redirection intempestive sur gomeo, jump Résolu/Fermé

Question

Bonjour, 


Configuration: Windows XP / Firefox 3.5.13



Moi aussi, comme d'autres à ce que je vois sur le forum, j'ai des problèmes actuellement avec des trojan  (le dernier semble s'appeler just-A) dont je n'arrive pas à me débarrasser.

Je suis souvent redirigée sur des sites comme Gomeo, jump et autres à partir de Google. J'ai Avira Antivir Personal qui bipe et j'ai téléchargé MAlwareBytes AntiMalware, et AD Remover et recherché. Ils ont détecté puis je pensais éliminé mais en fait, cela recommence.

Help! Merci

Novice en pc · Answer

J'ai le même problème!!!! Comment faire???

Utilisateur anonyme · Answer

bonjour,
@nichaca puisque c'est ton poste  :

* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Utilisateur anonyme · Answer

étant donné que nous sommes tous des bénévoles, il suffit d'être patient pour avoir ta réponse

*tu as déjà utilisé ADRemover,
relance le et clique sur désinstaller,

**attention à l'utilisation de Boonty, problème de confidentialité !!!

***déinstalle tous les plugin de FF, ton problème sera résolu !!!

****tu as d'autres infections sur ton pc :

*	Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

---------------------------------------------------------- 

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  
M2 - MFEP: prefs.js [Morel Beatrice - dfdwlx0y.default\{577d79c9-888d-4136-92b9-5e162f179905}] [xul] XUL Cache 1.0 (.Canonical Ltd..)  
[HKLM\Software\BearShare Mediabar]   
O44 - LFC:[MD5.F7C23CD5D2EA3C77C68405111B8616C6] - 10/09/2010 -
 15:17:56 -SH-- . (.Pas de propriÃ©taire - Pas de description.)--C:\WINDOWS\System32\unrar.exe   [203776]

O51 - MPSK:{08781a01-244b-11dd-997c-001d6080d73c}\Shell\AutoRun\command. (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe (.not file.)    

---------------------------------------------------------- 

- Clique sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html

nichaca · Answer

Merci de t'occuper de mon problème, Electricien69. C'est vraiment sympa de prendre de son temps pour aider les autres. Si je t'ai posé la question, c'est que c'est la 1è fois que je viens sur ce forum et je ne savais pas comment cela fonctionnait. Et si j'avais correctement envoyé mon message.  
 Tu as constaté que j'avais d'autres infections, j'en ai bien l'impression car dernièrement, depuis ce problème de redirection, je trouve que le pc rame. C'est grave, docteur ? 

-tu me dis que Boonty pose des problèmes de confidentialité. En fait, c'est mon fils qui l'a téléchargé car il me dit qu'il en a besoin pour Football Manager et donc jouer en ligne avec ses copains. C'est vraiment embêtant ? Cela a l'air de l'ennuyer de l'enlever mais si tu me le conseilles, on le fera ! 
  
-tu me demandes de désinstaller tous les plugin de FF. Comment je fais ? !! il y en a bcp et j'ai peur de tout virer et de faire une fausse manip. 


Quant à ZHPFix, voila, c'est fait: 

Rapport de ZHPFix 1.12.32 par Nicolas Coolman, Update du 25/09/2010 
Fichier d'export Registre : C:\ZHPExportRegistry-26-09-2010-20-39-22.txt 
Run by Morel Beatrice at 26/09/2010 20:39:22 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 
Contact : nicolascoolman@yahoo.fr 

========== Clé(s) du Registre ========== 
HKLM\Software\BearShare Mediabar  => Clé supprimée avec succès 
O51 - MPSK:{08781a01-244b-11dd-997c-001d6080d73c}\Shell\AutoRun\command. (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe (.not file.  => Clé supprimée avec succès 

========== Elément(s) de donnée du Registre ========== 
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  => Donnée supprimée avec succès 

========== Dossier(s) ========== 
C:\Documents and Settings\Morel Beatrice\Application Data\Mozilla\Firefox\Profiles\dfdwlx0y.default\extensions\{577d79c9-888d-4136-92b9-5e162f179905}  => Supprimé et mis en quarantaine 

========== Fichier(s) ========== 
c:\windows\system32\rundll32.exe shell32.dll  => Supprimé et mis en quarantaine 

========== Autre ========== 
15:17:56 -SH-- . (.Pas de propriÃ©taire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776]  => Format Non supporté 
15:17:56 -SH-- . (.Pas de propriÃ©taire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776]  => Format Non supporté 
15:17:56 -SH-- . (.Pas de propriÃ©taire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776]  => Format Non supporté 
15:17:56 -SH-- . (.Pas de propriÃ©taire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776]  => Format Non supporté 
15:17:56 -SH-- . (.Pas de propriÃ©taire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776]  => Format Non supporté 
15:17:56 -SH-- . (.Pas de propriÃ©taire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776]  => Format Non supporté 
15:17:56 -SH-- . (.Pas de propriÃ©taire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776]  => Format Non supporté 
15:17:56 -SH-- . (.Pas de propriÃ©taire - Pas de description.)--C:\WINDOWS\System32\unrar.exe [203776]  => Format Non supporté 


========== Récapitulatif ========== 
2 : Clé(s) du Registre 
1 : Elément(s) de donnée du Registre 
1 : Dossier(s) 
1 : Fichier(s) 
8 : Autre 


End of the scan

Utilisateur anonyme · Answer

bonsoir,
pour boonty, je sais que c'est un site de jeu en ligne, mais je t'informe de ce que c'est, à toi de voir si oui ou non, tu le vires !

Leur politique : 
"Il se peut que nous partageons aussi des informations payantes avec des tiers 
qui fournissent ds services payants et partage des données regroupées montrant le type 
et le nombre de jeux videos que vous téléchargez, votre age, votre sexe, vos occupations, 
niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur, 
internet et intérêts pour les jeux videos, activités et entrainement des jeux édités. 
De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails 
qui nous assistent en envoyant nos mails a de nombreux clients en même temps..." 
si tu es d'accord avec eux, pas de problèmes sinon, il faut desintaller le service en allant dans 
(démarrer / exécuter / tape services.msc ) recherche le service, va dans les propriétés et désactive le. 
Lance une recherche Boonty et supprime tout. 
Il se peut que les jeux ne marchent plus 


j'ai eu des cas similaires de redrections causées par les plugin de FF, à désinstaller via ajout suppression de programme



Rends toi sur ce site : 
https://www.virustotal.com/gui/ 
clique sur parcourir et cherche ce fichier : 

C:\WINDOWS\System32\unrar.exe

clique sur send file 
un rappoort va s-élaborer ligne à ligne 
attends un peu, il doit comprendre la taille du fichier envoyé 
sauvegarde le rapport avec le bloc note 
copie le dans ton prochain message.

nichaca · Answer

Rebonsoir
POur boonty je vais attendre un peu, si j'arrive à me débarrasser de ces satanés virus sans le virer.

il y a un pbm: 
C:\WINDOWS\System32\unrar.exe
est introuvable !!

que dois-je faire alors?

je te dis à demain. je me reconnecterai vers 12h30 et merci encore

Utilisateur anonyme · Answer

bonjour,
pour le fichier introuvable, pas de soucis, il a du être viré avec zhpfix  :-)

as tu désinstaller via ajout suppression de programmes les plugin de FF ?


repasse un autre zhpdiag, enregistre son rapport sur tonbureau, héberge le sur un site comme cijoint, cille le lien sur ton prochain message,


donne moi des nouvvelles du fonctionnement du pc et ton problème de redirection  :-)

nichaca · Answer

bonsoir
merci pour ton msg
-alors pour les plugin ff je ne sais pas trop ce qu'il faut que je supprime; en fait j'ai énormément de programmes installés. lesquels sont des plugin?
j'ai fait des copies des écrans où apparait la liste mais je ne sais pas comment te l'envoyer.
il y a des prog dont j'ai besoin comme adobe flash player, shockwave, quicktime, realplayer, des prog pour copier des dvd, ceux liés à l'imprimante et scanner bien sûr, foxit, mon fils avait chargé google chrome mais moi je ne m'en sers pas!!? les programmes hauppauge de ma carte tuner tv, le pack office et openoffice, ...
je ne vois pas trop ce qui correspond à ff en fait. 

je viens de refaire un zhpdiag et j'ai enregistré comme tu as dit:
Le dépôt du fichier ZHPDiag 27 09.Txt a été réalisé avec succès !

http://www.cijoint.fr/cjlink.php?file=cj201009/cijhtvS9Kj.txt


pour ce qui est du pc ça semble s'aggraver. toujours des redirections sur des sites de pub ou gomeo . quand je suis sur l'accueil google et que je lance une recherche, des fois je n'ai plus la barre grise en bas avec marqué en attente de ... ou terminé.
et des fois j'ai des petites fenetres de pub qui s'ouvrent sur l'écran.
et il rame


j'attends tes instructions pour poursuivre la désinfection.
merci encore.

Utilisateur anonyme · Answer

tous ce sprogrammes sont des plugin pour FF :

P2 - FPN:Firefox Plugin Navigator . (.Sun Microsystems, Inc. - NPRuntime Script Plug-in Library for Java(TM) Deploy.) -- C:\Program Files\Mozilla Firefox\Plugins
pdeploytk.dll
P2 - FPN:Firefox Plugin Navigator . (.Foxit Software Company - Foxit Reader Plug-In For Firefox and Netscape.) -- C:\Program Files\Mozilla Firefox\Plugins
pFoxitReaderPlugin.dll
P2 - FPN:Firefox Plugin Navigator . (.mozilla.org - Default Plug-in.) -- C:\Program Files\Mozilla Firefox\Plugins
pnul32.dll
P2 - FPN:Firefox Plugin Navigator . (.Microsoft Corporation - Office Plugin for Netscape Navigator.) -- C:\Program Files\Mozilla Firefox\Plugins\NPOFF12.DLL
P2 - FPN:Firefox Plugin Navigator . (.Adobe Systems Inc. - Adobe Acrobat Plug-In Version 5.00 for Netscape.) -- C:\Program Files\Mozilla Firefox\Plugins
ppdf32.dll
P2 - FPN:Firefox Plugin Navigator . (.RealNetworks, Inc. - RealPlayer(tm) LiveConnect-Enabled Plug-In.) -- C:\Program Files\Mozilla Firefox\Plugins
ppl3260.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins
pqtplugin.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins
pqtplugin2.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins
pqtplugin3.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins
pqtplugin4.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins
pqtplugin5.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins
pqtplugin6.dll
P2 - FPN:Firefox Plugin Navigator . (.Apple Inc. - The QuickTime Plugin allows you to view a wide variety of multimedia c.) -- C:\Program Files\Mozilla Firefox\Plugins
pqtplugin7.dll
P2 - FPN:Firefox Plugin Navigator . (.RealNetworks, Inc. - RealJukebox Netscape Plugin.) -- C:\Program Files\Mozilla Firefox\Plugins
prjplug.dll
P2 - FPN:Firefox Plugin Navigator . (.RealNetworks, Inc. - 6.0.12.69.) -- C:\Program Files\Mozilla Firefox\Plugins
prpjplug.dll
P2 - FPN: [HKLM] [@adobe.com/FlashPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
P2 - FPN: [HKLM] [@adobe.com/ShockwavePlayer] - (.Adobe Systems, Inc. - Adobe Shockwave for Director Netscape plug-in, version 11.5.) -- C:\WINDOWS\system32\Adobe\Director
p32dsw.dll
P2 - FPN: [HKLM] [@Google.com/GoogleEarthPlugin] - (.Google - GEPlugin.) -- C:\Program Files\Google\Google Earth\plugin
pgeplugin.dll
P2 - FPN: [HKLM] [@microsoft.com/WPF,version=3.5] - (.Microsoft Corporation - Windows Presentation Foundation (WPF) plug-in for Mozilla browsers.) -- C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
P2 - FPN: [HKLM] [@ngm.nexoneu.com/NxGame] - (.Nexon - Nexon Game Controller 1.0.0.1.) -- C:\Documents and Settings\All Users\Application Data\NexonEU\NGM
pNxGameeu.dll
P2 - FPN: [HKLM] [@real.com/nppl3260;version=6.0.12.69] - (.RealNetworks, Inc. - RealPlayer(tm) LiveConnect-Enabled Plug-In.) -- C:\Program Files\Real\RealPlayer\Netscape6
ppl3260.dll
P2 - FPN: [HKLM] [@real.com/nprjplug;version=1.0.3.69] - (.RealNetworks, Inc. - RealJukebox Netscape Plugin.) -- C:\Program Files\Real\RealPlayer\Netscape6
prjplug.dll
P2 - FPN: [HKLM] [@real.com/nprpjplug;version=6.0.12.69] - (.RealNetworks, Inc. - 6.0.12.69.) -- C:\Program Files\Real\RealPlayer\Netscape6
prpjplug.dll
P2 - FPN: [HKLM] [@tools.google.com/Google Update;version=8] - (.Google Inc. - Google Update.) -- C:\Program Files\Google\Update\1.2.183.29
pGoogleOneClick8.dll
P2 - FPN: [HKCU] [@adobe.com/FlashPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll



il y a encore des trojans sur ton cp :

*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 
	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfectionecherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

ou ici : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/



@++

nichaca · Answer

bonsoir
je n'ai pas eu le temps de m'occuper beaucoup de mon ordi aujourd'hui, j'ai juste supprimé les plugin que tu m'as indiqués 
mais impossible de supprimer:
P2 - FPN: [HKLM] [@adobe.com/FlashPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll 

P2 - FPN: [HKCU] [@adobe.com/FlashPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll 

tout le reste a l'air d'être parti. 

je m'occupe demain matin de combofix et je te tiens au courant.

par contre ce soir c'est l'horreur. le peu de temps que je suis sur l'ordi mon antivirus s'est déchainé, il n'a pas arrêté de biper, aussi je suis en train de faire un scan pour voir, j'en suis à 44 virus trouvé et seulement à 71%.
j'espère que combofix va faire des miracles demain!

A demain

Utilisateur anonyme · Answer

bonjour,
combofix ne fait pas de miracle,

mais ton pc contient pas mal d'infection !

suis ce poste et poste les rapports,

https://forums.commentcamarche.net/forum/affich-19298940-redirection-intempestive-sur-gomeo-jump#11


tout va bien se passer  :-)

@++

nichaca · Answer

bonsoir
Alors me voila à nouveau
J'ai donc utilisé combofix qui ne m'a pas l'air d'avoir fonctionné vraiment comme il faut. Je m'explique: pas de problème pour le télécharger, ensuite le lancer comme indiqué, mais à la fin  après étape 50 il ne m'annonce qu'ilprépare le fichier rapport passe directement à un message Suppression de fichiers et éteint l'ordi. Au début je n'ai pas non mpus eu de modification de l'horloge comme précisé sur le tuto.
Normal tout ça?
et j'ai qd même essayé de rechercher dans C\Combofix le ficher text, rien. Il y a bien l'icone Combofix mais elle m'ouvre la même chose que le poste de travail.

et j'ai eu un big souci ensuite: plus de connexion internet! le modem qui ne s'allumait plus.  ça a duré pas mal de tps et ce soir c'est revenu

ensuite j'ai passé malwarebytes  (vachement long)et voici le rapport:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4717

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/09/2010 00:00:34
mbam-log-2010-09-30 (00-00-34).txt

Type d'examen: Examen complet (C:\|F:\|)
Elément(s) analysé(s): 267303
Temps écoulé: 1 heure(s), 12 minute(s), 3 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\cryptnet32.dll (Trojan.Delf) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\3FWHZQA3LT (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SMH2B46TDP (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\3fwhzqa3lt (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\cryptnet32.dll (Trojan.Delf) -> Delete on reboot.
C:\WINDOWS\system32\crt.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\shimg.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
 
il a détecté encore des trojan.
je ne sais pas si on va en voir le bout.
en tout cas, ça a qd même l'air d'aller mieux, le pc rame moins sur google et pour l'instant plus de redirection. Touchons du bois...

alors quid maintenant?

Merci encore de me consacrer de ton tps.
a+

Utilisateur anonyme · Answer

bonjour,
relance MBAM, vide sa quarantaine,

repasse un autre zhpdiag, enregistre le rapport sur ton bureau, héberge le rapport sur un site comme Cijoint ou Too files.com, colle le lien su rapport sur ton prochain message

@++

nichaca · Answer

bonsoir
j'ai relance mbam et supprimé la quarantaine
voici le rapport Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4723

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/09/2010 20:01:35
mbam-log-2010-09-30 (20-01-35).txt

Type d'examen: Examen complet (C:\|F:\|)
Elément(s) analysé(s): 267312
Temps écoulé: 1 heure(s), 16 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Voici maintenant le rapport zhpdiag:

dépôt du fichier ZHPDiag du 30 09.Txt 
http://www.cijoint.fr/cjlink.php?file=cj201009/cijvQur5mJ.txt


Vois-tu des fichiers, programmes... que je devrai désinstaller? 

en tout cas, cela a l'air d'aller bcp mieux, je n'ai plus pour l'instant de redirection. En a-t-on fini avec ces fichus trojans?

Merci
à++

Utilisateur anonyme · Answer

la suite : 

. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau 

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/  

.double-cliques sur le fichier pour lancer l'installation  
.sur la fenêtre de l'installation langage bien choisir français et OK  
.cliques sur suivant  
.lis la licence et j'accepte  
.cliques sur suivant  
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner  
.cliques sur installer  
.cliques sur fermer  
.double-cliques sur l'icône de Ccleaner pour l'ouvrir  
.une fois ouvert tu cliques sur option et puis avancé  
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures  
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse une fois l'analyse terminé  
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien  
.cliques maintenant sur registre et puis sur rechercher les erreurs  
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées  
.il te demande de sauvegarder OUI  
.tu lui donnes un nom pour pouvoir la retrouver et enregistre  
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK  
.il supprime et fermer tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner 


repasse una utre zhpdiag, enregistre son rapport sur ton bureau, héberge le sur cijoint et colle le lien sur ton prochain message 

on poursuit demain  

@ ++ 


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

nichaca · Answer

voila, j'ai tout fait
je te communique le rapport du fichier ZHPDiag 01 10.Txt 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijOQeO6JF.txt

tu vois toujours des infections?

à+

Utilisateur anonyme · Answer

bonjour,
tu as encore un toolbar infectieux !!!!
sache que les toolbar ne sont pas obligatoire !

*	Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir: 

https://www.androidworld.fr/

/!\ Ferme toutes applications en cours /!\ 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

nichaca · Answer

OK pour les toolbar. Moi je veux bien tous les supprimer si ce 'nest pas utile, c'est qu'ils s'installent tout seuls. In dique-moi la marche à suivre stp

POur ce qui est du clean du Ad Remover le voila:

======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:47:36 le 02/10/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Morel Beatrice@MOREL-FADD45F5E ( ) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
0,Dossier supprimé: C:\Documents and Settings\Nicolas\Application Data\Mozilla\FireFox\Profiles\b895tm80.default\extensions	oolbar@ask.com
0,Dossier supprimé: C:\Program Files\Ask.com
0,Dossier supprimé: C:\Documents and Settings\Morel Beatrice\Local Settings\Application Data\AskToolbar
3,Fichier supprimé: C:\WINDOWS\Installer\4223e8.msi  

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Nicolas\Application Data\Mozilla\FireFox\Profiles\b895tm80.default\Prefs.js --
Ligne supprimée: user_pref("extensions.asktb.cbid", "A2"); 
Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://www.ask.com/web?q={query}&o={o}&l={l}... 
Ligne supprimée: user_pref("extensions.asktb.dtid", "YYYYYYYYFR"); 
Ligne supprimée: user_pref("extensions.asktb.l", "dis"); 
Ligne supprimée: user_pref("extensions.asktb.locale", "en_US"); 
Ligne supprimée: user_pref("extensions.asktb.o", "10148"); 
Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871"); 
Ligne supprimée: user_pref("extensions.asktb.search-suggestions-enabled", true); 
Ligne supprimée: user_pref("extensions.enabledItems", "toolbar@ask.com:3.8.0.12304,{53724739-8c9b-4b6d-904d-de60ae2a4... 
-- Fichier Fermé --
 

1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
0,Clé supprimée: HKCU\Software\Ask.com
0,Clé supprimée: HKCU\Software\AskToolbar
0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
3,Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
3,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.13 (fr)] **

-- C:\Documents and Settings\Morel Beatrice\Application Data\Mozilla\FireFox\Profiles\dfdwlx0y.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Morel Beatrice\Mes documents\Alice
browser.startup.homepage, hxxp://google.fr
browser.startup.homepage_override.mstone, rv:1.9.1.13

-- C:\Documents and Settings\Nicolas\Application Data\Mozilla\FireFox\Profiles\b895tm80.default\Prefs.js --
browser.download.lastDir, H:\Concours national de la résistance et de la déportation\Images
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.1.13
privacy.popups.showBrowserMessage, false

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 114 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 02/10/2010 (1848 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 02/10/2010 (6019 Octet(s)) 

Fin à: 13:49:55, 02/10/2010 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

relance ADR, clique sur désinstaller,

il y en a pas mal déjà supprimés avec ADR  :-)

as tu déjà désisntallé les plugin de FF ?

repasse una utre zhpdiag
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://www.cijoint.fr/ 

on verra ce qui reste  :-)

nichaca · Answer

Bonsoir
Tous les plugin qui sont listés dans le rapport ZHPDiag du 01 10 sont impossibles à éliminer. et je constate qu'on les retrouve encore dans le dernier rapport. Il y en a d'ailleurs pleins qui sont notés "not file" et sont introuvables ds mon ordi.

voici le dernier rapport:
ZHPDiag 03 10.Txt 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijzHHJDvP.txt

pas easy de se débarrasser de tous ces virus.
Merci à+

Utilisateur anonyme · Answer

bonjour,


pour les plugin de FF,
tupeux les trouve dans ajout/suppression de programmes et les désinstaller.

au pire, désinstalle FF, supprime son répertoire manuellement,

puis réinstalle le.



*	Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

---------------------------------------------------------- 

O20 - Winlogon Notify: cryptnet32 . (.Pas de propriÃ©taire - Pas de description.) -- cryptnet32.dll

O44 - LFC:[MD5.F7C23CD5D2EA3C77C68405111B8616C6] - 10/09/2010 - 15:17:56 -SH-- . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\System32\unrar.exe
 
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS)  .(.Pas de propriÃ©taire - Pas de description.) - LEGACY_SSHNAS  

O42 - Logiciel: Steam fr - (.Boonty.) [HKLM] -- Steam_is1    => Boonty Game
[HKLM\Software\Boonty]
O43 - CFD:Common File Directory ----D- C:\Program Files\BoontyGames
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\BOONTY Shared

O64 - Services: CurCS - (.not file.) - b50c168e-da91-4227-b494-0ee3cdcd54c7 (b50c168e-da91-4227-b494-0ee3cdcd54c7)  .(.Pas de propriÃ©taire - Pas de description.) - LEGACY_B50C168E-DA91-4227-B494-0EE3CDCD54C7

O64 - Services: CurCS - (.not file.) - Boonty Games (Boonty Games)  .(.Pas de propriÃ©taire - Pas de description.) - LEGACY_BOONTY_GAMES

O64 - Services: CurCS - (.not file.) - ebe3368b-f1ac-4c01-a9da-28c54c41a85e (ebe3368b-f1ac-4c01-a9da-28c54c41a85e)  .(.Pas de propriÃ©taire - Pas de description.) - LEGACY_EBE3368B-F1AC-4C01-A9DA-28C54C41A85E

O64 - Services: CurCS - (.not file.) - f8a7139e-b25f-4f6c-8710-206fac28c5e7 (f8a7139e-b25f-4f6c-8710-206fac28c5e7)  .(.Pas de propriÃ©taire - Pas de description.) - LEGACY_F8A7139E-B25F-4F6C-8710-206FAC28C5E7 
---------------------------------------------------------- 

- Clique sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html

nichaca · Answer

Bonsoir
Voila, j'ai désinstallé mozilla firefox, je le réinstaller quand tout sera fini. 

et je te joins le rapport de ZHPFix

Crois-tu qu'on "tient le bon bout" ??
et merci encore.


Rapport de ZHPFix 1.12.32 par Nicolas Coolman, Update du 25/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-03-10-2010-21-58-55.txt
Run by Morel Beatrice at 03/10/2010 21:58:55
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O20 - Winlogon Notify: cryptnet32 . (.Pas de propriÃ©taire - Pas de description.) -- cryptnet32.dll  => Clé absente
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriÃ©taire - Pas de description.) - LEGACY_SSHNAS  => Clé absente
HKLM\Software\Boonty  => Clé absente
O64 - Services: CurCS - (.not file.) - b50c168e-da91-4227-b494-0ee3cdcd54c7 (b50c168e-da91-4227-b494-0ee3cdcd54c7) .(.Pas de propriÃ©taire - Pas de description.) - LEGACY_B50C168E-DA91-4227-B494-0EE3CDCD54C7  => Clé absente
O64 - Services: CurCS - (.not file.) - Boonty Games (Boonty Games) .(.Pas de propriÃ©taire - Pas de description.) - LEGACY_BOONTY_GAMES  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - ebe3368b-f1ac-4c01-a9da-28c54c41a85e (ebe3368b-f1ac-4c01-a9da-28c54c41a85e) .(.Pas de 
propriÃ©taire - Pas de description.) - LEGACY_EBE3368B-F1AC-4C01-A9DA-28C54C41A85E  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - f8a7139e-b25f-4f6c-8710-206fac28c5e7 (f8a7139e-b25f-4f6c-8710-206fac28c5e7) .(.Pas de propriÃ©taire - Pas de description.) - LEGACY_F8A7139E-B25F-4F6C-8710-206FAC28C5E7  => Clé supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\BoontyGames  => Dossier absent
C:\Program Files\Fichiers Communs\BOONTY Shared  => Dossier absent

========== Fichier(s) ==========
cryptnet32.dll ()   => Fichier absent
c:\windows\system32\unrar.exe ()   => Fichier absent

========== Logiciel(s) ==========
O42 - Logiciel: Steam fr - (.Boonty.) [HKLM] -- Steam_is1 => Boonty Game  => Logiciel déjà supprimé


========== Récapitulatif ==========
7 : Clé(s) du Registre
2 : Dossier(s)
2 : Fichier(s)
1 : Logiciel(s)


End of the scan

Utilisateur anonyme · Answer

supprime le répertoire de FF en manuel de ton disque dure, installe FF sur ton pc

dis moi si tu as encore des redirections, si non, on finalise la désinfection  :-)

nichaca · Answer

Bonsoir!
je viens de réinstaller FF et tout a l'air de bien fonctionner. Pas de signes de redirections. ouf! je crois que tu as fait du bon boulot. Merci encore.
que doit-on faire maintenant?
:-))

Utilisateur anonyme · Answer

bonjour,
on va finaliser la désinfection, mais attention à l'installation des plugin de FF !
ce n'est pas parce qu'il s'agit d'un plugin, qui n'est pas inféctieux !!!

mais on ne le sera jamais de quoi il s'agit !

relance Ccleaner pour faire un nettoyage, tu l'as déjà su ton pc,


*	pour supprimer les outils de désinfection :
Télecharge Delfix sur ton bureau :
http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

*lance le en option 2 et poste son rapport sur ton prochain message
**pour le désinstaller, il suffit de le relancer et choisir l'option 4

*	Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 
Pour XP :          https://www.commentcamarche.net/faq/5097-virus-system-volume-information

fais une mise à jour de ton antivius, lance un scan complet, tiens moi au courant du résultat  :-)

@++

nichaca · Answer

Bonjour,
je vais faire tout ça ce soir et je te tiens au courant.
Mais que me conseilles-tu alors pour les plugin de ff? Il faut bien les installer, non, sinon ff risque de ne pas bien fonctionner? Y a-t-il moyen de les passer à l'antivirus avant le téléchargement ou de les contrôler de tps en tps?

à ce soir

Utilisateur anonyme · Answer

tu as ce module, point vu sécurité :

https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

nichaca · Answer

bonsoir,

j'ai relancé ccleaner puis téléchargé delfix: 

~~~~~~ Dossiers ~~~~~~

Présent: C:\Qoobox
Présent: C:\Vundofix Backups
Présent: C:\Program Files\ZHPDiag

~~~~~~ Fichiers ~~~~~~

Présent: C:\WINDOWS\grep.exe
Présent: C:\WINDOWS\PEV.exe
Présent: C:\WINDOWS\NIRCMD.exe
Présent: C:\WINDOWS\MBR.exe
Présent: C:\WINDOWS\sed.exe
Présent: C:\WINDOWS\SWREG.exe
Présent: C:\WINDOWS\SWSC.exe
Présent: C:\WINDOWS\SWXCACLS.exe
Présent: C:\WINDOWS\zip.exe
Présent: C:\Documents and Settings\Morel Beatrice\Bureau\Ad-Report-du SCAN[1].txt
Présent: C:\Documents and Settings\Morel Beatrice\Bureau\VundoFix.exe
Présent: C:\Documents and Settings\Morel Beatrice\Bureau\ZHPDiag 01 10.Txt
Présent: C:\Documents and Settings\Morel Beatrice\Bureau\ZHPDiag 03 10.Txt
Présent: C:\Documents and Settings\Morel Beatrice\Bureau\ZHPFixReport.txt
Présent: C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Présent: C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Présent: C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Présent: C:\Documents and Settings\Morel Beatrice\Mes documents\Téléchargements\ZHPDiag.exe

~~~~~~ Registre ~~~~~~

Clé Présente: HKLM\Software\swearware
Clé Présente: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1


########## EOF - "C:\DelFixSearch.txt" - [1857 octets] ##########


puis supprimé avec delfix les outils de désinfection

Rapport DelFix v5.4 - 05/10/2010 à 21:53,41
Mis à jour le 05/10/10 à 21h30 par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
Navigateur : Mozilla Firefox 3.5.13 (fr) [Navigateur par défaut]
Processeur : AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Mémoire vive totale : 0,99 Go
Nom d'utilisateur : Morel Beatrice - MOREL-FADD45F5E (Administrateur)
Exécuté depuis : C:\Documents and Settings\Morel Beatrice\Mes documents\Téléchargements\DelFix.exe


~~~~~~ Dossiers ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\Vundofix Backups
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichiers ~~~~~~

Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\Morel Beatrice\Bureau\Ad-Report-du SCAN[1].txt
Supprimé : C:\Documents and Settings\Morel Beatrice\Bureau\VundoFix.exe
Supprimé : C:\Documents and Settings\Morel Beatrice\Bureau\ZHPDiag 01 10.Txt
Supprimé : C:\Documents and Settings\Morel Beatrice\Bureau\ZHPDiag 03 10.Txt
Supprimé : C:\Documents and Settings\Morel Beatrice\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\Morel Beatrice\Mes documents\Téléchargements\ZHPDiag.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1


########## EOF - "C:\DelFixSuppr.txt" - [1903 octets] ##########


enfin scanné tout avc antivir
voici le rapport:



Avira AntiVir Personal
Date de création du fichier de rapport : mardi 5 octobre 2010  22:29

La recherche porte sur 2905918 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : MOREL-FADD45F5E

Informations de version :
BUILD.DAT               : 9.0.0.77      21698 Bytes  09/06/2010 12:01:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  31/03/2010 19:29:55
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 19:29:54
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 19:29:54
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 19:29:54
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 19:29:54
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 19:29:54
VBASE005.VDF            : 7.10.6.82   2494464 Bytes  15/04/2010 17:27:34
VBASE006.VDF            : 7.10.7.218   2294784 Bytes  02/06/2010 17:49:35
VBASE007.VDF            : 7.10.9.165   4840960 Bytes  23/07/2010 07:29:12
VBASE008.VDF            : 7.10.11.133   3454464 Bytes  13/09/2010 18:09:23
VBASE009.VDF            : 7.10.11.134      2048 Bytes  13/09/2010 18:09:23
VBASE010.VDF            : 7.10.11.135      2048 Bytes  13/09/2010 18:09:23
VBASE011.VDF            : 7.10.11.136      2048 Bytes  13/09/2010 18:09:24
VBASE012.VDF            : 7.10.11.137      2048 Bytes  13/09/2010 18:09:24
VBASE013.VDF            : 7.10.11.165    172032 Bytes  15/09/2010 15:45:37
VBASE014.VDF            : 7.10.11.202    144384 Bytes  18/09/2010 14:57:57
VBASE015.VDF            : 7.10.11.231    129024 Bytes  21/09/2010 18:28:26
VBASE016.VDF            : 7.10.12.4    126464 Bytes  23/09/2010 19:04:30
VBASE017.VDF            : 7.10.12.38    146944 Bytes  27/09/2010 17:45:53
VBASE018.VDF            : 7.10.12.64    133120 Bytes  29/09/2010 17:46:05
VBASE019.VDF            : 7.10.12.99    134144 Bytes  01/10/2010 17:45:45
VBASE020.VDF            : 7.10.12.122    131584 Bytes  05/10/2010 16:50:38
VBASE021.VDF            : 7.10.12.123      2048 Bytes  05/10/2010 16:50:38
VBASE022.VDF            : 7.10.12.124      2048 Bytes  05/10/2010 16:50:38
VBASE023.VDF            : 7.10.12.125      2048 Bytes  05/10/2010 16:50:38
VBASE024.VDF            : 7.10.12.126      2048 Bytes  05/10/2010 16:50:38
VBASE025.VDF            : 7.10.12.127      2048 Bytes  05/10/2010 16:50:38
VBASE026.VDF            : 7.10.12.128      2048 Bytes  05/10/2010 16:50:39
VBASE027.VDF            : 7.10.12.129      2048 Bytes  05/10/2010 16:50:39
VBASE028.VDF            : 7.10.12.130      2048 Bytes  05/10/2010 16:50:39
VBASE029.VDF            : 7.10.12.131      2048 Bytes  05/10/2010 16:50:39
VBASE030.VDF            : 7.10.12.132      2048 Bytes  05/10/2010 16:50:39
VBASE031.VDF            : 7.10.12.136     45568 Bytes  05/10/2010 20:13:20
Version du moteur       : 8.2.4.72 
AEVDF.DLL               : 8.1.2.1      106868 Bytes  02/08/2010 07:29:49
AESCRIPT.DLL            : 8.1.3.45    1368443 Bytes  17/09/2010 15:56:09
AESCN.DLL               : 8.1.6.1      127347 Bytes  12/05/2010 17:39:57
AESBX.DLL               : 8.1.3.1      254324 Bytes  23/04/2010 18:44:20
AERDL.DLL               : 8.1.9.2      635252 Bytes  21/09/2010 18:28:50
AEPACK.DLL              : 8.2.3.7      471413 Bytes  17/09/2010 15:53:52
AEOFFICE.DLL            : 8.1.1.8      201081 Bytes  02/08/2010 07:29:40
AEHEUR.DLL              : 8.1.2.30    2941303 Bytes  01/10/2010 17:46:08
AEHELP.DLL              : 8.1.13.4     242038 Bytes  24/09/2010 19:05:40
AEGEN.DLL               : 8.1.3.23     401779 Bytes  01/10/2010 17:45:49
AEEMU.DLL               : 8.1.2.0      393588 Bytes  23/04/2010 18:44:12
AECORE.DLL              : 8.1.17.0     196982 Bytes  24/09/2010 19:05:33
AEBB.DLL                : 8.1.1.0       53618 Bytes  23/04/2010 18:44:10
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  31/03/2010 19:29:55
AVREP.DLL               : 8.0.0.7      159784 Bytes  31/03/2010 19:29:55
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  31/03/2010 19:29:52
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  31/03/2010 19:29:52

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, F:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : mardi 5 octobre 2010  22:29

La recherche d'objets cachés commence.
'120171' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spider.exe' - '1' module(s) sont contrôlés
Processus de recherche 'calc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WINWORD.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'thunderbird.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PSNGive.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PsnLite.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ir.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HOMERunner.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SuperCopier2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hamachi-2-ui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'opwareSE2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EPGClient.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMSAccessU.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hamachi-2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FsUsbExService.Exe' - '1' module(s) sont contrôlés
Processus de recherche 'SAgent2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EPGService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'49' processus ont été contrôlés avec '49' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'F:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '63' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Nicolas\Mes documents\Téléchargements	mnationsforever_setup.exe
    [AVERTISSEMENT] Impossible de lire le fichier !
Recherche débutant dans 'F:\'


Fin de la recherche : mardi 5 octobre 2010  23:30
Temps nécessaire:  1:00:59 Heure(s)

La recherche a été effectuée intégralement

   9986 Les répertoires ont été contrôlés
 448727 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 448726 Fichiers non infectés
   8670 Les archives ont été contrôlées
      2 Avertissements
      1 Consignes
 120171 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Qu'en penses-tu?
à+

Utilisateur anonyme · Answer

bonjour, 
C:\Documents and Settings\Nicolas\Mes documents\Téléchargements	mnationsforever_setup.exe  

je ne sais pas de quoi il s'agit ! 
un jeux cracké ? 

* Danger des cracks : 
https://forum.malekal.com/viewtopic.php?t=893&start=

tu le vires, puis crée un nouveau point de restauration système, ça peut servire  :-) 

sur ce, bon surf et bonne journée  :-) 

O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

nichaca · Answer

Bonjour

En fait c'est un jeu gratuit que mon fils a chargé sur internet, courses auto, qui s'appelle TrackMania Nations Forever. Il a été élu par les internautes jeu gratuit de l'année 2008.

le lien que tu m'as indiqué ne fonctionne pas.

Je te remercie encore pour tout. sans toi, jamais je n'aurai pu récupéré l'ordi.

Bonne journée

Utilisateur anonyme · Answer

j'ai remplacé le lien , jette un coup d'oeil, ça veut la pein  :-)

sur ce, bon surf  ;-)

Redirection intempestive sur gomeo, jump

31 réponses

Discussions similaires