Libellules.ch - forum d'informatique • [résolu]Check d'une éventuelle infection : Désinfections et demandes d'analyse

par **Choupinou** » 08 Oct 2012 18:06

Bonjour.

Voila que depuis aujourd'hui mon ordinateur se fige littéralement au bout d'une dizaine de minutes d'activité sur ma session principale, entrainant par la suite un Blue screen de Windows. Je dit par ma session principale, la session avec laquelle je suis tous le temps "connecté". La session que j'utilise actuellement est sur le même ordinateur et me sert en cas d'infection que je définirais comme "locale" (propre a la session).

par **zaede** » 10 Oct 2012 16:54

Bonjour choupinou, on va utiliser un autre scanneur plus pratique

Scan ZHPDiag

Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

Scan

ZHPDiag

Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
Lance ZHPDiag en double cliquant sur présent sur ton bureau
Pour Vista et Windows 7 clic droit sur le raccourci de ZHPDiag et Exécuter en tant qu'administrateur
Clique sur Options
Clique sur
Clique en haut à gauche sur la loupe
Laisse le scan se dérouler.
Le scan terminé, clique sur la disquette
Enregistre le rapport sur le bureau.
Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Pour poster le rapport en lien utilise cet hébergeur de fichiers :

par **Choupinou** » 10 Oct 2012 17:10

Bonsoir.

Voici le résultat du scan :

http://cjoint.com/?3JkskrljDl6

merci d'avance de t'occuper de moi

.

par **zaede** » 11 Oct 2012 17:47

Bonjour Choupinou

Étape 1

Script ZHPFix

Le temps de téléchargement du script a été volontairement limité à 4 jours

Clique sur Script ZHPFix
Sur la page qui s'ouvre clic droit et Tout sélectionner
Refais un clic droit et Copier
Double clique sur qui est sur le bureau.
Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
- Clique en haut à gauche sur la deuxième icône (colller le presse papiers)
- Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
- Clique sur
- Confirme le nettoyage des données si demandé
- Patiente le temps du traitement
- Un rapport nommé ZHPFix[R*].txt sera créé et sauvegardé sur le bureau poste son contenu en lien dans ta prochaine réponse
Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R*].txt

Étape 2

Télécharge AdwCleaner ( d'Xplode )
Enregistre ce fichier sur le bureau et pas ailleurs

- Double clique sur AdwCleaner.exe qui est sur le bureau.
** Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
- Clique sur Suppression laisse l'outil travailler

- Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Étape 3

Télécharge :

Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

Mets le à jour

- Lance MalwareByte's Anti-Malware

- Onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

- A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur:

Afficher les résultat

Ensuite:

Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

- Le rapport peut être retrouvé sous l'onglet Rapports/logs

- Ferme MBAM en cliquant sur Quitter.

Note : MalwareByte's peut être amené à redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's ici

-Poste le rapport de malwarebyte's

par **Choupinou** » 12 Oct 2012 19:05

Bonjour.

zaede a écrit:
Étape 1

Script ZHPFix

Le temps de téléchargement du script a été volontairement limité à 4 jours

Clique sur Script ZHPFix
Sur la page qui s'ouvre clic droit et Tout sélectionner
Refais un clic droit et Copier
Double clique sur qui est sur le bureau.
Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
Clique en haut à gauche sur la deuxième icône (colller le presse papiers)
Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix

Clique sur
Confirme le nettoyage des données si demandé

Patiente le temps du traitement
Un rapport nommé ZHPFix[R*].txt sera créé et sauvegardé sur le bureau poste son contenu en lien dans ta prochaine réponse
Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R*].txt

Cette méthode ne fonctionne pas/ne fait rien. J'ai effectuer les étapes il m’annonce bien le message de confirmation d'effacement des données mais rien ne se passe après. Une nouvelle fenêtre vide s'ouvre avec rien dedans et aucun rapport.

zaede a écrit:Étape 2

Télécharge AdwCleaner ( d'Xplode )
Enregistre ce fichier sur le bureau et pas ailleurs

- Double clique sur AdwCleaner.exe qui est sur le bureau.
** Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
- Clique sur Suppression laisse l'outil travailler

- Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

rapport a écrit:# AdwCleaner v2.004 - Rapport créé le 12/10/2012 à 18:34:08
# Mis à jour le 06/10/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : Other user - PC-PUPPIE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Other user\Downloads\AdwCleaner.exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Complitly
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Partner
Dossier Supprimé : C:\Users\Choupinou\AppData\Roaming\cacaoweb
Dossier Supprimé : C:\Users\Choupinou\AppData\Roaming\Complitly
Dossier Supprimé : C:\Users\Choupinou\AppData\Roaming\Mozilla\Firefox\Profiles\l78zxm41.default\extensions\cacaoweb@cacaoweb.org
Dossier Supprimé : C:\Users\Other user\AppData\Roaming\cacaoweb
Dossier Supprimé : C:\Users\Other user\AppData\Roaming\Mozilla\Firefox\Profiles\0iiet8ri.default\extensions\cacaoweb@cacaoweb.org
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : C:\Users\Other user\cacaoweb.exe

***** [Registre] *****

Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{442F13BC-2031-42D5-9520-437F65271153}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\SuggestMeYes.SuggestMeYesBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\SuggestMeYes.SuggestMeYesBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{01BCB858-2F62-4F06-A8F4-48F927C15333}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Babylon_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Babylon_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C9AE652B-8C99-4AC2-B556-8B501182874E}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dlfienamagdnkekbbbocojppncdambda
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4FFBB818-B13C-11E0-931D-B2664824019B}_is1
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WebplayerTool
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C9AE652B-8C99-4AC2-B556-8B501182874E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v15.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\Choupinou\AppData\Roaming\Mozilla\Firefox\Profiles\l78zxm41.default\prefs.js

Supprimée : user_pref("extensions.BabylonToolbar.aflt", "babclient");
Supprimée : user_pref("extensions.BabylonToolbar.bbDpng", 31);
Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Supprimée : user_pref("extensions.BabylonToolbar.dfltSrch", true);
Supprimée : user_pref("extensions.BabylonToolbar.hmpg", true);
Supprimée : user_pref("extensions.BabylonToolbar.id", "c0dbbb610000000000007a79053e3a1e");
Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15278");
Supprimée : user_pref("extensions.BabylonToolbar.instlRef", "std");
Supprimée : user_pref("extensions.BabylonToolbar.keyWordUrl", "hxxp://search.babylon.com/?babsrc=SP_&q={searchTe[...]
Supprimée : user_pref("extensions.BabylonToolbar.lastDP", 31);
Supprimée : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.4.35.1021:11:21");
Supprimée : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "3.6");
Supprimée : user_pref("extensions.BabylonToolbar.newTab", true);
Supprimée : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_bb");
Supprimée : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar.propectorlck", 58651984);
Supprimée : user_pref("extensions.BabylonToolbar.prtkDS", 1);
Supprimée : user_pref("extensions.BabylonToolbar.prtkHmpg", 1);
Supprimée : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar.ptch_0717", true);
Supprimée : user_pref("extensions.BabylonToolbar.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar.srchPrvdr", "Search the web (Babylon)");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar.vrsn", "1.4.35.10");
Supprimée : user_pref("extensions.BabylonToolbar.vrsnTs", "1.4.35.1021:11:21");
Supprimée : user_pref("extensions.illimitux.ilx_pref_pt_veoh", true);
Supprimée : user_pref("id_webplayer_xpi_installed_version", "1.0.2");
Supprimée : user_pref("id_webplayer_xpi_tabpage", "hxxp%3A//webplayersearch.com/");
Supprimée : user_pref("id_webplayer_xpi_update_ver", "");

Nom du profil : default
Fichier : C:\Users\Other user\AppData\Roaming\Mozilla\Firefox\Profiles\0iiet8ri.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [6704 octets] - [12/10/2012 18:34:08]

########## EOF - C:\AdwCleaner[S1].txt - [6764 octets] ##########

zaede a écrit:Étape 3

Télécharge :

Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

Mets le à jour

- Lance MalwareByte's Anti-Malware
- Onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

- A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur:

Afficher les résultat

Ensuite:

Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

- Le rapport peut être retrouvé sous l'onglet Rapports/logs

- Ferme MBAM en cliquant sur Quitter.

Note : MalwareByte's peut être amené à redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's ici

-Poste le rapport de malwarebyte's

Rapport a écrit:Malwarebytes Anti-Malware 1.65.0.1400
http://www.malwarebytes.org

Version de la base de données: v2012.10.12.05

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Other user :: PC-PUPPIE [administrateur]

12/10/2012 18:38:05
mbam-log-2012-10-12 (18-38-05).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 453805
Temps écoulé: 1 heure(s), 26 minute(s), 30 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

par **zaede** » 12 Oct 2012 21:34

Bonjour Choupinou, tu as encore des soucis?

par **Choupinou** » 12 Oct 2012 22:10

Re.

Mis a part le fix un peu bizarre effectuer tout a l'heure par ZHPFix. Je suis actuellement sous ma session critique et pour le moment rien de spécial. Je vais donc effectuer durant cette soirée et demain des contrôles d'utilisation habituel afin de voir si les problèmes persiste

.

A donc demain pour des nouvelles ( peut être ce soir aussi ^^).

Merci encore de ton aide

.

par **zaede** » 12 Oct 2012 22:15

Poste un nouveau rapport ZHPDiag et nous verrons si la suppression s'est effectué ou non

par **Choupinou** » 12 Oct 2012 22:45

Re voici le scan. Les élément y sont toujours et je sais pourquoi ^^. Enfaite a chaque fois il me relance l'application en mode administrateur et pour ZHPFix je n'est pas pensé a remettre le Fix puis a relancer la suppression en mode admin . C'est pour cela qu'il m'afficher une fenêtre vierge

voici le rapport : http://cjoint.com/?3JmxTfFO5SP

EDIT : voici enfin le fichier de suppression (réalisation de la manipulation précédente ayant échoué avant)

Rapport de ZHPFix 1.3.04 par Nicolas Coolman, Update du 30/09/2012
Fichier d'export Registre :
Run by Choupinou at 13/10/2012 01:04:06
Windows 7 Home Premium Edition, 64-bit (Build 7600)
Web site : http://nicolascoolman.skyrock.com/

========== Logiciel(s) ==========
ABSENT Software Key: WebplayerTool

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Other user\AppData\Local\Temp\cacaonewf5e232.exe

========== Clé(s) du Registre ==========
ABSENT Key: CLSID BHO: {0FB6A909-6086-458F-BD92-1F8EE10042A0}
SUPPRIME Key: HKCU\Software\cacaoweb
ABSENT Key: HKLM\Software\Wow6432Node\Babylon
SUPPRIME Key*: StartupReg: cacaoweb
ABSENT Key: HKLM\Software\Classes\suggestmeyes.suggestmeyesbho
ABSENT Key: HKLM\Software\Classes\suggestmeyes.suggestmeyesbho.1
ABSENT Key: HKLM\Software\Classes\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}
ABSENT Key: HKLM\Software\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
ABSENT Key: HKLM\Software\Wow6432Node\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
ABSENT Key: HKLM\Software\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
ABSENT Key: HKLM\Software\Wow6432Node\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
ABSENT Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
ABSENT Key: HKLM\Software\Classes\AppID\{442f13bc-2031-42d5-9520-437f65271153}
ABSENT Key: HKLM\Software\Wow6432Node\Classes\AppID\{442f13bc-2031-42d5-9520-437f65271153}
ABSENT Key: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
ABSENT Key: HKLM\Software\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
ABSENT Key: HKLM\Software\Wow6432Node\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
ABSENT Key: HKLM\Software\Classes\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}
ABSENT Key: HKLM\Software\Wow6432Node\Classes\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
ABSENT Key: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb

========== Valeur(s) du Registre ==========
ABSENT RunValue: cacaoweb
ABSENT TCP Query User{36BE223B-11F2-4846-A757-62BDA381826B}C:/users/choupinou/appdata/roaming/cacaoweb/cacaoweb.exe
ABSENT UDP Query User{90461079-8FCD-4673-A492-113D067B3E9C}C:/users/choupinou/appdata/roaming/cacaoweb/cacaoweb.exe
SUPPRIME {5E1E8C8A-6541-403A-994C-79700D0EC2E6}
SUPPRIME {F865668C-A510-4502-9D02-476C72B87ECB}
ABSENT TCP Query User{CB64EC2E-79EF-4BCD-BE9D-A3F1892B80CA}C:/users/other user/appdata/roaming/cacaoweb/cacaoweb.exe
ABSENT UDP Query User{954132EA-194E-419F-8185-E6BD23C4F3F5}C:/users/other user/appdata/roaming/cacaoweb/cacaoweb.exe
SUPPRIME {AC39EAC7-2E12-418B-8FC1-53528421FFFB}
SUPPRIME {DAF388BD-427B-4ECF-844C-7526512468AA}
ABSENT [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:cacaoweb

========== Dossier(s) ==========
ABSENT C:\ProgramData\Babylon
ABSENT C:\Users\Other user\AppData\Roaming\cacaoweb
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
ABSENT File: c:\program files (x86)\mozilla firefox\searchplugins\babylon.xml
ABSENT File: c:\users\other user\appdata\roaming\cacaoweb\cacaoweb.exe
ABSENT File: c:\users\choupinou\appdata\roaming\cacaoweb\cacaoweb.exe
SUPPRIME File***: c:\users\other user\appdata\local\temp\cacaonewf5e232.exe
ABSENT Folder/File: c:\programdata\babylon
ABSENT Folder/File: c:\users\other user\appdata\roaming\cacaoweb
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Récapitulatif ==========
1 : Processus mémoire
27 : Clé(s) du Registre
10 : Valeur(s) du Registre
4 : Dossier(s)
8 : Fichier(s)
1 : Logiciel(s)

End of clean in 00mn 06s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 13/10/2012 01:04:07 [4649]

par **zaede** » 13 Oct 2012 17:26

Bonjour Choupinou, c'est parfait les éléments nuisible sont supprimés

Tu as encore des problèmes sur ce PC?

par **Choupinou** » 13 Oct 2012 17:28

Bonjour.

Helas oui j'ai encore eu 1 gros crash + 2 blue screen :/.

Voici un nouveau rapport ZHPDiag (il y a encore des éléments nuisible?) : http://cjoint.com/?BJnsB2cV8nH

par **zaede** » 13 Oct 2012 17:51

La premiere étape avait echoué avant

Désactive l'UAC

Désactive l'UAC
Démarrer ==> Panneau de Configuration
Clique sur:
==> Comptes et protection des utilisateurs
==> Comptes d'utilisateurs
==> Modifier les paramètres de contrôle de compte d'utilisateur
==> Placer le curseur tout en bas sur "Ne jamais m'avertir"

Script ZHPFix

Le temps de téléchargement du script a été volontairement limité à 4 jours

Clique sur Script ZHPFix
Sur la page qui s'ouvre clic droit et Tout sélectionner
Refais un clic droit et Copier
Double clique sur qui est sur le bureau.
Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
- Clique en haut à gauche sur la deuxième icône (colller le presse papiers)
- Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
- Clique sur
- Confirme le nettoyage des données si demandé
- Patiente le temps du traitement
- Un rapport nommé ZHPFix[R*].txt sera créé et sauvegardé sur le bureau poste son contenu en lien dans ta prochaine réponse
Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R*].txt

par **Choupinou** » 13 Oct 2012 18:35

Re.

voila.

rapport a écrit:Rapport de ZHPFix 1.3.04 par Nicolas Coolman, Update du 30/09/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-13-10-2012-19-34-36.txt
Run by Choupinou at 13/10/2012 19:34:33
Windows 7 Home Premium Edition, 64-bit (Build 7600)
Web site : http://nicolascoolman.skyrock.com/

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Choupinou\AppData\Roaming\Sdat.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}
SUPPRIME Key: HKCU\Software\Softonic
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
SUPPRIME Key: HKCU\{C5C31551-23FC-4895-B1C7-E209163DECA5}
SUPPRIME Key: HKCU\Software\{C5C31551-23FC-4895-B1C7-E209163DECA5}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
SUPPRIME Key: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv

========== Valeur(s) du Registre ==========
ABSENT TCP Query User{36BE223B-11F2-4846-A757-62BDA381826B}C:/users/choupinou/appdata/roaming/cacaoweb/cacaoweb.exe
ABSENT UDP Query User{90461079-8FCD-4673-A492-113D067B3E9C}C:/users/choupinou/appdata/roaming/cacaoweb/cacaoweb.exe
ABSENT TCP Query User{CB64EC2E-79EF-4BCD-BE9D-A3F1892B80CA}C:/users/other user/appdata/roaming/cacaoweb/cacaoweb.exe
ABSENT UDP Query User{954132EA-194E-419F-8185-E6BD23C4F3F5}C:/users/other user/appdata/roaming/cacaoweb/cacaoweb.exe

========== Dossier(s) ==========
SUPPRIME Folder: c:\users\choupinou\appdata\roaming\adobe\plugs
SUPPRIME Folder: c:\users\choupinou\appdata\roaming\adobe\shed
SUPPRIME Folder: C:\Users\Choupinou\AppData\Roaming\teamspeak2
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME File*: c:\users\choupinou\appdata\roaming\sdat.exe
SUPPRIME Flash Cookies:

========== Autre ==========
NON TRAITE Emtytemp

========== Récapitulatif ==========
1 : Processus mémoire
9 : Clé(s) du Registre
4 : Valeur(s) du Registre
4 : Dossier(s)
2 : Fichier(s)
1 : Autre

End of clean in 00mn 04s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 13/10/2012 00:04:07 [4701]
C:\ZHP\ZHPFix[R2].txt - 13/10/2012 19:34:36 [2441]

par **zaede** » 14 Oct 2012 15:00

Bonjour Choupinou, encore des soucis avec cette machine?

par **Choupinou** » 14 Oct 2012 15:13

Bonjour.

Pour le moment plus rien a signaler aucun crash/blue screen. Je continue mes test je posterais un nouveau message ce soir afin de définir la situation.

Encore merci de ton aide

.

par **zaede** » 14 Oct 2012 15:34

Ok, on verra a l'emploi du PC

par **Choupinou** » 14 Oct 2012 20:51

Re.

Bonne nouvelle je viens d’effectuer des test tout le long de cette journée. A l'heure actuelle plus aucun crash/blue screen. L'infection a l'air de s'être dissipé.

Je te remercie une fois encore Zaede de ton aide.

J'attends ta confirmation afin de mettre se sujet résolu.

par **zaede** » 14 Oct 2012 21:28

C'est une très bonne nouvelle ça

- On va maintenant procéder au nettoyage des outils téléchargés.

- Télécharge DelFix (d'Xplode) sur ton bureau :

- Lance le et clique sur Recherche

- Le scan fini clique sur Suppression

- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

Garde:

- MalwareByte's, l Un scan tous les dix jours après une mise à jour de l'outil aidera ton PC à rester en forme

Et maintenant je te fais le traditionnel discours de prévention et de sécurité.

- Windows Update parfaitement à jour (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, défragmentation)

Verifie si ta console Java est à jour:

Java Sun et télécharge la dernière version (si ta version actuelle n'est pas à jour)

Après installation et redémarrage (toujours si elle n'était pas à jour), va dans panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.

Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

En cas de problèmes chez Sun, tu peux aller télécharger la dernière version chez File Hippo

- Si tu considères ton problème comme résolu, édite le premier post et met [Résolu] devant le titre

par **Choupinou** » 14 Oct 2012 21:49

Re.

Voici le rapport.

Rapport a écrit:# DelFix v9.0 - Rapport créé le 14/10/2012 à 22:48:39
# Mis à jour le 23/09/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : Choupinou - PC-PUPPIE (Administrateur)
# Exécuté depuis : C:\Users\Choupinou\Desktop\DelFix-9.0.exe
# Option [Suppression]

~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\RSIT
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[R1].txt - [883 octets] - [14/10/2012 22:48:06]
DelFix[S1].txt - [846 octets] - [14/10/2012 22:48:39]

########## EOF - C:\DelFix[S1].txt - [969 octets] ##########

merci a toi encore

par **zaede** » 14 Oct 2012 22:03

C'est parfait, tu as bien travaillé

A bientôt sur libellules.ch

[résolu]Check d'une éventuelle infection

[résolu]Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: Check d'une éventuelle infection

Re: [RESOLU]Check d'une éventuelle infection

Qui est en ligne