOF - C:\AdwCleaner[S1].txt - [1555 octets] ##########

Smart91 · Answer

Tu as dû choper ce malware en téléchargeant surement VLC sur un site qui n'est pas le site officiel de VLC.

Relance Ad-Remover et choisis "Déinstaller"

On va quand même faire un diagnostic de ton PC pour voir d'il n'y a pas d'autres infections.

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 comme antivirus, à l'alerte choisis "lancer normalement" 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\ZHP\). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

ali555 · Answer

salut smart, hier quand g fermer cette page, g retrouver mon bureau infesté de petites icones nommées en chinoi en dessous je ne retrouve plus mes fichiers apart mozilla et qql autres, c'est un virus ? en tt cas c'est vraiment flippant...  
    
au secours !

Smart91 · Answer

OK Tu vas faire ceci:

1. SCAN

- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 1 [SCAN] et valide
- Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe

Smart

ali322 · Answer

RogueKiller V6.1.0 [22/09/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version Demarrage : Mode normal Utilisateur: alice [Droits d'admin] Mode: Recherche -- Date : 25/09/2011 09:32:41 Processus malicieux: 0 Entrees de registre: 3 [SUSP PATH] ASETRES.EXE : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ASETRES.EXE -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND Fichiers / Dossiers particuliers: Driver: [NOT LOADED] Fichier HOSTS: 127.0.0.1 localhost ::1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt encore merci smart, j'attend la suite des instructions...

Smart91 · Answer

Relance RogueKiller, choisis l'option 2 et poste le rapport

Smart

ali322 · Answer

RogueKiller V6.1.0 [22/09/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version Demarrage : Mode normal Utilisateur: alice [Droits d'admin] Mode: Suppression -- Date : 25/09/2011 20:52:49 Processus malicieux: 0 Entrees de registre: 3 [SUSP PATH] ASETRES.EXE : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ASETRES.EXE -> DELETED [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) Fichiers / Dossiers particuliers: Driver: [NOT LOADED] Fichier HOSTS: 127.0.0.1 localhost ::1 localhost Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Smart91 · Answer

Maintenant tu vas faire ceci: 

* Télécharge et installe Malwarebytes 
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important 
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher" 
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser  
* A la fin de l'analyse, clique sur "Afficher les résultats" 
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection" 
* Enregistre le rapport 
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes 
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

ali322 · Answer

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7800

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

26/09/2011 12:19:20
mbam-log-2011-09-26 (12-19-20).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 336577
Temps écoulé: 43 minute(s), 52 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\downloads\Software\VLCSetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\Users\alice\downloads\megaplayer.exe (Trojan.Dropper.AI) -> Quarantined and deleted successfully.

Smart91 · Answer

Relance MBAM et vide la quarantaine.

Comment se comporte le PC ?

Refais un scan ZHPDiag et poste le rapport via cijoint

Smart

ali322 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201109/cijdqYUbbv.txt

les fichiers infectés etaient Adware.hotbar et trojan.dropp, que j'ai chopper apparemment via VLC et MegaPlayer 
le PC tourne bien pas de probleme
j'ai 2 questions :
je dois desinstaler MBAM et ZHP ?
pourquoi Avast ne suffit pas a proteger mon PC ?

Smart91 · Answer

Désinstalle VLC et MegaPlayer et réinstalle les depuis un le site officiel de l'éditeur, par exemple pour VLC c'est celui-ci: 
https://vlc-media-player.org// 

Garde MBAM et fais un scan complet un fois par moi. 

Ensuite je te ferais désinstaller les autres quand on aura tout terminé.
 
Avast te protège très bien, mais c'est à toi aussi de faire attention en particulier quand tu télécharges un logiciel, il faut lire les conditions d'utilisation et ne pas cliquer sur "j'accepte" sans les lire. 

Je propose maintenant de faire quand même un diagnostic de ton PC afin de voir s'il n'y a pas de restes ou d'autres infections. 
Refais un scan avec ZHPDiag et poste le rapport via cijoint 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

ali322 · Answer

merci beaucoup.
le problème c'est qu'on est 4 a se servir de cet ordi ! 

rapport ZHPDiag : 

http://www.cijoint.fr/cjlink.php?file=cj201109/cijP29Fdy0.txt

Smart91 · Answer

Il faudrait, le temps de remettre le PC que toi seul utilses le PC ou alors damander aux autres utilisateurs de ne rien télécharger et éviter les sites de streaming et autres jeux. Je vous donnerai  à la fin des conseils de prévention afin de surfer en sécurité. 

Tout d'abord tu as deux antivirus Avast et McAffee, cela ne serrt à rien sinon d'engendrer des conflits et de ralentir ton PC. Garde Avast qui est gratuit et vérifie que c'est bien la version 6. 

Comme il reste encore des traces de l'infection, tu vas faire ceci: 

- Ferme toutes tes applications en cours 
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)  
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html 
Copie/colle les lignes en gras suivantes : 
  
----------------------------------------------------------  
[HKLM\Software\iWin] 
O43 - CFD: 29/11/2008 - 22:02:40 - [0] ----D- C:\Users\alice\AppData\Roaming\iWin 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] 
C:\Users\alice\AppData\Roaming\iWin 
O4 - HKCU\..\Run: [fsm] Clé orpheline 
O4 - HKLM\..\Wow6432Node\Run: [eRecoveryService] Clé orpheline 
O4 - HKLM\..\Wow6432Node\Run: [Fax Machine] Clé orpheline 
O4 - HKUS\S-1-5-21-1098003500-1028232318-2788685646-1000\..\Run: [fsm] Clé orpheline 
O2 - BHO: TBSB06155 [64Bits] - {2DA14D1D-AE74-4A74-A0FE-C79504755DB8} . (.Pas de propriétaire - IE Toolbar Engine.) -- D:\seeearch.dll 
EmptyTemp 
EmptyFlash 

----------------------------------------------------------  
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes  
- Clique sur le bouton « GO » pour le lancer le nettoyage 
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et redémarre le PC 

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

ali322 · Answer

Rapport de ZHPFix 1.12.3361 par Nicolas Coolman, Update du 06/09/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-28-09-2011-14-08-41.txt
Run by alice at 28/09/2011 14:08:41
Windows Vista Home Premium Edition, 64-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\iWin
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
ABSENT Key: CLSID BHO: {2DA14D1D-AE74-4A74-A0FE-C79504755DB8}

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: fsm
SUPPRIME RunValue: eRecoveryService
SUPPRIME RunValue: Fax Machine
ABSENT RunValue: fsm

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\alice\AppData\Roaming\iWin
SUPPRIME Temporaires Windows: : 27
SUPPRIME Flash Cookies: 90

========== Fichier(s) ==========
ABSENT Folder/File: c:\users\alice\appdata\roaming\iwin
SUPPRIME File: d:\seeearch.dll
SUPPRIME Temporaires Windows: : 37
SUPPRIME Flash Cookies: 46


========== Récapitulatif ==========
4 : Clé(s) du Registre
4 : Valeur(s) du Registre
3 : Dossier(s)
4 : Fichier(s)


End of clean in 00mn 03s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 28/09/2011 14:08:41 [1351]

ali322 · Answer

Bon  tt le monde est ok, il n'y a plus que moi qui manipule cet ordi !
 (ca n'a pas été facile)
mais tt à l'heure, des dizaines de petits fichier (origine : Desktop ) ont encore envahis le bureau après une visite dans boite mail orange !
la dernière fois similaire, ils étaient écrit en chinois !
tu peux m'éclairer ???

Smart91 · Answer

Ohhhh. 

Supprime RogueKiller de ton bureau et et télécharge la nouvelle version:
 RogueKiller

Lance -le et choisis l'option 2 et poste le rapport

Smart

Smart91 · Answer

Ohh par ce que je me suis dit tiens c'est revenu j'ai dû louper qq chose.

Bon RogueKiller n'a rien trouvé.
Tu peux faire une copie d'écran de ton bureau et la poster via cijoint
Afin que je puisse voir à quoi ressemble ces petits fichiers.
As-tu téléchargé un fichier joint avec un mail quand tu as consulté ta messagerie .

Smart

Smart91 · Answer

Tu peux poster également ce rapport: RKreport[1].txt
qui doit se trouver sur ton bureau

Smart

Smart91 · Answer

Sur cijoint, normal il faut que tu attendes 5 secondes. Ils ont refait le site.

Smart

Smart91 · Answer

Tu as mis les fichiers dans ta corbeille., laisse tomber pour la copie d'écran

Refais un scan ZHPDiag et poste le rapport via cijoint

Smart

ali322 · Answer

voila, et merci encore pour ta patience

http://www.cijoint.fr/cjlink.php?file=cj201109/cijT9vWWw7.txt

Smart91 · Answer

Les restes sont toujours alors que ZHPfix les avait supprimés. Cela peut venir dun pb d'affichage avec ZHPDiag et les OS 64 bits 
On va vérifier. Tu vas faire ceci: 

- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.itxassociates.com/OT-Tools/OTM.exe 
- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.  
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :  

-------------------------------------------------------------- 
:reg 
[-HKEY_LOCAL_MACHINE\Software\iWin] 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}] 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2DA14D1D-AE74-4A74-A0FE-C79504755DB8}] 
[-HKEY_CLASSES_ROOT\CLSID\{2DA14D1D-AE74-4A74-A0FE-C79504755DB8}] 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"fsm"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 
"eRecoveryService"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 
"Fax Machine"=- 
[HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run] 
"fsm"=- 

:Files 
C:\Users\alice\AppData\Roaming\iWin 
D:\seeearch.dll 

:commands  
[emptytemp]  
[Reboot]  

-------------------------------------------------------------- 

- Colle (Ctrl+V) le texte précédemment copié dans le cadre:  Paste Instructions for Items to be Moved.  

- Clique maintenant sur le bouton MoveIt!  

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\  
Le nom du rapport correspond au moment de sa création : date_heure.log 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

ali322 · Answer

windows ne veux pas l'ouvrir, il me dis qu'il ne parviens pas a acceder o peripherique ou que je n'ai peut-etre pas les autorisations appropriées
??

Smart91 · Answer

Tu l'as bien lancé en tant que administrateur en faisant clic droit ?

Smart

Smart91 · Answer

Fais un clic droit sur OTM > Propriétés > Onglet securité > Csélectione ton nom de session et en dessous sous autoriser coche controle total toustes les cases seront cochées.
Et relance OTM

Smart

ali322 · Answer

salut smart,
dsl absente une semaine...
j'ai reussi a ouvrir OTM mais pas trouvé le dossier contenant le rapport
alors j'ai fait un copier-coller :
All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\iWin\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09B445AE-2345-4FCA-85AE-FB3626ECEBDD}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2DA14D1D-AE74-4A74-A0FE-C79504755DB8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2DA14D1D-AE74-4A74-A0FE-C79504755DB8}\ not found.
Registry key HKEY_CLASSES_ROOT\CLSID\{2DA14D1D-AE74-4A74-A0FE-C79504755DB8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2DA14D1D-AE74-4A74-A0FE-C79504755DB8}\ not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fsm not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\eRecoveryService not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Fax Machine not found.
Registry key HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run not found.
========== FILES ==========
File/Folder C:\Users\alice\AppData\Roaming\iWin not found.
File/Folder D:\seeearch.dll not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: alice
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1085985 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 6820 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1,00 mb
 
 
OTM by OldTimer - Version 3.1.18.0 log created on 10062011_130919

Smart91 · Answer

OK OTM confime bien que les clés et fichiers ont bien été supprimés apr ZHPFix. c'est don bien un pb d'affichage de ZHPDiag avec les OS 64 bits

Comme il s'est passé pas mal de temps depuis ma dernière intervention, tu vas relancer ZHPDiag clique sur la flèche verte pour installer la mise à jour, refais un scan et poste le rapport vi cijoint

Smart

ali322 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cijdpPKwIb.txt

Smart91 · Answer

Ton PC est OK.
On va passer à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Fais les mises à jour suivantes:

Mise à jour IE9
https://support.microsoft.com/en-us/office/internet-explorer-help-23360e49-9cd3-4dda-ba52-705336cc0de2?ui=en-US&rs=en-001&ad=US
Ou alors par Windows update

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKLM\Software\iWin]
O43 - CFD: 29/11/2008 - 22:02:40 - [0] ----D- C:\Users\alice\AppData\Roaming\iWin
C:\Users\alice\AppData\Roaming\iWin
O4 - HKCU\..\Run: [fsm] Clé orpheline
O4 - HKLM\..\Wow6432Node\Run: [eRecoveryService] Clé orpheline
O4 - HKLM\..\Wow6432Node\Run: [Fax Machine] Clé orpheline
O4 - HKUS\S-1-5-21-1098003500-1028232318-2788685646-1000\..\Run: [fsm] Clé orpheline
O2 - BHO: TBSB06155 [64Bits] - {2DA14D1D-AE74-4A74-A0FE-C79504755DB8} . (...) -- D:\seeearch.dll (.not file.)
OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter]  oobefldr.dll
OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter]  oobefldr.dll
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) 
- Sélectionne Suppression 
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. 

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) 
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation. 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Il est nécessaire de désactiver puis réactiver la restauration système de Vista pour la purger.

Quelques conseils de Prévention

- Réactive l'UAC si ce n'est pas déjà fait. 

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

 Installe l'extension de sécurité adblock plus pour bloquer les publicités 
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html 

- Les logiciels gratuits à éviter

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

ali322 · Answer

voila tout est fait ... merci beaucoup, Smart, pour ton aide et ton travail
et bonne continuation

Smart91 · Answer

Heureux de t'avoir aidé

Smart

Probleme seeearch en page d'accueil

34 réponses

Discussions similaires

Newsletters