Le virus protector m'empêche d'ouvrir mon Windows

bonjour, j ai un probleme sur le pc d une amie : apparition de virus protector au demarrage du pc et impossible d aller sur windows.merci pour vos conseils.

http://www.memoclic.com/forum/111057-virus-protector/
il tend à devenir de mode, ce truc !

Bonsoir
je suppose que tu es le même raj /rajou que sur l\'autre fil
mon conseil de créer ton sujet est donc caduque

comme tu as pu le voir virer ce truc n\'est pas si simple au départ

est ce que toi ou elle pouvez graver des CD sur un autre PC?
est ce que tu peux démarrer en mode sans echec?

bonjour,

effectivement c est le meme raj

je ne peux pas demarrer le pc en mode echec

sinon oui j ai un pc pour graver un cd

bonjour,
effectivement c est le meme raj.

je n arrive pas a demarrer en mode echec
sinon oui j ai un pc sur lequel je peux graver un cd

bonjour
pour éviter les doublons ne poste qu\'en étant identifié stp

tu vas donc graver un liveCd d\'un Antivirus pour essayer de débloquer l\'accès à cet ordi,pour cela suis ce tutoriel
si tu as de nouveau accès à windows fais ceci:
(si le mode normal ne marche pas essaie le mode sans échec avec prise en charge réseau)

• Télécharge ZHPDiag
  
• Laisse toi guider lors de l\'installation, il se lancera automatiquement à la fin.
  
• Clique sur l\'icône représentant une loupe (« Lancer le diagnostic »)
  
• Enregistre le rapport sur ton Bureau à l\'aide de l\'icône représentant une disquette
  
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse

j ai pu avoir accès a windows grace au rescue cd.
j ai lancé le diagnostic par ZHPDiag

lien rapport :

http://www.cijoint.fr/cjlink.php?file=cj201003/cijtb7K4xf.txt

bonjour

Tu as bien travaillé
ce PC est multi-infecté ,en plus de \"virus protector il y a au moins une barre d\'outil infectieuse et un logiciel de la gamme Eorezo
Les barres d\'outils de ce genre sont installées en même temps que certains programmes gratuits si on ne fait pas attention à ce qui nous est proposé pendant l\'installation (décocher les cases qui les concernent).
Les logiciels Eorezo sont à éviter absolument:
Pour plus d\'information je t\'invite à lire et faire lire à ton amie les articles suivants:
forum.malekal.com/les-toolbars-est-pas-obligatoire-t6173.html
forum.malekal.com/les-programmes-eorezo-t18245.html

Un logiciel est capable de supprimer ces \"cochoneries\" il s\'agit de Adremover, pour l\'utiliser il faut commencer par désactiver l\'UAC de Vista pour t\'aider suis ce tutoriel
Ensuite:

• Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) :
  
• Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
  
• Double clique sur le fichier d\'installation de AD-Remover, le programme s\'installera automatiquement.
  
• Sous Vista : clic droit sur AD-Remover et sélectionner \"Exécuter en tant qu\'administrateur\"
  
• Au menu principal choisi l\'option \"L\" et tape sur [entrée] .
  
• Laisse travailler l\'outil et ne touche à rien ...
  
• hébege le rapport le rapport qui apparait à la fin sur cijoint .fr et poste moi le lien fourni
  

( le rapport est sauvegardé aussi sous C:\\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s\'agit pas d\'un virus, mais d\'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d\'où l\'alerte émise par ces antivirus.

si le logiciel ne se lance pas désactive ton Antivirus voire aussi ton pare-feu,le scan peut être assez long et progresse lentement.

Salut jllg!

voici le rapport de ad-remover :

http://www.cijoint.fr/cjlink.php?file=cj201003/cijTaJMYY5.txt

sinon, sur le pc infecté, lorsque j essaie d aller sur un site internet, j ai souvent le message suivant :

\"this website has been reported as unsafe

we strongly recommend to discontinue the use of this webside

Register yout computer\'s security software ... \"

merci en tout cas, pour ton aide

ok ,Adremover a fait son travail

ce message fréquent? est ce une Alerte de ton Antivirus Norton?

à ce stade j\'ai besoin d\'un nouveau rapport ZHPDiag,fais ce que tu as fait au début.
héberge le rapport sur cijoint et poste moi le lien
A+

le message est fréquent oui. la premiere page du web s affiche, apres presque impossible d aller sur d autres sites. c est un message affichant au début \"un ecusson\" comme si c etait un message d un antivirus installé sur un pc, tu vois ? je ne sais pas si c est norton. je pense pas car le pc est neuf et norton est deja perimé.


lien rapport zhpdiag 2 :

http://www.cijoint.fr/cjlink.php?file=cj201003/cijKq6PglA.txt

ce rapport montre la présence de faux logiciels de sécurité appellé \"rogues\"
il ne faut jamais céder à la panique et installer ce qui est proposé par de fausses alertes de sécurité lorsqu\'on surfe,ces infections n\'ont qu\'un but => soutirer de l\'argent aux internautes crédules pour plus d\'info lire ici

tu vas utiliser un Anti malware généraliste tres efficace sur les rogues ,il s\'agit de Malwarebytes antimalware

• Télécharge Malwarebytes antimalware
  
• Tu auras ICI un tutoriel à ta disposition pour l\'installer et l\'utiliser correctement.
  
• Fais la mise à jour du logiciel (elle se fait normalement à l\'installation)
  
• Lance une analyse complète en cliquant sur \"Exécuter un examen complet\"
  
• Sélectionne les disques que tu veux analyser et clique sur \"Lancer l\'examen\"
  
• L\'analyse peut durer un bon moment.....
  
• Une fois l\'analyse terminée, clique sur \"OK\" puis sur \"Afficher les résultats\"
  
• Vérifie que tout est bien coché et clique sur \"Supprimer la sélection\" => et ensuite sur \"OK\"
  
• Un rapport va s\'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
  
• Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur \"oui\" à la question posée
  

bon voila malwarebytes semble avoir bien examiné le pc :



Malwarebytes\' Anti-Malware 1.44
Version de la base de données: 3510
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18882

09/03/2010 00:52:06
mbam-log-2010-03-09 (00-52-06).txt

Type de recherche: Examen complet (C:\\|D:\\|)
Eléments examinés: 297891
Temps écoulé: 1 hour(s), 39 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\\Windows\\System32\\win32extension.dll (Trojan.FakeAlert) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Servises (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\\CLSID\\{04dfb628-514b-4e68-9076-dc1024f58a96} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Ext\\Stats\\{04dfb628-514b-4e68-9076-dc1024f58a96} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\{04dfb628-514b-4e68-9076-dc1024f58a96} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\sysfbtray (Worm.KoobFace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\\Ad-Remover\\QUARANTINE\\PROGRA~1\\EoRezo\\EoEngine.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\\Ad-Remover\\QUARANTINE\\PROGRA~1\\EoRezo\\EoAdv\\EoAdv.dll.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\\Ad-Remover\\QUARANTINE\\PROGRA~1\\EoRezo\\EoAdv\\EoRezoBHO.dll.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\\Ad-Remover\\QUARANTINE\\PROGRA~1\\WINSUD~1\\gibcom.dll.XXX.vir (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\\Ad-Remover\\QUARANTINE\\PROGRA~1\\WINSUD~1\\gibidl.dll.XXX.vir (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\\Ad-Remover\\QUARANTINE\\PROGRA~1\\WINSUD~1\\gibupt.exe.XXX.vir (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\\Ad-Remover\\QUARANTINE\\Users\\luduvi\\AppData\\Roaming\\EoRezo\\SOFTWA~1\\SoftwareUpdate.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\\Ad-Remover\\QUARANTINE\\Users\\luduvi\\AppData\\Roaming\\EoRezo\\SOFTWA~1\\SoftwareUpdateHP.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\\Windows\\bk23567.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\\Windows\\fdgg34353edfgdfdf (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\\Windows\\System32\\win32extension.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

pense à redemarrrer le PC pour que \"malwarebytes\" termine son travail et refais moi ensuite un rapport ZhpDiag ,héberge le rapport et montre moi le lien
tu dois commencer à te dire que cela fait beaucoup,mais c\'est le seul moyen que j\'ai de voir l\'avancement de la désinfection et sur ce PC comme tu peux le voir il y a du boulot

ensuite demain je t\'expliquerai comment désinstaller ton Norton puisqu\'il est périmé et comment installer un autre antivirus,en gratuit tu as le choix entre Avast5.0,Antivir,MSE ou AVG
voir ici un comparatif tout récent pour guider ton choix.

Salut Jllg
le pc marche deja bien mieux qu avant et je peux ouvrir des sites internets sans le message dont je te parlais.

sinon voici le lien pour le rapport zhpdiag :

http://www.cijoint.fr/cjlink.php?file=cj201003/cijP2JDvXI.txt

hier j ai desinstallé norton. je dois encore lire les comparatifs des anti virus pour decider lequel installer.

a premiere vue avast serait le meilleur...

je voulais installer avast sur le pc, mais le probleme d aller sur internet recommance.

puis s affiche un message : vous devez verifier votre systeme, atteint de malwares.

alors j ai fait examiner une seconde fois par malwarebytes anti malware
mais ca na rien donné.

bonjour

est ce que ce n\'est pas une Alerte de windows defender?

fais une analyse complète avec ce logiciel:

Pour ouvrir Windows Defender, clique sur le bouton DémarrerI (icône vista), puis sur Tous les programmes, puis sur Windows Defender.

Clique sur la flèche vers le bas à côté du bouton Analyser, puis clique sur Analyse complète.( Autorisation de l’administrateur nécessaire) Si tu es invité à fournir un mot de passe administrateur ou une confirmation, fournis le mot de passe ou la confirmation.

note le resultat et poste le ici

j ai cliqué sur windows defender. apres je ne peux aller plus loin. windows defender est désactivé par la stratégie du groupe.

sinon, j ai envoyé le dernier rapport zhpdiag. ca a l air d aller selon ton analyse ?

autrement, j ai installé avast 5, pour l instant plus de message particulier contre internet, et j arrive a aller sur les sites que je veux.

ton PC est encore bien infecté notamment par le Trojan/ver \"koobface\" qui s\'attrape sur les reseaux sociaux comme FaceBook et MySpace..etc..

Nous allons utiliser un outil très efficace sur cette infection que son auteur bient de remettre en ligne
merci \"batch_man\" pour ton travail

• Télécharge \"KoobFix\" de \"Batch_Man\" sur ton Bureau
  
• Redémarre en mode sans echec en suivant ce tutoriel
  
• Lance KoobFix qui est sur ton Bureau et appuies sur une touche.
  
• Un message d\'avertissement s\'affiche, clique sur Oui si tu souhaites continuer
  
• Une fois l\'analyse et la suppression terminée, KoobFix t\'en informes: appuies sur une touche
  
• Le rapport s\'affiche, enregistre le sur ton Bureau pour le retrouver plus facilement
  
• Redémarre en mode normal et poste le rapport dans ta prochaine réponse
  
• Note: le rapport est aussi enregistré ici: C:\\KoobFix\\KoobFix[numéro le plus grand].txt

Bonjour,


A la demande de jllg qui s\'absente jusqu\'à mardi, je viens m\'occuper de la suite

D\'ailleurs, il me semble qu\'il manque le lien de téléchargement de KoobFix dans son dernier message : Le voici

Bonjour Anthony, merci de prendre la suite :

j ai télécharger koobfix, voici le rapport

il n a rien trouvé

===============================================
Rapport KoobFix 1.1 [2] - 13/03/2010 à 16:06:52
Windows Vista - Mode normal
Internet Explorer (8.0.6001.18882) [Navigateur par défaut]
===============================================

¤¤¤¤ [Liste des éléments rencontrés au cours de la Recherche] ¤¤¤¤

Aucun élément nuisible rencontré

==========================
Fin du rapport - 16:07:18
==========================

Il reste des éléments néfastes à supprimer, on va le faire autrement :


1) Les barres d\'outils sont inutiles, ralentissent le navigateur, peuvent provoquer des bugs, et certaines récupèrent des informations personnes... Pour éviter ce genre de chose, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d\'outils !
Je te conseille vivement de désinstaller toutes tes barres d\'outils, tu en as 5 !!!

AOL Toolbar
Shareware.Pro-FR Toolbar
ecouter-la-radio Toolbar
Windows Live Toolbar
Google Toolbar



2) Pour supprimer les restes de deux autres infections :

• Fais un clic-droit sur le raccourci de ZHPFix et choisis \"Exécuter en temps qu\'administrateur\"
• Clique sur l\'icone représentant la lettre H (« coller les lignes Helper »)
• Copie/colle toutes les lignes contenues dans ce script et place les dans ZHPFix
• Clique sur « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse

desinstaller et desactiver les toolbar c est la meme chose ?

et puis je ne sais pas c est koi zhpfix, je n ai pas son raccourci. faut il le telecharger ?

Non, désactiver et désinstaller ne signifie pas la même chose. Tu dois les désinstaller (menu démarrer --> panneau de configuration --> Désinstaller un programme)


ZHPFix est un module qui accompagne ZHPDiag (le logiciel de diagnostic que tu as utilisé avec jllg). Il a dû ajouter un raccourci sur ton Bureau.
Sinon tu peux le lancer à partir de ZHPDiag

ZHPFix v1.12.307 by Nicolas Coolman - Rapport de suppression du 13/03/2010 19:12:28
Fichier d\'export Registre : C:\\ZHPExportRegistry-13-03-2010-19-12-28.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
O20 - AppInit_DLLs: . (.Pas de propriétaire - VirusProtector Application.) - C:\\Windows\\System32\\agFtGrwyb.dll => Donnée supprimée avec succès

Dossier :
C:\\Program Files\\PersSecurity => Supprimé et mis en quarantaine
C:\\Program Files\\Common Files\\PersSecurityUninstall => Supprimé et mis en quarantaine

Fichier :
c:\\windows\\ligh => Supprimé et mis en quarantaine
c:\\windows\\system32\\drivers\\o6ko.sys => Fichier absent
c:\\windows\\system32\\agftgrwyb.dll => Supprimé et mis en quarantaine
c:\\windows\\tasks\\perssecurity.job => Supprimé et mis en quarantaine
c:\\windows\\system32\\agftgrwyb.dll => Fichier absent
c:\\windows\\bill103.exe => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 1
Dossier : 2
Fichier : 6
Logiciel : 0
Autre : 0


End of the scan

Très bien

Fais redémarrer l\'ordinateur, puis relance ZHPDiag (par un clic-droit --> exécuter en temps qu\'administrateur) et poste un nouveau rapport stp

http://www.cijoint.fr/cjlink.php?file=cj201003/cij1Eqf0HM.txt

Il reste encore des éléments néfastes à supprimer :


• Fais un clic-droit sur le raccourci de ZHPFix et choisis \"Exécuter en temps qu\'administrateur\"
• Clique sur l\'icone représentant la lettre H (« coller les lignes Helper »)
• Copie/colle les lignes suivantes et place les dans ZHPFix :

R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://y.lo.st
O64 - Services: CurCS - (.not file.) - AutoComplete Wav Filter Microsoft Security Access Network Mixer Shell (o6ko) .(.Pas de propriétaire - Pas de description.) - LEGACY_O6KO


• Clique sur « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse

Bonjour,

mon ordi aussi est infecté par ce virus, j\'ai donc gravé le rescue cd puis lancé le scan. Celui-ci n\'a rien effacé et juste renommé certains fichiers.

J\'ai donc redémarré mon pc, mais ce ****** de virus se lance toujours et impossible d\'accéder à windows même en mode sans échec avec prise en charge...

Est-ce le fait de ne pas avoir enregistré le log sur mon disque dur qui a fait \"capoté\" l\'affaire? (n\'étant pas expert, j\'avais peur de faire une connerie)

Si quelqu\'un peut m\'aider ca serait super sympa car je désespère... Et les aides à domiciles sont bien au dessus de mes moyens...

Bonjour Tristan

Ouvre ton propre sujet stp : clique ici

C\'est fait!

Désolé pour l\'erreur.

Bonjour Anthony,

rapport zhpfix :

ZHPFix v1.12.307 by Nicolas Coolman - Rapport de suppression du 17/03/2010 22:15:04
Fichier d\'export Registre : C:\\ZHPExportRegistry-17-03-2010-22-15-04.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://y.lo.st => Donnée supprimée avec succès

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 1
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0


End of the scan

Fais redémarrer ton ordinateur et poste un dernier rapport ZHPDiag stp

Ensuite, pour pouvoir te donner les conseils de finition, j\'ai besoin d\'un dernier rapport :

• Télécharge hijackthis sur ton Bureau.
• Installe le, lance le et clique sur \"Do a system scan and save a logfile\".
• Fais un copier-coller du rapport entier sur le forum

voici le rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201003/cijcPh0eg0.txt

voici le rapport de hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:49:30, on 17/03/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\\Windows\\system32\\Dwm.exe
C:\\Windows\\Explorer.EXE
C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe
C:\\Windows\\System32\\hkcmd.exe
C:\\Windows\\System32\\igfxpers.exe
C:\\Program Files\\HP\\QuickPlay\\QPService.exe
C:\\Program Files\\Hewlett-Packard\\HP Quick Launch Buttons\\QLBCTRL.exe
C:\\Program Files\\Java\\jre1.6.0_07\\bin\\jusched.exe
C:\\Program Files\\HP\\HP Software Update\\hpwuSchd2.exe
C:\\Program Files\\Hewlett-Packard\\HP Wireless Assistant\\HPWAMain.exe
C:\\Program Files\\Alwil Software\\Avast5\\AvastUI.exe
C:\\Program Files\\Common Files\\LightScribe\\LightScribeControlPanel.exe
C:\\Program Files\\Hewlett-Packard\\HP Advisor\\HPAdvisor.exe
C:\\Program Files\\Windows Media Player\\wmpnscfg.exe
C:\\Program Files\\WinZip\\WZQKPICK.EXE
C:\\Program Files\\Microsoft Office\\Office12\\ONENOTEM.EXE
C:\\Windows\\system32\\igfxsrvc.exe
C:\\Windows\\system32\\taskeng.exe
C:\\Program Files\\Hewlett-Packard\\HP wireless Assistant\\WiFiMsg.EXE
C:\\Program Files\\Hewlett-Packard\\Shared\\HpqToaster.exe
C:\\Program Files\\Synaptics\\SynTP\\SynTPHelper.exe
C:\\Windows\\system32\\conime.exe
C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe
C:\\Program Files\\Windows Live\\Contacts\\wlcomm.exe
C:\\Program Files\\Mozilla Firefox\\firefox.exe
C:\\Windows\\system32\\wuauclt.exe
C:\\Program Files\\Java\\jre1.6.0_07\\bin\\jucheck.exe
C:\\Windows\\system32\\SearchFilterHost.exe
C:\\Program Files\\Trend Micro\\HijackThis\\HijackThis.exe

R1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page =
R0 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://fr.msn.com/
R0 - HKLM\\Software\\Microsoft\\Internet Explorer\\Search,CustomizeSearch =
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\\Program Files\\Common Files\\Adobe\\Acrobat\\ActiveX\\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\\Program Files\\Skype\\Toolbars\\Internet Explorer\\SkypeIEPlugin.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\\Program Files\\Microsoft\\Search Enhancement Pack\\Search Helper\\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\\Program Files\\Java\\jre1.6.0_07\\bin\\ssv.dll
O2 - BHO: Programme d\'aide de l\'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\\Program Files\\Common Files\\Microsoft Shared\\Windows Live\\WindowsLiveLogin.dll
O4 - HKLM\\..\\Run: [SynTPEnh] C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe
O4 - HKLM\\..\\Run: [IgfxTray] C:\\Windows\\system32\\igfxtray.exe
O4 - HKLM\\..\\Run: [HotKeysCmds] C:\\Windows\\system32\\hkcmd.exe
O4 - HKLM\\..\\Run: [Persistence] C:\\Windows\\system32\\igfxpers.exe
O4 - HKLM\\..\\Run: [QPService] \"C:\\Program Files\\HP\\QuickPlay\\QPService.exe\"
O4 - HKLM\\..\\Run: [UpdateLBPShortCut] \"C:\\Program Files\\CyberLink\\LabelPrint\\MUITransfer\\MUIStartMenu.exe\" \"C:\\Program Files\\CyberLink\\LabelPrint\" UpdateWithCreateOnce \"Software\\CyberLink\\LabelPrint\\2.5\"
O4 - HKLM\\..\\Run: [UpdatePSTShortCut] \"C:\\Program Files\\CyberLink\\DVD Suite\\MUITransfer\\MUIStartMenu.exe\" \"C:\\Program Files\\CyberLink\\DVD Suite\" UpdateWithCreateOnce \"Software\\CyberLink\\PowerStarter\"
O4 - HKLM\\..\\Run: [UCam_Menu] \"C:\\Program Files\\CyberLink\\YouCam\\MUITransfer\\MUIStartMenu.exe\" \"C:\\Program Files\\CyberLink\\YouCam\" UpdateWithCreateOnce \"Software\\CyberLink\\YouCam\\2.0\"
O4 - HKLM\\..\\Run: [Windows Defender] %ProgramFiles%\\Windows Defender\\MSASCui.exe -hide
O4 - HKLM\\..\\Run: [QlbCtrl.exe] C:\\Program Files\\Hewlett-Packard\\HP Quick Launch Buttons\\QlbCtrl.exe /Start
O4 - HKLM\\..\\Run: [Adobe Reader Speed Launcher] \"C:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe\"
O4 - HKLM\\..\\Run: [UpdateP2GoShortCut] \"C:\\Program Files\\CyberLink\\Power2Go\\MUITransfer\\MUIStartMenu.exe\" \"C:\\Program Files\\CyberLink\\Power2Go\" UpdateWithCreateOnce \"SOFTWARE\\CyberLink\\Power2Go\\6.0\"
O4 - HKLM\\..\\Run: [UpdatePDIRShortCut] \"C:\\Program Files\\CyberLink\\PowerDirector\\MUITransfer\\MUIStartMenu.exe\" \"C:\\Program Files\\CyberLink\\PowerDirector\" UpdateWithCreateOnce \"SOFTWARE\\CyberLink\\PowerDirector\\7.0\"
O4 - HKLM\\..\\Run: [SunJavaUpdateSched] \"C:\\Program Files\\Java\\jre1.6.0_07\\bin\\jusched.exe\"
O4 - HKLM\\..\\Run: [HP Health Check Scheduler] c:\\Program Files\\Hewlett-Packard\\HP Health Check\\HPHC_Scheduler.exe
O4 - HKLM\\..\\Run: [HP Software Update] C:\\Program Files\\Hp\\HP Software Update\\HPWuSchd2.exe
O4 - HKLM\\..\\Run: [hpWirelessAssistant] C:\\Program Files\\Hewlett-Packard\\HP Wireless Assistant\\HPWAMain.exe
O4 - HKLM\\..\\Run: [Captcha21] rundll \"C:\\Program Files\\captcha21.dll\",captcha
O4 - HKLM\\..\\Run: [avast5] C:\\PROGRA~1\\ALWILS~1\\Avast5\\avastUI.exe /nogui
O4 - HKCU\\..\\Run: [LightScribe Control Panel] C:\\Program Files\\Common Files\\LightScribe\\LightScribeControlPanel.exe -hidden
O4 - HKCU\\..\\Run: [HPAdvisor] C:\\Program Files\\Hewlett-Packard\\HP Advisor\\HPAdvisor.exe autorun=AUTORUN
O4 - HKCU\\..\\Run: [WMPNSCFG] C:\\Program Files\\Windows Media Player\\WMPNSCFG.exe
O4 - HKUS\\S-1-5-19\\..\\Run: [Sidebar] %ProgramFiles%\\Windows Sidebar\\Sidebar.exe /detectMem (User \'SERVICE LOCAL\')
O4 - HKUS\\S-1-5-19\\..\\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User \'SERVICE LOCAL\')
O4 - HKUS\\S-1-5-20\\..\\Run: [Sidebar] %ProgramFiles%\\Windows Sidebar\\Sidebar.exe /detectMem (User \'SERVICE RÉSEAU\')
O4 - HKUS\\S-1-5-18\\..\\Run: [LightScribe Control Panel] C:\\Program Files\\Common Files\\LightScribe\\LightScribeControlPanel.exe -hidden (User \'SYSTEM\')
O4 - HKUS\\.DEFAULT\\..\\Run: [LightScribe Control Panel] C:\\Program Files\\Common Files\\LightScribe\\LightScribeControlPanel.exe -hidden (User \'Default user\')
O4 - Startup: OneNote 2007 - Capture d\'écran et lancement.lnk = C:\\Program Files\\Microsoft Office\\Office12\\ONENOTEM.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\\Program Files\\WinZip\\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\\PROGRA~1\\MICROS~3\\Office12\\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\\Program Files\\Google\\Google Toolbar\\Component\\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\PROGRA~1\\Java\\JRE16~1.0_0\\bin\\ssv.dll
O9 - Extra \'Tools\' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\PROGRA~1\\Java\\JRE16~1.0_0\\bin\\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\\Program Files\\Windows Live\\Writer\\WriterBrowserExtension.dll
O9 - Extra \'Tools\' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\\Program Files\\Windows Live\\Writer\\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\\PROGRA~1\\MICROS~3\\Office12\\ONBttnIE.dll
O9 - Extra \'Tools\' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\\PROGRA~1\\MICROS~3\\Office12\\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\\Program Files\\Skype\\Toolbars\\Internet Explorer\\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\\PROGRA~1\\MICROS~3\\Office12\\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/framework/lib/objimageuploader/html_include/5.1.1.0/ImageUploader5.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/VistaMSNPUpldfr-fr.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\\PROGRA~1\\COMMON~1\\Skype\\SKYPE4~1.DLL
O23 - Service: avast! Antivirus - ALWIL Software - C:\\Program Files\\Alwil Software\\Avast5\\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\\Program Files\\Alwil Software\\Avast5\\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\\Program Files\\Alwil Software\\Avast5\\AvastSvc.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\\Program Files\\Hewlett-Packard\\HP Quick Launch Buttons\\Com4QLBEx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\\Program Files\\HP Games\\My HP Game Console\\GameConsoleService.exe
O23 - Service: Service Google Update (gupdate1ca897655cbc450) (gupdate1ca897655cbc450) - Google Inc. - C:\\Program Files\\Google\\Update\\GoogleUpdate.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\\Program Files\\Hewlett-Packard\\HP Health Check\\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\\Program Files\\Hewlett-Packard\\Shared\\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\\Program Files\\Common Files\\InstallShield\\Driver\\1050\\Intel 32\\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\\Program Files\\Common Files\\LightScribe\\LSSrvc.exe
O23 - Service: Recovery Service for Windows - Unknown owner - C:\\Program Files\\SMINST\\BLService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\\Program Files\\CyberLink\\Shared files\\RichVideo.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\\Windows\\system32\\DRIVERS\\xaudio.exe

--
End of file - 9814 bytes

Ton ordinateur n\'est plus infecté ;)

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t\'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu\'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c\'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t\'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur

• Logiciels de protection :
* Garde un antivirus (Avast dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins.
* Désactive Windows Defender (tutoriel)

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d\'utiliser le navigateur Firefox. Une fois que c\'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t\'avertir des sites web dangereux.

• Java n\'est pas à jour, c\'est une faille de sécurité.
Il faut d\'abord désinstaller l\'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : http://java.com/fr/

• Adobe Reader n’est pas à jour, c’est une faille de sécurité. Lance le (C:\\Program Files\\Adobe\\Reader 9.0\\Reader\\AcroRd32.exe) puis clique sur « Aide » → « Rechercher les mises à jour ». Fais le jusqu\'à ce qu\'il ne trouve plus de mise à jour.
Ensuite, pour combler une faille de sécurité utilisée très souvent par les infections, désactive la prise en charge Javascript d\'Adobe Reader : Lance le (C:\\Program Files\\Adobe\\Reader 9.0\\Reader\\AcroRd32.exe) → clique sur Edition → Préférences → JavaScript → décoche \"Activer Acrobat JavaScript\" et valide.,

• Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l\'ActiveX et celui-ci pour le plugin.

• Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t\'aider de ce petit programme (décoche « run at startup » lors de l\'installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)

• Vaccine tes disques amovibles à l\'aide de USBFix (de Chiquitine29 et C_XX) → lance l\'installation avec les paramètres par défaut → Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir → Fais un clic droit sur le raccourci de USBFix et choisis \'Exécuter en tant qu\'administrateur\' → Au menu principal, choisis l\'option 3 (Vaccination).



2) Relance Hijackthis (pour la dernière fois), choisis \"Do a system scan only\" et coche les lignes suivantes qui sont inutiles (j\'ai intégré les barres d\'outils dans cette liste) :

O4 - HKLM\\..\\Run: [IgfxTray] C:\\Windows\\system32\\igfxtray.exe
O4 - HKLM\\..\\Run: [HotKeysCmds] C:\\Windows\\system32\\hkcmd.exe
O4 - HKLM\\..\\Run: [Persistence] C:\\Windows\\system32\\igfxpers.exe
O4 - HKLM\\..\\Run: [Windows Defender] %ProgramFiles%\\Windows Defender\\MSASCui.exe -hide
O4 - HKLM\\..\\Run: [Adobe Reader Speed Launcher] \"C:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe\"
O4 - HKLM\\..\\Run: [HP Software Update] C:\\Program Files\\Hp\\HP Software Update\\HPWuSchd2.exe
O4 - HKLM\\..\\Run: [Captcha21] rundll \"C:\\Program Files\\captcha21.dll\",captcha
O4 - HKUS\\S-1-5-19\\..\\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User \'SERVICE LOCAL\')
O4 - Startup: OneNote 2007 - Capture d\'écran et lancement.lnk = C:\\Program Files\\Microsoft Office\\Office12\\ONENOTEM.EXE

Si tu as bien mis à jour Adobe Reader comme je te l\'ai recommandé, ces 2 lignes devraient apparaitre, tu peux la cocher :
O4 - HKLM\\..\\Run: [Adobe Reader Speed Launcher] \"C:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe\"
O4 - HKLM\\..\\Run: [Adobe ARM] \"C:\\Program Files\\Fichiers communs\\Adobe\\ARM\\1.0\\AdobeARM.exe\"

Coche également toutes les lignes commençant par 016 puis clique sur \"Fix checked\"



3) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu\'administrateur ») → clique sur le « A » rouge (Nettoyeur de Tools) → clique sur « Nettoyer »
Tutoriel pour t\'aider



4) Télécharge CCleaner. Installe le (décoche l\'installation de la barre d\'outil Yahoo qui est proposée lors de l\'installation), puis lance le.
Clique sur Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s\' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu\'à ce qu\'il ne trouve plus d\'erreurs.

(Tu peux garder ce logiciel et l\'utiliser régulièrement).



5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis [url=http://forum-aide-contre-virus.be/virus%20dans%20le%20system%20volume%20information_restore.html]ce tutoriel[/url] stp.



6) Je t\'invite enfin à visiter cette page qui t\'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



7) Pour finir, je t\'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n\'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d\'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.



8) D\'autre part, je remarque que ton disque dur est quasiment rempli (3% d\'espace libre). Ca n\'a pas de rapport direct avec la désinfection, mais je te conseille de libérer de l\'espace, car il est recommandé d\'avoir au moins 20% d\'espace libre.
Pour ça, désinstalle les programmes que tu n\'utilises pas, supprime les films présents sur le disque si tu en stockes(après les avoir sauvegardé sur un support amovible si tu le souhaites) etc...




Bonne lecture, bon courage, et n\'hésite pas à poser des questions en cas de besoin ;)