Page 1 sur 2

[Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 13:24
par Invité.
Bonjour

voila apres avoir telecharger zonealarm sur une page web mon pc se bloquait ne pouvant plus cliquait sur quoi que se soit.j'ai donc démarrer en mode sans echec pour suprimer manuellement les fichiers zonealarm ainsi que les clé de registres. Certaine clés de registre sont impossible a supprimé.Pouvez vous m'aider a continuer la désinfection?

merci.

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 13:26
par 2011N2
Hello


En attendant qu'un helper te prenne en charge, tu peux si tu veux aller faire une présentation : http://www.forum-entraide-informatique. ... esentation

Merci, bonne journée et bonne désinfection

Gabriel.

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 14:38
par Invité

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 14:47
par Invité
Bonjour et bienvenue sur FEI

Ton PC n'est pas trop parasité, mise à part les barres d'outil qui ne servent
à rien, désinstalle le

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Ensuite, met à jour Malwarebytes, et fait un scan complet, puis poste
le rapport

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 15:16
par Invité
bonjour et merci pour votre aide
voici le rapport adwcleaner

# AdwCleaner v1.407 - Rapport créé le 21/01/2012 à 15:04:58
# Mis à jour le 18/01/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Cedric - ALEXANDRA (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Cedric\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\Cedric\Application Data\OpenCandy
Dossier Supprimé : C:\Documents and Settings\Cedric\Local Settings\Application Data\Conduit
Dossier Supprimé : C:\Program Files\Conduit

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2613520
Clé Supprimée : HKCU\Toolbar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\ConduitSearchScopes
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [2098 octets] - [21/01/2012 15:04:58]

*************************

Dossier Temporaire : 18 dossier(s) et 58 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [2320 octets] ##########

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 15:34
par Invité
J'attends maintenant le rapport de Malwarebytes préalablement mis à
jour avant le scan complet.

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 16:00
par Invité
voici le rapport malwarebyte's

Malwarebytes Anti-Malware 1.60.0.1800
http://www.malwarebytes.org

Version de la base de données: v2012.01.21.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Cedric :: ALEXANDRA [administrateur]

21/01/2012 15:25:44
mbam-log-2012-01-21 (15-25-44).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 219695
Temps écoulé: 30 minute(s), 8 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 16:16
par Invité
Pourrais tu me refaire un scan ZHPDiag pour vérification, héberge le rapport,
et poste le lien

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 16:21
par Invité
bien sur je fais ca tout de suite

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 16:29
par Invité

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 16:56
par Invité
Est-ce que tu te sers des barres d'outil ?
Java n'est pas à jour, désinstalle le, et télécharge la nouvelle version
http://www.java.com/fr/download/

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 17:05
par Invité
je me sert de google tooblar et bing bar c tout je desinstalle java et j'installe la derniere version. Je ne vois pas d'autre barre d'outil dans mes programmes. Dans les module complementaire il reste zone alarm tooblar qui est desactivé et dont je souhaiterais me debarrasser

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 17:24
par Invité
Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessuscopier

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}] =Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}] =Toolbar.Conduit
[HKLM\Software\Classes\CLSID\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}] =Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}] =Toolbar.Conduit
C:\Documents and Settings\Cedric\Local Settings\Application Data\Protection_ZoneAlarm =Toolbar.Conduit
OPT:O4 - HKLM\..\Run: [nwiz] . (...) -- C:\WINDOWS\system32\nwiz.exe
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-606747145-813497703-1417001333-1004\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} . (.SEIKO EPSON CORPORATION - EPSON Web-To-Page.) -- C:\Program Files\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} . (.SEIKO EPSON CORPORATION / CyCom Technology - Epson Easy Photo Print (TBL).) -- C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} . (.AVAST Software - avast! WebRep Plugin.) -- C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
CTFDisabled
EmptyTemp
EmptyFlash


• Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur
)
- Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Note: le rapport est sauvegardé dans C:\ZHP\ZHPFixReport.txt


Redémarre ton PC

Ensuite, poste moi un nouveau rapport ZHPDiag

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 17:40
par Invité

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 17:43
par Invité
C'est quelles clés de registre que tu ne peux pas supprimer ?

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 17:48
par Invité

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 17:54
par Invité
C'est déjà mieux
As tu toujours des blocages ?
C'est quelles clés de registre que tu ne pouvais pas supprimer ?

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 17:55
par Invité
les clés de registres que je ne peut pas supprimés sont :
device desc reg_ sz zonealarm tooblar ISWKL
device desc reg_sz zonealarm tooblar iswsvc
device desc reg_sz zonealarm tooblar ISWKL

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 18:01
par Invité
tu aurais l'arborescence entière de ces clés ?

J'en ai vu deux autres dans le rapport ZHPDiag, ce sont celles-ci
[HKCU\Software\Zone Labs]
[HKLM\Software\Zone Labs]

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 18:02
par Invité
il se comporte mieu mais il reste ces clés de registre de zonealarm et zonealarm browser security dans module complementaire

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 18:07
par Invité
Fait moi une capture pour que je puisse voir, il me faut l'arborescence
entière pour que je puis t'aider à les supprimer

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 18:12
par Invité
je pense quece sont celle ci mais il n'y a pas que 2 clés elle sont au nombre de 6 . voici l'arborescence entiere de l'une d'entre elle poste de travail\HKEY_LOCAL_MACHINE\SYSTEME\controlset001\Enum\Root\LEGACY_ISWKL\0000

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 18:14
par Invité
comment faire une capture ?

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 18:24
par Invité
J'en ai déjà trouvé deux
On va nettoyer ces clés

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessuscopier

[HKCU\Software\Zone Labs]
[HKLM\Software\Zone Labs]
O64 - Services: CurCS - 03/11/2011 - C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys (ISWKL) .(.Check Point Software Technologies - ZoneAlarm Browser Security.) - LEGACY_ISWKL
O64 - Services: CurCS - 18/12/2011 - C:\WINDOWS\system32\vsdatant.sys (vsdatant) .(.Check Point Software Technologies LTD - ZoneAlarm Firewalling Driver.) - LEGACY_VSDATANT


• Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur
)
- Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Note: le rapport est sauvegardé dans C:\ZHP\ZHPFixReport.txt


Redémarre ton PC

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 18:25
par Invité
je viens de copier le nom d'une clé dans le presse papier.regedit\edition\copier le nom de la clé. Ou a t-elle atterit? je n'arrive pas a les supprimé si en plus je copie l'une d'elle. Est ce grave? qu'est ce que le presse papier.

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 18:33
par Invité
Fait ZHPFix, on verra après, je t'ai donné la procédure au dessus de ton dernier post
Ces clés sur les services LEGACY sont assez coriaces

Le presse-papier, c'est lorsque tu mets en mémoire temporaire quelque chose que tu veux copier, lorsque tu cliques sur copier, ton PC le mets dans la mémoire temporaire

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 18:36
par Invité

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 18:42
par Invité
Hum bizarre, ZHPFix les indique absentes
Ces clés peuvent avoir des droits spéciaux, d'où la difficulté de les supprimer

Sinon, fait moi une capture d'écran de ces clé
Tu presses la touche impecr syst, tu ouvres PaintEditioncoller
Enregistre la capture, puis héberge là, et poste le lien.

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 18:53
par Invité
comment copier ces clés j'ai ouvert paint mais je n'arrive pas a les copier pour les coller dans paint

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 19:07
par Invité
pouvez vous me dire la procedure pour coller ces clés dans paint.Coller est grisé dans paint donc il m'est impossible de coller

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 22:21
par Invité
voici la capture d'ecran de la premiere clé

http://pjjoint.malekal.com/files.php?id ... s6b8u5z7i9

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 22:34
par Invité
Zone Alarm a été mal désinstallé, d'où ces clés

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 22:43
par Invité
voici la capture d'ecran de la deuxieme clé

http://pjjoint.malekal.com/files.php?id ... l13y5o9m12

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 22:46
par Invité
voulez vous les autres clé ?
comment desinstaller ces clés?

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 23:04
par Invité

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 23:07
par Invité

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 23:09
par Invité

Re: [Résolu] je pense etre infecté

Posté : sam. 21 janv. 2012 23:12
par Invité
et voici la sixieme et derniere clé

http://pjjoint.malekal.com/files.php?id ... 6t9b9c8u13

merci pour votre aide

Re: [Résolu] je pense etre infecté

Posté : dim. 22 janv. 2012 15:52
par Invité
Bonjour,
Pour pouvoir tout nettoyer, il faudrait que tu réinstalles Zone Alarm, et tu vas
le désinstaller proprement avec Revo Uninstaller.

http://www.commentcamarche.net/download ... ninstaller
Tuto pour bien utiliser ce logiciel :
http://www.bibou0007.com/t4325-tutorial ... ninstaller

Re: [Résolu] je pense etre infecté

Posté : dim. 22 janv. 2012 15:55
par Invité
bonjour et merci de continuer a m'aider. Ok je reinstalle zonealarm et je le desinstalle proprement