Il y a actuellement 358 visiteurs
Mardi 05 Novembre 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

Désinfection Win64/Patched.A [Réglé]

Un ordinateur qui ralentit, des écrans publicitaires qui apparaissent, des applications qui refusent de démarrer ou encore votre navigateur qui s'obstine à ouvrir une page douteuse sont autant d'éléments qui indiquent que l'intégrité de votre ordinateur est menacée par un virus. Vous trouverez dans ce forum quelques conseils et logiciels pour surfer tranquillement.
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...)‎, veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel

Désinfection Win64/Patched.A [Réglé]

Message le 08 Juin 2013 10:54

Bonjour,
Suite à un scan de mon PC avec mon antivirus AVG AntiVirus Edition Free 2013 le 06/06, j'ai découvert que j'étais atteint d'un virus "Win64/Patched.A" insupprimable dans c:\Windows\System32\services.exe. Ce virus semble infecter toutes les 5 minutes mon desktop avec des chevaux de Troie ("Generic32.CEMU" et "Generic31.zcs" dans un sous-dossier de mon c:\Windows\Installer) ainsi qu'un Luhe.Sirefef.A, toujours dans le même dossier.
Je précise que le scan précédent celui du 06/06 date du 25/05.

Voici le résultat du OTL ; OTL :
Extras :
Il est à noter que pendant le test, AVG était toujours actif et que j'ai supprimé les chevaux de Troie durant ce temps.

Merci d'avance pour votre aide, je n'ai pas de sauvegarde très récente et je ne sais vraiment pas quoi faire :wink:

P.S. : Pensez-vous qu'il y ai un risque que mes mots de passe rentrés pendant que j'étais infecté soient compromis ?
Encore merci ! :D
_Vincent
Visiteur
Visiteur
 
Messages: 5
Inscription: 08 Juin 2013 10:36
 


Re: Désinfection Win64/Patched.A

Message le 08 Juin 2013 19:25

Bonsoir
Ceci s.t.p.
Télécharger sur le bureau<< RogueKiller >> (by tigzy)
Quitter tous les programmes
Lancer RogueKiller.exe.
Attendre que le Prescan ait fini ...
Cliquer sur Scan. Cliquer sur Rapport et copier-coller le contenu du notepad

Cliquer sur Suppression. Cliquer sur Rapport et copier-coller le contenu du notepad

Ensuite:

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

Image
http://general-changelog-team.fr/telech ... adwcleaner


Image

- Lances le en mode normal , puis cliques sur [Suppression]
- Lorsque le message indiquant qu'AdwCleaner a détecté une variante spécifique d'adware s'affiche , cliquez sur [OK]

- L'ordinateur va redémarrer tout seul. Redémarre-le en mode normal.
- AdwCleaner s'ouvrira normalement, avec comme seul choix possible [Suppression]

- Cliquez dessus, puis patientes pendant la suppression.
- Une fois la suppression effectuée, AdwCleaner vous invitera à redémarrer l'ordinateur

- Au redémarrage, un rapport s'ouvrira. Postes le sur le forum.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Désinfection Win64/Patched.A

Message le 09 Juin 2013 11:52

Merci beaucoup de cette réponse rapide ! :D
Voici le rapport du scan Rogue :
Celui de la suppression Rogue :
Et celui de la suppression Adw :

J'ai dû désactiver mon antivirus car il détectait Rogue Killer et le mettait en quarantaine.

Edit : Je l'ai réactivé et il semblerait que mon scan AVG ne détecte plus aucun virus (même pas Rogue Killer). De plus, j'ai perdu mes préférences sur google chrome (zoom, couleur de fond, etc.).
_Vincent
Visiteur
Visiteur
 
Messages: 5
Inscription: 08 Juin 2013 10:36
 

Re: Désinfection Win64/Patched.A

Message le 09 Juin 2013 12:47

ok RoqueKiller a supprimer ZeroAcess qui était en cause de tes soucis.

Pour finaliser.
Télécharges << ZHPDiag>> (de Nicolas Coolman)

dezzipes le fichier sur ton bureau...
Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".


L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

Image

ET :

Si le bouton UAC apparaît dans le panel supérieur cela signifie que votre UAC est activée. L'activation de l'UAC gène l'analyse deZHPDiag sur certains modules (O18,O23,O42,...).
Aussi pour permettre un scan complet de l'outil, vous devez au préalable cliquer sur ce bouton.
Ce qui aura pour conséquence de relancer ZHPDiag avec une désactivation temporaire de l'UAC.

A la fin de l'installation ZHPDiag va se lancer....

Cliques sur "Lancer le diagnostic " (image de la loupe) et patiente...

A la fin du scan le rapport est sauvegardé directement sur ton bureau.
ZHPDiag.txt


Mets le rapport ici car il prend bien de la place.
http://cjoint.com/
ou.
http://www.1fichier.com/

j'ai perdu mes préférences sur google chrome (zoom, couleur de fond, etc.).

Normal Google chrome était plein de lien soucieux donc AdwCleaner a remis celui-ci par défaut.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Désinfection Win64/Patched.A

Message le 09 Juin 2013 13:08

Je n'ai pas eu de problème avec l'UAC, et voici le ZPHDiag :
_Vincent
Visiteur
Visiteur
 
Messages: 5
Inscription: 08 Juin 2013 10:36
 

Re: Désinfection Win64/Patched.A

Message le 09 Juin 2013 15:14

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)
C:\Users\Vincent\Downloads\SaveAs.exe =>PUP.Offerware
C:\Users\Vincent\AppData\Local\Temp\nsoED6E.tmp =>Adware.MegaSearch
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E] =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6] =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852] =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0] =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA] =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96] =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59] =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC] =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA] =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E] =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF] =>Toolbar.Ask
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E] =>Toolbar.Ask
O90 - PUC: "D21EC9447C2E79B41BE9551D36AE4953" . (.Bing Bar.) -- C:\Windows\Installer\{449CE12D-E2C7-4B97-B19E-55D163EA9435}\icon_installer_ico

FirewallRaz
EmptyFlash
Emptytemp
SysRestore



Puis Lance ZHPFix depuis le raccourci du bureau.
Image

-> laisse travailler l'outil et ne touche à rien ...

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !


Ensuite : Tu as trop de chose au démarrage du pc.

Tu peux contrôler le démarrage de tous ces processus avec un logiciel comme Starter de Code Stuff.
Télécharge et installe Code Stuff Starter :
http://www.pcastuces.com/logitheque/starter.htm
ou
http://telechargement.zebulon.fr/telech ... arter.html
pour franchiser le logiciel << Options << langages << French.
Ensuite vas dans l’onglet démarrage et décoches les lignes voulues.

Ne t'inquiète pas si a l'usage tu veux réactiver l'une d'elles, il suffit de la. recocher

Elles sont lancées inutilement au démarrage du système et cela ne comporte aucun danger.


Lignes à décocher qui sont en relation.

O4 - HKLM\..\Run: [CAHS1Sound] . (.C-Media Corporation - CmiCnfg DLL.) -- C:\Windows\Syswow64\CAHS1.dll
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] . (.Acronis - Acronis Scheduler Helper.) -- C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [CanonMyPrinter] . (.CANON INC. - Canon My Printer.) -- C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] . (.CANON INC. - CNSLMAIN.) -- C:\Program Files (x86)\Canon\SolutionMenu\CNSLMAIN.exe
O4 - HKCU\..\Run: [Pando Media Booster] . (.Pas de propriétaire - Pando Media Booster.) -- C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O4 - HKCU\..\Run: [HydraVisionDesktopManager] . (.AMD - HydraDM.) -- C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe
O4 - HKCU\..\Run: [Skype] . (.Skype Technologies S.A. - Skype.) -- C:\Program Files (x86)\Skype\Phone\Skype.exe
O4 - HKCU\..\Run: [Steam] . (.Valve Corporation - Steam Client Bootstrapper (buildbot_winslav.) -- C:\Program Files (x86)\Steam\Steam.exe
O4 - HKLM\..\Wow6432Node\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
O4 - HKLM\..\Wow6432Node\Run: [APSDaemon] . (.Apple Inc. - Apple Push.) -- C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe
O4 - HKLM\..\Wow6432Node\Run: [Trust Gaming Mouse] . (.Pas de propriétaire - Gaming Mouse Driver Monitor Program.) -- C:\Program Files (x86)\Trust Gaming Mouse\Mouse.exe
O4 - HKLM\..\Wow6432Node\Run: [TrueImageMonitor.exe] . (.Acronis - Acronis True Image Monitor.) -- C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Wow6432Node\Run: [AcronisTibMounterMonitor] . (.Acronis - Acronis TIB Monitor.) -- C:\Program Files (x86)\Common Files\Acronis\TibMounter\TibMounterMonitor.exe
O4 - HKLM\..\Wow6432Node\Run: [StartCCC] . (.Advanced Micro Devices, Inc. - Catalyst® Control Center Launcher.) -- C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Wow6432Node\Run: [vmware-tray] . (.VMware, Inc. - VMware Tray Process.) -- C:\Program Files (x86)\VMware\VMware Workstation\vmware-tray.exe
O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files (x86)\Windows Sidebar\Sidebar.exe
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files (x86)\Windows Sidebar\Sidebar.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] . (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] . (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe
O4 - HKUS\S-1-5-21-1100443579-3776829712-2298992477-1000\..\Run: [Pando Media Booster] . (.Pas de propriétaire - Pando Media Booster.) -- C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O4 - HKUS\S-1-5-21-1100443579-3776829712-2298992477-1000\..\Run: [HydraVisionDesktopManager] . (.AMD - HydraDM.) -- C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe
O4 - HKUS\S-1-5-21-1100443579-3776829712-2298992477-1000\..\Run: [Skype] . (.Skype Technologies S.A. - Skype.) -- C:\Program Files (x86)\Skype\Phone\Skype.exe
O4 - HKUS\S-1-5-21-1100443579-3776829712-2298992477-1000\..\Run: [Steam] . (.Valve Corporation - Steam Client Bootstrapper (buildbot_winslav.) -- C:\Program Files (x86)\Steam\Steam.exe


Redémarres le pc ensuite pour constater le mieux. ;)
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Désinfection Win64/Patched.A

Message le 09 Juin 2013 17:44

Voici le résultat du ZHPFix :

Et merci du conseil pour le démarrage, ayant remplacé mon ancien DD pour un SSD, je trouvais déjà que mon pc démarrait outrageusement vite :lol:

Encore merci pour tout le temps passé à m'aider, je ne sais pas ce que j'aurai fait sans vous :wink:
_Vincent
Visiteur
Visiteur
 
Messages: 5
Inscription: 08 Juin 2013 10:36
 

Re: Désinfection Win64/Patched.A

Message le 09 Juin 2013 19:10

ok si tout va bien :wink:
Attention ton soucis venant de Zeroacess est du à des non mise à jour de ton pc je pense.
Mets bien à jour ; Java- Flash Player- en autres.

Bonne soirée et valide ton post en résolu s.t.p.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Désinfection Win64/Patched.A [Réglé]

Message le 09 Juin 2013 20:35

C'est fait, et j'ai carrément retéléchargé Java pour être plus sûr ^^
Je suis ravi de voir qu'il y a encore des gens prêt à donner de leur temps pour aider comme vous 8)
_Vincent
Visiteur
Visiteur
 
Messages: 5
Inscription: 08 Juin 2013 10:36
 



Sujets similaires

Message [Réglé] android auto
Bonjour Je possede un tel. samsung S7 . Je viens d'intaller android auto et chaque fois que je branche mon tel. sur mon vehicule , mon telephone me dit de mettre android à jour. En fouillant un peu sur le net j'ai cru voir que samsung avait arreté les mises à jour sur les S7 . Est ce vrai , sinon co ...
Réponses: 3

Message [Réglé] Mauvaise performance SSD NVME
Bonjour, j'ai un WDC PC SN530 SDBPNPZ-512G, et quand je fais des benchmark où je ne comprends rien, ils m'indiquent dès résultat pas terrible, y a t'il moyen d'arranger ça ?https://www.userbenchmark.com/UserRun/68904129Merci de votre aide.
Réponses: 5

Message [Réglè] HELP
Bonjour a tous,j'ai voulu désinstaller les pilotes AMD high définition audio device dans le gestionnaire croyant que les pilotes realtek prendraient la place j'ai redémarré mon PC et depuis je n'ai plus de son l?icône est affublée d'une belle croix rouge (aucun haut parleur ou casque n'est branché) ...
Réponses: 7

Message Son 5.1 [Réglé]
Bonjour,J'ouvre un autre post concernant mon souci de sortie son qui est désespérément figé sur "Stéréo". Mon PC Assemblé par mes soins possède une Carte Mère Gigabyte B550M DS3H "affublée" d'une carte Graphique AMD RX6600 Pulse. Mon PC est relié de ma carte graphique à mon TV à ...
Réponses: 3

Message [Réglé] Fenêtre intempestive Powershell au démarrage
Bonjour,Je m'ajoute à la longue liste des victimes de la fenêtre pop-up bleue qui s'ouvre et qui se ferme à chaque connexion de session, et quelques fois après.J'ai passé les antimalware et ESET... mais rien à faire.Je possède un Lenovo TrigKey AZW S3 en AMD Ryzen 7 qui tourne sur W11 64bits.je vous ...
Réponses: 11

Message [Réglé] Suite de mon sujet Démarrage PC parfois difficile
Bonjour,j'avais ouvert un sujet suite au démarrage très lent de mon PC. Votre aide m'a permis d'améliorer la situation mais ce n'est pas parfait (plus de 2 minutes avant la fenêtre de saisie du code d'accès Windows).On m'a conseillé de demander une désinfection. J'ai suivi la procédure et je joins l ...
Réponses: 12

Message [Réglé] Démarrage PC parfois difficile
Bonjour à tous,Actuellement mon PC bloque parfois au démarrage sur l'écran où on peut choisir les options de boot. C'est un écran noir avec le logo Asrock et en bas à droite les possibilités offertes. Dans ce cas il ne se passe rien et je dois relancer le démarrage, parfois à plusieurs reprises.Ça n ...
Réponses: 14


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 22 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.