FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par Angélique2
#56774
Bonjour à tous,

Désolée de vous solliciter, mais je n'ai pas trouvé exactement le même problème dans les diverses discussions! De plus, je suis nulle en informatique, bref 2 fois désolée!

Après un laps de temps assez court d'utilisation normale, tous les jours je constate d'un seul coup une nette difficulté à ouvrir les pages, qui augmente très rapidement jusqu'à ne plus pouvoir s'ouvrir du tout!  A chaque fois, je peux apercevoir furtivement  ( quelques secondes)un écran bleu clair, sans rien de marqué dessus.... je suis obligée de passer et repasser ccleaner qui calme un peu le problème jusqu'à ce qu'il réapparaisse. et m'oblige à tout arrêter et relancer..pour que la même chose se reproduise....  A plusieurs reprises, en arrêtant l'ordi, j'ai vu cette mystériese phrase s'afficher: il est mort, Jim!   Pourtant, je peux vous assurer que je n'ai tué aucun Jim, et que même si je l'avais fait s'en m'en apercevoir, ce n'est pas une raison pour se venger ainsi...

J'ai vérifié mes drivers, qui sont tous à jour, et fait des analyses antivirus et antimalware, sans succès... Une âme patiente et charitable?
Avatar du membre
par Angélique2
#56779
MERCI SLYK,

Ok je suis donc pas responsable pour Jim, sauvée! Sinon j'ai passé adw mais cela ne change rien... SNIFF!
Avatar du membre
par Angélique2
#56784
ok, je recommence avec la nouvelle version, sauf que pour le moment je suis bloquée par son message "en attente, veuillez decocher les elements que vous ne souhaitez pas supprimer"
Avatar du membre
par Angélique2
#56788
MERCI SLYK!

Bon voila le rapport auquel je ne comprends rien (!) :

# AdwCleaner v3.000 - Rapport créé le 21/08/2013 à 17:50:27
# Mis à jour le 20/08/2013 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : Christian - CHRISTIAN-HP
# Exécuté depuis : C:\Users\Christian\SkyDrive\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Fichier Supprimé : C:\Windows\System32\roboot64.exe

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_for_microsoft-windows-installer_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_for_microsoft-windows-installer_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_desktopok_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_desktopok_RASMANCS
Clé Supprimée : [x64] HKLM\SOFTWARE\DeviceVM
Clé Supprimée : [x64] HKLM\SOFTWARE\DomaIQ

***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16660


-\\ Google Chrome v

[ Fichier : C:\Users\Christian\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [1353 octets] - [21/08/2013 17:41:22]
AdwCleaner[S0].txt - [1273 octets] - [21/08/2013 17:50:27]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1333 octets] ##########
par SlyK
#56791
Re !

Si, puisque je ne t'es pas donné de script tu dois utiliser celui du tutoriel.


@+
par SlyK
#56793
Re !

Je vais te mettre le tutoriel ici, ce sera sûrement plus simple pour toi.
  • Télécharge OTL sur ton bureau.
  • Fais un double clic sur l'icône pour le lancer. Vérifie que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
  • Quand la fenêtre apparaît, coche la case Tous les utilisateurs.
  • Sous Processus, Modules, Services, Pilotes, Registre: standard, Registre: approfondi coche Tous.
  • Coche également les cases Recherche Lop et Recherche Purity.
  • Dans la partie Personnalisation, colle ceci :

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT
  • Clique sur le bouton Analyse. L'analyse ne va pas durer longtemps.
  • Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés au même endroit que OTL.
  • Héberge-les, comme ceci.
par SlyK
#56813
Re !

Il est devenu obsolète avec le temps.
Donc il te mange de la RAM et du CPU pour pas grand chose.


@+
Avatar du membre
par Angélique2
#56818
OK J 'ai supprime spybot avec VS REVO, bien?

et mac affee (j'avais pas revo à l'epoque) avec ton lien

le reste a l'air plus complique, mais je vais essayer
Avatar du membre
par Angélique2
#56823
j'ai lance roguekiller, il n'a pas envoyé de rapport sur le bureau, mais il a trouve une dizaine de "problemes " (mon ordi etait infeste? ) et il a ouvert un onglet zero acces removal with rogue killer auquel je comprends rien... AU SECOURS!
Avatar du membre
par Angélique2
#56827
c'est quoi zero access? mon frère va de temps en temps sur des sites tres oses, c'est pas là qu'on aurait attrapé ça?

il ya 10 PROBLEMES EN MARRON SUR ROGUE KILLER ET UN EN ROUGE, zero access

est ce que je dois faire la suppression a partir de rogue killer, ou bien a partir de l'onglet zero access ouvert par rogue?

et si c'est le 1ER, je fais juste "suppression"?

MERci pour ton aide en tous cas
par SlyK
#56828
Re !

Oui, c'est fort possible que vous ayez attraper ça sur des sites "osés".
Fais simplement "Suppression".


@+
Avatar du membre
par Angélique2
#56832
ll faudra que je previenne mon frangin, mais en attendant est-ce que je dois relancer roguekiller? car je suis ps sure qu'il ait supprimé zero access, le resultat est pas clair
Avatar du membre
par Angélique2
#56838
j'ai pas vu de rapport, j'ai clique sur zero access, puis il a indique en haut que la menace etait enlevee, en suggerant de faire un don, et au mileu il y avait un nouveau rouge avec "zero access deplacé";;;seulement jai fermé par erreur rogue killer
Avatar du membre
par Angélique2
#56841
ha si j'avais pa vu:

RogueKiller V8.6.6 [Aug 19 2013] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Christian [Droits d'admin]
Mode : Suppression -- Date : 08/21/2013 19:48:28
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Google Update ("C:\Users\Christian\AppData\Local\Google\Update\GoogleUpdate.exe" /c [7]) - SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2265645659-2987491150-2735349919-1002\[...]\Run : Google Update ("C:\Users\Christian\AppData\Local\Google\Update\GoogleUpdate.exe" /c [7]) - [0x2] Le fichier spécifié est introuvable.
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) - REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - REMPLACÉ (0)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Christian\AppData\Local\{ea277cf8-771a-09da-f9b5-b966dacc7e93}\n. [x]) - REMPLACÉ (C:\Windows\system32\shell32.dll)

¤¤¤ Tâches planifiées : 5 ¤¤¤
[V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-2265645659-2987491150-2735349919-1002UA.job : C:\Users\Christian\AppData\Local\Google\Update\GoogleUpdate.exe - /ua /installsource scheduler [7][x] - SUPPRIMÉ
[V1][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-2265645659-2987491150-2735349919-1002Core.job : C:\Users\Christian\AppData\Local\Google\Update\GoogleUpdate.exe - /c [7] - SUPPRIMÉ
[V2][SUSP PATH] Christian : C:\Program Files (x86)\Nero\Nero BackItUp Burn\Nero BackItUp\NBCore.exe - "C:\Users\Christian\AppData\Roaming\Nero\Nero BackItUp 5\Files\Christian.nji" [x][-] - SUPPRIMÉ
[V2][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-2265645659-2987491150-2735349919-1002Core : C:\Users\Christian\AppData\Local\Google\Update\GoogleUpdate.exe - /c [7] - ERROR DELETING TASK
[V2][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-2265645659-2987491150-2735349919-1002UA : C:\Users\Christian\AppData\Local\Google\Update\GoogleUpdate.exe - /ua /installsource scheduler [7][x] - ERROR DELETING TASK

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Fichier] @ : C:\Users\Christian\AppData\Local\{ea277cf8-771a-09da-f9b5-b966dacc7e93}\@ [-] -- SUPPRIMÉ
[ZeroAccess][Repertoire] U : C:\Users\Christian\AppData\Local\{ea277cf8-771a-09da-f9b5-b966dacc7e93}\U [-] -- SUPPRIMÉ
[ZeroAccess][Repertoire] L : C:\Users\Christian\AppData\Local\{ea277cf8-771a-09da-f9b5-b966dacc7e93}\L [-] -- SUPPRIMÉ
[ZeroAccess][Fichier] 00000004.@ : C:\Users\Christian\AppData\Local\{ea277cf8-771a-09da-f9b5-b966dacc7e93}\L\00000004.@ [-] -- SUPPRIMÉ

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 http://www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 http://www.008k.com
127.0.0.1 008k.com
127.0.0.1 http://www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 http://www.032439.com
127.0.0.1 032439.com
127.0.0.1 http://www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 http://www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 http://www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 http://www.100888290cs.com
127.0.0.1 http://www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HM320HJ SCSI Disk Device +++++
--- User ---
[MBR] d724c655336373d708236357b75ed7d7
[BSP] 8eb83cb5c8f64861f3c45ddf97a2defc : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 300 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 616448 | Size: 287536 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 589490176 | Size: 15360 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 620947456 | Size: 2043 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :
RKreport[0]_S_08212013_192950.txt
Avatar du membre
par 2011N2
#56859
Bonsoir,

Juste pour information, j'ai déplacé le sujet dans la catégorie désinfection et j'ai mis le titre en minuscule.
Bonne désinfection.

Gabriel.
par SlyK
#56908
Re !

Je ne sais pas si c'est moi, mais je vois un rapport vide. ^^
Peux-tu le re-héberger ?


@+
par SlyK
#56965
Re !

Est-ce que le rapport est complet quand tu l'ouvres toi sur ta machine ?

Relance pre_scan est clique sur Diag.


@+
par SlyK
#56970
Re !

Ok, peux-tu m'héberger la quarantaine de pre_scan ?
Elle se trouve ici : C:\pre_scan\quarantine

Tu fais un clique droit dessus puis tu sélectionnes "Compressé".
Par la suite tu héberges le nouveau fichier qui c'est créé dans le répertoire sur cjoint.


@+
Avatar du membre
par Angélique2
#56974
BON encore désolée, mais je n'ai pas vu le bouton DIAG, j'ai donc refait un pre scan que voici (s'il y a qqch): http://cjoint.com/?CHwk5XU35GL

et JE VAIS essayer de trouver la quarantaine, mais je crois que j'ai effacé l'ancien pre scan, donc l'ancienne quarantaine

Modèle 16R5 pour être précis. […]

je passe par un routeur intermediare TENDA entre f[…]

Bonjour, Est-ce que l'un d'entre vous aurait un &[…]

Gestion des Pare-feu.

Bonjour, J'ai un petit réseau de 3 PC conn[…]