Page 1 sur 1
Virus SACEM
Posté : ven. 31 août 2012 18:36
par Ofredo
Bonjour,
Je ne suis pas un génie de l'informatique et c'est bien dommage
C'est pourquoi je vous demande de l'aide pour récupérer mon PC
J'ai le virus SACEM, même en mode sans échec.
Impossible de restaurer à une date antérieure car j'ai un fichier qui est annoncé endommagé.
Que faire ?!?!!?
Merci d'avance pour votre aide
Re: Virus SACEM
Posté : ven. 31 août 2012 21:53
par roro04
Hello!
Nous allons débloquer le mode sans échec
- Suis Ce tuto
- Quand le rapport s'ouvre, repérez le fichier donné en suspicious modification (voir capture ci-dessous)
- Dis moi alors l'emplacement de ce fichier ici comme encadré ci-dessus.
Tu devrais avoir accès au mode sans échec, peux-tu confirmer?
++
Re: Virus SACEM
Posté : sam. 1 sept. 2012 14:33
par Ofredo
Bonjour.
J'ai bien suivi ton tuto et je t'en remercie.
J'arrive à l'écran noir où est inscrit en rouge et bleu: "kavrescue ~ #"
Mais le rapport n'apparait pas
Que dois-je faire pour l'obtenir ???
Merci
Re: Virus SACEM
Posté : sam. 1 sept. 2012 17:08
par Ofredo
J'ai redémarré mon PC en mode sans échec et maintenant ce mode fonctionne.
J'attends maintenant qu'on me dise que faire pour éradiquer ce virus
Merci
Re: Virus SACEM
Posté : sam. 1 sept. 2012 17:15
par roro04
Re,
C'est une bonne chose!
En mode sans echec,
On va faire un diagnostique de ton pc.
- Télécharges ZHPDiag (de Nicolas coolman) sur ton bureau.
- Une fois le téléchargement terminé, double cliques sur ZHPDiag.exe et suis les instructions d'installation. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
- Coches la case Créer une icône sur le bureau lors de l'installation.
- A la fin de l'installation, ZHPDiag va se lancer tout seul.
- Cliques sur l'icône représentant une loupe.
- En fin de scan, enregistres le rapport sur ton Bureau. Pour cela, clique sur l’icône représentant une disquette.
- Héberge le rapport sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Ne redémarre pas en mode normal.
++
Re: Virus SACEM
Posté : sam. 1 sept. 2012 17:58
par Ofredo
Voici le lien vers le rapport
http://cjoint.com/?0Ibr530e4pb
Re: Virus SACEM
Posté : sam. 1 sept. 2012 18:23
par roro04
Re,
On va rechercher si des adwares sont présants sur ton PC
- Télécharges AdwCleaner (de Xplode) sur ton bureau.
- Lance-le (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
- Clique sur Suppression
- Patiente le temps du scan.
- Poste le rapport qui apparait à la fin.
- Clique sur Quitter
Ensuite refais un ZHPDiag.
++
Re: Virus SACEM
Posté : sam. 1 sept. 2012 18:56
par Ofredo
Re: Virus SACEM
Posté : sam. 1 sept. 2012 18:59
par Ofredo
Désolé, je crois que le 2nd rapport n'est pas le bon.
Voici donc le bon (enfin j'espère):
http://cjoint.com/12sp/BIbs6qf7Psl.htm
Re: Virus SACEM
Posté : sam. 1 sept. 2012 19:12
par roro04
Re,
Passe AdwCleaner en mode
Supression.
Le deuxième lien était bon
On va supprimer quelques lignes manuellement
/!\ Le script proposé ci-dessous n'est valable que pour l'helpé en cours /!\
- Clique sur l'icône ZHPFix présente sur ton bureau. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
- Clique sur le H bleu.
- Copie/Colle le texte en gras ci-dessous.
[HKLM\Software\WOW6432Node\Classes\Interface\{81E852CC-1FD5-4004-8761-79A48B975E29}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\Interface\{95B6A271-FEB4-4160-B0FF-44394C21C8DC}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\CLSID\{A9A56B8E-2DEB-4ED3-BC92-1FA450BCE1A5}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\CLSID\{AE338F6D-5A7C-4D1D-86E3-C618532079B5}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}] = Infection BT (Toolbar.Babylon)
[HKLM\Software\WOW6432Node\Classes\Interface\{B2CA345D-ADB8-4F5D-AC64-4AB34322F659}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\Classes\TypeLib\{B87F8B63-7274-43FD-87FA-09D3B7496148}] = Infection BT (Hijacker.Seeearch)
[HKLM\Software\WOW6432Node\Classes\Interface\{B9F43021-60D4-42A6-A065-9BA37F38AC47}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\Interface\{BF921DD3-732A-4A11-933B-A5EA49F2FD2C}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\CLSID\{C339D489-FABC-41DD-B39D-276101667C70}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\Classes\TypeLib\{C4BAE205-5E02-4E32-876E-F34B4E2D000C}] = Infection BT (Hijacker.Seeearch)
[HKLM\Software\WOW6432Node\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}] = Infection BT (Toolbar.Babylon)
[HKLM\Software\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}] = Infection BT (Toolbar.Babylon)
[HKLM\Software\WOW6432Node\Classes\Interface\{D83B296A-2FA6-425B-8AE8-A1F33D99FBD6}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\CLSID\{D89031C2-10DA-4C90-9A62-FCED012BC46B}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F}] = Infection BT (Adware. BullseyeToolbar)
[HKLM\Software\Classes\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}] = Infection BT (Adware.SocialSkinz)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}] = Infection BT (Adware.SocialSkinz)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\Interface\{FCC9CDD3-EFFF-11D1-A9F0-00A0244AC403}] = Infection BT (Adware.SocialSkinz)
[HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks]:{CA3EB689-8F09-4026-AA10-B9534C691CE0} = Infection BT (Adware.SocialSkinz)
C:\Users\Ofredo\AppData\LocalLow\Toolbar4 = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\AppID\{628F3201-34D0-49C0-BB9A-82A26AEFB291}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\Interface\{6B458F62-592F-4B25-8967-E6A350A59328}] = Infection BT (Adware.SocialSkinz)
R3 - URLSearchHook: (no name) [64Bits] - {CA3EB689-8F09-4026-AA10-B9534C691CE0} . (.Microsoft Corporation - Office Authorization plug-in for NPAPI browsers.) (No version) -- (.not file.) = Infection BT (Adware.SocialSkinz)
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\AutoKMS.job = Infection Diverse (Trojan.Keygen)
O44 - LFC:[MD5.485055033BCDDFDE56325C0D2FEEA4F2] - 01/09/2012 - 16:16:27 ---A- . (...) -- C:\Windows\KMSEmulator.exe [151552] = Infection Diverse (Trojan.Keygen)
[MD5.9B079876E1077EB7E74C56E8814C41A0] [SPRF][30/08/2012] (...) -- C:\Users\Ofredo\AppData\Roaming\1.exe [391505]
O87 - FAEL: "TCP Query User{5733C96B-7744-48C5-AA95-D3A6E04E58DE}C:\windows\kmsemulator.exe" | In - Public - P6 - TRUE | .(...) -- C:\windows\kmsemulator.exe = Infection Diverse (Trojan.Keygen)
O87 - FAEL: "UDP Query User{E2DF7A01-6F44-4966-8F19-C128239C96EF}C:\windows\kmsemulator.exe" | In - Public - P17 - TRUE | .(...) -- C:\windows\kmsemulator.exe = Infection Diverse (Trojan.Keygen)
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]:Shell
[HKLM\Software\WOW6432Node\Classes\AppID\esrv.EXE]
[HKLM\Software\WOW6432Node\Classes\escort.escortIEPane]
[HKLM\Software\WOW6432Node\Classes\escort.escortIEPane.1]
[HKLM\Software\WOW6432Node\Classes\Interface\{01221FCC-4BFB-461C-B08C-F6D2DF309921}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}] = Infection BT (Adware.Agent)
[HKLM\Software\WOW6432Node\Classes\Interface\{0FA32667-9A8A-4E9C-902F-CA3323180003}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\CLSID\{1C950DE5-D31E-42FB-AFB9-91B0161633D8}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\Interface\{2A42D13C-D427-4787-821B-CF6973855778}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\Interface\{452AE416-9A97-44CA-93DA-D0F15C36254F}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\Interface\{45CDA4F7-594C-49A0-AAD1-8224517FE979}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\Interface\{4897bba6-48d9-468c-8efa-846275d7701b}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\AppID\{4CE516A7-F7AC-4628-B411-8F886DC5733E}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\Interface\{4D8ED2B3-DC62-43EC-ABA3-5B74F046B1BE}] = Infection BT (Adware.SocialSkinz)
[HKLM\Software\WOW6432Node\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}] = Infection BT (Toolbar.Babylon)
[HKLM\Software\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}] = Infection BT (Toolbar.Babylon)
[HKLM\Software\WOW6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}] = Infection BT (Adware.BHO)
[MD5.9B079876E1077EB7E74C56E8814C41A0] [SPRF][30/08/2012] (...) -- C:\Users\Ofredo\AppData\Local\Temp\cccccc.exe [391505]
O4 - Global Startup: C:\Users\Ofredo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet - Raccourci.lnk - Clé orpheline
O43 - CFD: 05/02/2012 - 20:45:58 - [4,199] ----D C:\Program Files (x86)\RechercherWeb Toolbar = RechercherWeb Toolbar
O43 - CFD: 05/02/2012 - 20:45:58 - [4,199] ----D C:\Program Files (x86)\RechercherWeb Toolbar = RechercherWeb Toolbar
O69 - SBI: SearchScopes [HKCU] {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} - (Customized Search) - http://search.fr-recherche.com = Toolbar.Agent
[HKLM\Software\WOW6432Node\Classes\URLSearchHook.ToolbarURLSearchHook]
[HKLM\Software\WOW6432Node\Classes\urlsearchhook.toolbarurlsearchhook]
[HKLM\Software\WOW6432Node\Classes\urlsearchhook.toolbarurlsearchhook.1]
[HKLM\Software\WOW6432Node\Classes\Interface\{2a42d13c-d427-4787-821b-cf6973855778}] = Toolbar.Agent
[HKLM\Software\WOW6432Node\Classes\Interface\{3d8478aa-7b88-48a9-8bcb-b85d594411ec}] = Toolbar.Agent
[HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}] = Toolbar.Conduit
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}] = Toolbar.Agent
- Clique sur Go.
- Poste le rapport qui s'affiche.
Ensuite
- Télécharge RogueKiller (by tigzy) sur ton bureau.
- Quitter tous tes programmes en cours d'éxécution.
- Lancer RogueKiller.exe.
- Attends que le Prescan ait fini ...
- Clique sur Scan.
- Clique sur Rapport et copie/colle le contenu du notepad.
Ensuite
Refais un ZHPDiag.
++
Re: Virus SACEM
Posté : sam. 1 sept. 2012 19:41
par Ofredo
J'ai fais ce que tu m'as indiqué.
Voici les rapports:
http://www.cjoint.com/confirm.php?cjoint=BIbtNXtkw4s
http://www.cjoint.com/confirm.php?cjoint=BIbtNBcxmGC
Quand je veux fermer RogueKiller pour refaire un ZHPDiag, Roguekiller me prévient qu'aucun élément n'a été supprimé
Re: Virus SACEM
Posté : sam. 1 sept. 2012 20:43
par roro04
Re,
Il faut faire la SUPPRESSION de adwcleaner et non RECHERCHE.
Pour roguekiller, normal mais poste d'abord le rapport comme indiqué.
As-tu bien fait ZHPFix en tant qu'administrateur?
++
Re: Virus SACEM
Posté : dim. 2 sept. 2012 00:12
par Ofredo
Je viens de faire SUPPRESSION dans adwcleaner.
Voici le rapport pour roguekiller:
http://cjoint.com/12sp/BIcakLip5Rw.htm
Je n'ai rien sélectionné dans ZHPFix pour être administrateur.
Est-on admin par défaut ?
Re: Virus SACEM
Posté : dim. 2 sept. 2012 10:19
par roro04
Re,
Peux tu me poster le rapport de suppression d'Adwcleaner contenu dans
C:\ ?
Ensuite
- Relance RogueKiller.exe.
- Attends que le Prescan ait fini ...
- Clique sur Scan.
- Clique sur Suppression.
- Clique sur Rapport et copie/colle le contenu du notepad.
Pour ZHPFix il faut le lancer en faisant un clique droit su son icône puis Exécuter en tant qu'administrateur puis, refais les manip ZHPFix données plus haut.
Ensuite refais un ZHPDiag.
++
Re: Virus SACEM
Posté : dim. 2 sept. 2012 10:37
par Ofredo
Salut,
Voici les rapports :
http://cjoint.com/12sp/BIckJhg0lhz.htm
http://cjoint.com/12sp/BIckJHYnaOZ.htm
Je relance ZHPFix pour refaire les manip ZHPFix données plus haut.
Ensuite je refais un ZHPDiag.
Merci
Re: Virus SACEM
Posté : dim. 2 sept. 2012 10:42
par Ofredo
Je ne peux pas lancer ZHP Fix en mode admin car le bouton droit sur l'icone du bureau ne fait rien
Existe-t-il un autre moyen ?
Re: Virus SACEM
Posté : dim. 2 sept. 2012 17:23
par Ofredo
J'ai refais un ZHPDiag
Je ne peux pas lancer ZHP Fix en mode admin car le bouton droit sur l'icone du bureau ne fait rien
Existe-t-il un autre moyen ? Pourtant je peux faire un clic droit à l'intérieur d'un dossier...
Re: Virus SACEM
Posté : dim. 2 sept. 2012 21:22
par roro04
Re,
Tu dois faire un clique droit sur l'icône de ZHPFix!
Donc fais ZHPFix en mode administrateur puis refais un ZHPDiag. Et n'oublis pas de poster les 2 rapports.
++
Re: Virus SACEM
Posté : dim. 2 sept. 2012 22:57
par Ofredo
Je ne peux pas faire de clique droit sur l'icone de ZHPFix qui se trouve sur mon bureau. Il ne se passe rien
Par contre quand je suis dans un fichier, le clique droit fonctionne.
Donc soit j'ai un truc désactivé qui fait que le clique droit ne fonctionne pas sur le bureau soit il me faut une autre manière d'ouvrir ZHPFix en mode admin
Merci
Re: Virus SACEM
Posté : dim. 2 sept. 2012 23:01
par Ofredo
En faite même dans un fichier le clique droit ne fonctionne pas !
Faut-il l'activer ???
Re: Virus SACEM
Posté : lun. 3 sept. 2012 11:15
par roro04
Re,
Suis ce tuto
http://www.generation-nt.com/desactiver ... 539-1.html
Ne recrées pas la clé
NoViewContextMenu si elle est déjà présente.
Mais au lieu de mettre la valeur
1 met la valeur
0.
Regarde si le clique droit marche.
++
Re: Virus SACEM
Posté : lun. 3 sept. 2012 18:37
par Ofredo
Salut,
J'ai fait ZHPDiag en mode admin:
http://cjoint.com/12sp/BIdsB3q0HXT.htm
Puis j'ai fait ADWCleaner en mode admin et Suppression:
http://cjoint.com/data/0IdsC5EUEdr.htm
Puis j'ai fait ZHPFix en mode admin:
http://cjoint.com/data/0IdsENfA7hO.htm
en collant ce que tu m'avais donné
Puis j'ai fait RogueKiller en mode admin:
http://cjoint.com/data/0IdsIC9yQFJ.htm
Enfin j'ai refait ZHPDiag:
http://cjoint.com/data/0IdsJoORTY5.htm
Voilà où j'en suis. J'attends tes infos
Re: Virus SACEM
Posté : lun. 3 sept. 2012 18:39
par Ofredo
J'ai oublié de préciser que pour récupérer mon clic droit, il suffisait de cliquer sur le bandeau en bas et de faire clic droit, puis "afficher le bureau"
Re: Virus SACEM
Posté : mar. 4 sept. 2012 00:58
par roro04
Re,
Refais AdwCleaner et RogueKiller en mode admin ET Suppression.
Puis
Reposte un ZHPDiag toujours en mode admin
++
Re: Virus SACEM
Posté : mar. 4 sept. 2012 01:43
par Ofredo
Salut,
J'ai refais AdwCleaner:
http://cjoint.com/12sp/BIebOYZbXJe.htm
Puis RogueKiller en mode admin ET Suppression:
http://cjoint.com/data/0IebPIp1Ig1.htm
Puis ZHPDiag toujours en mode admin:
http://cjoint.com/data/0IebQoVAGlj.htm
Qu'est-ce que ça donne ?
Merci
Re: Virus SACEM
Posté : mar. 4 sept. 2012 10:44
par roro04
Salut!
Les rapports sont OK
Il reste quelques traces d'infections mais rien de méchant, je pense que Malwarebytes devrait s'en charger.
On va faire un scan généraliste de ton PC
- Télécharges Malwarebytes sur ton bureau.
- Lance le. Laisse les options par défaut lors de l'installation. A la fin, il va se mettre à jour, laisse-le faire.
- Branche toutes tes sources de données externes à ton PC. (Clés USB...)
- Rends-toi dans l'onglet Recherche, clique sur Exécuter un examen complet puis clique sur Rechercher.
- Sélectionnes tes disques durs et disques amovibles puis clique sur Rechercher
- A la fin du scan, un rapport s'ouvre. Clique sur Fichier puis sur Enregistrer sous. Clique sur Bureau et met le nom Malwarebytes.
- Si MalwareBytes détecte des infections, clique sur Afficher les résultats, puis sur Supprimer la sélection.
- Si Malwarebytes te demande de redémarrer ton pc, clique sur Oui.
- Poste le rapport.
!!! Ne pas vider la quarantaine de MBAM sans avis !!!
Tuto pour t'aider Ici
++
Re: Virus SACEM
Posté : mar. 4 sept. 2012 21:30
par Ofredo
C'est bon, j'ai fait ce que tu m'as indiqué et tout est rentré dans l'ordre.
MERCI sincèrement pour ton aide, sans toi je serais encore à me demander quoi faire
Re: Virus SACEM
Posté : mar. 4 sept. 2012 22:10
par roro04
Re,
Attends, pas si vite! J'aimerais avoir le rapport malwarebytes. L’infection a peut-être disparu mais on a pas fini, il faut finaliser autrement l'infection reviendra.
++
Re: Virus SACEM
Posté : dim. 7 oct. 2012 20:03
par 2011N2
Où en-est votre problème ?
Deux solutions,
- Votre problème est résolu, dans ce cas pensez à nous le signaler en cochant l'icône
en éditant votre premier message, ainsi qu'en mettant le titre en vert.
- Votre problème est toujours d'actualité, merci de nous renseigner sur ce qui ne va pas, et donner des nouvelles régulièrement.
À bientôt sur FEI !
Re: Virus SACEM
Posté : jeu. 18 oct. 2012 16:48
par dr.pc1
Bonjour,
Afin que votre sujet ne sois pas verrouillé et considéré comme abandonné vous avez un total de
24 heures pour nous donner des nouvelles de votre demande.
Votre problème est résolu ?
- Pensez à nous le signaler en éditant votre premier message et en cochant l'icône
et en mettant le titre en
vert.
À bientôt sur FEI !
Re: Virus SACEM
Posté : dim. 28 oct. 2012 14:49
par 2011N2
Bonjour,
Nous n'avons plus de nouvelle de l'auteur de ce sujet depuis
plusieurs semaines. Nous considérons donc ce problème comme résolu ou abandonné par son auteur. La prochaine fois, merci de nous tenir au courant de l'évolution de votre problème, ou à faire un UP régulièrement !
Ce sujet est verrouillé, si vous souhaitez le reprendre, merci de contacter par message privé un membre de l'équipe de
modération du forum.
À bientôt sur FEI !