Infection

[Guitariste-D]

Salut à tous,
Je pense que mon pc est infecté, il ne veut plus démarrer en mode normale, il se bloque. Là je suis en mode sans échec, quelqu'un peut m'aider sil vous plaît?

Bonne journée.

[bernard53]

Bonjour

Télécharger sur le bureau<< RogueKiller >> (by tigzy)
Quitter tous les programmes
Lancer RogueKiller.exe.
Attendre que le Prescan ait fini ...
Cliquer sur Scan. Cliquer sur Rapport et copier-coller le contenu du notepad

Cliquer sur Suppression. Cliquer sur Rapport et copier-coller le contenu du notepad

Ensuite en mode normal si tu peux.
passage de Zhpdiag pour analyse du pc.

Télécharges << ZHPDiag>> (de Nicolas Coolman)

dezzipes le fichier sur ton bureau...
Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".


L'installation va créer 3 raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau


ET :

Si le bouton UAC apparaît dans le panel supérieur cela signifie que votre UAC est activée. L'activation de l'UAC gène l'analyse deZHPDiag sur certains modules (O18,O23,O42,...).
Aussi pour permettre un scan complet de l'outil, vous devez au préalable cliquer sur ce bouton.
Ce qui aura pour conséquence de relancer ZHPDiag avec une désactivation temporaire de l'UAC.

A la fin de l'installation ZHPDiag va se lancer....
Cliques sur "Lancer le diagnostic" (image de la loupe) et patiente...



A la fin du scan le rapport est sauvegardé directement sur ton bureau.

ZHPDiag.txt

Mets le rapport ici car il prend bien de la place.
http://cjoint.com/
ou.
http://www.1fichier.com/

[Guitariste-D]

Bonjour à toi, merci beaucoup de ton aide .

Voici le premiers rapport :

RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dimitri [Droits d'admin]
Mode : Recherche -- Date : 11/11/2012 21:15:46

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][ROGUE ST] HKCU\[...]\Run : DriverScanner ("C:\Program Files (x86)\Uniblue\DriverScanner\launcher.exe" delay 20000 ) -> TROUVÉ
[RUN][ROGUE ST] HKUS\S-1-5-21-1526059893-305988771-3302340161-1001[...]\Run : DriverScanner ("C:\Program Files (x86)\Uniblue\DriverScanner\launcher.exe" delay 20000 ) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\RunOnce : Uninstall C:\Users\Dimitri\AppData\Local\Microsoft\SkyDrive\16.4.6010.0727\amd64 (C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Dimitri\AppData\Local\Microsoft\SkyDrive\16.4.6010.0727\amd64") -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1526059893-305988771-3302340161-1001[...]\RunOnce : Uninstall C:\Users\Dimitri\AppData\Local\Microsoft\SkyDrive\16.4.6010.0727\amd64 (C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Dimitri\AppData\Local\Microsoft\SkyDrive\16.4.6010.0727\amd64") -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545050A7E380 +++++
--- User ---
[MBR] eaa284202aa95d7fc9fde9b78de48f7e
[BSP] 6038da5abdb86a32e945c2c6aa172f56 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 190776 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 443140096 | Size: 260562 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_11112012_211546.txt >>
RKreport[1]_S_11112012_211546.txt

Voici le deuxième rapport :

RogueKiller V8.2.3 [07/11/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dimitri [Droits d'admin]
Mode : Suppression -- Date : 11/11/2012 21:17:54

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][ROGUE ST] HKCU\[...]\Run : DriverScanner ("C:\Program Files (x86)\Uniblue\DriverScanner\launcher.exe" delay 20000 ) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\RunOnce : Uninstall C:\Users\Dimitri\AppData\Local\Microsoft\SkyDrive\16.4.6010.0727\amd64 (C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Dimitri\AppData\Local\Microsoft\SkyDrive\16.4.6010.0727\amd64") -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545050A7E380 +++++
--- User ---
[MBR] eaa284202aa95d7fc9fde9b78de48f7e
[BSP] 6038da5abdb86a32e945c2c6aa172f56 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 190776 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 443140096 | Size: 260562 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_11112012_211754.txt >>
RKreport[1]_S_11112012_211546.txt ; RKreport[2]_D_11112012_211754.txt

Voici le rapport ZHPdiag: http://cjoint.com/12nv/BKlvGjW8xqJ_zhpdiag14

Très bonne soirée .

[bernard53]

ok ceci.

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

G1 - GCS: Preference [User Data\Default] http://search.conduit.com
M2 - MFEP: prefs.js [Dimitri - vuv4c5y3.default\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}] [] PriceGong v2.6.8 (.PriceGong Software Ltd..)
M3 - MFPP: Plugins - [Dimitri] -- C:\Users\Dimitri\AppData\Roaming\Mozilla\Firefox\Profiles\vuv4c5y3.default\searchplugins\Startpins.xml
R0 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.privitize.com
R3 - URLSearchHook: (no name) [64Bits] - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (...) (No version) -- (.not file.)
R3 - URLSearchHook: (no name) [64Bits] - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (...) (No version) -- (.not file.)
O2 - BHO: (no name) [64Bits] - {1631550F-191D-4826-B069-D9439253D926} Clé orpheline
O2 - BHO: (no name) [64Bits] - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} Clé orpheline
O2 - BHO: (no name) [64Bits] - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} Clé orpheline
O42 - Logiciel: PriceGong 2.6.8 - (.PriceGong.) [HKLM][64Bits] -- PriceGong
O42 - Logiciel: Wajam - (.Wajam.) [HKLM][64Bits] – Wajam
[HKCU\Software\Wajam]
O43 - CFD: 11/11/2012 - 21:12:24 - [0,686] ----D C:\Program Files (x86)\PriceGong
O43 - CFD: 11/11/2012 - 21:12:04 - [0,496] ----D C:\Program Files (x86)\Wajam
O43 - CFD: 09/11/2012 - 13:57:06 - [0,000] ----D C:\Users\Dimitri\AppData\Local\rencontreshard
O43 - CFD: 11/11/2012 - 21:11:50 - [0,054] ----D C:\Users\Dimitri\AppData\Local\Wajam
O43 - CFD: 11/11/2012 - 21:11:54 - [0,001] ----D C:\Users\Dimitri\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam
O43 - CFD: 11/11/2012 - 21:12:04 - [0,496] ----D C:\Program Files (x86)\Wajam
O53 - SMSR:HKLM\...\startupreg\XBLGenerator2012byFL(1).exe [Key] . (...) -- C:\Users\Dimitri\Downloads\XBLGenerator2012byFL(1).exe
O53 - SMSR:HKLM\...\startupreg\XBLGenerator2012byFL.exe [Key] . (...) -- C:\Users\Dimitri\Downloads\XBLGenerator2012byFL.exe (.not file.)
FirewallRaz
EmptyFlash
Emptytemp

Puis Lance ZHPFix depuis le raccourci du bureau.


-> laisse travailler l'outil et ne touche à rien ...

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

Après dis moi comment va ton pc s.t.p

[Guitariste-D]

Rapport de ZHPFix 1.3.05 par Nicolas Coolman, Update du 09/10/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-12-11-2012-20-44-24.txt
Run by Dimitri at 12/11/2012 20:44:24
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://nicolascoolman.skyrock.com/



========== Logiciel(s) ==========
ABSENT Uninstall Process: c:\program files (x86)\pricegong\uninst.exe
ABSENT Software Key: O42 - Logiciel: Wajam - (.Wajam.) [HKLM][64Bits] – Wajam

========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PriceGong]
SUPPRIME Key: CLSID BHO: {1631550F-191D-4826-B069-D9439253D926}
SUPPRIME Key: CLSID BHO: {A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
SUPPRIME Key: CLSID BHO: {AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
SUPPRIME Key: HKCU\Software\Wajam
SUPPRIME Key*: StartupReg: XBLGenerator2012byFL(1).exe
SUPPRIME Key*: StartupReg: XBLGenerator2012byFL.exe

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497}
SUPPRIME URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :

========== Elément(s) de donnée du Registre ==========
SUPPRIME R0 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\Dimitri\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://search.conduit.com
SUPPRIME Chrome Site: http://search.conduit.com
SUPPRIME Chrome Site: http://search.conduit.com
SUPPRIME Chrome Site: http://search.conduit.com

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Dimitri\AppData\Roaming\Mozilla\Firefox\Profiles\vuv4c5y3.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}
ABSENT C:\Program Files (x86)\PriceGong
SUPPRIME Reboot Folder**: C:\Program Files (x86)\Wajam

Il y a driver scaner qui c'est mit sur mon bureau avec une icone ordinateur et un dossier avec mon nom d'utilisateur dessus, est-ce normale ?

Bonne soirée .

[bernard53]

driver scaner

Bizzare supprime le s.t.p

[Guitariste-D]

Bonjour,
Comment le supprimer? .

++

[bernard53]

Tu ne peux le supprimer manuellement?

[Guitariste-D]

Non, je ne le trouve pas!

[bernard53]

Donc il n'est plus sur ton bureau?

[Guitariste-D]

Je viens de trouver comment le désinstaller, logiquement il n'est plus sur mon ordinateur .

[bernard53]

ok juste ceci pour terminer alors.
Installe Malewarebytes' Antimalware,

http://malwarebytes.org/products/malwarebytes_free

Prends bien la version FREE
*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.

[Guitariste-D]

Bonjour à toi,

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.14.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Dimitri :: DIMITRI-PC [administrateur]

14/11/2012 14:45:09
mbam-log-2012-11-14 (14-45-09).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 348687
Temps écoulé: 36 minute(s), 38 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\Users\Dimitri\AppData\Local\Google\Chrome\User Data\Default\Cache\f_0003ac (PUP.BundleInstaller.BI) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Dimitri\Downloads\etypesetup.exe (PUP.BundleInstaller.BI) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Dimitri\Downloads\Setup.exe (PUP.Bundle.Installer.OI) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Temp\_avast_\unp57348902.tmp (PUP.BundleInstaller.BI) -> Mis en quarantaine et supprimé avec succès.

(fin)

Bonne soirée .

[bernard53]

ok tout va cette fois?

[Guitariste-D]

J'ai l'impression, tu ne vois plus rien de pas normale? .