Des onglets de pub partout sous IE !

Résolu
mathos33 Messages postés 125 Statut Membre -  
fred08700 Messages postés 3633 Statut Contributeur sécurité -
Bonjour,

Je suis en vacances chez beau papa et belle maman, ils possèdent un PC windows xp pro. Dès que j'ouvre IE ou dès que je clique sur un lien Web sous IE, j'obtiens inlassablement des onglets de pubs en supplément !? Je ne pense pas que ce soit bien grave mais s'il existe des solutions radicales pour virer tout ça je suis preneur. Je passe souvent par ce forum pour régler ce genre de soucis et ça marche !

Je vous remercie par avance de votre aide

13 réponses

  1. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    bonjour

    fais ceci

    ● Télécharges ZHPDiag ( de Nicolas coolman ).

    ● Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )

    ● Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau

    ● Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.

    ● Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.

    ● Rends toi sur http://www.cijoint.fr/

    ● Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "

    ● Séléctionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

    ● Cliques ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
    Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès.

    [Pierre de Coubertin]
    0
  2. mathos33 Messages postés 125 Statut Membre
     
    Merci fred de ta réponse. Tu trouveras le fichier texte ici : http://www.cijoint.fr/cjlink.php?file=cj201007/cij25F00sL.txt
    0
  3. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    bonsoir

    désolé pour le retard , j'étais au boulot

    Infection eorezo : Informations sur Eorezo

    Nos sélections de liens sponsorisés Eorezo nous permettent, via nos partenaires, de vous offrir un service gratuit de qualité et d'assurer une constante évolution de nos services.
    A des fins statistiques et pour déduire l'audience française sur Internet, EoRezo peut être amené à recueillir des informations concernant les sites visités par l'internaute.
    Ces informations récoltées sont et restent totalement anonymes, et ne permettent en aucun cas de les rattacher à une personne physique.


    Voici un article de Malekal sur le sujet:

    Eorezo qu'est-ce donc ?

    C'est un adware qui vous submerge de pub (spam) en tout genre.

    ● Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX)

    Déconnecte toi et ferme toutes les applications en cours

    ● Double-clique sur l'icône AD-Remover
    ● Au menu principal, clique sur "Nettoyer"
    ● Confirme le lancement de l'analyse et laisse l'outil travailler
    ● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    <gras<Note :</gras> Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. els de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    ----------------------------------------------------------------------------------

    ensuite :

    ● Télécharges Malwarebytes

    ● Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.

    ● Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

    ● Lance une analyse complète en cliquant sur "Exécuter un examen complet"

    ● Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

    L'analyse peut durer un bon moment.....

    ● Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

    ● Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

    ● Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    ● Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

    Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.
    MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.

    0
  4. mathos33 Messages postés 125 Statut Membre
     
    bonjour Fred

    Voici les deux rapports :

    Ad-report :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 21/07/10 à 14:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 00:23:17 le 23/07/2010, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    Le Menn@LEMENN-XP ( )

    ============== ACTION(S) ==============

    0,Dossier supprimé: C:\Documents and Settings\Le Menn\Application Data\Soft2PC
    0,Dossier supprimé: C:\Documents and Settings\Le Menn\Local Settings\Application Data\Soft2PC
    0,Dossier supprimé: C:\Program Files\Soft2PC

    (!) -- Fichiers temporaires supprimés.

    1,Clé supprimée: HKLM\Software\Classes\CLSID\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{CC883F50-95BB-4A25-9DBF-B801506F1BC4}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{B52F3553-49FA-4599-81A4-F98951E0B53B}
    0,Clé supprimée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO
    0,Clé supprimée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO.1
    0,Clé supprimée: HKLM\Software\Classes\AppID\Soft2PCBHO.DLL
    1,Clé supprimée: HKLM\Software\Classes\AppID\{AB67D16D-3824-4683-B81A-D66DBA61B1AF}
    0,Clé supprimée: HKLM\Software\soft2PC
    0,Clé supprimée: HKCU\Software\soft2PC
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Soft2PC_is1
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Software_is1
    0,Clé supprimée: HKLM\Software\Microsoft\ESENT\Process\soft2PC
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Soft2PC_is1

    0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|helper
    0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|soft2PC

    ============== SCAN ADDITIONNEL ==============

    ** Internet Explorer Version [8.0.6001.18702] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 0 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 23/07/2010 (716 Octet(s))

    Fin à: 00:26:58, 23/07/2010

    ============== E.O.F ==============

    Malwarebytes :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4339

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    23/07/2010 09:35:36
    mbam-log-2010-07-23 (09-35-36).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 182522
    Temps écoulé: 1 heure(s), 0 minute(s), 41 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Program Files\Ad-Remover\Quarantine\C\Documents and Settings\Le Menn\Application Data\Soft2PC\Software\software.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
    C:\Program Files\Ad-Remover\Quarantine\C\Documents and Settings\Le Menn\Application Data\Soft2PC\Software\softwareHP.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{BD9FC0C4-69BD-4C60-AC51-406C3A6F7CC5}\RP844\A0049462.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{BD9FC0C4-69BD-4C60-AC51-406C3A6F7CC5}\RP844\A0049463.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.

    Encore merci de ton aide
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    bonjour

    Relances Malwarebytes , onglet "Quarantaine" et supprimes tout .

    Refais un nouveau scan ZHPdiag , stp
    0
  7. mathos33 Messages postés 125 Statut Membre
     
    J'ai supprimé la quarantaine, voici le lien pour le compte rendu ZHPdiag :
    http://www.cijoint.fr/cjlink.php?file=cj201007/cij9vCu3Ek.txt
    0
  8. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    re

    Utilisation de ZHPfix

    * Fais un copié des lignes en gras suivantes

    ----------------------------------------------------------
    O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
    O44 - LFC:[MD5.296673589078EFE131CA19D6E01EA14B] - 22/07/2010 - 23:26:59 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[1].txt [3574]
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} () - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} ("Ma-Config.com control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_4_2_1_0.cab
    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

    ----------------------------------------------------------

    * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Le texte que tu as copié sera présent
    * Clique sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse

    ************************************

    Adobe reader n'est pas jour , faille de sécurité importante

    Va dans "ajout/suppression de programmes"
    désinstalles te version de adobe reader et remets cette version
    https://get2.adobe.com/fr/reader/otherversions/ ==> décoches McAfee

    **************************************

    Pour supprimer les anciennes versions de Java et télécharger la nouvelle.

    Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries sur ton Bureau :

    ● Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
    ● Double-clique sur le répertoire JavaRa
    ● Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher).
    ● Sélectionne ta langue puis clique sur Select
    ● Clique sur Recherche de mises à jour
    ● Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher
    ● Autorise le processus à se connecter s'il le demande, clique sur Install et suis les instructions d'installation qui prennent quelques minutes
    ● L'installation est terminée
    ● Reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
    ● Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur Ok, puis une deuxième fois sur Ok.
    ● Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
    ● Ferme l'application.
    Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
    (Supprime-le une fois que tu l'as posté).

    ***************************************

    ● Télécharges hijackthis

    ● Tout est expliqué pour bien l installer et savoir l'utiliser.

    Comment copier/coller le rapport :

    ● Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

    ● Ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.
    0
  9. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    message en doublon

    Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès.

    [Pierre de Coubertin]
    0
  10. mathos33 Messages postés 125 Statut Membre
     
    Voici déjà la rapport ZHPFix :

    Rapport de ZHPFix v1.12.3125 par Nicolas Coolman, Update du 20/07/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-23-07-2010-11-31-55.txt
    Run by Le Menn at 23/07/2010 11:31:55
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé du Registre ==========
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé supprimée avec succès
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} () - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab => Clé supprimée avec succès
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} ("Ma-Config.com control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_4_2_1_0.cab => Clé supprimée avec succès
    [HKLM\SOFTWARE\Classes\CLSID\{867E13F2-7F31-44FB-AC97-CD38E0DC46EF}] => Clé supprimée avec succès
    [HKCR\CLSID\{867E13F2-7F31-44FB-AC97-CD38E0DC46EF}] => Clé supprimée avec succès
    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur absente

    ========== Fichier(s) ==========
    c:\ad-report-clean[1].txt => Supprimé et mis en quarantaine

    ========== Récapitulatif ==========
    6 : Clé du Registre
    1 : Valeur(s) du Registre
    1 : Fichier(s)

    End of the scan

    La suite arrive toute à l'heure...
    0
  11. mathos33 Messages postés 125 Statut Membre
     
    JavaRa n'a pas voulu mettre à jour via jucheck.exe , j'ai donc mis à jours à partir de Sun. J'ai ensuite désinstallé l'ancienne version de Java.
    Voici le rapport :

    JavaRa 1.15 Removal Log.

    Report follows after line.

    ------------------------------------

    The JavaRa removal process was started on Fri Jul 23 14:26:18 2010

    Found and removed: C:\Program Files\Java\j2re1.4.0_03

    Found and removed: C:\WINDOWS\system32\plugincpl140_03.cpl

    Found and removed: SOFTWARE\Classes\JavaSoft.JavaBeansBridge

    Found and removed: SOFTWARE\Classes\JavaSoft.JavaBeansBridge.1

    Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\javaw.Exe

    Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA}

    Found and removed: SOFTWARE\Classes\JavaPlugin.140_03

    Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.4.0_03

    Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.4

    Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.4.0_03

    Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AC1E4C93-C1E7-11D6-9D10-00010240CE95}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

    Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

    ------------------------------------

    Finished reporting.

    Enfin le rapport de Hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:33:01, on 23/07/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\VIA\RAID\vialogsv.exe
    C:\WINDOWS\system32\VTTimer.exe
    C:\WINDOWS\system32\VTtrayp.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\PROGRA~1\Wanadoo\ComComp.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\PROGRA~1\Wanadoo\Toaster.exe
    C:\PROGRA~1\Wanadoo\Inactivity.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    C:\PROGRA~1\Wanadoo\Watch.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\msiexec.exe
    D:\Bureau\JavaRa\JavaRa.exe
    C:\Program Files\NOS\bin\getPlusPlus_Adobe.exe
    C:\WINDOWS\system32\DllHost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Documents and Settings\Le Menn\Local Settings\Temporary Internet Files\Content.IE5\RGQKCQU4\HiJackThis[1].exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C3639EEF-20B6-4579-AD61-F018418A174D}: NameServer = 80.10.246.1 81.253.149.2
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: VRAID Log Service - Unknown owner - C:\Program Files\VIA\RAID\vialogsv.exe
    0
  12. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    bonsoir

    Plus d'infection -)

    Comment va le PC ?

    ----------------------------------------

    ● relances hijackthis

    ● cliques sur " do a scan only " et coches les lignes suivantes , si elles sont encores la :

    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe => Microsoft®Windows CTF Loader
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') => Microsoft®Windows NT
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') => Microsoft®Windows NT
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') => Microsoft®Windows NT
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') => Microsoft®Windows NT
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe => Ahead®Nero Burning Rom
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)


    ● cliques sur "fixchecked" , valides et redémarres ton pc
    ---------------------------------------

    supprimes les outils qui ont servis à la désinfection

    * Relances ZHPfix
    * clique sur le A rouge
    * vérifie que tout soit cochés
    * nettoyer

    ==> ensuite supprimes ZHPdiag (ajout/suppression de programmes)

    -----------------------------------

    Télécharge CCleaner version slim.
    * Installe le puis lance le.
    * va dans " options" ==> "avancés" et décoches " effacer uniquement ------24 heures"
    * Clique sur Nettoyeur => Analyse => Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
    * Enfin, clique sur Registre => corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

    Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois).

    ----------------------------------

    Purge de la restauration système : ==> IMPORTANT

    Désactivation de la restauration :

    * Cliquez droit sur poste de travail
    * Ensuite aller sur propriétés
    * Puis restauration système
    * Et cochez la case désactiver la restauration
    * Cliquez ensuite sur appliquez, puis OK
    * Et redémarrez votre PC

    Réactivation de la restauration :

    * Cliquez droit sur poste de travail
    * Ensuite aller sur propriétés
    * Puis restauration système
    * Et décochez la case désactiver la restauration
    * Cliquez ensuite sur appliquez, puis OK
    * Et redémarrez votre PC

    Et ensuite création d'un nouveau point de restauration comme ce qui suit :


    * Allez dans le Menu Démarrer
    * Puis dans Programmes
    * Ensuite dans Accessoires
    * Et enfin dans Outils système
    * Choisir Restauration du système
    * Sélectionnez créer un point de restauration
    * Entrez un nom pour le point de restauration
    * Cliquez sur créer et le point de restauration se créé automatiquement.

    Enfin vous devez garder les logiciels suivant qui ont été téléchargés pour la désinfection et le nettoyage:

    * Ccleaner à garder absolument et faire le nettoyage souvent

    * Malware à garder absolument (faire scan de temps en temps)

    ------------------------------------------

    As-tu d'autres soucis ou des questions ?
    0
  13. mathos33 Messages postés 125 Statut Membre
     
    Merci pour tout

    J'ai bien fait ce que tu me disais sur le dernier message. Je conserve donc ccleaner et malwarebytes. Je dirai à mon beau-père d'effectuer un scan de temps en temps.

    Pour le reste plus de pubs, tout est revenu à la normale. Peut-être un petit ralentissement du PC depuis les soins. J'entends gratter un peu plus le disque dur qu'auparavant et il met un peu plus de temps à ouvrir les applis mais rien de grave.

    En tout cas sympa d'avoir passé du temps pour moi.

    Bon week end
    0