FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Invité.]

Bonjour

voila apres avoir telecharger zonealarm sur une page web mon pc se bloquait ne pouvant plus cliquait sur quoi que se soit.j'ai donc démarrer en mode sans echec pour suprimer manuellement les fichiers zonealarm ainsi que les clé de registres. Certaine clés de registre sont impossible a supprimé.Pouvez vous m'aider a continuer la désinfection?

merci.

[2011N2]

Hello


En attendant qu'un helper te prenne en charge, tu peux si tu veux aller faire une présentation : http://www.forum-entraide-informatique. ... esentation

Merci, bonne journée et bonne désinfection

Gabriel.

[Invité]

voici le rapport zhpdiag

http://pjjoint.malekal.com/files.php?id ... 10z15o6f10

[Invité]

Bonjour et bienvenue sur FEI

Ton PC n'est pas trop parasité, mise à part les barres d'outil qui ne servent
à rien, désinstalle le

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Ensuite, met à jour Malwarebytes, et fait un scan complet, puis poste
le rapport

[Invité]

bonjour et merci pour votre aide
voici le rapport adwcleaner

# AdwCleaner v1.407 - Rapport créé le 21/01/2012 à 15:04:58
# Mis à jour le 18/01/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Cedric - ALEXANDRA (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Cedric\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\Cedric\Application Data\OpenCandy
Dossier Supprimé : C:\Documents and Settings\Cedric\Local Settings\Application Data\Conduit
Dossier Supprimé : C:\Program Files\Conduit

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2613520
Clé Supprimée : HKCU\Toolbar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\ConduitSearchScopes
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [2098 octets] - [21/01/2012 15:04:58]

*************************

Dossier Temporaire : 18 dossier(s) et 58 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [2320 octets] ##########

[Invité]

J'attends maintenant le rapport de Malwarebytes préalablement mis à
jour avant le scan complet.

[Invité]

voici le rapport malwarebyte's

Malwarebytes Anti-Malware 1.60.0.1800
http://www.malwarebytes.org

Version de la base de données: v2012.01.21.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Cedric :: ALEXANDRA [administrateur]

21/01/2012 15:25:44
mbam-log-2012-01-21 (15-25-44).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 219695
Temps écoulé: 30 minute(s), 8 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

[Invité]

Pourrais tu me refaire un scan ZHPDiag pour vérification, héberge le rapport,
et poste le lien

[Invité]

bien sur je fais ca tout de suite

[Invité]

voici le rapport zhpdiag

http://pjjoint.malekal.com/files.php?id ... p9e13w7b11

[Invité]

Est-ce que tu te sers des barres d'outil ?
Java n'est pas à jour, désinstalle le, et télécharge la nouvelle version
http://www.java.com/fr/download/

[Invité]

je me sert de google tooblar et bing bar c tout je desinstalle java et j'installe la derniere version. Je ne vois pas d'autre barre d'outil dans mes programmes. Dans les module complementaire il reste zone alarm tooblar qui est desactivé et dont je souhaiterais me debarrasser

[Invité]

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessuscopier

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}] =Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}] =Toolbar.Conduit
[HKLM\Software\Classes\CLSID\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}] =Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}] =Toolbar.Conduit
C:\Documents and Settings\Cedric\Local Settings\Application Data\Protection_ZoneAlarm =Toolbar.Conduit
OPT:O4 - HKLM\..\Run: [nwiz] . (...) -- C:\WINDOWS\system32\nwiz.exe
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-606747145-813497703-1417001333-1004\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} . (.SEIKO EPSON CORPORATION - EPSON Web-To-Page.) -- C:\Program Files\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} . (.SEIKO EPSON CORPORATION / CyCom Technology - Epson Easy Photo Print (TBL).) -- C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} . (.AVAST Software - avast! WebRep Plugin.) -- C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
CTFDisabled
EmptyTemp
EmptyFlash

• Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
- Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Note: le rapport est sauvegardé dans C:\ZHP\ZHPFixReport.txt


Redémarre ton PC

Ensuite, poste moi un nouveau rapport ZHPDiag

[Invité]

voici le rapport zhpfix

http://pjjoint.malekal.com/files.php?id ... g7q8w10q12

[Invité]

C'est quelles clés de registre que tu ne peux pas supprimer ?

[Invité]

voici le rapport zhpdiag

http://pjjoint.malekal.com/files.php?id ... 10i14p14u5

[Invité]

C'est déjà mieux
As tu toujours des blocages ?
C'est quelles clés de registre que tu ne pouvais pas supprimer ?

[Invité]

les clés de registres que je ne peut pas supprimés sont :
device desc reg_ sz zonealarm tooblar ISWKL
device desc reg_sz zonealarm tooblar iswsvc
device desc reg_sz zonealarm tooblar ISWKL

[Invité]

tu aurais l'arborescence entière de ces clés ?

J'en ai vu deux autres dans le rapport ZHPDiag, ce sont celles-ci
[HKCU\Software\Zone Labs]
[HKLM\Software\Zone Labs]

[Invité]

il se comporte mieu mais il reste ces clés de registre de zonealarm et zonealarm browser security dans module complementaire

[Invité]

Fait moi une capture pour que je puisse voir, il me faut l'arborescence
entière pour que je puis t'aider à les supprimer

[Invité]

je pense quece sont celle ci mais il n'y a pas que 2 clés elle sont au nombre de 6 . voici l'arborescence entiere de l'une d'entre elle poste de travail\HKEY_LOCAL_MACHINE\SYSTEME\controlset001\Enum\Root\LEGACY_ISWKL\0000

[Invité]

comment faire une capture ?

[Invité]

J'en ai déjà trouvé deux
On va nettoyer ces clés

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessuscopier

[HKCU\Software\Zone Labs]
[HKLM\Software\Zone Labs]
O64 - Services: CurCS - 03/11/2011 - C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys (ISWKL) .(.Check Point Software Technologies - ZoneAlarm Browser Security.) - LEGACY_ISWKL
O64 - Services: CurCS - 18/12/2011 - C:\WINDOWS\system32\vsdatant.sys (vsdatant) .(.Check Point Software Technologies LTD - ZoneAlarm Firewalling Driver.) - LEGACY_VSDATANT

• Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
- Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Note: le rapport est sauvegardé dans C:\ZHP\ZHPFixReport.txt


Redémarre ton PC

[Invité]

je viens de copier le nom d'une clé dans le presse papier.regedit\edition\copier le nom de la clé. Ou a t-elle atterit? je n'arrive pas a les supprimé si en plus je copie l'une d'elle. Est ce grave? qu'est ce que le presse papier.

[Invité]

Fait ZHPFix, on verra après, je t'ai donné la procédure au dessus de ton dernier post
Ces clés sur les services LEGACY sont assez coriaces

Le presse-papier, c'est lorsque tu mets en mémoire temporaire quelque chose que tu veux copier, lorsque tu cliques sur copier, ton PC le mets dans la mémoire temporaire

[Invité]

voici le rapport zhpfix

http://pjjoint.malekal.com/files.php?id ... y9h10i11b5

[Invité]

Hum bizarre, ZHPFix les indique absentes
Ces clés peuvent avoir des droits spéciaux, d'où la difficulté de les supprimer

Sinon, fait moi une capture d'écran de ces clé
Tu presses la touche impecr syst, tu ouvres PaintEditioncoller
Enregistre la capture, puis héberge là, et poste le lien.

[Invité]

comment copier ces clés j'ai ouvert paint mais je n'arrive pas a les copier pour les coller dans paint

[Invité]

pouvez vous me dire la procedure pour coller ces clés dans paint.Coller est grisé dans paint donc il m'est impossible de coller

[Invité]

voici la capture d'ecran de la premiere clé

http://pjjoint.malekal.com/files.php?id ... s6b8u5z7i9

[Invité]

Zone Alarm a été mal désinstallé, d'où ces clés

[Invité]

voici la capture d'ecran de la deuxieme clé

http://pjjoint.malekal.com/files.php?id ... l13y5o9m12

[Invité]

voulez vous les autres clé ?
comment desinstaller ces clés?

[Invité]

voici la troisieme clés

http://pjjoint.malekal.com/files.php?id ... 2f10h10c15

[Invité]

voici la quatrieme clés

http://pjjoint.malekal.com/files.php?id ... m10y12b6z6

[Invité]

voici la cinquieme clé

http://pjjoint.malekal.com/files.php?id ... z8y14d14v6

[Invité]

et voici la sixieme et derniere clé

http://pjjoint.malekal.com/files.php?id ... 6t9b9c8u13

merci pour votre aide

[Invité]

Bonjour,
Pour pouvoir tout nettoyer, il faudrait que tu réinstalles Zone Alarm, et tu vas
le désinstaller proprement avec Revo Uninstaller.

http://www.commentcamarche.net/download ... ninstaller
Tuto pour bien utiliser ce logiciel :
http://www.bibou0007.com/t4325-tutorial ... ninstaller

[Invité]

bonjour et merci de continuer a m'aider. Ok je reinstalle zonealarm et je le desinstalle proprement