Trojan /AppData = Windows Explorer planteFermé

Question

Bonjour,  
Alors voila, hier je surfais tranquillement sur internet, comme tout les jours,... 
Je me balade donc entre Facebook, Youtube, et autre quand tout d'à coup mon pc affiche "Windows explorer a cesser de fonctionner". La le bureau disparait, tout se coupe. 

Je décide donc de redémarrer, et a l'ouverture de Windows, de nouveau le même problème. Windows explorer plante 15 fois d'affilés, et iTunes ne se lance plus au démarrage (Message d'erreur). Enfait, il ne se lance plus tout court. 

Soit, je regarde après une solution sur le net, une personne conseille exécuter la marche a suivre suivante : Clic droit sur Ordinateurs => Propriétés => Paramètre Système Avancé => Performance => Ajouter Windows Explorer aux exceptions de prévention a l'exécution de données. DU coup, j'essaye, sauf que quand j'essaye d'accéder à Windows explorer et que j'arrive dans le dossier "C:/Utilisateurs/M4KaN4/AppData" La c'est le crash (Encore) 

A la suite de ça, je lance Malwarebytes, examen complet. Et boum, il me trouve un trojan dans ce dossier AppData, il le supprime, redémarre. 

Curieux, je décide de retourner dans ce dossier AppData, mais rien n'y fait, quand j'essaye d'y accéder avec la méthode citée plus haut, mais a chaque fois que je m'approche du-dit dossier => Paramètre Système Avancé a cesser de fonctionner. 

Alors que faire ? Je n'ai pas vu mon Windows Explorer planté depuis que Malwarebyte a fait son boulot, mais je soupçonne mon pc d'être toujours infecté. Comment m'en assurer, et surtout comment régler le problème ? 

Merci d'avance ! 
John 

Edit : Je possède un Asus G74 et j'ai aussi une bonne partie de mes raccourci clavier qui ont foutu le camp ! (Augmenter/Diminuer le son, Power4Gear, ...) Ils ne répondent plus.

Configuration: Windows 7 / Firefox 14.0.1

Fish66 · Accepted Answer

Salut, Spybot à ne pas installer! Tu peux lire : Spybot-superantispyware vs Malwarebytes 1/ Poste le rapport mbam stp 2/ * Télécharge puis enregistre sur le bureau de ton PC ZHPDiag (de Nicolas Coolman) à partir : ce lien * Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7) * Clique sur l'icône en forme de loupe pour lancer le diagnostique * Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com * Fais copier/coller le lien fourni dans ta prochaine réponse * Aide ZHPDiag : <<< ICI >>>

nosmarties · Answer

Salut 

Essaye une analyse antispy avec SpyBot Search&Destroy : 

https://www.commentcamarche.net/telecharger/securite/20939-spybot-search-and-destroy/

M4KaN4 · Answer

Alors  le rapport d'hier :

 Malwarebytes Anti-Malware (Essai) 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.08.21.12

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
M4KaN4 :: M4KAN4-PC [administrateur]

Protection: Activé

21/08/2012 23:10:04
mbam-log-2012-08-21 (23-10-04).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|Q:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 460942
Temps écoulé: 1 heure(s), 11 minute(s), 25 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\M4KaN4\AppData\Local\Temp\setupv.exe (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

(fin)

Et voila celui que je viens de ré-executer : 

Malwarebytes Anti-Malware (Essai) 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.08.21.13

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
M4KaN4 :: M4KAN4-PC [administrateur]

Protection: Activé

22/08/2012 10:20:54
mbam-log-2012-08-22 (10-20-54).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|Q:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 449852
Temps écoulé: 1 heure(s), 10 minute(s), 30 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

M4KaN4 · Answer

Et voila le rapport de ZHPDiag : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120822_s6m6i15n9t6

Je tiens déjà a vous remercier du temps que vous consacrer a m'aider =D

Fish66 · Answer

Re,
1/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 



O43 - CFD: 9/07/2012 - 02:02:44 - [0] ----D C:\Users\M4KaN4\AppData\Local\{043FE021-F490-42DF-BC3D-C76E5717FE03}
O43 - CFD: 11/07/2012 - 15:49:31 - [0] ----D C:\Users\M4KaN4\AppData\Local\{052AA761-1B80-45CD-9DC2-71AF20A2A5E2}
O43 - CFD: 13/07/2012 - 14:18:49 - [0] ----D C:\Users\M4KaN4\AppData\Local\{18E1027A-D880-4C66-BD30-5A2DC17550A2}
O43 - CFD: 9/07/2012 - 02:02:01 - [0] ----D C:\Users\M4KaN4\AppData\Local\{3734048D-BB13-4812-8433-3A30937D42AC}
O43 - CFD: 13/07/2012 - 14:18:06 - [0] ----D C:\Users\M4KaN4\AppData\Local\{376B958A-0DC9-48F5-8391-063325BD577A}
O43 - CFD: 11/07/2012 - 15:49:20 - [0] ----D C:\Users\M4KaN4\AppData\Local\{55DB0575-F7F7-46B1-AA58-169D80EFB4F2}
O43 - CFD: 9/07/2012 - 02:03:26 - [0] ----D C:\Users\M4KaN4\AppData\Local\{5DF17AA1-2607-4C55-814C-63292E421228}
O43 - CFD: 9/07/2012 - 02:02:12 - [0] ----D C:\Users\M4KaN4\AppData\Local\{61FD997F-A3F5-4EEF-A990-CF34E9D62200}
O43 - CFD: 9/07/2012 - 02:03:05 - [0] ----D C:\Users\M4KaN4\AppData\Local\{6F083F73-743D-41CC-BE5B-228C7BE16DC1}
O43 - CFD: 9/07/2012 - 02:02:33 - [0] ----D C:\Users\M4KaN4\AppData\Local\{7A6589A5-38AA-4BBA-960F-C20231F083A3}
O43 - CFD: 8/07/2012 - 23:06:30 - [0] ----D C:\Users\M4KaN4\AppData\Local\{7CEAAE19-242B-4CDC-BB7D-2C431D55722A}
O43 - CFD: 9/07/2012 - 02:02:22 - [0] ----D C:\Users\M4KaN4\AppData\Local\{8466B320-ECF5-4FF1-8B9F-186D37009A8F}
O43 - CFD: 9/07/2012 - 02:03:57 - [0] ----D C:\Users\M4KaN4\AppData\Local\{8F16E5F3-CE2C-4F3C-A496-9AA629349D1D}
O43 - CFD: 13/07/2012 - 14:18:28 - [0] ----D C:\Users\M4KaN4\AppData\Local\{9416AA45-8406-4672-BCD6-3CC18BDC8694}
O43 - CFD: 9/07/2012 - 02:03:15 - [0] ----D C:\Users\M4KaN4\AppData\Local\{B7104585-238D-4232-95DD-1763F09E0D37}
O43 - CFD: 9/07/2012 - 02:02:54 - [0] ----D C:\Users\M4KaN4\AppData\Local\{B8157DD7-6A9B-435B-A922-115022991B51}
O43 - CFD: 13/07/2012 - 14:19:00 - [0] ----D C:\Users\M4KaN4\AppData\Local\{B96D508B-CDBB-4DFC-ABAB-3A6B2F3281C9}
O43 - CFD: 8/07/2012 - 23:06:31 - [0] ----D C:\Users\M4KaN4\AppData\Local\{CC09D6A4-041B-419A-9C96-E2DAFC6F8070}
O43 - CFD: 13/07/2012 - 14:18:17 - [0] ----D C:\Users\M4KaN4\AppData\Local\{DB93C3E0-A768-49A2-A14B-FB4C213756FA}
O43 - CFD: 9/07/2012 - 02:03:36 - [0] ----D C:\Users\M4KaN4\AppData\Local\{EB2354A2-36D9-4E4D-8A4C-AA2BA51FFC9B}
O43 - CFD: 9/07/2012 - 02:03:47 - [0] ----D C:\Users\M4KaN4\AppData\Local\{F8E5042A-9E4B-45BF-8299-83EEBC803873}
O43 - CFD: 13/07/2012 - 14:18:39 - [0] ----D C:\Users\M4KaN4\AppData\Local\{FA032FC2-F695-4660-8D89-0B52B1BE3D5C}
[MD5.6411B4ECFFFD47D6872506CF8E2258C6] - (...) -- C:\Users\M4KaN4\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe   [1193176] [PID.5272]    => Infection FakeAlert (Possible)
O4 - HKCU\..\Run: [Spotify Web Helper] . (...) -- C:\Users\M4KaN4\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
O4 - HKUS\S-1-5-21-4083042649-3408886780-628784196-1000\..\Run: [Spotify Web Helper] . (...) -- C:\Users\M4KaN4\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
[MD5.90E1D86D979B92738A47D7072CB22DA8] [SPRF][7/07/2010] (...) -- C:\ProgramData\FullRemove.exe   [131472]

FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.
 
2/
 * Télécharge sur le bureau RogueKiller (par tigzy)     
https://www.luanagames.com/index.fr.html     
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )     
* Quitte tous tes programmes en cours     
* Lance RogueKiller.exe    
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe    
* Laisse le prescan se terminer, clique sur Scan    
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message

M4KaN4 · Answer

Alros  déja le rapport de ZHPFix, je redémarre et je continue.

Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-22-08-2012-15-38-52.txt
Run by M4KaN4 at 22/08/2012 15:38:47
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Processus mémoire ==========
SUPPRIME Reboot Memory Process: C:\Users\M4KaN4\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
SUPPRIME Reboot Memory Process: C:\ProgramData\FullRemove.exe

========== Valeur(s) du Registre ==========
ERREUR RunValue: Spotify Web Helper
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{043FE021-F490-42DF-BC3D-C76E5717FE03}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{052AA761-1B80-45CD-9DC2-71AF20A2A5E2}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{18E1027A-D880-4C66-BD30-5A2DC17550A2}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{3734048D-BB13-4812-8433-3A30937D42AC}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{376B958A-0DC9-48F5-8391-063325BD577A}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{55DB0575-F7F7-46B1-AA58-169D80EFB4F2}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{5DF17AA1-2607-4C55-814C-63292E421228}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{61FD997F-A3F5-4EEF-A990-CF34E9D62200}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{6F083F73-743D-41CC-BE5B-228C7BE16DC1}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{7A6589A5-38AA-4BBA-960F-C20231F083A3}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{7CEAAE19-242B-4CDC-BB7D-2C431D55722A}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{8466B320-ECF5-4FF1-8B9F-186D37009A8F}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{8F16E5F3-CE2C-4F3C-A496-9AA629349D1D}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{9416AA45-8406-4672-BCD6-3CC18BDC8694}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{B7104585-238D-4232-95DD-1763F09E0D37}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{B8157DD7-6A9B-435B-A922-115022991B51}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{B96D508B-CDBB-4DFC-ABAB-3A6B2F3281C9}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{CC09D6A4-041B-419A-9C96-E2DAFC6F8070}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{DB93C3E0-A768-49A2-A14B-FB4C213756FA}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{EB2354A2-36D9-4E4D-8A4C-AA2BA51FFC9B}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{F8E5042A-9E4B-45BF-8299-83EEBC803873}
SUPPRIME Folder: C:\Users\M4KaN4\AppData\Local\{FA032FC2-F695-4660-8D89-0B52B1BE3D5C}
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME Reboot c:\users\m4kan4\appdata\roaming\spotify\data\spotifywebhelper.exe
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
2 : Processus mémoire
4 : Valeur(s) du Registre
24 : Dossier(s)
3 : Fichier(s)


End of clean in 00mn 21s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 22/08/2012 15:38:47 [3164]

M4KaN4 · Answer

Et m**** => C:\Users\M4KaN4\Desktop\RogueKiller.exe n'a pu être enregistré car vous ne pouvez changer le contenu de ce répertoire.

Changez les propriétés du répertoire et essayez à nouveau, ou essayez d'enregistrer ailleurs.

g3n-h@ckm@n · Answer

essaie celui-ci à dezipper
https://www.cjoint.com/?BHwqhYDJad3

g3n-h@ckm@n · Answer

atttends bouge pas

g3n-h@ckm@n · Answer

tente cette version renommée

https://www.cjoint.com/?BHwqmxbdcxR

g3n-h@ckm@n · Answer

essaie ca ?

Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

mirroirs :

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

g3n-h@ckm@n · Answer

tu patientes j'étudie ca :)

g3n-h@ckm@n · Answer

pas normal Roguekiller aurait du tourner.....

Fish66 · Answer

Bonjour,
En attendant le Pre_Script de G3N, fais ceci  :
Démarrage  en Mode sans échec avec prise en charge réseau :
Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter 
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau 
puis tape entrée. 
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal ! 
(Si F8 ne marche pas utilise la touche F5)
=================
Dans ce mode relance RogueKiller puis poste le rapport stp

Fish66 · Answer

Relance RogueKiller puis choisis "Host RAZ" et poste le rapport stp

  
_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Fish66 · Answer

Re,
G3N que je le salue vient de m'informer qu'il n'y'a pas de script à faire pour Pre_scan, on continue alors :
Lance ZHPDiag depuis le bureau, lance l'analyse et héberge le rapport. colle le lien dans  ta prochaine réponse

Fish66 · Answer

1/
Les lignes indiquées par RogueKiller sont de faux positif de comodo, donc ne touche à rien, RogueKiller nous a permis de récupérer le fichier host! 

2/
Démarre en mode sans échec avec réseau comme suit :

Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter 
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau 
puis tape entrée. 
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal ! 
(Si F8 ne marche pas utilise la touche F5)
==
Dans ce mode fais ceci stp :
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 



O4 - HKCU\..\Run: [Spotify Web Helper] . (...) -- C:\Users\M4KaN4\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
O4 - HKUS\S-1-5-21-4083042649-3408886780-628784196-1000\..\Run: [Spotify Web Helper] . (...) -- C:\Users\M4KaN4\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified     



Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

3/
Comment se comporte ton PC maintenant ?

Fish66 · Answer

On va vérifier autre choses:
Lance ZHPDiag depuis le bureau, ensuite coche tout au tournevis puis lance l'analyse, ferme le et héberge le rapport. colle le lien dans  ta prochaine réponse

Fish66 · Answer

Re,
Avant d'utiliser ComboFix :  
	
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :  

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix  

* Télécharge Defogger (de jpshortstuff) sur  ton Bureau  
* Lance le  

* Une fenêtre apparait : clique sur "Disable"  

* Fais redémarrer l'ordinateur si l'outil te le demande  

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"  

===================================================  

Attention, avant de commencer, lis attentivement la procédure  

******************************************************** 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »  
Voici Aide combofix 

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  
 

*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)  

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

*Note : Le rapport se trouve également là : C:\ComboFix.txt

g3n-h@ckm@n · Answer

ah bon t'as des cheveux ailleurs ? ^^

Fish66 · Answer

Re, 1/ Tu as Comme antivirus Trend Micro, est ce que tu utilises comodo Internet security comme pare feu + antivirus ? Si oui, on doit éviter les conflits et avoir un seul antivirus! 2/ Tu n'as pas désactivé Comodo au moment de lancement de combofix! N'oublies pas de désactiver tous les logiciels de sécurité cette fois ci :-)! ======================= =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ----------------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : * Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) * Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : * Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : __________________________________________________ KillAll:: File:: c:\users\M4KaN4\AppData\Roaming\Spotify\Spotify.exe Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Spotify"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "UpdReg"=- "iTunesHelper"=- __________________________________________________ * Enregistre ce fichier sous le nom CFScript * Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur : cette capture * Combofix se lance, laisse toi guider.. * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! * Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Fish66 · Answer

Bonjour,
Dans le rapport Combofix, il est indiqué ceci :
AV: COMODO Antivirus *Enabled/Updated* 
AV: Trend Micro Titanium Internet Security *Disabled/Updated* 
SP: COMODO Defense+ *Enabled/Updated*
SP: Trend Micro Titanium Internet Security *Disabled/Updated* 
SP: Windows Defender *Disabled/Updated* 
==================
Désinstalle alors Trend micro

Fish66 · Answer

PS : Trend est bien présent sur mon ordi, mais n'est pas activé, je n'ai pas activé la période d'evaluation
Même s'il n'est pas activé, je te conseille de le désinstaller! 
====================== 
Si tes logiciels de sécurité sont désactivés tu passes alors au CF_Script   
  
_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Fish66 · Answer

Télécharge Dr Web CureIt sur ton Bureau : ? redemarre en mode sans échec ?- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ?- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ?- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ?- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ?- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ?- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ?- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ?- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ?-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite héberge le rapport sur : http://pjjoint.malekal.com/ ?- Ferme Dr.Web Cureit ?- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). Tu trouves ici: un tutoriel explicatif ======================= Tiens moi au courant, merci _ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _ ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Fish66 · Answer

oui, branche tes disques amovible, mais surtout il faut commencer par l'analyse rapide et suivre convenablement les instructions!  :-)

M4KaN4 · Answer

Bon , je n'ai pas de rapport a te fournir la simple et bonne raison que ce bon vieux Dr Web n'as pas trouvé de virus sur mon ordinateur ... =/ Etrange

Fish66 · Answer

1/
* Ouvre ton menu démarrer  

-> Si tu es sur XP, ouvre exécuter, tape cmd et valide par pression sur la touche Enter  

-> Sur Vista/Seven, dans le champ "Recherche" tape cmd , sur le résultat qui apparait, clic droit > exécuter en tant qu'administrateur  

* Dans la fenêtre noire, tape sfc /scannow et laisse Windows réparer les fichiers.

2/
* Puisque le problème n'est pas du aux infections, tu peux maintenant effectuer les procédures indiquées dans : dans ce lien

Fish66 · Answer

12  GO de RAM, c'est largement suffisant!
As tu enlevé les barrettes défectueuses ? 
Est ce que tu as encore le message d'erreur ?

baladur13 · Answer

Bonsoir 
Il serait temps de mettre un terme à ce combat improductif entre "helpeurs". 
Prière de se concentrer sur les problèmes du demandeur et prière de laisser Fish66 poursuivre sa désinfection en toute tranquillité. 
Merci d'avance. 
  
Très difficile d'attraper un chat noir dans une pièce sombre. 
 Surtout quand il n'y est pas...!

M4KaN4 · Answer

Je vous tiens au courant de l'état d'avancement des choses. Ca vous servira peut-être à aider d'autre personnes dans mon cas =)

J'ai désinstallé le programme AsusWebStorage inclut avec le Laptop, et magie ! 
Depuis que cette saloperie a foutu le camp =D Plus de windows explorer qui plante ! Magie et oui ...

Fish66 · Answer

Bonjour à tous,
@  M4KaN4 , tu peux suivre le tuto envoyé par MP pour réparer ton windows

@+

Trojan /AppData => Windows Explorer plante

31 réponses

Newsletters