Ask toolbar

Résolu
solsi2 -  
jfkpresident Messages postés 13877 Statut Contributeur sécurité -
Bonjour,

J'ai désinsallé ASK TOOLBAR, mais j'ai toujours les 3 icones de la barre qui apparaissent dans mes e-mails et surtout dans les descriptions de mes objets à vendre sur E-Bay. Cela m'empêche de valider mes ventes. C'est une horreur !!!

Voici le résultat de l'analyse AD-R (Ad-Remover). Pouvez-vous m'aider ?
Merci d'avance !

55 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

L’utilisateur signale la désinstallation d’Ask Toolbar suivie de l’apparition de trois icônes dans les e-mails et les descriptions d’objets sur eBay, entravant la validation des ventes.
Plusieurs éléments évoquent une infection adware liée à des composants publicitaires, avec des rapports d’outils de diagnostic comme AD-R, OTM et ZHPFix indiquant des fichiers et clés suspects.
Des éléments de traitement et de nettoyage apparaissent, notamment la suppression de fichiers et clés problématiques (funwebproducts, registrydoktor, npfunweb.dll), le nettoyage des caches et la gestion des tâches planifiées.
En dernier, des liens vers des rapports et des méthodes d’échange de fichiers ont été mentionnés comme moyen de partager des résultats, sans déclaration sur l’état du problème.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. glops Messages postés 1901 Statut Membre 150
     
    bonjour

    Tu as oublié de mettre le rapport ou le lien dans ton post ;-)
    0
  2. solsim2 Messages postés 5 Statut Membre
     
    Désolée !

    Voici le résultat du scan :

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 11/11/10 à 11:40
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (SCAN [3]) -> Lancé à 21:49:53 le 07/12/2010, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
    solange@PC-DE-SOLANGE (Hewlett-Packard HP Pavilion dv5 Notebook PC)

    ============== RECHERCHE ==============

    Fichier trouvé: C:\Users\solange\AppData\Roaming\Mozilla\FireFox\Profiles\8auk8zen.default\searchplugins\askcom.xml
    Dossier trouvé: C:\Users\solange\AppData\Roaming\Mozilla\FireFox\Profiles\8auk8zen.default\conduit
    Dossier trouvé: C:\Users\solange\AppData\LocalLow\Conduit
    Dossier trouvé: C:\Program Files\Conduit
    Dossier trouvé: C:\Users\solange\AppData\LocalLow\FunWebProducts
    Dossier trouvé: C:\Program Files\FunWebProducts
    Fichier trouvé: C:\Users\solange\Downloads\PopularScreenSavers(2).exe
    Fichier trouvé: C:\Users\solange\Downloads\PopularScreenSavers(3).exe
    Fichier trouvé: C:\Users\solange\Downloads\PopularScreenSavers(4).exe
    Fichier trouvé: C:\Users\solange\Downloads\PopularScreenSavers.exe

    -- Fichier ouvert: C:\Users\solange\AppData\Roaming\Mozilla\FireFox\Profiles\8auk8zen.default\Prefs.js --
    Ligne trouvée: user_pref("CT1460988.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
    Ligne trouvée: user_pref("CT1460988.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT146...
    Ligne trouvée: user_pref("CT1460988.ct1670222.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=U...
    Ligne trouvée: user_pref("CT1460988.myStuffSearchUrl", "hxxp://search.conduit.com/Results.aspx?q=SEARCH_TERM&ctid=E...
    Ligne trouvée: user_pref("CT2542115.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_...
    Ligne trouvée: user_pref("CT2542115.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT254...
    Ligne trouvée: user_pref("browser.search.defaultengine", "Ask.com");
    Ligne trouvée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&Sea...
    Ligne trouvée: user_pref("browser.search.order.1", "Ask.com");
    -- Fichier Fermé --

    Clé trouvée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
    Clé trouvée: HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}
    Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}
    Clé trouvée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé trouvée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    Clé trouvée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    Clé trouvée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    Clé trouvée: HKLM\Software\Classes\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}
    Clé trouvée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    Clé trouvée: HKLM\Software\Classes\FunWebProductsInstaller.Start
    Clé trouvée: HKLM\Software\Classes\FunWebProductsInstaller.Start.1
    Clé trouvée: HKLM\Software\Classes\Toolbar.CT2304564
    Clé trouvée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    Clé trouvée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    Clé trouvée: HKLM\Software\Conduit
    Clé trouvée: HKLM\Software\FunWebProducts
    Clé trouvée: HKCU\Software\AppDataLow\Toolbar
    Clé trouvée: HKCU\Software\AppDataLow\Software\Conduit
    Clé trouvée: HKCU\Software\AppDataLow\Software\FunWebProducts
    Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{38D323A6-A2E0-4F78-B7FE-55DCA378E816}
    Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{38D323A6-A2E0-4F78-B7FE-55DCA378E816}
    Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

    Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
    Valeur trouvée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
    Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.3 (fr)] **

    -- C:\Users\solange\AppData\Roaming\Mozilla\FireFox\Profiles\8auk8zen.default\Prefs.js --
    browser.download.lastDir, C:\\Users\\solange\\E-BAY PHOTOS
    browser.search.defaultenginename, Rechercher MyStart
    browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&SearchSource=3&q={searchTerms}
    browser.search.selectedEngine, Google
    browser.startup.homepage, hxxp://mystart.incredimail.com/mb41?u=1108101502842190571
    browser.startup.homepage_override.mstone, rv:1.9.2.12
    keyword.URL, hxxp://mystart.incredimail.com/mb41/?loc=ff_address_bar&search=&u=1108101502842190571

    ========================================

    ** Internet Explorer Version [8.0.6001.18975] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_be&c=83&bd=Pavilion&pf=cnnb
    Do404Search: 0x01000000
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Show_ToolBar: yes
    Start Page: hxxp://mystart.incredimail.com/mb41?u=1108101502842190571
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_be&c=83&bd=Pavilion&pf=cnnb
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Enable Browser Extensions: yes
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://www.missim.org/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 3 Fichier(s)

    C:\Ad-Report-SCAN[1].txt - 02/12/2010 (7023 Octet(s))
    C:\Ad-Report-SCAN[2].txt - 03/12/2010 (7079 Octet(s))
    C:\Ad-Report-SCAN[3].txt - 07/12/2010 (7006 Octet(s))

    Fin à: 21:51:02, 07/12/2010

    ============== E.O.F ==============
    0
  3. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Bonsoir,

    ! Déconnectes toi et fermes toutes applications en cours !

    ? Relances "Ad-remover" : au menu principal choisi l'option "Nettoyer" .

    ? Postes le rapport qui apparait à la fin.

    ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides)

    0
    1. glops Messages postés 1901 Statut Membre 150
       
      salut jfkprésident je te laisse ;-)
      0
  4. solsim2 Messages postés 5 Statut Membre
     
    Bonsoir !

    Merci pour vos instructions. Voici le rapport du nettoyage :

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 11/11/10 à 11:40
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:33:13 le 08/12/2010, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
    solange@PC-DE-SOLANGE (Hewlett-Packard HP Pavilion dv5 Notebook PC)

    ============== ACTION(S) ==============

    Fichier supprimé: C:\Users\solange\AppData\Roaming\Mozilla\FireFox\Profiles\8auk8zen.default\searchplugins\askcom.xml
    Dossier supprimé: C:\Users\solange\AppData\Roaming\Mozilla\FireFox\Profiles\8auk8zen.default\conduit
    Dossier supprimé: C:\Users\solange\AppData\LocalLow\Conduit
    Dossier supprimé: C:\Program Files\Conduit
    Dossier supprimé: C:\Users\solange\AppData\LocalLow\FunWebProducts
    Dossier supprimé: C:\Program Files\FunWebProducts
    Fichier supprimé: C:\Users\solange\Downloads\PopularScreenSavers(2).exe
    Fichier supprimé: C:\Users\solange\Downloads\PopularScreenSavers(3).exe
    Fichier supprimé: C:\Users\solange\Downloads\PopularScreenSavers(4).exe
    Fichier supprimé: C:\Users\solange\Downloads\PopularScreenSavers.exe

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\solange\AppData\Roaming\Mozilla\FireFox\Profiles\8auk8zen.default\Prefs.js --
    Ligne supprimée:
    Ligne supprimée:
    Ligne supprimée: user_pref("CT1460988.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
    Ligne supprimée: user_pref("CT1460988.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT146...
    Ligne supprimée: user_pref("CT1460988.ct1670222.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=U...
    Ligne supprimée: user_pref("CT1460988.myStuffSearchUrl", "hxxp://search.conduit.com/Results.aspx?q=SEARCH_TERM&ctid=E...
    Ligne supprimée: user_pref("CT2542115.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_...
    Ligne supprimée: user_pref("CT2542115.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT254...
    Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com");
    Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&Sea...
    Ligne supprimée: user_pref("browser.search.order.1", "Ask.com");
    -- Fichier Fermé --

    Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
    Clé supprimée: HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}
    Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    Clé supprimée: HKLM\Software\Classes\FunWebProductsInstaller.Start
    Clé supprimée: HKLM\Software\Classes\FunWebProductsInstaller.Start.1
    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2304564
    Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKLM\Software\FunWebProducts
    Clé supprimée: HKCU\Software\AppDataLow\Toolbar
    Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
    Clé supprimée: HKCU\Software\AppDataLow\Software\FunWebProducts
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{38D323A6-A2E0-4F78-B7FE-55DCA378E816}
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{38D323A6-A2E0-4F78-B7FE-55DCA378E816}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
    Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.3 (fr)] **

    -- C:\Users\solange\AppData\Roaming\Mozilla\FireFox\Profiles\8auk8zen.default\Prefs.js --
    browser.download.lastDir, C:\\Users\\solange\\E-BAY PHOTOS
    browser.search.defaultenginename, Rechercher MyStart
    browser.search.selectedEngine, Google
    browser.startup.homepage, hxxp://mystart.incredimail.com/mb41?u=1108101502842190571
    browser.startup.homepage_override.mstone, rv:1.9.2.12
    keyword.URL, hxxp://mystart.incredimail.com/mb41/?loc=ff_address_bar&search=&u=1108101502842190571

    ========================================

    ** Internet Explorer Version [8.0.6001.18975] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Enable Browser Extensions: yes
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 17 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 19 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 08/12/2010 (7012 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 02/12/2010 (7023 Octet(s))
    C:\Ad-Report-SCAN[2].txt - 03/12/2010 (7079 Octet(s))
    C:\Ad-Report-SCAN[3].txt - 07/12/2010 (7135 Octet(s))

    Fin à: 21:34:44, 08/12/2010

    ============== E.O.F ==============
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Télécharge ZhpDiag de Nicolas Coolman .

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php

    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

    0
  7. solsim2
     
    Bonsoir !

    Voici le lien demandé : http://www.cijoint.fr/cjlink.php?file=cj201012/cij60AezgR.txt

    Merci d'avance !
    0
  8. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Ton systeme est encore infecté .

    1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

    https://www.malwarebytes.com/

    3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

    4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

    5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

    6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

    7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

    9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    10) Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

    12) Ferme MBAM en cliquant sur Quitter.

    13) Poste le rapport dans ta réponse
    0
  9. so
     
    Bonjour !
    J'ai fait ce que vous m'avez dit. Vous trouverez ci-dessous le rapport d'analyse.
    MAIS UNE PETITE QUESTION : lorsque la liste des éléments infectés s'est affichée, seuls 2 fichiers étaient cochés (il y en avait encore 4 ou 5 qui n'étaient pas cochés). Je n'ai pas osé tout cocher. Le programme n'a donc effacé que ces 2 fichiers. Ai-je bien fait ou faut-il recommencer et tout supprimer ? Merci d'avance !

    Voici le rapport :

    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 5293

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18975

    12/12/2010 13:45:35
    mbam-log-2010-12-12 (13-45-35).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 305148
    Temps écoulé: 1 heure(s), 41 minute(s), 0 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 7

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\program files\ad-remover\quarantine\C\program files\funwebproducts\Installr\2.bin\f3ezsetp.dll.vir (PUP.FunWebProducts) -> Not selected for removal.
    c:\program files\ad-remover\quarantine\C\Users\solange\downloads\popularscreensavers(2).exe.vir (PUP.FunWebProducts) -> Not selected for removal.
    c:\program files\ad-remover\quarantine\C\Users\solange\downloads\popularscreensavers(3).exe.vir (PUP.FunWebProducts) -> Not selected for removal.
    c:\program files\ad-remover\quarantine\C\Users\solange\downloads\popularscreensavers(4).exe.vir (PUP.FunWebProducts) -> Not selected for removal.
    c:\program files\ad-remover\quarantine\C\Users\solange\downloads\popularscreensavers.exe.vir (PUP.FunWebProducts) -> Not selected for removal.
    c:\Users\solange\downloads\registrydoktor-france-v04.exe (Rogue.Installer) -> Quarantined and deleted successfully.
    c:\Users\solange\downloads\registryhelpersetupss.exe (Rogue.Installer) -> Quarantined and deleted successfully.
    0
  10. solsim2
     
    C'est encore moi ... J'ai fait une fausse manoeuvre et je n'ai pas eu le temps d'inscrire mon pseudo et mon adresse e-mail que voici :
    0
  11. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Tu dois tout supprimer avec MBAM .

    Colle moi le rapport final de suppression.
    0
  12. solsim2
     
    Voici le rapport :

    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 5293

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18975

    12/12/2010 13:45:35
    mbam-log-2010-12-12 (13-45-35).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 305148
    Temps écoulé: 1 heure(s), 41 minute(s), 0 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 7

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\program files\ad-remover\quarantine\C\program files\funwebproducts\Installr\2.bin\f3ezsetp.dll.vir (PUP.FunWebProducts) -> Not selected for removal.
    c:\program files\ad-remover\quarantine\C\Users\solange\downloads\popularscreensavers(2).exe.vir (PUP.FunWebProducts) -> Not selected for removal.
    c:\program files\ad-remover\quarantine\C\Users\solange\downloads\popularscreensavers(3).exe.vir (PUP.FunWebProducts) -> Not selected for removal.
    c:\program files\ad-remover\quarantine\C\Users\solange\downloads\popularscreensavers(4).exe.vir (PUP.FunWebProducts) -> Not selected for removal.
    c:\program files\ad-remover\quarantine\C\Users\solange\downloads\popularscreensavers.exe.vir (PUP.FunWebProducts) -> Not selected for removal.
    c:\Users\solange\downloads\registrydoktor-france-v04.exe (Rogue.Installer) -> Quarantined and deleted successfully.
    c:\Users\solange\downloads\registryhelpersetupss.exe (Rogue.Installer) -> Quarantined and deleted successfully.
    0
    1. glops Messages postés 1901 Statut Membre 150
       
      bonjour

      juste pour dire que tu n'as toujours pas supprimé ce qui a été détecté par MBAM comme demandé par JFKprésident
      il faut cocher les cases devant les lignes en rouge et cliquer sur "Supprimer la sélection"

      je sors ;-)
      0
  13. solsim2
     
    Bonsoir !
    Voici le rapport d'analyse après suppression de tous les fichiers infectés :

    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 5293

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18975

    12/12/2010 19:52:20
    mbam-log-2010-12-12 (19-52-20).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 305338
    Temps écoulé: 1 heure(s), 37 minute(s), 46 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\program files\ad-remover\quarantine\C\program files\funwebproducts\Installr\2.bin\f3ezsetp.dll.vir (PUP.FunWebProducts) -> Quarantined and deleted successfully.
    c:\program files\ad-remover\quarantine\C\Users\solange\downloads\popularscreensavers(2).exe.vir (PUP.FunWebProducts) -> Quarantined and deleted successfully.
    c:\program files\ad-remover\quarantine\C\Users\solange\downloads\popularscreensavers(3).exe.vir (PUP.FunWebProducts) -> Quarantined and deleted successfully.
    c:\program files\ad-remover\quarantine\C\Users\solange\downloads\popularscreensavers(4).exe.vir (PUP.FunWebProducts) -> Quarantined and deleted successfully.
    c:\program files\ad-remover\quarantine\C\Users\solange\downloads\popularscreensavers.exe.vir (PUP.FunWebProducts) -> Quarantined and deleted successfully.
    0
  14. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Ok,maintenant recolle moi un nouveau rapport ZhpDiag .
    0
  15. solsim2
     
    Voici le lien :

    http://www.cijoint.fr/cjlink.php?file=cj201012/cijiJuy0fF.txt
    0
  16. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

    Double-clique sur OTMoveIt3.exe pour le lancer.

    Copie la liste qui se trouve en gras ci-dessous,

    et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

    :files
    c:\program files\funwebproducts
    c:\program files\registrydoktor 4.1
    C:\Windows\Tasks\Registry_Doktor.job
    c:\Users\solange\Downloads\eMule0.50a-Installer.exe

    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    Clique sur "MoveIt!" pour lancer la suppression.

    Le résultat apparaitra dans le cadre "Results".

    Clique sur "Exit" pour fermer.

    Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

    Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

    ================

    Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

    1/Double Clique sur l'icone ZhpFix .

    2/ZhpFix va s'ouvrir ,clique sur "OK".

    3/Coche ces cases (et pas d'autres !):

    [HKCU\Software\ImInstaller]
    [HKLM\Software\ImInstaller]


    4/Pour finir clique sur "Nettoyer" .

    5/colle le rapport obtenu .

    ===============

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ces fichiers :

    C:\Windows\system32\drivers\cxbu0wdm.sys
    C:\Windows\Installer\{0003040C-78E1-11D2-B60F-006097C998E7}\wordicon.exe
    C:\Windows\explorer.exe


    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    0
  17. solsim2 Messages postés 5 Statut Membre
     
    Bonjour !

    Voici le rapport OTM :

    All processes killed
    ========== FILES ==========
    File/Folder c:\program files\funwebproducts not found.
    File/Folder c:\program files\registrydoktor 4.1 not found.
    C:\Windows\Tasks\Registry_Doktor.job moved successfully.
    c:\Users\solange\Downloads\eMule0.50a-Installer.exe moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Default User
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Public

    User: solange
    ->Temp folder emptied: 48595684 bytes
    ->Temporary Internet Files folder emptied: 27857268 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 112976488 bytes
    ->Apple Safari cache emptied: 0 bytes
    ->Flash cache emptied: 9197 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 3270 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 52601 bytes
    RecycleBin emptied: 4645035 bytes

    Total Files Cleaned = 185,00 mb

    OTM by OldTimer - Version 3.1.17.2 log created on 12132010_213323

    Files moved on Reboot...

    Registry entries deleted on Reboot...
    0
  18. solsim2 Messages postés 5 Statut Membre
     
    Désolée, mais quand j'ouvre le programme ZhpFix, la fenêtre est vide. Je clique sur OK, mais rien ne se passe.

    Que dois-je faire ?
    0
  19. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Clique sur "importer un rapport ZhpDiag...." puis coche les cases .
    0
  20. solsim2
     
    Bonsoir jfkpresident !

    Merci pour votre patience avec une novice ... mais j'ai encore un problème :

    Je ne sais plus du tout où on en est ... Je vous avais envoyé un rapport après avoir été sur le site https://www.virustotal.com/gui/
    Vous m'aviez dit "sauvegarde le rapport avec le bloc note". Je ne connais pas le "bloc note". J'ai essayé (mais j'ignore si ça a marché) et j'ai attendu votre réponse, qui n'est jamais venue.

    Je viens d'essayer de revenir où nous en étions, mais je trouve les 2 messages ci-dessus ... mais j'ai déjà importé le rapport ZhpDiag ... ???
    Que dois-je faire maintenant ?
    0
  21. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Relance ZhpDiag et colle moi le nouveau rapport histoire que je me remette dans le bain :)
    0
  • 1
  • 2
  • 3