[ résolu]virus au démarrage de l'ordinateur " TR/Opachki.D.24"

Bonjour à tous,
Il y a bien longtemps depuis ma dernière visite, que je n'avais pas de problème.
Aujourd'hui 11 Septembre, au démarrage du PC antivir m'a révélé un résultat positif pour ce virus TR/Opachki.D.24

je vous joins les rapports, en sachant que MALWAREBYTES ne veut pas démarrer le scan.

1er rapport zgp diag http://cjoint.com/?jlsIKZboWC

2ème rapport rsit log.txt http://cjoint.com/?jlsKugAGvB

3ème rapport rsit info.txt http://cjoint.com/?jlsLHRwPoY

Vous remerciant par avance

Cordialement

Bonsoir,

Il y a plusieurs infections sur ton PC.

Fais ceci :

Désactiver le Tea-Timer de Spybot S&D s'il est installé sur le PC car il risque de gêner la désinfection

Démarrez Spybot, cliquez sur "Mode", cochez "Mode avancé".
A gauche, cliquez sur "Outils", puis sur "Résident".
Décochez la case devant Résident "TeaTimer" puis quittez Spybot



Puis :

• Télécharge Ad Remover (de C_XX) ici ou ici sur ton bureau

/!\ Déconnecte toi et ferme toutes les applications ouvertes/!\

• Double-cliquer sur l'icône Ad Remover
  
• Au menu principal du programme, cliquer sur Scanner
  
• Confirmer le démarrage de l'analyse
  
• Laisser l'outil travailler le temps nécessaire
  
• Un rapport va s'ouvrir à la fin de l'analyse
  
• Copie (Ctrl+C)/Colle (Ctrl+V) le rapport dans ta prochaine réponse
  (le rapport est également sauvegardé sous C:\Ad-Scan-.txt)

Elowen

Bonsoir Elowen,

Merci pour votre réponse, je suis sur un autre PC, j'ai imprimé la réponse;

Mon souci , j'ai une autre erreur au démarrage maintenant à savoir :

svchost.exe erreur d'application instruction à "0x001 a 61 bb"
emploie l'adresse mémoire "0x00000000" La mémoire ne peut pas être "wittren"
OK pour quitter - annuler pour déboguer. En faisant OK l'ordi est bloqué; Donc en annulant je peux encore démarrer;
Par contre je n'arrive plus à me connecter à internet en wifi.


Si vous avez une réponse, ou alors demain je regarderai en mettant le câble Ethernet.

J'ai imprimé votre réponse pour pouvoir réparer demain.

Merci encore

Cordialement
Capmatifou

As-tu essayé de démarrer en mode sans échec pour voir si l'erreur se produit ?

Tente un mode sans échec avec prise en charge réseau.

Voici comment faire :

Démarrer en mode sans échec :

• Redémarrer le PC et tapoter la touche F8 (ou F5 selon les modèles) dès l'affichage du logo constructeur (attention, le laps de temps accordé pour le faire est très court)
  
• Dans le menu d'options avancées de démarrage, choisir Mode sans échec avec prise en charge réseau
  
• Presser deux fois la touche Entrée
  
• A l'écran de choix, sélectionner le système d'exploitation à démarrer en mode sans échec
  
• Saisir, le cas échéant, le nom d'utilisateur et le mot de passe administrateur
  
• Une fois sous Windows, cliquer sur "oui" à la question posée
  

Windows est en mode sans échec

Il n'y aura plus le papier peint du bureau, c'est tout fait normal.

Dis moi si ça fonctionne sinon, on ira voir du côté des processus pour essayer d'alléger.

Sinon, pour la connexion internet, essaie effectivement une connexion via éthernet....en espérant que ça marche...

Bonjour Elowen,

J'ai pu me connecter avec le câble Ethernet.

Voici le rapport que tu m'as demandé Ad remover

======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 06/09/10 à 15:20
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 12:05:38 le 12/09/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
moi@YOUR-A289DD5720 ( )

============== RECHERCHE ==============


0,Dossier trouvé: C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\extensions\{486E390A-7713-433F-A882-8B52263E595A}
0,Fichier trouvé: C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\searchplugins\fast-browser-search.xml
0,Dossier trouvé: C:\Documents and Settings\moi\Local Settings\Application Data\Conduit
0,Dossier trouvé: C:\Program Files\GeneaBarre
0,Dossier trouvé: C:\Documents and Settings\All Users\Application Data\Trymedia

-- Fichier ouvert: C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\Prefs.js --
Ligne trouvée: user_pref("CT2542115.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_...
Ligne trouvée: user_pref("CT2542115.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT254...
Ligne trouvée: user_pref("browser.search.defaultenginename", "Fast Browser Search");
Ligne trouvée: user_pref("browser.search.defaultthis.engineName", "Fast Browser Search");
Ligne trouvée: user_pref("browser.search.defaulturl", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&...
Ligne trouvée: user_pref("browser.search.order.1", "Fast Browser Search");
Ligne trouvée: user_pref("browser.search.selectedEngine", "Fast Browser Search");
Ligne trouvée: user_pref("keyword.URL", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=4&tid={C478...
-- Fichier Fermé --


0,Clé trouvée: HKLM\Software\Classes\Toolbar.CT2542115
0,Clé trouvée: HKLM\Software\Trymedia Systems
0,Clé trouvée: HKCU\Software\Conduit
0,Clé trouvée: HKCU\Software\pacificpoker
0,Clé trouvée: HKCU\Software\pokerinstaller
3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}

0,Valeur trouvée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{66886C4D-B307-4ECA-A228-52CA9B9851A4}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.9 (fr)] **

-- C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\User.js --
keyword.URL, hxxp://redirecterror.sfr.fr/?q=

-- C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\Prefs.js --
browser.download.dir, C:\\Documents and Settings\\moi\\Bureau\\TOUS LES TELECHARGMENTS
browser.search.defaultenginename, Fast Browser Search
browser.search.defaulturl, hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=4&q=
browser.search.selectedEngine, Fast Browser Search
browser.startup.homepage, hxxp://www.sfr.fr/fr/adsl.jsp
browser.startup.homepage_override.mstone, rv:1.9.2.9
keyword.URL, hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=4&tid={C47834DA-49BA-C3DD-FD52-8534B8D92211}...

-- C:\Documents and Settings\chevalier DULYS\Application Data\Mozilla\FireFox\Profiles\qut8owxc.default\Prefs.js --
browser.startup.homepage, hxxp://www.sfr.fr/fr/adsl.jsp
browser.startup.homepage_override.mstone, rv:1.9.2.9
privacy.popups.showBrowserMessage, false

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
SearchAssistant:
Search bar: hxxp://g.msn.fr/0SEFRFR/SAOS02
Search Page: hxxp://home.microsoft.com/access/allinone.asp
Show_ToolBar: yes
Start Page: hxxp://www.sfr.fr/kit/adsl/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
SearchAssistant: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.tropal.net/
Use Custom Search URL: 0
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 12/09/2010 (2729 Octet(s))

Fin à: 12:15:01, 12/09/2010

============== E.O.F ==============

merci d'avance

bon dimanche

cordialement

Bonjour,

Tu as bien désactivé le tea-timer ?
Laisse-le désactivé et fais ceci :

• Télécharge Ad Remover (de C_XX) ici ou ici sur ton bureau

/!\ Déconnecte toi et ferme toutes les applications ouvertes/!\

• Double-cliquer sur l'icône Ad Remover
  
• Au menu principal du programme, cliquer sur Nettoyer
  
• Confirmer le démarrage de l'analyse
  
• Laisser l'outil travailler le temps nécessaire
  
• Un rapport va s'ouvrir à la fin de l'analyse
  
• Copie (Ctrl+C)/Colle (Ctrl+V) le rapport dans ta prochaine réponse
  (le rapport est également sauvegardé sous C:\Ad-Report-CLEAN.txt)

Re,

je vous joint le rapport demandé,

mais avant, une chose lorsque l'ordinateur a redémarré, il y a 2 programmes qui ceux sont affichés, GENERIC HOST PROCESS FOR WIN 32 SERVICE et NTDEVICE.EXE motif a rencontré un problème et doit fermer. choisir débogage - envoyer le rapport d'erreur - ne pas envoyer - je n'ai rien fait de peur que tout se bloque,

et j'ai pu faire le rapport que voici

======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 06/09/10 à 15:20
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 12:47:36 le 12/09/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
moi@YOUR-A289DD5720 ( )

============== ACTION(S) ==============


0,Dossier supprimé: C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\extensions\{486E390A-7713-433F-A882-8B52263E595A}
0,Fichier supprimé: C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\searchplugins\fast-browser-search.xml
0,Dossier supprimé: C:\Documents and Settings\moi\Local Settings\Application Data\Conduit
0,Dossier supprimé: C:\Program Files\GeneaBarre
0,Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Trymedia

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\Prefs.js --
Ligne supprimée: user_pref("CT2542115.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_...
Ligne supprimée: user_pref("CT2542115.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT254...
Ligne supprimée: user_pref("browser.search.defaultenginename", "Fast Browser Search");
Ligne supprimée: user_pref("browser.search.defaultthis.engineName", "Fast Browser Search");
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&...
Ligne supprimée: user_pref("browser.search.order.1", "Fast Browser Search");
Ligne supprimée: user_pref("browser.search.selectedEngine", "Fast Browser Search");
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=4&tid={C478...
-- Fichier Fermé --


0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
0,Clé supprimée: HKLM\Software\Trymedia Systems
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\pacificpoker
0,Clé supprimée: HKCU\Software\pokerinstaller
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{66886C4D-B307-4ECA-A228-52CA9B9851A4}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.9 (fr)] **

-- C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\User.js --
keyword.URL, hxxp://redirecterror.sfr.fr/?q=

-- C:\Documents and Settings\moi\Application Data\Mozilla\FireFox\Profiles\aokiud37.default\Prefs.js --
browser.download.dir, C:\\Documents and Settings\\moi\\Bureau\\TOUS LES TELECHARGMENTS
browser.startup.homepage, hxxp://www.sfr.fr/fr/adsl.jsp
browser.startup.homepage_override.mstone, rv:1.9.2.9

-- C:\Documents and Settings\chevalier DULYS\Application Data\Mozilla\FireFox\Profiles\qut8owxc.default\Prefs.js --
browser.startup.homepage, hxxp://www.sfr.fr/fr/adsl.jsp
browser.startup.homepage_override.mstone, rv:1.9.2.9
privacy.popups.showBrowserMessage, false

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
SearchAssistant:
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 0
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 8 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 12/09/2010 (2566 Octet(s))
C:\Ad-Report-SCAN[1].txt - 12/09/2010 (5235 Octet(s))

Fin à: 12:55:00, 12/09/2010

============== E.O.F ==============

Il faut essayer de stopper le processus infectieux qui génère ce message au démarrage :

Étape 1: rkill (de Grinler), téléchargement
Télécharger rkill depuis l'un des liens ci-dessous:

Lien 1
Lien 2
Lien 3
Lien 4
http://download.bleepingcomputer.com/grinler/eXplorer.exe
http://download.bleepingcomputer.com/grinler/iExplore.exe

Enregistrer le fichier sur le Bureau.

2: Désactiver le module résident de l'antivirus et celui de l'antispyware.

3: rkill (de Grinler), exécution
Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Ne pas redémarrer l'ordinateur après l'exécution de rkill car le processus malveillant se réactivera.
Poste le rapport se situant en %SystemDrive%\rkill.log

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des liens ci-dessus et faire une nouvelle tentative d'exécution.

voici :

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as moi on 12/09/2010 at 14:40:45.


Services Stopped:


Processes terminated by Rkill or while it was running:


C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\Documents and Settings\moi\Bureau\eXplorer.exe


Rkill completed on 12/09/2010 at 14:40:57.

=> Télécharge WORT de Dj QUIOU et la Team sécurité MicroHebdo

=> enregistre le fichier sur ton bureau.

=> double-clique sur le fichier WORT.exe pour lancer l'installation. /!\ sélectionnes uniquement le bureau comme emplacement d'installation.

=> lance le programme en double- cliquant sur le fichier Wareout_removal_tool.bat et sélectionnes l'option n°1

=> patiente durant la sauvegarde du registre puis lis bien les instructions à l'écran et laisse le programme analyser ton ordinateur.

=> parfois il te faudra cliquer sur une touche pour continuer l'analyse

=>à la fin de l'analyse (qui peut durer jusqu'a 10 minutes) un rapport apparait, si ce n'est pas le cas il se situe dans C:\WORT\WORT_report.txt.
Poste le contenu de ce rapport.fermes ensuite WORT.

merci de me dire si je ferme wareout par la croix, car il ne s'est pas refermé après le rapport

que voici :

===== Rapport WareOut Removal Tool =====

version 3.6.2

analyse effectuée le 12/09/2010 à 15:40:10,38

Résultats de l'analyse :
========================

~~~~ Recherche d'infections dans C:\ ~~~~


~~~~ Recherche d'infections dans C:\Program Files\ ~~~~


~~~~ Recherche d'infections dans C:\WINDOWS\system\ ~~~~


~~~~ Recherche d'infections dans C:\WINDOWS\system32\ ~~~~


~~~~ Recherche d'infections dans C:\WINDOWS\system32\drivers\ ~~~~


~~~~ Recherche d'infections dans C:\Documents and Settings\moi\Application Data\ ~~~~


~~~~ Recherche d'infections dans C:\Documents and Settings\moi\Bureau\ ~~~~


~~~~ Recherche de détournement de DNS ~~~~



~~~~ Recherche de Rootkits ~~~~

_______________________________________________________________________

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-12 15:41:22
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

_______________________________________________________________________

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ



~~~~ Recherche d'infections dans C:\DOCUME~1\moi\LOCALS~1\Temp\ ~~~~


~~~~ Recherche d'infections dans C:\Documents and Settings\moi\Start Menu\Programs\ ~~~~


~~~~ Nettoyage du registre ~~~~


~~~~ Tentative de réparation des entrées suivantes: ~~~~

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System"

[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service]

~~~~ Vérification: ~~~~

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ



_________________________________

développé par http://pc-system.fr
_________________________________

tout s'est refermé quand j'ai pris le rapport que tu viens d'avoir, excuse moi je suis novice

Refais une analyse avec ZHPDiag et poste moi le lien du rapport hébergé.

Merci.

voici les liens

C'est ce même lien que vous devrez transmettre à vos correspondants
http://www.cijoint.fr/cjlink.php?file=cj201009/cijB8OYmhq.txt

Elowen,

j'ai été regardé dans les rapports d'antivir, cette chose est arrivée hier 11/09/2010 à 11h00
je t'ai regroupé les rapports, la journée du 11 (j'ai fait cour) et du 12 09 10, si cela peut t'aider :

Le nom du fichier est « pizda_ntload.dll »

GUARD Logiciel malveillant détecté 11/09/10, 11h06 :22
Dans le fichier 'C:\Documents and Settings\chevalier DULYS\pizda_ntload.dll'
un virus ou un programme indésirable 'TR/Opachki.D.24' [trojan] a été détecté.
Action exécutée : Refuser l'accès

GUARD Logiciel malveillant détecté 12/09/10, 14h39 :32
Dans le fichier 'C:\Documents and Settings\moi\pizda_ntload.dll'
un virus ou un programme indésirable 'TR/Opachki.D.24' [trojan] a été détecté.
Action exécutée : Refuser l'accès

GUARD Logiciel malveillant détecté 12/09/10, 15h28 :24
Dans le fichier 'C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP161\A0079214.dll'
un virus ou un programme indésirable 'TR/Opachki.D.24' [trojan] a été détecté.
Action exécutée : Déplacer le fichier en quarantaine

Merci pour les détails donnés par Antivir.

Applique cette procédure, en respectant l'ordre des étapes :

• Lance ZHPFix (soit par le raccourci sur ton Bureau, soit via ZHPDiag (si tu ne l'as pas fermé depuis) en cliquant sur le bouclier vert situé en haut à droite)
• Copie toutes les lignes en gras ci-après (les sélectionner puis clic droit puis "copier") :

----------------------------------------------------------
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\ntdevice.exe
[MD5.B68B362B39B0B81B0E12689B47F56AC9] - (.lhbbc - Pas de description.) -- C:\WINDOWS\system32\ntdevice.exe [46592]
O42 - Logiciel: Search Settings 1.1 - (.Pas de propriétaire.) [HKLM] -- {32AD1A7A-25F1-44B9-A396-EA8A4A6605B0}
O42 - Logiciel: Search Settings 1.1 - (.Pas de propriétaire.) [HKLM] -- {32AD1A7A-25F1-44B9-A396-EA8A4A6605B0}
O17 - HKLM\System\CCS\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS3\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS3\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
[HKCU\Software\?? ?? ???? ????? ??? ?? ????]
R3 - URLSearchHook: Microsoft Url Search Hook - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.)
R3 - URLSearchHook: Microsoft Url Search Hook - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) (4, 5, 188, 6) -- C:\Program Files\Mininova-Vuze\tbMini.dll
R3 - URLSearchHook: Microsoft Url Search Hook - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.)
O2 - BHO: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll
O3 - Toolbar: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll
[HKCU\Software\Mininova-Vuze]
O43 - CFD:Common File Directory ----D- C:\Program Files\Mininova-Vuze
OPT:O4 - HKLM\..\Run: [Cpqset] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
OPT:O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-21-2024237385-2792745136-3025052520-1005\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
OPT:O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab
OPT:O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
OPT:O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.girafoto.fr/uploaders/aurigm ... oader4.cab



----------------------------------------------------------

• Clique ensuite sur l'icône représentant la lettre H (« coller les lignes Helper »)
• Clique sur "OK" puis « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse

Lance ZHPFix (soit par le raccourci sur ton Bureau, soit via ZHPDiag (si tu ne l'as pas fermé depuis) en cliquant sur le bouclier vert situé en haut à droite)

dans le ZHPFIX j'ai le rapport de 16 h 23, et autrement sur ZHP DIAG je n'ai pas de bouclier, à droite mais une fleche verte et un tournevis,

est ce que tu parles de la fléche verte

Ne passe pas par ZHPDiag (tu as du fermer la dernière fenêtre d'analyse et c'est pour cela que tu ne vois pas le bouclier).

Ce n'est pas un problème : double-clique sur l'icône ZhpFix qui se trouve sur ton bureau :

Clique sur "OK" puis « Tous », puis sur « Nettoyer » j'y suis arrivée, mais il me demande de :

Windows Installer pose la question ; voulez vous vraiment désinstaller ce produit ?

dois je le faire

Copie ces lignes dans "h" à la place de celles de tout à l'heure et recommence.

[MD5.B68B362B39B0B81B0E12689B47F56AC9] - (.lhbbc - Pas de description.) -- C:\WINDOWS\system32\ntdevice.exe [46592]
O42 - Logiciel: Search Settings 1.1 - (.Pas de propriétaire.) [HKLM] -- {32AD1A7A-25F1-44B9-A396-EA8A4A6605B0}
O42 - Logiciel: Search Settings 1.1 - (.Pas de propriétaire.) [HKLM] -- {32AD1A7A-25F1-44B9-A396-EA8A4A6605B0}
O17 - HKLM\System\CCS\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS3\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS3\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
[HKCU\Software\?? ?? ???? ????? ??? ?? ????]
R3 - URLSearchHook: Microsoft Url Search Hook - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.)
R3 - URLSearchHook: Microsoft Url Search Hook - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) (4, 5, 188, 6) -- C:\Program Files\Mininova-Vuze\tbMini.dll
R3 - URLSearchHook: Microsoft Url Search Hook - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.)
O2 - BHO: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll
O3 - Toolbar: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll
[HKCU\Software\Mininova-Vuze]
O43 - CFD:Common File Directory ----D- C:\Program Files\Mininova-Vuze
OPT:O4 - HKLM\..\Run: [Cpqset] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
OPT:O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-21-2024237385-2792745136-3025052520-1005\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
OPT:O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab
OPT:O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
OPT:O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.girafoto.fr/uploaders/aurigm ... oader4.cab

quand je veux copier dans H cela ne fonctionne pas, par contre cela ressort une sorte de rapport ou entre autre je retrouve les ligne que tu me donnes à copier, et après

avoir fait tous et nettoyer il me pose toujours la même question

Windows Installer pose la question ; voulez vous vraiment désinstaller ce produit ?

dois je le faire,

désolée Elowen,
on vient de contrôler toutes les lignes avec mon époux, les tiennent correspondent à celle du H, le même nombre de lignes et textes, peut être qu'il ne faut pas faire de copier coller,
et Windows installer demande la confirmation de désinstaller ces lignes ? je n'ose pas n'étant pas très douée en informatique ?

Il ne faut pas "coller".

Une fois les lignes copiées, elles se collent d'elles-même lorsque l'on clique sur "H"

Il faut répondre par oui aux questions de Windows Installer.

Si on ne va pas plus loin, on ne peut pas désinfecter l'ordinateur.

Donc :

- copiez les lignes citées (je vous les remets une autre fois) :

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\ntdevice.exe
[MD5.B68B362B39B0B81B0E12689B47F56AC9] - (.lhbbc - Pas de description.) -- C:\WINDOWS\system32\ntdevice.exe [46592]
O42 - Logiciel: Search Settings 1.1 - (.Pas de propriétaire.) [HKLM] -- {32AD1A7A-25F1-44B9-A396-EA8A4A6605B0}
O42 - Logiciel: Search Settings 1.1 - (.Pas de propriétaire.) [HKLM] -- {32AD1A7A-25F1-44B9-A396-EA8A4A6605B0}
O17 - HKLM\System\CCS\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS3\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS3\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
[HKCU\Software\?? ?? ???? ????? ??? ?? ????]
R3 - URLSearchHook: Microsoft Url Search Hook - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.)
R3 - URLSearchHook: Microsoft Url Search Hook - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) (4, 5, 188, 6) -- C:\Program Files\Mininova-Vuze\tbMini.dll
R3 - URLSearchHook: Microsoft Url Search Hook - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.)
O2 - BHO: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll
O3 - Toolbar: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll
[HKCU\Software\Mininova-Vuze]
O43 - CFD:Common File Directory ----D- C:\Program Files\Mininova-Vuze
OPT:O4 - HKLM\..\Run: [Cpqset] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
OPT:O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-21-2024237385-2792745136-3025052520-1005\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
OPT:O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab
OPT:O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
OPT:O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.girafoto.fr/uploaders/aurigm ... oader4.cab

Suivez la procédure que je vous ai indiquée avec ZHPDiag et répondez oui aux messages de Windows Installer.

Désolée, je ne parle pas anglais et ne comprend pas

Voici trois cadres qui se présentent une fois que j'ai fait ok pour désinstaller ce produit

Le 2ème je clique OK et le 3ème cadre apparaît, je clique OK, et je
Reviens au 2ème


Windows installer
Préparing to remove Cancel


Windows installer
The feature you are trying to use is on a network resource OK
That is unavailable. Cancel

Click OK to try again, or enter an alternate path to a folder
Containing the insstallatation package “Search Settings.msi” in the box below

Use source :
C/\DOCUME 1\moi\LOCALS 1\Temp\_is\77 Browse …


Windows installer
C/\DOCUME 1\moi\LOCALS 1\Temp\_is\77\searchSettings.msi
Cannot be found. Vérify that you have access to this location and
Try again, or try to find the installation package “SearchSetting.msi”
In a folder from which you can install the product Search Settings 1.1. OK

Je retire du script les deux lignes concernant SearchSettings qui provoquent ce blocage. On les traitera ultérieurement.

Voici le nouveau script, en espérant que l'ordinateur ne résistera pas cette fois :

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\ntdevice.exe
[MD5.B68B362B39B0B81B0E12689B47F56AC9] - (.lhbbc - Pas de description.) -- C:\WINDOWS\system32\ntdevice.exe [46592]
O17 - HKLM\System\CCS\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS3\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CS3\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4
[HKCU\Software\?? ?? ???? ????? ??? ?? ????]
R3 - URLSearchHook: Microsoft Url Search Hook - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.)
R3 - URLSearchHook: Microsoft Url Search Hook - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) (4, 5, 188, 6) -- C:\Program Files\Mininova-Vuze\tbMini.dll
R3 - URLSearchHook: Microsoft Url Search Hook - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.)
O2 - BHO: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll
O3 - Toolbar: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll
[HKCU\Software\Mininova-Vuze]
O43 - CFD:Common File Directory ----D- C:\Program Files\Mininova-Vuze
OPT:O4 - HKLM\..\Run: [Cpqset] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
OPT:O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-21-2024237385-2792745136-3025052520-1005\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
OPT:O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab
OPT:O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
OPT:O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.girafoto.fr/uploaders/aurigm ... oader4.cab

voici le rapport

Rapport de ZHPFix v1.12.3148 par Nicolas Coolman, Update du 09/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-12-09-2010-21-23-30.txt
Run by moi at 12/09/2010 21:23:30
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\WINDOWS\system32\ntdevice.exe [46592] => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
HKCU\Software\?? ?? ???? ????? ??? ?? ???? => Clé absente
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}] => Clé supprimée avec succès
[HKCR\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}] => Clé supprimée avec succès
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{d51d388b-f5dc-471a-a1ce-5e2d671091c0}] => Clé supprimée avec succès
[HKCR\CLSID\{d51d388b-f5dc-471a-a1ce-5e2d671091c0}] => Clé supprimée avec succès
O2 - BHO: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll => Clé supprimée avec succès
HKCU\Software\Mininova-Vuze => Clé supprimée avec succès
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab => Clé supprimée avec succès
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}] => Clé supprimée avec succès
[HKCR\CLSID\{BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}] => Clé supprimée avec succès
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{CE69F98F-2AF3-4306-BAC6-A79070EDA1B4}] => Clé supprimée avec succès
[HKCR\CLSID\{CE69F98F-2AF3-4306-BAC6-A79070EDA1B4}] => Clé supprimée avec succès
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.girafoto.fr/uploaders/aurigm ... oader4.cab => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{EDFCB7CB-942C-4822-AF14-F0B687409848}] => Clé supprimée avec succès
[HKCR\CLSID\{EDFCB7CB-942C-4822-AF14-F0B687409848}] => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
R3 - URLSearchHook: Microsoft Url Search Hook - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.) => Valeur supprimée avec succès
R3 - URLSearchHook: Microsoft Url Search Hook - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) (4, 5, 188, 6) -- C:\Program Files\Mininova-Vuze\tbMini.dll => Valeur supprimée avec succès
R3 - URLSearchHook: Microsoft Url Search Hook - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.) => Valeur supprimée avec succès
O3 - Toolbar: Mininova-Vuze Toolbar - {d51d388b-f5dc-471a-a1ce-5e2d671091c0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Mininova-Vuze\tbMini.dll => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Cpqset] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2024237385-2792745136-3025052520-1005\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\ntdevice.exe => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès
O17 - HKLM\System\CS3\Services\Tcpip\..\{663FDDF1-7B77-41B2-AF41-9708892E24A9}: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès
O17 - HKLM\System\CS3\Services\Tcpip\..\{7823DD2C-C8D6-4785-A54C-66E121F09478}: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès
O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès
O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès
O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.162.71,93.188.161.4 => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Mininova-Vuze => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files\mininova-vuze\tbmini.dll => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Processus mémoire
17 : Clé(s) du Registre
10 : Valeur(s) du Registre
11 : Elément(s) de donnée du Registre
1 : Dossier(s)
1 : Fichier(s)


End of the scan

C'est bien

1/ Je vais vous redemander un rapport ZHPDiag pour vérification.

2/ Essayez de relancer un scan avec Malwarebytes'antimalware :

[*]Lancer Malwarebytes en double-cliquant sur son icône située sur le bureau
[*]Clique sur Recherche de mises à jour
[*]Fais une analyse complète en cliquant sur Exécuter un examen complet
[*]Sélectionne les lecteurs à analyser et clique sur Lancer l'examen
[*]L'analyse peut durer un certain temps
[*]Lorsque l'analyse est terminée, clique sur OK puis sur Afficher les résultats
[*]Assure-toi que tout est coché et clique sur Supprimer la sélection puis sur OK
[*]Le bloc-note va s'ouvrir qui contiendra un rapport
[*]Copie (Ctrl+C)/Colle (Ctrl+V) le rapport dans ta prochaine réponse[/list]

/!\ Il est possible que certains fichiers devront être supprimés au redémarrage du PC. Il faut le faire en cliquant sur Oui à la question posée


3/ Si ça ne fonctionne toujours pas, on va désinstaller Malwarebytes' antimalware puis le re-télécharger pour le réinstaller ensuite.

Pour désinstaller proprement celui existant :

Télécharge mbam-clean.exe et l'enregistrer sur le bureau.
Double-clique sur l'icône ainsi créée sur le bureau pour exécuter le programme
Suis les instructions
Un redémarrage du PC sera demandé : redémarrer le PC

Voici le lien de téléchargement de Malwarebytes'Antimalware en cas de besoin : Malwarebytes'Antimalwares

Avant de passer à l'étape 3, j'attends vos réponses sur les points 1 et 2.

rapport ZHPDiag



http://www.cijoint.fr/cjlink.php?file=cj201009/cijziisHR6.txt

C'est beaucoup mieux

Malwarebytes fonctionne ?

non tout a été bloqué, j'ai été obligée de faire un arrêt forcé (j'ai enlevé la prise) et je ne peux pas le désinstaller, avec votre manip,

en redémarrant le pc a mis deux nouvelle problèmes

1/ toujour Generic Host process for win 32 services

2/ userinit.exe

je n'ai pas débogué, afin de pouvoir rester connecté autrement tout est bloqué

je vais réessayé malwarebytes

message erreur pour malwarebytes

SHGetvalue failed with erreur code 0

Je vais le désinstaller avec revo uninstaller

Une désinstallation par ajout/suppression de programme aurait été préférable plutôt qu'avec Revo Uninstaller....

Je vais me déconnecter pour ce soir et ne me reconnecterai que demain en fin d'après-midi.

Voyez tranquillement d'ici là ce que donne la réinstallation de Malwarebytes.

Ensuite, il y aura encore des choses néfastes à nettoyer.

Bonne soirée.

Bonsoir Elowen,
je viens de remettre en route car tout se bloque
il y a toujours
1/ Generic Host process for win 32 services
et un nouveau
2/ ntdevice.exe
plus toujours les 2 rappels de TR/Opachki.D.24 que je remets toujours en quarantaine

ok pour demain mais vers 18 h 30
merci encore pour votre dévouement et bonne fin de soirée
cordialement

j'ai installé Malwarebytes, et malheureusement il ne veut pas démarrer

on verra demain

bonne soirée

bonjour Elowen,

ce matin idem, impossible de démarrer Malwarebytes, toujours les alertes d'antivir
et en cherchant sur le site il n'y a pas de correspondance pour ce virus TR/Opachki.D.24,
donc je leur ai envoyé un mail, peut être nous aurons une réponse.

autrement toujours généric host process for win 32 qui a un problème, je vous ai fait
Un copier coller du message

Signature de l’erreur :
szAppName : svchost.exe szAppVer : 5.1.2600.5512 szModName : unknown
szModVer : 0.0.0.0 offset : 001a61bb

contenu du rapport d’erreurs
C:\DOCUME~1\moi\LOCALS~1\Temp\WER736c.dir00\svchost.exe.mdmp
C:\DOCUME~1\moi\LOCALS~1\Temp\WER736c.dir00\appcompat.txt

sachez que si je demande le débogage ou envoyer ou annuler, l'ordinateur se bloque.

voilà bonne journée je pars au travail à ce soir
cordialement

Bonsoir,

Laissons de côté Malwarebytes pour le moment.

Continuons à nettoyer :

• Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
  
  
• Ne fais pas la suppression tant que je ne te l'ai pas demandé
  
  
• Branche toutes tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés, sans les ouvrir
  
  
• Double-clique sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
  
  
• Cliques sur le bouton Recherche
  
  
• Laisse travailler l'outil
  
  
• Ensuite post le rapport UsbFix.txt qui apparaîtra
  
  
• Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

bonsoir Elowen,

Excusez moi pour le retard, je suis les instructions que vous m'avez donné

voici le rapport

############################## | UsbFix 7.024 | [Recherche]

Utilisateur: moi (Administrateur) # YOUR-A289DD5720 [ ]
Mis à jour le 09/09/10 par El Desaparecido / C_XX
Lancé à 20:57:50 | 13/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
CPU 2: Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
Antivirus: avast! antivirus 4.7.1098 [VPS 071229-0] 4.7.1098 [Enabled | Updated]
RAM -> 1022 Mo
C:\ (%systemdrive%) -> Disque fixe # 103 Go (51 Go libre(s) - 50%) [] # NTFS
D:\ -> Disque fixe # 8 Go (1 Go libre(s) - 15%) [HP_RECOVERY] # FAT32
E:\ -> CD-ROM
F:\ -> Disque amovible # 7 Go (1 Go libre(s) - 18%) [CLÉ JIMMY] # FAT32
G:\ -> Disque amovible # 4 Go (3 Go libre(s) - 73%) [UDISK 2.0] # FAT32

################## | Éléments infectieux |

Présent! C:\Documents and Settings\moi\Bureau\explorer.exe
Présent! D:\Autorun.inf
Présent! C:\log.txt
Présent! C:\Photocite Collection 4.exe

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{0577f83b-e9ab-11dc-9f14-001636afa839}
Shell\Auto\Command = cmd /C launch.bat
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat

HKCU\.\.\.\.\Explorer\MountPoints2\{1dcc641a-86a7-11db-9c9c-001636afa839}
Shell\AutoRun\Command = F:\setupSNK.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{32bb1ffa-4ff6-11dd-9ff7-001636afa839}
Shell\AutoRun\Command = F:\hkn6k.bat
Shell\open\Command = F:\hkn6k.bat

HKCU\.\.\.\.\Explorer\MountPoints2\{86588004-3dba-11df-a51e-001636afa839}
Shell\AutoRun\Command = F:\LaunchU3.exe -a


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Cliquez sur "Poste de travail" sur le bureau (ou par le menu démarrer)
Choisir le lecteur C, clic droit et "ouvrir"
Cliquez ensuite sur le dossier "Windows"
Passez en affichage sous forme de "détails" (pour cela, cliquer sur l'icône carrée avec un contour bleu dans la barre d'outils de l'explorateur et choisir "détails")

Voyez-vous, dans la liste une application du nom de" Explorer" comme sur la capture ci-dessous ?

oui je l'ai trouvé

C'est très bien

La suite :

• Laisse les sources de données externes connectées au PC
  
  
• Double clique sur le raccourci UsbFix présent sur ton bureau
  
  
• Clique sur le bouton Suppression
  
  
• Ton bureau disparaîtra ainsi que la barre des tâches.. C'est normal
  
  
• Ensuite poste le rapport UsbFix.txt qui apparaîtra à l'écran.
  
  
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
  
  
• ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
  
  
• UsbFix te proposera d'uploader un dossier compressé à cette adresse : http://chiquitine.changelog.fr/Sample/Upload.php
  
  
• Ce dossier a été créé par UsbFix et est enregistré à la racine du disque.
  
  
• Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
  
  
• Il faut sélectionner "UsbFix" dans le menu déroulant
  
  
• Merci d'avance pour ta contribution !!

Je vais me déconnecter pour ce soir car travail demain...

Postez le rapport. J'en prendrai connaissance vers 18h00 ou avant si je peux.

Nous utiliserons demain un autre outil pour continuer le nettoyage.

Il nous faudra un peu de temps.

Bonne fin de soirée.

Elowen

Elowen,

je t'écris, d'un autre PC, avec celui du virus je suis bloquée à 10 %

le travail est peut être long, donc je laisse l'ordinateur tourné et je verrais demain matin.

Je suppose que toi comme moi tu travailles demain

Alors une bonne soirée

Chantal

bonjour Elowen,

le pc est resté allumé toute la nuit, et cela n'a pas bougé des 10 % suite au travail que tu m'a demandé (# Double clique sur le raccourci UsbFix présent sur ton bureau - # Clique sur le bouton Suppression).
effectivement tout a disparu du bureau et ne dépasse pas les 10 %
ne voulant pas s'éteindre j'ai retiré la prise.
Si tu as une réponse je peux consulter sur mon lieu de travail éventuellement

Bonne journée à toi, je vais bosser
chantal

Bonsoir,

Double-cliquez sur Usbfix pour l'ouvrir et cliquer sur "Désinstaller"

Télécharger de nouveau Usbfix sur ce lien (il est renommé en "toto.exe", c'est normal) : usbfix
Double-cliquez sur l'icône ainsi créée sur le bureau portant le nom "toto.exe"
Une fois Usbfix ouvert, cliquez sur le bouton "Suppression"

En espérant que cette fois, elle va se faire correctement....

bonjour Elowen,

je viens de lire ton message, je pars de mon travail j'ai à peu près 3/4 de route, je grignote sur le pouce et je reprend contact, désolée pour ce contretemps

a tout de suite

coucou,

bloqué à 10 %, donc j'ai retiré la prise pour relancé,

j'ai toujours les 3 alertes d'antivir -

plus généric host process for win 32 services qui a un problème :

signature de l'erreur
szAppName : svchost.exe szAppVer : 5.1.2600.5512 szModName : unknown
szModVer : 0.0.0.0 offset : 001a61bb

C:\DOCUME~1\moi\LOCALS~1\Temp\WER80ed.dir00\svchost.exe.mdmp
C:\DOCUME~1\moi\LOCALS~1\Temp\WER80ed.dir00\appcompat.txt


et

ntdevice.exe
signature de l'erreur
AppName: ntdevice.exe AppVer: 24.55.35.58 ModName: shlwapi.dll
ModVer: 6.0.2900.5912 Offset: 0001a9f8

C:\DOCUME~1\moi\LOCALS~1\Temp\109d_appcompat.txt

si cela peut aider pour retrouver

Bonsoir,

Ok.

On va tenter un dernier essai et si ça ne fonctionne pas, on va faire autrement pour supprimer à la fois les infections USB et ce que détecte Antivir.

Démarre ton PC en mode sans échec (je t'ai donné la procédure au début du sujet) :

- redémarrer le PC
- à l'affichage du logo constructeur, tapoter la touche F8 (ou F5 selon le modèle) pour afficher les options de démarrage avancé
- dans les options de démarrage avancé, choisir "mode sans échec"
- ton écran sera bizarre, c'est tout à fait normal

Relance ensuite USBFix et clique sur le bouton "Suppression"

Une fois la suppression faite, redémarre le PC (il redémarrera normalement) et poste le rapport.

J'ai ces coupures internet ce soir.....si je disparaissais, ce sera lié à des soucis de connexion.....

Tant que ma connexion est stable, j'en profite pour vous donner la marche à suivre pour la suite :

Que Usbfix ait fonctionné ou pas (si oui, postez quand même le rapport), faites ce qui suit :


/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix