Adware Widgi.toolbar

[Résolu/Fermé]
Signaler
Messages postés
10
Date d'inscription
samedi 12 juin 2010
Statut
Membre
Dernière intervention
5 décembre 2010
-
 Utilisateur anonyme -
Bonjour,

Malwarebyte m'a détecté Adware Widgi.toolbar sans action de nettoyage. Comment me débarasser de ce truc ?

Merci d'avance,

16 réponses


bonjour,
copie et colle le rapport de MBAM sur ton prochain message
2
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 41989 internautes nous ont dit merci ce mois-ci

Messages postés
10
Date d'inscription
samedi 12 juin 2010
Statut
Membre
Dernière intervention
5 décembre 2010

Voila voila

02/12/2010 16:57:25
mbam-log-2010-12-02 (16-57-17).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 154966
Temps écoulé: 2 minute(s), 3 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files (x86)\pdfforge toolbar\IE\4.1\pdfforgetoolbarie.dll (Adware.WidgiToolbar) -> No action taken.

je ne vois pas l'entête du rapport de MBAM !

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
https://www.androidworld.fr/ ( Miroir )
/!\ Ferme toutes applications en cours /!\

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Messages postés
10
Date d'inscription
samedi 12 juin 2010
Statut
Membre
Dernière intervention
5 décembre 2010

Voila l'en tête, il était resté dans le clavier :

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5233

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

02/12/2010 15:38:31
mbam-log-2010-12-02 (15-38-22).txt


Puis le rapport AD remover : il m'a demandé de rebooter, ce que je n'ai pas fait. j'attends les consignes !

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 11/11/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:30:59 le 03/12/2010, Mode normal

Microsoft Windows 7 Édition Familiale Premium (X64)
JEAN-NOEL@JEAN-NOEL-PC (Hewlett-Packard HP Pavilion dv7 Notebook PC)

============== ACTION(S) ==============

Service: "Application Updater" Stoppé et supprimé

Dossier supprimé: C:\Program Files (x86)\Application Updater
Dossier supprimé: C:\Users\JEAN-NOEL\AppData\LocalLow\pdfforge
Dossier supprimé: C:\Program Files (x86)\pdfforge Toolbar
Dossier supprimé: C:\Users\JEAN-NOEL\AppData\LocalLow\Search Settings
Dossier supprimé: C:\Program Files (x86)\Common Files\Spigot

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Application Updater
Clé supprimée: HKLM\Software\pdfforge
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKCU\Software\AppDataLow\Software\Search Settings
Clé supprimée: HKLM\Software\Classes\Installer\Products\B6FDFB1B30C3ef645B7DABBB00368D0E

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 25 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 03/12/2010 (3078 Octet(s))

Fin à: 16:33:01, 03/12/2010

============== E.O.F ==============

ok,
relance ADR, clique sur désinstaller,

* Télécharge ZHPDiag sur ton bureau :

https://www.commentcamarche.net/download/telecharger-34066799-zhpdiag
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Messages postés
10
Date d'inscription
samedi 12 juin 2010
Statut
Membre
Dernière intervention
5 décembre 2010

Obligé d'arrêter là pour le moment, je reprendrais demain. merci déjà pour l'aide apportée. A demain

@ +
Messages postés
10
Date d'inscription
samedi 12 juin 2010
Statut
Membre
Dernière intervention
5 décembre 2010

Bonjour, me revoilà .

Ci joint le lien pour le fichier :

Le dépôt du fichier ZHPDiag.txt a été réalisé avec succès !

Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier.
C'est ce même lien que vous devrez transmettre à vos correspondants
http://www.cijoint.fr/cjlink.php?file=cj201012/cij54TO8Lx.txt


Jai un nouveau problème avec la messagerie orange. Après indentification j'ai un message m'indiquant que mon browser n'accepte pas les cookies (alors que le paramètre est positionné en confidentialité moyenne), il faut que je valide pour accéder à la boite. Fonctionnementun peu bizarre...
* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes en gras et place les dans ZHPFix :

----------------------------------------------------------


R3 - URLSearchHook: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} Clé orpheline
O42 - Logiciel: pdfforge Toolbar v4.1 - (.Spigot, Inc..) [HKLM] -- {B1BFDF6B-3C03-46fe-B5D7-BABB0063D8E0}



----------------------------------------------------------

- Clique sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html




tu as MBAM sur ton pc, désinstalle la version que tu as sur ton pc, puis retélécharge une nouvelle copie ici :

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:


ou ici :



/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel :
O.o°*??? Membre, Sécurité o°.Oø¤º°'°º¤ø
Messages postés
10
Date d'inscription
samedi 12 juin 2010
Statut
Membre
Dernière intervention
5 décembre 2010

Et voila le dernier rapport : tout est clean.
Par contre, j'ai toujours ce truc bizarre avec le mail orange et les cookies ??

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5243

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

04/12/2010 20:25:34
mbam-log-2010-12-04 (20-25-34).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 422071
Temps écoulé: 1 heure(s), 4 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

bonjour,
à mon avis, le truc d'Orange te demande de diminuer le niveau de bloqueur de popup !

mais après, tu va être envahi de pub !

Messages postés
10
Date d'inscription
samedi 12 juin 2010
Statut
Membre
Dernière intervention
5 décembre 2010

En fait, ca ne marche pas quand je met ma connexion messagerie en favori après l'identification. Ce n'est pas grave.

Question : est ce qu'on peut passer CCleaner sans risque en nettoyant tout ce qu'il nous demande ?

tu peux utiliser Ccleaner, ceci ne supprime que les fichiers temps, quelques entrées de registre inutiles,... un petit nettoyage dans la base de registre, c'est tout :-)
Messages postés
10
Date d'inscription
samedi 12 juin 2010
Statut
Membre
Dernière intervention
5 décembre 2010

Ok merci de l'aide. Pour moi, tout est propre. Est ce que je supprime les rapports et Zhpdiag ?

on en vient, si tu as déjà passé Ccleaner :-)


* pour supprimer les outils de désinfection
:

Télecharge Delfix sur ton bureau :
http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

*Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

* Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

Pour Windows 7 :

http://www.jenyburn.com/home/comment-desactiver-la-restauration-du-systeme-sous-windows-7


* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)
Je ne vois pas ma réponse dans le forum, je la renvoie donc

Le rapport Delfix n'a pas été enregistré, mais il a tout supprimé proprement.
Antivirus complet : aucun virus détecté
Suppression de tous les points de restauration système effectuée et réactivation de la restauration.
ça arrive de temps en temps que Le Bot de CCM bloque les messages !

on a notre lutin ici, en plus, c'est la période des fêtes de fin d'année :P

crée un nouveau point de restauration système, ça peut servire.

sur ce, bon surf ;-)


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø
Merci pour tout et bon Noël avec ou sans lutin
Utilisateur anonyme
;-)