Forum-seven : Communauté francaise de Windows 7

Bonjour à tous.

Je m"appelle Thierry
Je faisais auparavant parie du forum vista, qui m'a fort bien dépanné à deux reprises, puis, suite à changement de machine, me voilà désormais en seven.

Depuis hier, j'ai ce message au lancement de l'ordi:



J'ai fait un scan antivirus (antivir) sans résultat notable, en dehors d'un cheval de troie: TR/kasy

J'ai tenté une restauration du système, mais elle échoue:



L'ordi fonctionne normalement, avec juste, parfois, des ouvertures intempestives d'internet explorer 8, que j'ai, du coup, désactivé, puisque je ne m'en sers jamais. (Firefox)

Que dois-je faire, s'il vous plait?

Par avance, grand merci de votre aide savante.

Thierry

je viens, pour voir, de réactiver internet explorer, le message au démarrage reste le même!

Du coup, nouveau message d'alerte:



J'crois qu' c'est grave....

Alors,

problème partiellement (ou totalement?) résolu en désactivant dans MSCONFIG un truc portant le nom barbare de : Cfehahopiranohid, commande rundl32.exe, située dans mes AppData et revoyant à la .dll incriminée.

Je vais faire un scan en ligne, parce que antivir ne m'a rien dit à ce sujet...

Bonjour
Tues visiblement infecté avec au minimum des toolbars douteuses.
Pour faire un premier diagnostic, applique les deux propositions ci-dessous.

1- Télécharge et installe Malwarebytes Anti-Malware de RubbeR DuckY

Double-clique sur le fichier mbam-setup-1.50.exe (sous Vista et 7 autorise les modifications)
A la fin de l'installation, veille à ce que les options suivantes soient cochées

• -Mettre à jour Malwarebytes' Anti-Malware
  -Exécuter Malwarebytes' Anti-Malware

Clique sur Terminer
Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
Le programme s'ouvre sur l'onglet Recherche.
Coche Exécuter un examen rapide, clique sur le bouton

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc si cela est demandé
Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

2- Télécharge ZHPDiag de Nicolas Coolman sur ton bureau.

Clique sur pour lancer l'installation.
Clique sur pour lancer le programme.

Sous Vista et Sept , il faut cliquer droit dessus et dans le menu contextuel sur Exécuter en tant qu'administrateur.

Clique sur pour vérifier si une mise à jour du logiciel est disponible.
Clique sur pour lancer le scan.
Clique sur quand le scan sera terminé pour mettre le rapport dans le presse-papier.

Héberge ce dernier sur Cjoint.
Poste le lien obtenu.
Referme l'outil.
Le rapport sera enregistré sur le bureau.

Si besoin est, nous ferons appel à d'autres outils.

@+

Bonsoir,

Grand merci de ton aide. J'étais loin de mon ordi ce WE, donc, je ne réponds que maintenant:

1/ Rapport de MALWAREBYTES ( 14 infections):

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5754

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

13/02/2011 19:51:06
mbam-log-2011-02-13 (19-51-06).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 163965
Temps écoulé: 3 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
c:\Users\TROLL\AppData\Local\Temp\Uqv.exe (Trojan.Agent) -> 1312 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\CE8SIIFGSU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\DD1APJEZAI (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CE8SIIFGSU (Trojan.Agent) -> Value: CE8SIIFGSU -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.Bot) -> Value: Policies -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\TROLL\AppData\Local\Temp\Uqv.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\TROLL\AppData\Local\Temp\CC6B.tmp (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\Windows\Usugoa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.


2/ lien du rapport ZHPdiag:

http://cjoint.com/?0cnuiSGcWk5


Merci encore et à bientôt.

Bonsoir
Lance ZHPFix
Coche les lignes suivantes

O43 - CFD: 04/02/2011 - 11:44:50 ----D- C:\Users\TROLL\AppData\Roaming\StageManager.BD092818F67280F4B42B04877600987F0111B594.1
O43 - CFD: 05/02/2011 - 10:02:14 RSH-D- C:\Users\TROLL\AppData\Roaming\system32
O53 - SMSR:HKLM\...\startupreg\CE8SIIFGSU [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\TROLL\AppData\Local\Temp\Uqv.exe
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} [DefaultScope] - (hAqX0ne7 Customized Web Search) - http://search.conduit.com
[MD5.D7CD41A332A7D3C6F73FB24A90B19893] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Program Files\snxhk.dll.sum [174]
[MD5.C2400B25BB26F88B84CE99183E373B78] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\TROLL\AppData\Local\Temp\bdinst.exe [1359448]

Clique sur Nettoyer et poste le rapport.
@+

Merci.

Voici le rapport:

Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-14-02-2011-08-22-10.txt
Run by TROLL at 14/02/2011 08:22:10
Windows 7 Home Premium Edition, 64-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Users\TROLL\AppData\Local\Temp\bdinst.exe [1359448] => Supprimé et mis en quarantaine

========== Module(s) mémoire ==========
C:\Program Files\snxhk.dll.sum [174] => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O53 - SMSR:HKLM\...\startupreg\CE8SIIFGSU [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\TROLL\AppData\Local\Temp\Uqv.exe => Clé non supprimée
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} [DefaultScope] - (hAqX0ne7 Customized Web Search) - http://search.conduit.com => Clé supprimée avec succès

========== Dossier(s) ==========
C:\Users\TROLL\AppData\Roaming\Adobe Mini Bridge CS5 => Supprimé et mis en quarantaine
C:\Users\TROLL\AppData\Roaming\system32 => Fichier supprimé au reboot

========== Fichier(s) ==========
c:\users\troll\appdata\local\temp\uqv.exe => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Processus mémoire
1 : Module(s) mémoire
2 : Clé(s) du Registre
2 : Dossier(s)
1 : Fichier(s)


End of the scan


A tout bientôt

Bonjour,

**Suppression de ZHPDiag**
[url=http://rue-du-montceau.pagesperso-orange.f
** Nettoyage quarantaine de MalwaresBytes**
Tu vas dans l'onglet quarantaine et tu vides celle-ci de tout son contenu.
**Création d'un point sain de restauration système**
Désactive la restauration système comme indiqué sur ce lien :
Réactive-la pour recréer automatiquement un point sain de toute infection.r/outils_zhpdiag_3.html]Explication en image[/url].
**Fermeture du sujet**
Tu peux éditer le titre de ta question de base et y ajouter [résolu].

Chapeau bas et mille mercis de cette aide courtoise et efficace!



A bientôt.

Thierry