Doute sur une infection

[vista9000]

Bonsoir,
Depuis quelques jours sur ma session, hormis ma page de démarrage sur yahoo, ma messagerie sur Free, et c'est à peu près tout, je n'ai plus d'internet.
Par contre sur les session administrateur et invités, je n'ai aucun problème.
Avec Grimpeur et Dupneu, j'essaie de résoudre le problème, mais nous n'avançons pas.
Alors nous pensons qu'il y a, peut-être, une infection par un (des) virus.
Puis-je obtenir les lumières de Nardino ou Chantal 11...
Merci

[nardino]

Bonsoir,
As-tu au moins fait un scan antivirus ?

AdwCleaner de Xplode sur ton bureau

Lance l'outil en cliquant sur adwcleaner.exe.
Sous Vista et Windows 7 par un clic droit sur l'icône et Exécuter en tant qu'administrateur dans le menu contextuel
Clique sur le bouton Suppression



Poste le rapport qui s'ouvre en fin de nettoyage après avoir redémarré l'ordinateur.
Il sera enregistré sous C:\AdwCleaner[S1].txt


Malwarebytes Anti-Malware
Clique sur Télécharger maintenant et installe-le une fois sur ton ordinateur.

Double-clique sur le fichier mbam-setup-1.70.0.1100.exe
(Sous Vista et 7 autorise les modifications)
A la fin de l'installation, veille à ce que les options suivantes soient cochées
-Mettre à jour Malwarebytes' Anti-Malware
-Exécuter Malwarebytes' Anti-Malware
La troisième ligne est optionnelle pour découvrir pendant un mois la version commerciale.
Clique sur Terminer
Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
Le programme s'ouvre sur l'onglet Recherche.
Coche , clique sur le bouton

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc si cela est demandé
Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

Pour supprimer les programmes potentiellement dangereux, PUP, règle comme indiqué sur l'image ci-dessous, avant de faire le scan.




ZHPDiag de Nicolas Coolman sur ton bureau.

Clique sur ce lien



Lien direct du créateur de l'outil

Clique sur le fichier ZHPDiag2.exe pour installer l'outil et suis la routine.
Coche Installer une icône sur le bureau quand cela te sera proposé.

Lance l'icône ZHPDiag affichée sur le bureau

Dans l'interface, fais les trois opérations comme dans l'image ci-dessous :

Dans l'interface, fais les trois opérations comme dans l'image ci-dessous :

1 : Clique sur l'icône Tournevis
2 : Clique sur le bouton radio Tous
3 : Clique sur L'icône Loupe pour lancer le scan



Laisse faire le scan jusqu'à ce que la barre de progression en bas soit à 100%. Ce message aura disparu.



4 : Tu refermes ZHPDiag en cliquant sur la croix rouge en haut à droite.

Un fichier ZHPDiag.txt sera enregistré sur le bureau.

Tu l'héberges sur Cjoint en cochant 4 jours dans la ligne Et pour quelle durée ?
Tu me communiques le lien obtenu dans ta réponse.
Explications pour Cjoint

Deux tutos si nécessaire.
ZHPDiag
Cjoint

Si besoin est, nous ferons appel à d'autres outils.

@+

[vista9000]

Puis-je utiliser les outils proposés sur une autre session que la mienne car j'ai un message d'erreur?
Je ne parviens pas à obtenir adwcleaner.exe. Je clique sur AdwCleaner qui se trouve en dessous de TELECHARGER? je clique sur copier le raccourci, il se positionne sur mon bureau... et je n'arrive pas au résultat voulu. Je procède incorrectement, mais que fais-je mal?
Si tu peux me conseiller, ce serait bien?
Avec mes remerciements

[nardino]

Bonjour,

AdwCleanerV2 de Xplode sur ton bureau

Lance l'outil en cliquant sur AdwCleanerV2.exe.
Sous Vista et Windows 7 par un clic droit sur l'icône et Exécuter en tant qu'administrateur dans le menu contextuel
Clique sur le bouton Suppression



Un message t'informe que toutes les applications vont être fermées, valide par OK pour continuer.



Une fois le scan terminé, une fenêtre d'informations va s'ouvrir. Lis bien son contenu.



Le pc va redémarrer. Valide par OK



Poste le rapport qui s'ouvre après le redémarrage de l'ordinateurpar copier-coller dans ta réponse.
Il sera enregistré sous C:\AdwCleaner[S1].txt



A lire concernant l'installation des barres d'outils.
Les sponsors
@+

[vista9000]

Bonjour,
Je ne parviens pas à lancer l'outil puisque je n'arrive pas à :
AdwCleanerV2.exe.
je t'avais fais part de mon embarras le 5 février, je t'avais poser 2 questions :
- puis-je faire la procédure sur ma session invité?
- comment arriver à AdwCleanerV2.exe
Je décrivais ce que je faisais et où j'arrivais.
Je n'avance pas du tout, et cela me paralyse...
Avec mes remerciements

[nardino]

Bonjour,
Essaie en mode sans échec.
@+

[vista9000]

Je t'adresse un rapport sur 3, je n'arrive toujours pas à lancer le 1er téléchargement


Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.08.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
CHRISTIAN :: PC-DE-CHRISTIAN [administrateur]

08/02/2013 19:10:43
mbam-log-2013-02-08 (19-10-43).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 269878
Temps écoulé: 16 minute(s), 54 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

[nardino]

Bonsoir,
Essaie de télécharger la nouvelle version de AdwCleaner sur le même lien que précédemment.
@+

[vista9000]

J'avais gardé sur le bureau de la session invités le raccourci ZHPDiag d'un de mes précédents problèmes. Une mise à jour a été demandée, je l'ai acceptée. j'ai lancé le programme comme demandé, cela a planté plusieurs fois. J'ai finalement réussi à effectuer le traitement à 100%. J'ai eu plusieurs messages :
- en bas à gauche "Traitement terminé avec succés (02mn51s)
- l'ordinal 1108 est introuvable dans la bibliothèque de liens dynamiques WSOCK32.dll.
- message de Microsoft Windows : nslookup a cessé de fonctionner
J'ai cliqué sur la croix en haut à droite, et je n'ai pas eu sur le bureau le raccourci en .txt
Donc, je ne peux pas t'envoyer les rapports.

Autre chose qui sera peut-être lumineux pour toi :
le problème est apparu il y a à peu près 2 semaines; je me demande si ce n'est pas dû à ce que je vais t'expliquer :
je devais prendre un rendez-vous à un consulat de France, je ne pouvais y arriver car il fallait au moins un Windows 6, j'ai un Vista. MW m'a proposé IE7, j'ai procédé à une analyse des comptabilités entre les 2 systèmes. Ensuite, ai-je fait quelque chose d'irrégulier?
Bien sûr, j'ai fait cela sur ma session. Les 2 autres sessions fonctionnent bien en internet.

J'espère que ce qui précède va éclairer ta lanterne, il manque peut-être des programmes?

Avec tes remerciements

[vista9000]

Bonjour,
Je suis parvenu, enfin, à avoir un rapport sur ZHPDiag, je l'ai mis sous Cjoint, mais je ne parviens pas à le placer sur ma réponse. Comment puis-je faire pour te l'envoyer?
J'ai vraiment besoin d'assistance...
Merci

[nardino]

Bonjour,
http://rue-du-montceau.pagesperso-orang ... joint.html
Explications pour poster un rapport.
@+

[vista9000]

Où se trouve le presse-papiers sur Vista? J'ai cherché, et je ne trouve pas.
A te lire

[nardino]

Bonsoir,
Le presse-papier est une mémoire qui ne s'affiche pas.
Sauf à installer encore un bloatware pour l'afficher.
@+

[vista9000]

Voilà le rapport de ZHP Diag, j'espère que nous arrivons à la solution, car je rame un maximum.

http://cjoint.com/?3BlxMbuXgG9

si la solution n'apparaît pas, dis-moi ce que je dois faire.
As-tu lu ce qe je t'ai écrit le 09/02/2013 au sujet de IE7?
Avec mes remerciements

[nardino]

Bonsoir,
Lance ZHPFix par l'icône sur le bureau

• 

Elle a été créée lors de l'installation de ZHPDiag.
Copie le contenu de l'encadré ci-dessous dans le presse-papier.

Code : Tout sélectionner

R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com    
O2 - BHO: PriceGong - {1631550F-191D-4826-B069-D9439253D926} . (.PriceGong - PriceGong Comparative Shopping Tool.) -- C:\Program Files\PriceGong\2.5.4\PriceGongIE.dll    
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} . (.SweetIM Technologies Ltd. - SweetPacks Toolbar module for Internet Expl.) -- C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll    
O3 - Toolbar: SweetPacks Toolbar for Internet Explorer - [HKLM]{EEE6C35B-6118-11DC-9C72-001320C79847} . (.SweetIM Technologies Ltd. - SweetPacks Toolbar module for Internet Expl.) -- C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll   
O42 - Logiciel: PriceGong 2.5.4 - (.PriceGong.) [HKLM] -- PriceGong     
O42 - Logiciel: SweetIM for Messenger 3.6 - (.SweetIM Technologies Ltd..) [HKLM] -- {B85C4CB2-B352-4BD8-818C-BCE353599107}    
O42 - Logiciel: SweetPacks Toolbar for Internet Explorer 4.4 - (.SweetIM Technologies Ltd..) [HKLM] -- {2F603A45-D956-496B-81B5-50D782424976}    
O42 - Logiciel: Update Manager for SweetPacks 1.0 - (.SweetIM Technologies Ltd..) [HKLM] -- {FB697452-8CA4-46B4-98B1-165C922A2EF3} 
O43 - CFD: 19/08/2012 - 12:06:50 - [0,002] ----D C:\ProgramData\036DFF85DDEC2DAD7D70B8EB2F3B707C    
O53 - SMSR:HKLM\...\startupreg\SweetIM  [Key] . (.SweetIM Technologies Ltd. - SweetIM Instant Messenger Enhancer.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe    
O53 - SMSR:HKLM\...\startupreg\Sweetpacks Communicator  [Key] . (.SweetIM Technologies Ltd. - Update Manager for SweetPacks.) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe    
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe     
C:\Program Files\PriceGong    
C:\Program Files\SweetIM 
C:\ProgramData\SweetIM    
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PriceGong
C:\ProgramData\huxfqeavezlqytp 
C:\ProgramData\oPfLfCa15400         
C:\ProgramData\036DFF85DDEC2DAD7D70B8EB2F3B707C       
[HKCU\Software\AppDataLow\Software\Conduit]
[HKCU\Software\AppDataLow\Software\conduitEngine]
[HKCU\Software\AppDataLow\Toolbar] 
[HKLM\Software\SweetIM] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550F-191D-4826-B069-D9439253D926}]     
[HKLM\Software\Classes\CLSID\{1631550F-191D-4826-B069-D9439253D926}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1631550F-191D-4826-B069-D9439253D926}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{2F603A45-D956-496B-81B5-50D782424976}]     
[HKLM\Software\Classes\CLSID\{82ac53b4-164c-4b07-a016-437a8388b81a}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]    
[HKLM\Software\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]    
[HKLM\Software\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]    
[HKLM\Software\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{B85C4CB2-B352-4BD8-818C-BCE353599107}]     
[HKLM\Software\Classes\CLSID\{D2A2595C-4FE4-4315-AA9B-19DBD6271B71}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{eee6c35b-6118-11dc-9c72-001320c79847}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{eee6c35b-6118-11dc-9c72-001320c79847}]     
[HKLM\Software\Classes\CLSID\{eee6c35b-6118-11dc-9c72-001320c79847}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}]     
[HKLM\Software\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]     
[HKLM\Software\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{FB697452-8CA4-46B4-98B1-165C922A2EF3}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\pricegong]    
[HKCU\Software\AppDataLow\Software\conduitEngine]    
[HKCU\Software\AppDataLow\Toolbar]      
[HKLM\Software\Classes\SWEETIE.IEToolbar]    
[HKLM\Software\Classes\SWEETIE.IEToolbar.1]    
[HKLM\Software\Classes\SweetIM_URLSearchHook.ToolbarURLSearchHook]    
[HKLM\Software\Classes\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]    
[HKLM\Software\Classes\Toolbar3.SWEETIE]    
[HKLM\Software\Classes\Toolbar3.SWEETIE.1]    
[HKLM\Software\Classes\Toolbar.CT2653012]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\TBSbtnSt.exe]  
EmptyTemp

1 : Clique sur l'icône Presse-papier.Les lignes contenues dans le presse-papier vont s'afficher dans le cadre principal.
2 : Clique sur le bouton GO en bas à gauche.



3 : Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil par la croix rouge en haut à doite.

Poste le contenu du rapport ZHPFixReport.txt, à partir du raccourci créé sur le bureau.



Retente AdwCleaner et Malwarebytes ainsi que ces autres outils

RogueKiller de Tigzy sur le bureau
(A partir d'une clé USB et d'un autre pc si le Rogue empêche l'accès au net ou en mode sans échec avec prise en charge réseau) .

Quitte tous les programmes en cours
Lance RogueKiller.exe en cliquant sur l'icône.



Un pre-scan va s'effectuer rapidement.
Quand il sera terminé, clique sur le bouton Scan



Clique sur le bouton Suppression



Clique sur le bouton Rapport quand le nettoyage sera terminé.



Envoie une copie du rapport RKreport[1].txt qui va s'afficher.
Il sera enregistré sur le bureau.



Si l'affichage des icônes du bureau, seulement dans ce cas, ne se fait pas correctement, clique sur le bouton Racc. RAZ

Une adresse à lire absolument concernant les rogues.

stopransomware.fr


tdsskiller.zip de Kaspersky

Décompresse l'archive et place TDSSKiller.exe sur le Bureau.
Fais un double clic sur l'icône pour le lancer.



Cet écran s'affiche, clique sur Change parameters



L'écran Settings de TDSSKiller s'affiche

Coche la case devant Loaded modules ce qui ouvre un message, clique sur le bouton Reboot now pour provoquer un redémarrage du PC .



TDSSKiller va se lancer automatiquement après ce redémarrage, et le PC peut alors sembler être très lent et inutilisable.
Attends que l''écran de TDSSKiller s'affiche.

Clique sur

Coche toutes les cases, comme ceci :



Clique sur le bouton OK et clique sur Start scan dans la page principale pour lancer l'analyse.



Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes) :

1- Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer :



*- soit Cure - option par défaut, ne la modifiez pas
*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.
*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip.
Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

2- Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laisse l'action à entreprendre sur Skip:



Ensuite clique sur le bouton , un redémarrage est nécessaire :

Clique sur Reboot computer

Envoie le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)
%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:
Poste le plus récent, tu devrais en voir deux.



Héberge-le sur Cjoint
Je t'inviterai quand je te donnerai le feu vert à changer tous tes mots de passe importants.
Banque, messagerie, vente et achat.