Bonjour à tous, je me dirige vers vous parce que je n'ai trouvé aucune solution bien que j'ai de bonnes notions en informatique.
 
J'ai W10 64 à jour +firefox, et depuis peu au démarrage une fenêtre httpzodiac-game.info apparait.
J'ai presque tout tenté, et je n'arrive pas à m'en défaire, je suis dépité.    
 
Aucun antivirius que j'ai testé ne détecte cette infection, (avast, avg), seul ZHPCleaner et Malwarebytes trouvent quelque chose, attention en mode sans échec uniquement. Malheureusement en nettoyant cette faille du registre, ça réapparait au bout de quelques redémarrage windows, j'ai fais des screens si çà peut vous aider :
 
ZHPCleaner :
 

Malwarebytes :
 

 
D'autre part certains services se comportent étrangement,  je crains que mon systeme soit irrécupérable :
 

 
Entre ces 2 services suspendus, et ce fondvhorst inconnu, ou plutôt non reconnu de windows je suis assez mal barré. Inutile de préciser que j'ai déjà essayer de les arrêter, ils se relancent quelques secondes plus tard avec le même statut.
Voila, si un inconscient kamikaze et expert en la matière aurait l'envie de s'y coller, je suis preneur pour toutes infos, merci d'avance.

Fais un ZHPdiag et poste le.

Salut,
 
 
Le mieux dans ton cas est d'utiliser FRST.
 
 
 
 
 
Information : tous les rapports demandés doivent être postés sur le forum sous la forme d'un lien.
 
 
Comment créer et poster le lien d'un rapport ?

 

• Se rendre sur le site http://www.cjoint.com/
• Cliquer sur le bouton Parcourir, sélectionner le rapport demandé et valider par Ouvrir.
• Puis, en bas de la page du site Cjoint, cliquer sur Créer le lien Cjoint.
• Faire un clic droit avec la souris sur le lien créé qui apparaît sous cette forme http://cjoint.co/Exemple et sélectionner l'option copier l'adresse du lien.  
• Coller ce lien (à l'aide du clic droit) dans ta prochaine réponse sur le forum.

 
 
 
==> Farbar Recovery Scanner Tool (FRST) de Fabar:
 
 
        Vous pouvez suivre le tutoriel ci-dessous ou bien le tutoriel plus détaillé en cliquant sur ce lien.
 
 

• Télécharger Farbar Recovery Scanner Tool. Choisir la version 32 ou 64 bits selon son système d'exploitation.

       Note: le programme est enregistré par défaut dans la rubrique Téléchargements de l'Explorateur de
               fichiers de Windows
 

• Copier le fichier FRST ou FRST64 et le coller sur le Bureau et pas ailleurs.

        (on peut aussi trouver la rubrique Bureau dans l'Explorateur de fichiers).
 

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Le programme met à jour sa base de données.

• Sous "Analyse facultative", cocher les cases suivantes :

     - Addition.txt
     - MD5 pilotes
     
     

• Cliquer sur Analyser

• Une fois le scan terminé, 2 rapports sont créés sur le Bureau, soit les rapports FRST.txt et Addition.txt.

• Héberger ces 2 rapports sur le site www.Cjoint.com, puis copier/coller les liens fournis dans ta prochaine réponse sur le forum.

http://www.cjoint.com/c/FGos2ZLagmX
 
http://www.cjoint.com/c/FGos43DYOOX
 

monk, dans quels cas est ce que tu utilises plutôt FRST que le zhpdiag ?

@nnwldx
 
Dans 2 cas,  
 
Si ZHPCleaner a été utilisé,
 
Lorsque ZHPDiag n'arrive pas à supprimer des éléments. En fait, FRST est beaucoup plus puissant, pas de surprise inattendue avec ce programme.
 
De plus, FRST détails des informations de façon différentes, je pense notamment au niveau des navigateurs web et à l'historique des fichiers sur 1 mois.
 
Dommage qu'il soit un peu plus compliqué à utiliser que ZHPDiag.
 
 
@Talmu,
 
Analyse en cours des rapports.

@ Talmu
 
 
Tu peux désinstaller le programme SpyHunter 4, c'est une arnaque.
 
https://www.supprimer-virus.com/spyhunter/
 
 
 
On procède au nettoyage du PC.  
 
 
 
 
==> FRST Correction :
 
 

• Appuyer sur les touches du clavier Windows et r.
• Dans la fenêtre, écrire: notepad
• Cliquer sur OK.

• Le bloc-notes s'ouvre.  

• Puis, copier toutes les lignes en gras ci dessous:

    Note: pour copier toutes les lignes, griser de haut en bas les lignes en gras en restant appuyer sur le clic
            gauche de la souris. Puis faire un clic droit de la souris et choisir Copier.
 
 

CloseProcesses:
CreateRestorePoint:
Task: {5C400970-1C80-4F80-89AD-768B56257BCC} - System32\Tasks\Joe => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Joe /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org"
HKU\S-1-5-21-861089707-3668532506-1261592025-1001\...\Run: [Joe] => explorer.exe hxxp://kb-ribaki.org
GroupPolicyScripts: Restriction
 

 
 

• Dans le bloc-notes ouvert, faire un clic de la souris et choisir Coller (toutes les lignes en gras s'inscrivent).  

• Cliquer sur la rubrique Fichier du bloc-notes, puis Enregistrer sous ... et cliquer la rubrique Bureau. Dans la case nom de fichier, écrire fixlist et cliquer sur Enregistrer.  

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Cliquer sur Corriger

     Note : Patienter le temps de la suppression. Le PC va redémarrer.
 
 
   
 
 

• Une fois le PC redémarré, le rapport Fixlog.txt a été créé sur le Bureau.

• Héberger ce rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.

Merci monk521 pour ta courageuse tentative de m'aider.
 
Concernant spyhunter je ne comptais pas le garder, je l'ai testé pour voir, et j'ai vite été déçu, en plus il ne trouve rien, même en mode sans échec.
 
Ta commande en gras m'interpelle, notamment le mot "ribaki", puisque hier j'ai eu comme page au démarrage de Windows non pas zodiac-game.info mais kb-ribaki.org. C'est arrivé qu'une fois, aujourd'hui c'est le retour de zodiac. ( non pas les chevaliers)
 
Ps: mon explorateur firefox n'est apparemment pas infecté, pas de task bar ou autre infection classique connu genre -> (process cpu 100%, nouveaux moteurs de recherche indésirables, nouvelle page d'accueil, etc ..).  
J'ai juste cette page internet qui s'ouvre au démarrage de windows, et ensuite régulièrement (toutes les 15 ou 30mn) une fenêtre qui s'ouvre et se referme à vitesse lumière, une fenêtre fond noir genre invite de commandes je crois, mais ça va tellement vite que je ne vois pas ce qui s'affiche. Je suis persuadé que ça un lien avec mon infection.
 
Voila le rapport :
http://www.cjoint.com/c/FGpqqAwJoYX

Qu'en est-il de cette page ? refais passer les rapports de FRST si besoin.

Mon problème est apparemment et pour le moment corrigé. Chapeau.    
 
Je ressens deux sensations, je suis content, et en même temps déçu de moi, généralement c'est moi le réparateur de pc, et la je ne peux que m'incliner.
 
Cependant, sans vouloir te prendre trop de temps, pourrais tu m'éclaircir sur cette commande que tu m'as donné, je cherche à comprendre l'infection, et son fonctionnement.
 
Sachant que j'ai toujours un fondvhorst.exe sans nom d'utilisateur qui tourne dans le gestionnaire des taches, et le shell experience host toujours suspendu, alors que c'est cortana que j'ai désactivé. (qui d'ailleurs semble être revenu, le searchui.exe est réapparu.   , j'ai comme l'impression que cette histoire pourrait être passagère avant un retour du problème.
 
 
 

Je n'ai pas appliqué de commande particulière, j'ai simplement supprimé des clés de registre qui lançaient le malware. Pour détailler, le malware se lançait par une tache planifiée et par une clé Run (alias msconfig).
 
 
Pour terminer la maintenant malware, je t'invite à lire quelques conseils sécuritaires d'usage et à appliquer quelques programmes pour parfaire le nettoyage du PC.
 
 
 
 
==> Quelques conseils de prudence et de vigilance :    
 
 

• Ne télécharger pas de programmes sur des sites douteux et sur certains sites revendeurs comme 01.net, Softonic, BrotherSoft, ces sites utilisent leur propre installateur et rajoutent pendant l'installation des programmes indésirables LPI/PUP (toolbars, adwares, spywares, hijackers).  

• Préférer les téléchargements chez l'éditeur du programme (le site officiel).  

• Lors de l'installation d'un programme, lire attentivement ce qui est proposé, choisir l'installation personnalisée ou avancée et décocher les programmes additionnels inutiles ou cliquer sur Skip (Passer).

• Filtrer les publicités malicieuses (malvertising) qui peuvent installer des malwares à l'aide du programme Adblock Plus.  

        Pour chaque navigateur internet concerné, copier l'adresse du lien qui se trouve ci-dessous (en faisant un
        clic droit de la souris + copier l'adresse du lien), ouvrez le navigateur et collez le lien dans la barre
        d'adresse (clic droit + coller). Installer ensuite Adblock Plus.
 
         - pour Internet Explorer
         - pour Mozilla
         - pour Google Chrome  
         - pour Opéra
 

• Attention aux fausses mises à jour, plugins et faux codecs qui sont proposés notamment sur des sites de jeux, de streaming ou de charmes, ceux-ci installent aussi des malwares.

• Au niveau des mails et des réseaux sociaux, n'ouvrez pas des pièces jointes et ne cliquer pas sur des liens dans des messages suspects. Attention également au phishing (mails trompeurs)!  

• Cracks: refuser de télécharger et d'utiliser illégalement des œuvres protégés par un copyright (non libre de droits). En plus d’être passible de sanctions vis-à-vis de la loi et d'Hadopi, ces œuvres piratées en provenance du réseau du P2P, du Direct Down Load ou par tout autre biais sont la source des infections les plus dangereuses.

• Scanner (analyser) régulièrement son PC avec son antivirus résident et vérifier que la base de signatures virales est bien à jour afin de détecter les derniers malwares présents sur le net.  

• Vacciner ses supports amovibles externes (clés Usb, disques dur externes, cartes mémoire, Ipod, MP3…) à l'aide du programme UsbFix car beaucoup d'infections se propagent par ce biais.  

• Sauvegarder sur un disque dur externe vos données personnelles (documents, images, vidéo, musiques) au cas où une panne sérieuse arriverait et empêcherait le PC de redémarrer, ou qu'un malware supprime ou crypte de façon irréversible ces données (sauvegarder sur un disque dur externe non connecté en permanence au PC).

• Renforcer la sécurité face aux ranso-cryptowares et utiliser le programme Marmiton de Malekal (cliquer sur Modifier pour désactiver WHS).

 
 
 
 
==> Nettoyage complémentaire :    
 
 
 
1- SFTGC de Pierre13 – Nettoyage des fichiers temporaires :
 
 

• Télécharger SFTGC.  

• Lancer le programme en faisant un double clic gauche de la souris sur le fichier SFTGC.  

• Le logiciel s'initialise puis s'ouvre.
• Cliquer alors sur le bouton Go pour supprimer les fichiers temporaires inutiles et attendre la fin du nettoyage.

     Note: si des fichiers infectieux sont trouvés, ils seront supprimés automatiquement.

     
 
 
 
2- DelFix de Xplode
 
 
Cet outil va permettre d'une part de supprimer tous les outils de désinfection utilisés lors du nettoyage de  
l'ordinateur et d'autre part de purger la restauration système. La purge de la restauration système est importante, elle permet de supprimer tous les points de restauration potentiellement infectés et de créer un nouveau point de restauration exempt de nuisible.  
 

• Télécharger DelFix de Xplode sur le bureau.

• Lancer le programme en faisant un double clic gauche de la souris sur le fichier DelFix.
• Cocher toutes les cases comme indiquer sur l'image ci dessous.
• Cliquer sur Exécuter.

     
 
 
 
 
 
Bonne journée.  

Je l'ai testé pour voir, plutôt pas mal comme nettoyage, par contre la case réinitialiser les paramètres systèmes ne me convient pas, je n'utilise pas de restauration système, hors il va le réactiver. J'ai un w7 qui a 6 années sans formatage, j'ai jamais utilisé de restauration et mon w7 tourne très bien, en tout cas bien plus sécurisant que w10. (avec le même genre d'utilisation)
Entre les virus ou malwares qui nichent dans ces sauvegardes de restauration, l'inefficacité de cette même outils de restauration lorsque un système est bien infecté, les seuls fois ou je les avais utilisés ils m'avaient tout restauré ce que je ne voulais pas sauf le problème qui lui restait présent.
 
 

 
Moi qui pensait qu'avec tout ces outils et un windows dernier cri on pouvait anticiper et parer ce genre d'attaque, et pourtant je vérifie régulièrement les services et applications au démarrage sur msconfig et ccleaneur.
 
Encore merci.

Bonjour,
 
J'ai également ce problème à chaque démarrage depuis deux jours alors que je n'ai rien installé de nouveau récemment sauf Warcraft 3 mais en version CD officiel.
 
Voici les liens des fichiers créés avec FRST64 :
 
http://www.cjoint.com/c/FGxhmlQeHvM
 
http://www.cjoint.com/c/FGxhmPNN00M
 
AH, je pense avoir compris la technique en me basant sur la modification des fichiers. Ca semble fonctionner, voici le rapport Fixlog.txt  :
 
http://www.cjoint.com/c/FGxv16ZEIhM
 
Merci pour votre aide et bon week-end,
 

Bonjour,
 
Idem pour moi depuis 2 jour j'ai cette fenêtre qui s'ouvre alors que je n'ai rien installé sur mon PC.
 
http://www.cjoint.com/c/FGxlbLdmZrt
http://www.cjoint.com/c/FGxldCKqiot
 
Merci pour l'aide