trojan police belgeRésolu/Fermé

Question

Bonjour, 

j ai été infecté par le virus police belge
j ai essayé la méthode proposée par le vrai site de la police belge mais la mise a jour bde la base virale échoue et il met impossible de scanner le pc 

cette demande est faite avec un autre pc

Pouvez vous m aider +
Merci d avance

Configuration: Windows 7 / Firefox 10.0.2

Utilisateur anonyme · Answer

bonjour,

est ce que tu as accès à windows ?

rapirapo · Answer

bonjour

non tout est bloqué des que j allume

Utilisateur anonyme · Answer

ok,  le principe est le même, l'infection se met à la place de explorer.exe, dans la clé shell du registre, il faut la modifier en invite de commande ou si tu n'arrives pas, avec OTLPE :

https://www.malekal.com/trojan-fake-police-virus-gendarmerie-nation/

une fois que ton pc démarre sous windows, on le nettoie  :D

rapirapo · Answer

mwouais

pour le démarrer en invite de commande je fais quoi slurp

Utilisateur anonyme · Answer

tout est indiqué sur la page :

Au démarrage de l'ordinateur, après le premier écran et avant le logo Windows, juste au changement d'écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez invite de commandes en mode sans échec


si tu as accès à la restauration système (une variante de cette infection bloque l'accès à la restauration système) :

Saisir les commandes suivantes en validant par entrée :
 cd %windir%
 cd system32
 cd restore
 rstrui.exe

si tu as accès, tant mieu, tu restaures le pc à une date antèiruer, puis on le nettoie !

autrement, il faut en invite de commande, remplacer la clé Shell (te reporter sur la même page) :



Redémarrez en invites de commandes en mode sans échec : Au démarrage de l'ordinateur, après le premier écran et avant le logo Windows, juste au changement d'écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez invite de commandes en mode sans échec
 
Sur la fenêtre cmd.exe, tapez regedit et validez



Déroulez l'arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE => Software => Microsoft => Windows NT => CurrentVersion => Winlogon
 A droite, chercher Shell, vous devez avoir explorer.exe - remplacer par iexplore.exe
 Saisir la commande : shutdown /r  pour que l'ordinateur redémarre
 
Redémarrez l'ordinateur en mode normal.
 
Vous devriez avoir Internet Explorer qui se lance tout seul.
 Si ce n'est pas le cas, si vous avez votre fond d'écran :
 *Faites CTRL+ALT+Suppr sur le clavier pour lancer le gestionnaire de tâches.
 *Sur les gestionnaire de tâches :
 ? Cliquez sur le Menu Fichier puis Nouvelle tâche
 ?Saisir iexplore.exe - Si vous êtes sur Windows Vista ou Seven, faites SHFIT+CTRL (à gauche de la barre d'espace - Shift est la touche majuscule) et Entrée pour valider, cela va déclencher l'UAC (demande d'autorisation pour modifier le système), pour Windows XP validez simplement - Internet Explorer se lance
 Téléchargez le explorer.exe correspondant à votre système : *Windows XP SP3 : https://www.malekal.com/download/explorer_XP_SP3.exe
 *Windows XP SP2 : https://www.malekal.com/download/explorer_XP_SP2.exe
 
Après l'avoir téléchargé, copier le dans le dossier Windows sous le nom explorer.exe en remplaçant celui existant.
 Le but est de remplacer le explorer.exe malicieux par un légitime afin de récupérer le bureau.
 *Retournez sur regedit à partir du gestionnaire de tâche et modifiez la clef Shell en remettant explorer.exe dans la clef.
 *Fermer toutes les fenêtres et faites un shutdown -t 1 pour fermer la session toujours à partir du gestionnaîre de tâches.
 *Redémarrez l'ordinateur, vous devriez avoir accès à votre système.



autrement, avec OTLPE :

Voici une dernière procédure (en fait il en exite une autre avec des CD Live par exemple avec OTLPE simplement en copiant un explorer.exe).
 Les procédures précendentes fonctionnent bien, en théorie vous ne devriez pas avoir besoin d'appliquer celle-ci qui est un peu plus compliqué. Suivez en priorité les étapes précédentes.
 
Cette procédure consiste à changer la clef Shell pour récupérer la main en mode normal.
 
Redémarrez en invites de commandes en mode sans échec : Au démarrage de l'ordinateur, après le premier écran et avant le logo Windows, juste au changement d'écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez invite de commandes en mode sans échec
 
Sur la fenêtre cmd.exe, tapez regedit et validez


puis remplacer la clé Shell et explorer.exe, comme c'est indiqué un peut plus haut !

toujour te reporter sur cette page :


https://www.malekal.com/trojan-fake-police-virus-gendarmerie-nation/

sache que tu es la seule personne à pourvoir te tirer de là, donc il faut que tu fasses l'effort de lire et suivre les étapes !

rapirapo · Answer

pas de probleme chef, c est pour rire quand tu dis la meme page cest celle du message précédent
je me lance des que je sais merciiiiiiii

Utilisateur anonyme · Answer

:D

il faut avoir accès à windows pour nettoyer le pc arès  :D

j'attends de tes nouvelles  :D

bon courage  ;-)

rapirapo · Answer

je suis entré en mode sans échec mais j ai lancé restauration tout de suite c est bon ou pas

désolé d etre aussi nul

rapirapo · Answer

arffff quel con  
désolé j ai tout recommencé comme indiqué je vous tiens au courant  
j ai eu accès à la restauration  

;-)

voilà restauration terminée - redémarrage automatique ok et je suis sur le bureau

et pas de problème, apparent bien sur

Utilisateur anonyme · Answer

super  :D

on nettoie  :D


* télécharge ce programme Ransomfix (merci à Xplode)    
  
* Un rapport sera créé sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport )    
* copie, colle le dans ta prochaine réponse.

rapirapo · Answer

# RansomFix v1.0 - Xplode
# OS : Microsoft Windows XP Service Pack 2 (32 bits)
# Username : Administrateur - IND_PC (Administrateur)

_____| Winlogon - Shell |_____

Value : Explorer.exe [OK]

_____| HKCU\..\Run |_____

No bad key found

_____| Explorer.exe |_____

Checking explorer.exe...
Found : H:\WINDOWS\explorer.exe  [0x6FE10D50B0267484E8B483187811139D]
[OK]

_____| EOF |_____

Il n'y a que ça !
je travaille sur l'infecté

Utilisateur anonyme · Answer

depuis le pc infecté :

?	Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner


Lance le, 
clique sur rechercher et poste son rapport.

rapirapo · Answer

# AdwCleaner v1.502 - Rapport créé le 24/03/2012 à 13:35:49
# Mis à jour le 17/03/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : Administrateur - IND_PC
# Exécuté depuis : H:\Documents and Settings\Administrateur\Mes documents\Téléchargements\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : H:\Documents and Settings\Administrateur\Application Data\facemoods.com
Dossier Présent : H:\Documents and Settings\Administrateur\Application Data\GetRightToGo
Dossier Présent : H:\Program Files\facemoods.com
Dossier Présent : H:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vhqa4q4j.default\extensions\ffxtlbr@Facemoods.com

***** [H. Navipromo] *****


***** [Registre] *****

Clé Présente : HKCU\Software\facemoods.com
Clé Présente : HKLM\SOFTWARE\facemoods.com
Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane
Clé Présente : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Clé Présente : HKLM\SOFTWARE\Classes\esrv.escrtSrvc
Clé Présente : HKLM\SOFTWARE\Classes\esrv.escrtSrvc.1
Clé Présente : HKLM\SOFTWARE\Classes\facemoods.dskBnd
Clé Présente : HKLM\SOFTWARE\Classes\facemoods.dskBnd.1
Clé Présente : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr
Clé Présente : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr.1
Clé Présente : HKLM\SOFTWARE\Classes\facemoods.xtrnl
Clé Présente : HKLM\SOFTWARE\Classes\facemoods.xtrnl.1
Clé Présente : HKLM\SOFTWARE\Classes\facemoodsApp.appCore
Clé Présente : HKLM\SOFTWARE\Classes\facemoodsApp.appCore.1
Clé Présente : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{AD25754E-D76C-42B3-A335-2F81478B722F}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{64182481-4F71-486b-A045-B233BD0DA8FC}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{A5B99E41-E157-4209-8AAC-DB003A816079}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{AD20D01C-C939-4dd2-8C55-56935A48987E}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{DDE2C74F-58CC-4d71-8CE1-09DEBB8CFB78}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{E95EAD3F-18C6-4304-9DC6-BD6FD8E11D37}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{542FA950-C57A-4E17-B3E1-D935DFE15DEE}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{5B035F86-41B5-40F1-AAAD-3D219F30244E}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{6365AC7B-9920-4D8B-AF5D-3BDFEAC340A8}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{6A934270-717F-4BC3-BA59-BC9BED47A8D2}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{74C012C4-00FB-4F04-9AFB-4AD5449D2018}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{78888F8B-D5E4-43CE-89F5-C8C18223AF64}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{79B13431-CCAC-4097-8889-D0289E5E924F}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{8B8558F6-DC26-4F39-8417-34B8934AA459}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{8C8D5C57-3CAD-4CF9-BCAD-F873678DA883}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{9E393F82-2644-4AB6-B994-1AD39D6C59EE}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A3A2A5C0-1306-4D1A-A093-9CECA4230002}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{C1C2FC43-F042-4F17-AEDB-C5ABF3B42E4B}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{F7EC6286-297C-4981-9DCC-FD7F57BC24C9}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{12A5F606-B1EC-474C-83ED-95E99FD8058E}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{AD25754E-D76C-42B3-A335-2F81478B722F}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Présente : HKLM\SOFTWARE\Google\chrome\Extensions\ihflimipbcaljfnojhhknppphnnciiif
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486B-A045-B233BD0DA8FC}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\facemoods
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}]

***** [Navigateurs] *****

-\ Internet Explorer v6.0.2900.2180

et voilà :-)

Utilisateur anonyme · Answer

relance ADWC, clique sur Supprimer, poste so rapport !

rapirapo · Answer

# AdwCleaner v1.502 - Rapport créé le 24/03/2012 à 13:49:02
# Mis à jour le 17/03/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : Administrateur - IND_PC
# Exécuté depuis : H:\Documents and Settings\Administrateur\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : H:\Documents and Settings\Administrateur\Application Data\facemoods.com
Dossier Supprimé : H:\Documents and Settings\Administrateur\Application Data\GetRightToGo
Dossier Supprimé : H:\Program Files\facemoods.com
Dossier Supprimé : H:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vhqa4q4j.default\extensions\ffxtlbr@Facemoods.com

***** [H. Navipromo] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\facemoods.com
Clé Supprimée : HKLM\SOFTWARE\facemoods.com
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.escrtSrvc
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.escrtSrvc.1
Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.dskBnd
Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.dskBnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr
Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr.1
Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.xtrnl
Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.xtrnl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\facemoodsApp.appCore
Clé Supprimée : HKLM\SOFTWARE\Classes\facemoodsApp.appCore.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{AD25754E-D76C-42B3-A335-2F81478B722F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{64182481-4F71-486b-A045-B233BD0DA8FC}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A5B99E41-E157-4209-8AAC-DB003A816079}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AD20D01C-C939-4dd2-8C55-56935A48987E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DDE2C74F-58CC-4d71-8CE1-09DEBB8CFB78}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E95EAD3F-18C6-4304-9DC6-BD6FD8E11D37}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{542FA950-C57A-4E17-B3E1-D935DFE15DEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5B035F86-41B5-40F1-AAAD-3D219F30244E}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6365AC7B-9920-4D8B-AF5D-3BDFEAC340A8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6A934270-717F-4BC3-BA59-BC9BED47A8D2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{74C012C4-00FB-4F04-9AFB-4AD5449D2018}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{78888F8B-D5E4-43CE-89F5-C8C18223AF64}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79B13431-CCAC-4097-8889-D0289E5E924F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8B8558F6-DC26-4F39-8417-34B8934AA459}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8C8D5C57-3CAD-4CF9-BCAD-F873678DA883}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9E393F82-2644-4AB6-B994-1AD39D6C59EE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A3A2A5C0-1306-4D1A-A093-9CECA4230002}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C1C2FC43-F042-4F17-AEDB-C5ABF3B42E4B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F7EC6286-297C-4981-9DCC-FD7F57BC24C9}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{12A5F606-B1EC-474C-83ED-95E99FD8058E}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{AD25754E-D76C-42B3-A335-2F81478B722F}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Supprimée : HKLM\SOFTWARE\Google\chrome\Extensions\ihflimipbcaljfnojhhknppphnnciiif
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486B-A045-B233BD0DA8FC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\facemoods
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}]

***** [Navigateurs] *****

-\ Internet Explorer v6.0.2900.2180

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v10.0.1 (fr)

Profil : vhqa4q4j.default
Fichier : H:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vhqa4q4j.default\prefs.js

Supprimée : user_pref("extensions.enabledAddons", "ffxtlbr@Facemoods.com:1.2.1,{972ce4c6-7e08-4474-a285-3208198c[...]
Supprimée : user_pref("extensions.enabledItems", "{3f963a5b-e555-4543-90e2-c3908898db71}:9.0.0.872,{CAFEEFAC-001[...]
Supprimée : user_pref("extensions.facemoods.aflt", "_#adj");
Supprimée : user_pref("extensions.facemoods.firstRun", false);
Supprimée : user_pref("extensions.facemoods.lastActv", "24");

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : H:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [6307 octets] - [24/03/2012 13:35:49]
AdwCleaner[S1].txt - [6303 octets] - [24/03/2012 13:49:02]

########## EOF - H:\AdwCleaner[S1].txt - [6431 octets] ##########

Et voilà

Utilisateur anonyme · Answer

super,

* Télécharge ZHPDiag sur ton bureau :
	

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 


* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

ou :
http://dl.free.fr
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou : 
https://www.terafiles.net/


tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

rapirapo · Answer

jamais fais des trucs ainsi moi, ça fait même peur
bon, voilà je crois que c'est cela


https://www.cjoint.com/?BCyolGPt38o

Utilisateur anonyme · Answer

ok,
il est temps de passer à une version plus récente d'AVG !


n'oublie pas les mises à jour de XP, pour JAVA, à mettre à jour impérativement !

attention à Boonty problème de confidentialité !




*	Rends-toi sur cette page :
https://www.virustotal.com/gui/
*	Clique sur "Choose File"
*	Vas sur ton disque chercher ce fichier à cet emplacement :

H:\Program Files\HP\HP Deskjet 3070 B611 series\Bin\HPCustPartic.exe


un rapport va s'élaborer ligne à ligne 
attends un peu, il doit comprendre la taille du fichier envoyé 
une fois le rapport complet, copie et colle le lien du rapport sur ton prochain message.

rapirapo · Answer

je vais les mises à jour dès que c'est fini 
pour AVG j'avais la bonne version mais pas à la date de restauration 
je vais prendre tous les conseils en compte 

SHA256:  b4855d3a53640562c06af19f55e57bf3156d5bbcd3e04b2a3d67dab6ea7121f1 
File name:  HPCustPartic.exe 
Detection ratio:  0 / 43 
Analysis date:  2012-03-24 13:37:32 UTC ( 0 minute ago ) 
0 
0 
Antivirus  Result  Update 
AhnLab-V3  -  20120323 
AntiVir  -  20120323 
Antiy-AVL  -  20120324 
Avast  -  20120324 
AVG  -  20120324 
BitDefender  -  20120324 
ByteHero  -  20120319 
CAT-QuickHeal  -  20120324 
ClamAV  -  20120324 
Commtouch  -  20120323 
Comodo  -  20120324 
DrWeb  -  20120324 
Emsisoft  -  20120324 
eSafe  -  20120322 
eTrust-Vet  -  20120323 
F-Prot  -  20120323 
F-Secure  -  20120324 
Fortinet  -  20120324 
GData  -  20120324 
Ikarus  -  20120324 
Jiangmin  -  20120323 
K7AntiVirus  -  20120323 
Kaspersky  -  20120324 
McAfee  -  20120324 
McAfee-GW-Edition  -  20120323 
Microsoft  -  20120324 
NOD32  -  20120324 
Norman  -  20120324 
nProtect  -  20120324 
Panda  -  20120324 
PCTools  -  20120323 
Prevx  -  20120324 
Rising  -  20120323 
Sophos  -  20120324 
SUPERAntiSpyware  -  20120323 
Symantec  -  20120324 
TheHacker  -  20120324 
TrendMicro  -  20120324 
TrendMicro-HouseCall  -  20120324 
VBA32  -  20120323 
VIPRE  -  20120324 
ViRobot  -  20120324 
VirusBuster  -  20120323 

    Comments 
    Additional information 

No comments 

je reçois des dossiers txt : mbr check  
il faut les poster ?

com/file/b4855d3a53640562c06af19f55e57bf3156d5bbcd3e04b2a3d67dab6ea7121f1

rapirapo · Answer

https://www.virustotal.com/gui/file/b4855d3a53640562c06af19f55e57bf3156d5bbcd3e04b2a3d67dab6ea7121f1

C'est mieux je crois désolé

Utilisateur anonyme · Answer

pas besoin de MBR Check  :D 


Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau: 

https://fr.malwarebytes.com/mwb-download/ 
ou : 

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 
  
ou ici : 
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/ 



. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.  
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour  
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes  
. Une fois la mise à jour terminé 
. rend-toi dans l'onglet, Recherche  
. Sélectionnes Exécuter un examen complet 
. Cliques sur Rechercher 
. Le scan démarre.  
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
. Cliques sur Ok pour poursuivre.  
. Si des malwares ont été détectés, cliques sur Afficher les résultats  
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.  
. rends toi dans l'onglet rapport/log  
. tu cliques dessus pour l'afficher une fois affiché  
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous  
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse  
. Tu cliques droit dans le cadre de la réponse et coller  
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!! 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 



je m'absente, @ ++ 




O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

rapirapo · Answer

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.24.01

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Administrateur :: IND_PC [administrateur]

24/03/2012 15:02:09
mbam-log-2012-03-24 (15-02-09).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 354258
Temps écoulé: 1 heure(s), 10 minute(s), 3 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\INSTALL.EXE (PUP.Casino.Gen) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 8
H:\Documents and Settings\Administrateur\Mes documents\Téléchargements\goldentiger.exe (PUP.Casino.Gen) -> Mis en quarantaine et supprimé avec succès.
H:\Microgaming\Casino\QuatroCasino\install.exe (PUP.Casino.Gen) -> Mis en quarantaine et supprimé avec succès.
H:\Microgaming\Casino\QuatroCasino\bresume.exe (PUP.Casino.Gen) -> Mis en quarantaine et supprimé avec succès.
H:\Microgaming\Casino\QuatroCasino\dresume.exe (PUP.Casino.Gen) -> Mis en quarantaine et supprimé avec succès.
H:\Microgaming\Casino\QuatroCasino\sresume.exe (PUP.Casino.Gen) -> Mis en quarantaine et supprimé avec succès.
H:\Microgaming\Casino\QuatroCasino	resume.exe (PUP.Casino.Gen) -> Mis en quarantaine et supprimé avec succès.
H:\System Volume Information\_restore{97E2309D-E231-43CA-B35D-32672FFCB7A4}\RP425\A0051907.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
H:\WINDOWS\system32\dllcache\iexplore.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.

(fin)


voilà

je dois partir et je ne reviens que demain matin.
ce n'est pas par manque d'intérêt ou par ennui mais aujourd'hui c'est la fête !

Merci beaucoup et j'espère avoir la suite

bizz

Utilisateur anonyme · Answer

re,



redémarre ton pc et donne moi des nouvelles de son fonctionnement avant de tout finaliser  :D

bonne fête  :P


@ 2mains  :P

rapirapo · Answer

Bonjour,

ben, cela semble aller
pas de bug, pas de problème apparent, disparition de la page 'police', . . .

navigation sur le net possible, 

tout semble fonctionner correctement

Utilisateur anonyme · Answer

bonjour,

bien passé hier soir ?  mdr !


juste une info à faire passer :

2vite de télécharger des logiciels gratuits sur le site de Softonic et 01net :

ils repackent des logiciels gratuits pour y inclure des barres d'outils !



dans ce cas, on términe :


/!\ Attention : 
de plus en plus de programmes propose l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas de décocher la/les cases correspondantes pendant l'installation.




* pour supprimer les outils de désinfection 
: 
Télecharge Delfix sur ton bureau : 

ICI

ou
	
https://www.commentcamarche.net/telecharger/securite/7111-delfix/ 

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message 
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 


	
	
  
. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau 

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/  

.double-cliques sur le fichier pour lancer l'installation 

/!\ regarde bien qu'au moment d'installation, on ne t'installe pas les barres d'outils, si c'est le cas, décoche la case correspondante ! 


/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur »


.sur la fenêtre de l'installation langage bien choisir français et OK  
.cliques sur suivant  
.lis la licence et j'accepte  
.cliques sur suivant  
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner  
.cliques sur installer  
.cliques sur fermer  
.double-cliques sur l'icône de Ccleaner pour l'ouvrir  
.une fois ouvert tu cliques sur option et puis avancé  
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures  
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse une fois l'analyse terminé  
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien  
.cliques maintenant sur registre et puis sur rechercher les erreurs  
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées  
.il te demande de sauvegarder OUI  
.tu lui donnes un nom pour pouvoir la retrouver et enregistre  
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK  
.il supprime et fermer tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner 

tuto installation & nettoyage :  
https://www.donnemoilinfo.com/tuto/CCleaner/ 



* Supprimer les anciens points de restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

  

Pour Windows 7 :
 
https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

 


* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

rapirapo · Answer

Voilà

# DelFix v8.8 - Rapport créé le 25/03/2012 à 10:13:38
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : Administrateur - IND_PC (Administrateur)
# Exécuté depuis : H:\Documents and Settings\Administrateur\Mes documents\Téléchargements\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : H:\ZHP
Supprimé : H:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : H:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : H:\AdwCleaner[R1].txt
Supprimé : H:\AdwCleaner[S1].txt
Supprimé : H:\Documents and Settings\Administrateur\Mes documents\Téléchargements\adwcleaner.exe
Supprimé : H:\Documents and Settings\Administrateur\Mes documents\Téléchargements\ZHPDiag2(1).exe
Supprimé : H:\Documents and Settings\Administrateur\Mes documents\Téléchargements\ZHPDiag2(2).exe
Supprimé : H:\Documents and Settings\Administrateur\Mes documents\Téléchargements\ZHPDiag2.exe
Supprimé : H:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : H:\Documents and Settings\All Users\Bureau\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1376 octets] - [25/03/2012 10:13:38]

########## EOF - H:\DelFix[S1].txt - [1500 octets] ##########


Aucune menace détectée lors de l'analyse

il semblerait que ton travail commence à porter ses fruits
;-)

Utilisateur anonyme · Answer

super,

si ton antivirus n'a rien trouvé, crée un nouveau point de restauration système, ça peut servire  :D

sur ce, bon surf  ;-)

rapirapo · Answer

123456789 fois merciiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii
je ne vais pas dire à bienôt car quand on fait appel à vous c'est que . . . . 

Merci, merci

bizz

Utilisateur anonyme · Answer

on ne sait jamais  :P

un petit bonjour aux ami(e)s les bélges  ;-)

bon dimanche et bon surf  ;-)

Trojan police belge

29 réponses

Discussions similaires

Newsletters