FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par g3n-h@ckm@n
#80012
hello

le pc demarre-t-il en invité de commandes ?
Avatar du membre
par Eowi
#80016
J'ne sais pas.
La mon ordi est allumé en mode sans echec avec prise en charge réseau. J'ai suivis les instructions du lien que je t'ai envoier en mp.
Avant de faire la manip du lien je ne pouvais mettre aucun des deux modes sans echec.
Avatar du membre
par Eowi
#80035
J'ai sauté l'étape  intituler "Double-cliquez sur la clef shell à droite et vérifiez si vous avez à l’intérieur « explorer.exe,chemin/skype.dat », si c’est le cas effacez tout pour n’avoir que « explorer.exe »" ( sur l'article http://www.comment-supprimer.com/le-vir ... ah-police/)
Je continue la procédure.
20h45 : Je viens de finir la procédure sans supprimer aucun fichier nommé dans celle-ci. Dois-je m'inquièté ? Il à l'air de fonctionner normalement. Un ami a vu son ordi fonctionner pdt 4H après qu'il ai refonctionné puis plus aucuné réaction.
J'ne profite pour téléchargé un anti virus ( Avast en l'occurence)
Avatar du membre
par Eowi
#80240
Comment être sûr que l'ordi fonctionne normalement ? Je le trouve un peu mou.
Avatar du membre
par g3n-h@ckm@n
#80243
n'envoie rien en MP , j'attends le rapport de pre_scan
Avatar du membre
par g3n-h@ckm@n
#80257
  • Télécharge Adwcleaner (de Xplode) sur ton Bureau !
  • Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
    1. Choisis l'option Scanner
    2. Choisis l'option Nettoyer
    3. Accepte l'avertissement en cliquant sur OK

      Image
    4. Accepte les avertissements/informations en cliquant sur OK
    5. Copie et Colle le contenu du rapport qui apparaît au redémarrage du PC
    ================
    • Télécharge Junkware Removal Tool Download (de thisisu) sur ton bureau.
    • Lance Junkware Removal Tool Download, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
    • Appuie sur n'importe quelle touche.

      Image
    • Une fois le scan terminé rends toi sur le bureau, le fichier JRT.txt à été créé.
    • Héberge le rapport JRT.txt surSosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
    =======================
    • Télécharge MalwareBytes Anti-Malware
    • Installe le. Décoche "Activer l'essai gratuit de Malwarebytes Anti-Malware PRO"
    • Lance Malwarebytes' Anti-Malware.
    • Clic sur l'onglet "Mises à jours" puis sur "Rechercher des mises à jours"
    • Clic sur l'onglet "Recherche", coche "éxécuter un examen complet" puis clic sur Rechercher

      Image
    • A la fin de l'analyse, si MBAM n'a rien trouvé :
      • Clic sur OK, le rapport s'ouvre spontanément
      • Si des menaces ont été détectées :
        • Clic sur OK puis "Afficher les résultats"
        • Choisis l'option "Supprimer la sélection"
        • Si MBAM demande le redémarrage de Windows : Clic sur "Oui"
        • Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
        • Sinon le rapport s'ouvre automatiquement après la suppression
        • Poste le rapport dans ta prochaine réponse
        Image
        Avatar du membre
        par g3n-h@ckm@n
        #80307
        bien refais un diag avec pre_scan stp
        Avatar du membre
        par g3n-h@ckm@n
        #80334
        sélectionne ce texte puis CTRL + C :

        Kill::
        All

        Key::
        [HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Toolbar]|[Locked]
        [HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1A62CCB4-C1D3-4811-A3A1-972425923EE}]
        [HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{496AFDD3-78E5-4812-AECB-70A05565962}]
        [HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{528FFC73-389D-4134-9C13-F1416F8A3FE4}]
        [HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{93604812-CE63-4917-9122-45D7C8F1D623}]
        [HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B3E61106-DFD9-46EF-B9FF-8B17AF2CEF9}]
        [HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E21FEF34-3F3B-439F-88E3-218C4063372A}]
        [HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E316C6FF-ACE1-44E3-9315-64412678D60}]
        [HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EAD0930-1F0A-448A-9EE5-76686B030F0}]
        [HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{318A227B-5E9F-45BD-8999-7F8F10CA4CF5}]    
        [HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{318A227B-5E9F-45BD-8999-7F8F10CA4CF5}]    
        [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[TCP Query User{376D076A-F36F-4F55-9EF8-06ACBEBDC0ED}C:\users\msi_user\appdata\roaming\cacaoweb\cacaoweb.exe]
        [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[UDP Query User{B18A2661-D430-4CAC-88E9-8D8FF118590F}C:\users\msi_user\appdata\roaming\cacaoweb\cacaoweb.exe]

        File|Fold::
        C:\eula.*.txt
        C:\install.*
        C:\windows\silentOnce.tmp
        C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT_tureg_old
        C:\Users\MSI_User\Downloads\*.exe    
        C:\ProgramData\4vfrolq.fvv
        C:\ProgramData\ljddgl.fvv
        C:\ProgramData\ljddgl.bxx
        C:\ProgramData\4vfrolq.bxx
        C:\ProgramData\boost_interprocess    
        C:\Program Files (x86)\GUTF9AE.tmp
        C:\Program Files (x86)\GUMF9AD.tmp
        C:\Program Files (x86)\GUMC439.tmp
        C:\Program Files (x86)\GUTC43A.tmp
        C:\windows\System32\Tasks\CreateChoiceProcessTask        

        Driver::
        FYIBYHPO

        MBR::
        yes

        Clean::
        yes

        reboot::
        yes


        Relance Pre_scan puis choisis l’option « Script« L’outil va travailler instantanément
        des fenetres noires risquent de clignoter , c’est normal , c’est le programme qui travaille
        poste Pre_Script_date_heure.txt qui apparaitra à la racine du disque systeme (généralement c:\) en fin de travail
        Avatar du membre
        par g3n-h@ckm@n
        #80350
        Télécharge Gmer : http://www.gmer.net/#files  clique sur « Download EXE » et enregistre-le sur ton bureau

        Désactive toutes tes protections : http://forum.pcastuces.com/desactiver_l ... -f31s4.htm

        Pour XP = double clique sur gmer.exe
        Pour Vista et 7 = clique droit « executer en tant que…. »

        clique sur l’onglet rootkit,lance le scan,des lignes rouges devraient apparaitre.

        Les lignes rouges indiquent la presence d’un rootkit.

        Poste le rapport gmer (cliques sur copy,puis va dans démarrer ,puis ouvre le bloc note,va dans édition et clique sur coller ,le rapport gmer va apparaitre,poste-le)

        ensuite :

        fais bien attention que toutes les cases à droites soient cochées sauf Quick Scan, puis clique sur scan

        j’attends donc deux rapports hébergés sur http://cjoint.com

        Aide d’utilisation de cjoint : http://www.security-helpzone.com/blog/c ... s-109.html
        Avatar du membre
        par Eowi
        #80368
        Parcontre pour les lignes rouge, j'suis d'accord, mais tout de suite après un message oui ou non est apparu j'ai cliqué oui et pouf plus de ligne
        Et là ca va de planter et le logiciel viens de se fermer ^^

        2eme tentatives :
        Voici les lignes rouges : http://cjoint.com/?CKEpEFVFhHU
        Avatar du membre
        par g3n-h@ckm@n
        #80369
        reessaie en mode sans echec
        Avatar du membre
        par Eowi
        #80379
        Là quand il ma demander oui ou non j'ai choisis non.
        Je ne suis pas doué en anglais, j'ai choisis à l'arraché ...
        Ca a un impacte ?
        Je peux recommencer en mode sans echec peut etre ?
        Avatar du membre
        par g3n-h@ckm@n
        #80390
        __________________________________________________________
        =/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ =il est fort déconseillé de le transposer sur un autre ordinateur !
        --------------------------------------------------------------------------


        Toujours avec toutes les protections désactivées, fais ceci :

        Ouvre le bloc-notes (Menu démarrer -- programmes -- accessoires -- bloc-notes)
        Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

        ----------------------------------------------------------
        KillAll::

        ClearJavaCache::

        Folder::
        c:\programdata\boost_interprocess

        RegLock::
        [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
        [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
        [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
        [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
        [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
        [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
        [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
        [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
        [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
        [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
        [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]


        ------------------------------------------------------------------

        Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
        Quitte le Bloc Notes

        Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : http://i261.photobucket.com/albums/ii49 ... ript-2.gif

        Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
        Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
        Si le fichier ne s'ouvre pas, il se trouve ici = C:\ComboFix.txt
        Avatar du membre
        par g3n-h@ckm@n
        #80431
        ok quels soucis persistent ?
        Avatar du membre
        par Eowi
        #80434
        dans l'onglet des îcones caché je ne peux plus faire clique droit ( ex : Je ne peux pas remettre avast en mode actif )
        Avatar du membre
        par g3n-h@ckm@n
        #80441
        t'as un message d'erreur quand tu cliques droit ??
        Avatar du membre
        par Eowi
        #80444
        Bah nan juste aucune réaction, mais ça vient que d'avast en fait ...
        J'ai reussi à le réactivé en passant par l’icône dans le menu démarrer.
        Il me semble refonctionner correctement !
        Avatar du membre
        par 2011N2
        #80924
        Image Bonjour,

        Le sujet est à présent résolu, nous nous chargeons donc de le mettre en résolu et nous le verrouillons.
        Vous pouvez si vous le souhaitez, mettre en valeur les messages ayant résolu votre problème comme ceci : http://www.forum-entraide-informatique. ... onse-utile

        Cela permettra une meilleure visibilité du sujet pour les autres utilisateurs ayant le même souci.

        Si le forum vous a aidé dans la résolution de votre problème et que vous souhaitez le remercier, vous avez la possibilité de faire un don afin de l'encourager dans ses démarches en cliquant sur le bouton suivant :

        Image


        Vous pouvez aussi suivre FEI sur Facebook en cliquant sur J'aime ci-dessous :



        Merci d'avance,
        À bientôt sur FEI !

        Bonjour à tous, Je possede une config pc […]

        Modèle 16R5 pour être précis. […]

        je passe par un routeur intermediare TENDA entre f[…]

        Bonjour, Est-ce que l'un d'entre vous aurait un &[…]