FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par J.Underwood
#200085
Bonsoir,

Mon époux a téléchargé des logiciels sur le site 01net et sur clubic. Je l'ai engueulé en arrivant du travail, je suis très en colère.

Il me dit qu'il a désinstallé les logiciels qui devaient faire office d'enregistreurs pour des CD de son enfance. Mais on n'installe JAMAIS des logiciels provenant de 01net et clubic ! Il m'agace ! :x :x :x :x

Pourriez-vous s'il vous plaît m'aider à désinfecter le pc s'il vous plaît ? Notre anti-virus BitDefender a bloqué certains fichiers selon l'historique des notifications mais je suis sûr que des choses sont passées en travers des mailles du filet.

Merci encore à vous et navré pour son erreur idiote et imbécile.
Avatar du membre
par did80
#200086
salut

ceci stp

1/
Image Télécharger zhpdiag de N Coolman

https://www.sosvirus.net/telecharger/zhpdiag/

ou

https://www.sosvirus.net/telecharger/zhpcleaner/

Enregistrer le Fichier sur le bureau important

exécuter en tant qu'administrateur pour Vista/7) pour lancer le programme d'assistant d'installation

1/ ouvrir les options et tout cocher

Image

Image

cliquer sur scanner

Image


cliques sur rapport


Le rapport zhpdiag.txt sera sur ton bureau

très volumineux incomplet sur le forum

il faut le poster sur www.cjoint.com

Image

Me donner le lien formé qui ressemble a çà
http://cjoint.com/?BJlkjReCl6v4

2/
Image Télécharger FARBAR et


l' enregistrer-le sur le Bureau


prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/

ou

https://www.sosvirus.net/telecharger/zhpcleaner/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


cocher les cases comme sur l'image ci dessous

Cliquer sur le bouton Analyser


Image

L'outil va créer 3 rapports sur le bureau:
  • Frst.txt
    Addition.txt
    Shortcut.txt

Mettre les 3 rapports
Frst Addition et Shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et me donner les liens

@+
Avatar du membre
par did80
#200090
Bonjour junderwood

ceci stp

Télécharger Zhpfix Script Manager

https://nicolascoolman.eu/download/zhpf ... t-manager/

sur votre bureau



Image


Script ZHPFix
CreateRestorePoint
EmptyCLSID
EmptyFlash
EmptyTemp
EmptyTracing
EmptyPrefetch
EmptyProxy
EmptyRecycle
C:\Program Files (x86)\RelevantKnowledge
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
HKLM\Software\WOW6432Node\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>.Reinstall Software WinRAR32
HKLM\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
HKLM\Software\WOW6432Node\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>.Reinstall Software WinRAR32
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}
HKLM\Software\WOW6432Node\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>.Reinstall Software WinRAR32
C:\Windows\Installer\109cf2.msp
C:\Windows\Installer\2ff6f9b9.msp
C:\Windows\Installer\30cefc72.msp
C:\Windows\Installer\33c392e4.msp
C:\Windows\Installer\34a51572.msp
C:\Windows\Installer\4200e244.msp
C:\Windows\Installer\42ff78a.msp
C:\Windows\Installer\55eb9acf.msp
C:\Windows\Installer\6cc1b872.msp
C:\Windows\Installer\cc9e44c.msp
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\lnkfile\shellex\ContextMenuHandlers\WinRAR32
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\File System\000
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\File System\001
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\File System\002
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\File System\003


Puis Lancer l'outil en cliquant sur le balai

L'outil va fournir un fichier rapport zhpfix.txt sur votre bureau

Si en cours de traitement une fenetre apparait avec une demande d' accord de redémarrer la machine, cliquez sur OUI.

Il y aura un écran noir pendant un petit temps , pas de stress!!


redémarrer la machine


Si durant le traitement , tu as un message te disant qu'un reboot est nécessaire clique sur " oui"

Image

@+
Avatar du membre
par did80
#200093
re

ceci maintenant


Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau

https://www.sosvirus.net/telecharger/zhpcleaner/


Faire un click droit sur zhpcleaner


execute le en tant qu'administrateur

1/ ouvrir les options et tout cocher

Image


Image


Mode Scanner




Image


Le rapport se trouve sur ton bureau et

dans ton dossier utilisateur « %AppData% /ZHP »

ZHPCleaner (S).txt ---> Pour le rapport de Scan (Recherche)


héberger le rapport sur www.cjoint.com/ si volumineux

@+
Avatar du membre
par did80
#200097
Salut

tu peux nettoyer

ceci ensuite

Télécharger Malwarebytes

https://www.sosvirus.net/telecharger/malwarebytes-anti-malware/
ou
https://www.sosvirus.net/telecharger/malwarebytes-anti-malware/


Pour windowsVista/7/8/8.1/10 cliquer droit sur « Exécuter en temps qu’administrateur 

Paramétrer comme ceci

Image


Mettre a jour les bases virales

« Lancer le scan »

Rapport
  1. Compte rendus
  2. Compte rendu d'analyse
  3. Afficher le compte rendu


Exporter Fichier.txt


Si le rapport (compte rendu) est important, Héberger le rapport ici http://cjoint.com/

Image


1 parcourir : Malwarebytes..txt sur le bureau

2 déposer
3 me donner le lien formé qui ressemble a çà : http://www.cjoint.com/c/EHtpyhh8Vkv

@+
Avatar du membre
par did80
#200100
Salut j underwood

Aucune action de l'utilisateur signifie que rien n'est supprimer

il faut cocher les cases et supprimer la sélection et/ou mettre en quarantaine

heberge le rapport après suppression

@+
Avatar du membre
par J.Underwood
#200101
Re Did,

J'ai refait une analyse MBAM, j'ai mis en quarantaine l'élément trouvé par le logiciel, j'ai redémarré, j'ai supprimé l'élément qui était en quarantaine définitivement de l'ordinateur grâce au logiciel et j'ai créé le rapport en fichier texte.

Ci-contre: https://www.cjoint.com/c/IHztZKdvMUg

Par contre j'ai toujours au démarrage de la machine, une publicité fenêtrée qui se met en bas à droite de mon écran. Je pense que mon pc est encore infecté d'un virus. :cry: Décidément, les virus sont coriaces, j'attends tes prochaines directives !
Avatar du membre
par J.Underwood
#200102
Did,

En complément du rapport MBAM que j'ai refait ci-dessus, voici après redémarrage de ma machine la fameuse pop-up qui s'affiche à chaque fois:

Image

Mais pourtant j'ai cru avoir désinstallé ce programme ! Mon mari n'aurait jamais dû télécharger sur 01net et clubic. :x
Avatar du membre
par did80
#200104
Salut

refais moi un farbar et un zhpdiag tout chaud stp
Avatar du membre
par did80
#200110
Bonsoir

dire que je ne connais même pas ton prénom depuis que je te désinfecte

j'ai une question

ce programme est il dans le panneau de configuration

DVD Ripper Platinum

Image Didier
Avatar du membre
par J.Underwood
#200111
Bonsoir Didier !

Morgane :D Et mon époux est Florian.

DVD Ripper Platinum n'est pas dans le panneau de configuration.
Avatar du membre
par did80
#200112
OK MORGANE

ok Morgane
Image

ceci stp


Copies les lignes suivantes dans le cadre rouge


DVD Ripper



Image


cliques sur chercher fichier


copies/colles le rapport search.txt

Bonne soirée

didier ;)
Avatar du membre
par J.Underwood
#200114
Didier,

En complément du rapport, voici encore la notification en faisant un essai de redémarrage du pc. Voir le screen: Image
Avatar du membre
par did80
#200115
Morgane

essaie la même recherche pour le registre

chercher registre

A demain Bises
Avatar du membre
par did80
#200118
Image

Morgane

on va essayer ceci

Télécharger Zhpfix Script Manager

https://nicolascoolman.eu/download/zhpf ... t-manager/

sur votre bureau



Image


Script ZHPFix
CreateRestorePoint
EmptyCLSID
EmptyFlash
EmptyTemp
EmptyTracing
EmptyPrefetch
EmptyProxy
EmptyRecycle
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\State\UserSettings\S-1-5-21-532762885-270133051-936439358-1002]
"\Device\HarddiskVolume4\Program Files (x86)\Free DVD Ripper Platinum\goup.exe"="0x238C37B2CD59D50100000000000000000000000002000000"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\State\UserSettings\S-1-5-21-532762885-270133051-936439358-1002]
"\Device\HarddiskVolume4\Program Files (x86)\Free DVD Ripper Platinum\Free DVD Ripper Platinum Update.exe"="0x08BEAAB60B5DD50100000000000000000000000002000000"
[HKEY_USERS\S-1-5-21-532762885-270133051-936439358-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\88244608_0]
""="{2}.\\?\hdaudio#func_01&ven_10ec&dev_0270&subsys_1043118f&rev_1001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\singlelineouttopo/00010001|\Device\HarddiskVolume4\Program Files (x86)\Free DVD Ripper Platinum\MEncoder\mplayer.exe%b{00000000-0000-0000-0000-000000000000}"
[HKEY_USERS\S-1-5-21-532762885-270133051-936439358-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\8b8092c1_0]
""="{2}.\\?\hdaudio#func_01&ven_10ec&dev_0270&subsys_1043118f&rev_1001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\singlelineouttopo/00010001|\Device\HarddiskVolume4\Program Files (x86)\Free DVD Ripper Platinum\FreeDVDRipperPlatinum.exe%b{00000000-0000-0000-0000-000000000000}"
[HKEY_USERS\S-1-5-21-532762885-270133051-936439358-1002\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\Program Files (x86)\Free DVD Ripper Platinum\goup.exe.FriendlyAppName"="goup.exe


Puis Lancer l'outil en cliquant sur le balai

L'outil va fournir un fichier rapport zhpfix.txt sur votre bureau

Si en cours de traitement une fenetre apparait avec une demande d' accord de redémarrer la machine, cliquez sur OUI.

Il y aura un écran noir pendant un petit temps , pas de stress!!


redémarrer la machine


Si durant le traitement , tu as un message te disant qu'un reboot est nécessaire clique sur " oui"

Image


Image

Didier
Avatar du membre
par J.Underwood
#200124
Bonsoir Didier !

J'ai fait le nécessaire.

Voici le rapport ZHPFIX tout chaud de ce soir: https://www.cjoint.com/c/IHCvezeYSyg

Par contre en redémarrant, j'ai encore la fameuse pop-up de DVD Ripper... Et j'ai eu bizarrement une menace détectée en Trojan qui concerne le logiciel FRST64 ! :suspect:

Ci-dessous l'image:

https://zupimages.net/up/19/35/lokl.png

Dans l'attente de tes directives, bisous Didier :bisou: :bisou:
Avatar du membre
par did80
#200128
Coucou Morgane

frst n'est pas infecté. les antivirus ont tendance a voir les outils de désinfection comme des malwares.

désactive ton antivirus le temps de faire la manip

ceci ensuite


Lance Farbar

Image


Copies les lignes suivantes dans le cadre rouge


start::
CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Free DVD Ripper Platinum Update.lnk [2019-08-23]
ShortcutTarget: Free DVD Ripper Platinum Update.lnk -> C:\Program Files (x86)\Free DVD Ripper Platinum\Free DVD Ripper Platinum Update.exe () [Fichier non signé]
2019-08-23 18:23 - 2019-08-23 18:24 - 033147216 _____ (Digiarty Software, Inc. ) C:\Users\Admin\Downloads\winx-dvd-ripper-pt.exe
2019-08-23 18:22 - 2019-08-23 18:22 - 032908872 _____ (Digiarty Software, Inc. ) C:\Users\Admin\Downloads\winx-dvd-ripper_8-9-1_en_70188.exe
2019-08-23 18:11 - 2019-08-24 07:49 - 000000000 ____D C:\Users\Admin\AppData\Roaming\Free DVD Ripper Platinum New Version Available
2019-08-23 18:11 - 2019-08-23 18:13 - 000000000 ____D C:\Users\Admin\AppData\Roaming\Free DVD Ripper Platinum
2019-08-23 18:11 - 2019-08-23 18:11 - 000000000 ____D C:\Users\Admin\Documents\Free DVD Ripper Platinum
2019-08-23 18:10 - 2019-08-23 18:21 - 000000000 ____D C:\Program Files (x86)\Free DVD Ripper Platinum
2019-08-23 18:08 - 2019-08-23 18:09 - 041810576 _____ (FreeAudioVideoSoftTech, Inc. ) C:\Users\Admin\Downloads\FreeDVDRipperPlatinum.exe
2019-08-23 18:33 - 2018-06-24 14:29 - 000000000 ____D C:\Users\Admin\AppData\Roaming\dvdcss
C:\Program Files (x86)\Free DVD Ripper Platinum\goup.exe
EmptyTemp:
end::


Corrige et heberge le rapport fixlog

Image

Didier
Avatar du membre
par did80
#200134
Image

Morgane

le dvd ripper est parti?

A te lire

Bisou Didier
Avatar du membre
par J.Underwood
#200137
Bonsoir Didier !

Effectivement, la notification a disparu ! Je ne vois plus rien dans le coin droite de mon écran au démarrage.

Cette application indésirable est-elle bien partie ? :reflexion:

Bises Didier
Avatar du membre
par did80
#200139
Coucou Morgane

refais moi une analyse frst et addition

et un zhpdiag stp pour contrôle

Image

Bisou Didier
Avatar du membre
par did80
#200150
Image

Morgane

on avance il ne reste plus grand chose

ceci stp

Télécharger Zhpfix Script Manager

https://nicolascoolman.eu/download/zhpf ... t-manager/

sur votre bureau



Image


Script ZHPFix
CreateRestorePoint
EmptyCLSID
EmptyFlash
EmptyTemp
EmptyTracing
EmptyPrefetch
EmptyProxy
EmptyRecycle
[HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]:C:\Program Files (x86)\Free DVD Ripper Platinum\goup.exe.FriendlyAppName



Puis Lancer l'outil en cliquant sur le balai

L'outil va fournir un fichier rapport zhpfix.txt sur votre bureau

Si en cours de traitement une fenetre apparait avec une demande d' accord de redémarrer la machine, cliquez sur OUI.

Il y aura un écran noir pendant un petit temps , pas de stress!!


redémarrer la machine


Si durant le traitement , tu as un message te disant qu'un reboot est nécessaire clique sur " oui"

Image

Image

Didier
Avatar du membre
par did80
#200152
OK Morganze

Refais moi un chercher registre avec farbar

DVD Ripper

Image

Didier
Avatar du membre
par did80
#200164
Image

amie Morgane maintenant

ceci pour nettoyer les cles

Télécharge OTM

OTM ici

• Enregistre le fichier sur votre bureau.

• AVAST reconnait ce logiciel comme un intrus, donc le désactiver le temps des manipulations.

• Double-cliquez sur OTM.exe pour l'exécuter. (Si vous êtes sous Vista, seven, cliquez-droit sur le fichier OTM.exe et exécutez-le en tant qu'administrateur.)

Copies les lignes suivantes du lien dans le cadre de gauche sous

paste instructions for items to be moved

Image

:Reg
[HKEY_USERS\S-1-5-21-532762885-270133051-936439358-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\88244608_0]
""=-
[HKEY_USERS\S-1-5-21-532762885-270133051-936439358-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\8b8092c1_0]
""=-
:Commands
[purity]
[emptytemp]


Cliquez sur MOVE IT ! pour lancer la suppression.

Attendre la fin du travail de l'outil puis fermer OTM

Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
copie colle le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.

Image

Didier
Avatar du membre
par J.Underwood
#200165
Coucou Didier ! :bisou: :D

Voici le rapport:

All processes killed
========== REGISTRY ==========
Registry value HKEY_USERS\S-1-5-21-532762885-270133051-936439358-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\88244608_0\\ deleted successfully.
Registry value HKEY_USERS\S-1-5-21-532762885-270133051-936439358-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\8b8092c1_0\\ deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 99989169 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 1097534078 bytes
->Google Chrome cache emptied: 50322168 bytes
->Flash cache emptied: 1534 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default.migrated

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 11068644 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1 201,00 mb


OTM by OldTimer - Version 3.1.21.0 log created on 09022019_211209

Files moved on Reboot...
C:\Users\Admin\AppData\Local\Temp\ExchangePerflog_8484fa31ac332e84cfcccd43.dat moved successfully.
C:\Users\Admin\AppData\Local\Temp\mat-debug-4760.log moved successfully.
File C:\Users\Admin\AppData\Local\Microsoft\Windows\INetCache\Content.Word\~WRS{07711030-F47E-406E-8B2D-8BC5C228065A}.tmp not found!
File C:\Users\Admin\AppData\Local\Microsoft\Windows\INetCache\Content.Word\~WRS{AF2A4097-13F0-41C1-B561-628E3DB5C31A}.tmp not found!
File C:\Users\Admin\AppData\Local\Microsoft\Windows\INetCache\Content.Word\~WRS{CBD3D311-E1AA-4BB6-AE69-262F9192A4F7}.tmp not found!
File C:\Users\Admin\AppData\Local\Microsoft\Windows\INetCache\Content.MSO\3494F350.png not found!
File C:\Users\Admin\AppData\Local\Microsoft\Windows\INetCache\Content.MSO\95548047.png not found!
File C:\Users\Admin\AppData\Local\Microsoft\Windows\INetCache\Content.MSO\A75EC5DE.png not found!
File C:\Users\Admin\AppData\Local\Microsoft\Windows\INetCache\Content.MSO\C7523B11.png not found!
File C:\Users\Admin\AppData\Local\Microsoft\Windows\INetCache\Content.MSO\F16263CB.png not found!
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\data_0 moved successfully.
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\data_1 moved successfully.
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\data_2 moved successfully.
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\data_3 moved successfully.
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Cache\index moved successfully.
C:\Windows\temp\FLO-20190902-0713.log moved successfully.
C:\Windows\temp\FLO-20190902-2116.log moved successfully.
C:\Windows\temp\mat-debug-4048.log moved successfully.
File C:\Windows\temp\MSOXMLMF.DLL.bak not found!
File C:\Windows\temp\officeclicktorun.exe_streamserver(20190902071355FD0).log not found!

Registry entries deleted on Reboot...


Par contre quand j'ai redémarré, il y avait des dossiers à moitié transparents qui sont apparus sur le bureau. Desktop.ini et thumbs.db, j'ai regardé dans affichages, éléments masqués était coché. J'ai décoché, ils ont disparu. J'ai bien fait ?

Merci encore ! Tu es top Didier ! :bisou:
Avatar du membre
par did80
#200172
Normalement les outils ont été supprimés

tu peux redémarrer éventuellement

Bonne continuation Morgane


Image

Didier
Avatar du membre
par J.Underwood
#200175
Coucou Didier !

Fantastique, tout est réparé grâce à toi alors :hourra: !

Merci beaucoup pour ta rapidité à répondre et je te fais de gros bisous. :bisou:

Excellente continuation chez FEI ! :hello:
Avatar du membre
par g3n-h@ckm@n
#200176
Bonjour vous

Underwood, je crois que j'ai déjà "mis les mains" dans ta machine si mes souvenirs sont bons alors un petit bonjour à toi
Willy

Hi there! I’ve always been passionate about […]

Merci pour la réponse ;) Pour verifier […]

Hello Ça me semble complexe, avez vous e[…]