metagate Résolu

Question

Bonjour, 
ma page orange devient Metagate ???
un virus ??
voici le lien :
https://lyon.metagate.francetelecom.com/dana-na/auth/url_default/welcome.cgi

merci de m'aider


Configuration: Windows Vista / Firefox 3.6.13

dorgane · Answer

lu,

je comprend pas où est le problème?

almaha3167 · Answer

bonsoir,
 ce soir lorsque je me suis connectée à ma messagerie Orange une fenêtre intempestive avec ,selon moi, un comportement "agressif" est apparue plusieurs fois de suite en insistant pour que j'entre mes identifiants ce que je n'ai pas fait. Cette fenêtre intitulée metagate semble venir d'Orange mais je n'en ai jamais entendu parler auparavant...si quelqu'un à des infos ...je suis preneuse !
Merci

frankie · Answer

J'ai le même phénomène. Ce n'est pas normal. Qu'est-ce que c'est ?

frankie · Answer

en tout cas, je suppose qu'il ne faut pas indiquer notre identifiant et mot de passe comme demandé.
Personne n'en sait plus ?

Lyonnais92 · Answer

Bonsoir,

à tous, évidemment on ne donne aucun identifiant;

pour les autres que rodnat, faites votre message personnel

pour rodnat, fais ceci :

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Vash91 · Answer

bonsoir et bonne année à tous  
j'ai exactement le même problême sauf que moi bêtement j'ai tapé mes identifiants  

est ce que je peut te joindre le même fichier pour voir si tu peut m'aider ?? 

http://www.cijoint.fr/cjlink.php?file=cj201101/cijJBGenjq.txt 

merci lyonnais92

Lyonnais92 · Answer

Re,

tu as toujours le problème ?

Tu connais :

Owns Bias MemoLess

LETMIN ?

===

Un peu de choses à faire (dont des toolbars au mieux inutiles)

D'abord, on désactive le Tea-timer de Spybot S&D qui va plus nous gêner qu'autre chose (tu le réactiveras en fin de désinfection)

Ouvre Spybot search and destroy.

clique sur mode, choisis advanced mode;

dans la colonne de gauche clique sur le + devant tools.

clique sur résident (colonne de gauche)

dans la fenêtre de droite décoche la case devant "resident tea-timer"

(si on te le demande, fais redémarrer l'ordi).

===

Ensuite

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

M0 - MFSP: prefs.js [guilain - o3tlz5ye.default] http://ww1.toolbarhome.com
M2 - MFEP: prefs.js [guilain - o3tlz5ye.default\{6a7400d6-6615-4a06-a4d1-48979fa6e868}] [] iminent-en Toolbar v1.5.48.2 (.Conduit Ltd..)
R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 0, 10) -- C:\Program Files\Vuze_Remote	bVuze.dll
O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote	bVuze.dll
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote	bVuze.dll
O4 - Global Startup: C:\Documents And Settings\guilain\Desktop\Aller sur MSN.fr.lnk - Clé orpheline
O4 - Global Startup: C:\Documents And Settings\guilain\Desktop\MSN.fr (2).lnk - Clé orpheline
O4 - Global Startup: C:\Users\guilain\Desktop\Aller sur MSN.fr.lnk - Clé orpheline
O4 - Global Startup: C:\Users\guilain\Desktop\MSN.fr (2).lnk - Clé orpheline
MD5.00000000000000000000000000000000] [APT] [{918AD2B2-5589-428E-970E-3A4C8E801A3B}] (.Pas de propriétaire.) -- C:\PROGRA~1\TVAnts\UNWISE.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{B01312E9-5975-46F0-BF3C-FB75976F187A}] (.Pas de propriétaire.) -- C:\Program Files\QuickTime\QTSystem\QuickTime.cpl" -c QuickTime (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{B2B5B6F9-BC94-446E-BAFD-AB95489E2C2F}] (.Pas de propriétaire.) -- C:\Users\guilain\AppData\Local\Temp\Temp1_SopCast.zip\Setup-SopCast-3.0.3-2008-4-30.exe (.not file.)  
[MD5.00000000000000000000000000000000] [APT] [{F732B571-FC69-4098-A7A4-E20240B8DBB0}] (.Pas de propriétaire.) -- C:\Users\guilain\Documents\sopcast_sopcast_3.0.1_anglais_19140\Setup-SopCast-3.0.1-2008-3-28.exe (.not file.)  
[MD5.00000000000000000000000000000000] [APT] [{FF8764E9-4048-4A65-91E7-065CE24B4B9A}] (.Pas de propriétaire.) -- C:\Users\guilain\Downloads\sopcast_sopcast_3.0.1_anglais_19140\Setup-SopCast-3.0.1-2008-3-28.exe (.not file.)
O42 - Logiciel: Vuze_Remote Toolbar - (.Pas de propriétaire.) [HKLM] -- Vuze_Remote Toolbar
[HKCU\Software\AppDataLow\Software\Conduit]
[HKCU\Software\AppDataLow\Toolbar]
[HKCU\Software\Conduit]
[HKCU\Software\Iminent]
[HKCU\Software\OfferBox]
[HKCU\Software\PopCap]
[HKLM\Software\Conduit]
[HKLM\Software\Iminent]
O43 - CFD: 30/07/2009 - 20:14:14 ----D- C:\Program Files\Conduit
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK
O64 - Services: CurCS - (.not file.) - aswMonFlt (aswMonFlt)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMONFLT
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI
O64 - Services: CurCS - (.not file.) - EraserUtilRebootDrv (EraserUtilRebootDrv)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILREBOOTDRV
O64 - Services: CurCS - (.not file.) - PCTSDInjDriver32 (PCTSDInjDriver32)  .(.Pas de propriétaire - Pas de description.) - LEGACY_PCTSDINJDRIVER32
O64 - Services: CurCS - (.not file.) - PROCEXP113 (PROCEXP113)  .(.Pas de propriétaire - Pas de description.) - LEGACY_PROCEXP113
O64 - Services: CurCS - (.not file.) - SYMDNS (SYMDNS)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMDNS
O64 - Services: CurCS - (.not file.) - SymEvent (SymEvent)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMEVENT
O64 - Services: CurCS - (.not file.) - SYMFW (SYMFW)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMFW
O64 - Services: CurCS - (.not file.) - SYMIDS (SYMIDS)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMIDS
O64 - Services: CurCS - (.not file.) - SYMNDISV (SYMNDISV)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMNDISv
O64 - Services: CurCS - (.not file.) - SYMREDRV (SYMREDRV)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMREDRV
O64 - Services: CurCS - (.not file.) - SYMTDI (SYMTDI)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMTDI
O69 - SBI: C:\Users\guilain\AppData\Roaming\Mozilla\Firefox\Profiles\o3tlz5ye.default\searchplugins\conduit.xml
O69 - SBI: prefs.js [guilain - o3tlz5ye.default] user_pref("CT2032792.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2032792&SearchSource=2&q=");
user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}");
O69 - SBI: prefs.js [guilain - o3tlz5ye.default] user_pref("extensions.snipit.askTbInstalled", true);


Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

rodnat · Answer

Rapport de ZHPFix 1.12.3233 par Nicolas Coolman, Update du 30/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-01-01-2011-22-00-18.txt
Run by guilain at 01/01/2011 22:00:18
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote	bVuze.dll  => Clé absente
HKCU\Software\AppDataLow\Software\Conduit  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Toolbar  => Clé absente
HKCU\Software\Conduit  => Clé supprimée avec succès
HKCU\Software\Iminent  => Clé supprimée avec succès
HKCU\Software\OfferBox  => Clé supprimée avec succès
HKCU\Software\PopCap  => Clé supprimée avec succès
HKLM\Software\Conduit  => Clé supprimée avec succès
HKLM\Software\Iminent  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswMonFlt (aswMonFlt)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMONFLT  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - EraserUtilRebootDrv (EraserUtilRebootDrv)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILREBOOTDRV  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - PCTSDInjDriver32 (PCTSDInjDriver32)  .(.Pas de propriétaire - Pas de description.) - LEGACY_PCTSDINJDRIVER32  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - PROCEXP113 (PROCEXP113)  .(.Pas de propriétaire - Pas de description.) - LEGACY_PROCEXP113  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMDNS (SYMDNS)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMDNS  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SymEvent (SymEvent)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMEVENT  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMFW (SYMFW)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMFW  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMIDS (SYMIDS)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMIDS  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMNDISV (SYMNDISV)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMNDISv  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMREDRV (SYMREDRV)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMREDRV  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMTDI (SYMTDI)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMTDI  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 0, 10) -- C:\Program Files\Vuze_Remote	bVuze.dll  => Valeur absente
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote	bVuze.dll  => Valeur absente

========== Préférences navigateur ==========
M0 - MFSP: prefs.js [guilain - o3tlz5ye.default] http://ww1.toolbarhome.com  => Valeur supprimée avec succès
O69 - SBI: prefs.js [guilain - o3tlz5ye.default] user_pref("CT2032792.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2032792&SearchSource=2&q=");  => Valeur supprimée avec succès
O69 - SBI: prefs.js [guilain - o3tlz5ye.default] user_pref("extensions.snipit.askTbInstalled", true);  => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Documents and Settings\guilain\Application Data\Mozilla\Firefox\Profiles\o3tlz5ye.default\extensions\{6a7400d6-6615-4a06-a4d1-48979fa6e868}  => Supprimé et mis en quarantaine
C:\Program Files\Conduit  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files\vuze_remote	bvuze.dll ()   => Fichier absent
c:\documents and settings\guilain\desktop\aller sur msn.fr.lnk  => Supprimé et mis en quarantaine
c:\documents and settings\guilain\desktop\msn.fr (2).lnk  => Supprimé et mis en quarantaine
c:\users\guilain\desktop\aller sur msn.fr.lnk ()   => Fichier absent
c:\users\guilain\desktop\msn.fr (2).lnk ()   => Fichier absent
c:\program files\quicktime\qtsystem\quicktime.cpl" -c quicktime (.not file.)  => Fichier absent
c:\users\guilain\appdata\local	emp	emp1_sopcast.zip\setup-sopcast-3.0.3-2008-4-30.exe (.not file.)  => Fichier absent
c:\users\guilain\documents\sopcast_sopcast_3.0.1_anglais_19140\setup-sopcast-3.0.1-2008-3-28.exe (.not file.)  => Fichier absent
c:\users\guilain\downloads\sopcast_sopcast_3.0.1_anglais_19140\setup-sopcast-3.0.1-2008-3-28.exe (.not file.)  => Fichier absent
c:\users\guilain\appdataoaming\mozilla\firefox\profiles\o3tlz5ye.default\searchplugins\conduit.xml  => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: Vuze_Remote Toolbar - (.Pas de propriétaire.) [HKLM] -- Vuze_Remote Toolbar  => Logiciel supprimé avec succès

========== Tache planifiée ==========
Task : {B01312E9-5975-46F0-BF3C-FB75976F187A}  => Tâche supprimée avec succès
Task : {B2B5B6F9-BC94-446E-BAFD-AB95489E2C2F}  => Tâche supprimée avec succès
Task : {F732B571-FC69-4098-A7A4-E20240B8DBB0}  => Tâche supprimée avec succès
Task : {FF8764E9-4048-4A65-91E7-065CE24B4B9A}  => Tâche supprimée avec succès

========== Autre ==========
[MD5.00000000000000000000000000000000] [APT] [{918AD2B2-5589-428E-970E-3A4C8E801A3B}] (.Pas de propriétaire.) -- C:\PROGRA~1\TVAnts\UNWISE.exe (.not file.)  => Format Non supporté
user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}");  => Format Non supporté


========== Récapitulatif ==========
24 : Clé(s) du Registre
2 : Valeur(s) du Registre
2 : Dossier(s)
10 : Fichier(s)
1 : Logiciel(s)
3 : Préférences navigateur
4 : Tache planifiée
2 : Autre


End of the scan

Lyonnais92 · Answer

Re,

OK,

tu fais redémarrer l'ordi, tu refais tourner ZHPDiag, tu postes le rapport dans un lien Cijoint

.........

et tu réponds à mes questions (voir un peu plus haut)

rodnat · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijvnpXuke.txt

depuis que j'ai redemarre l'ordi et effectuer ce cijoint le probleme n'est pas revenu !

rodnat · Answer

on verra demain pour la suite merci pour ce soir

Lyonnais92 · Answer

Re,

Tu connais :

Owns Bias MemoLess

LETMIN ?

rodnat · Answer

non c'est quoi ??

Lyonnais92 · Answer

Bonjour,

LETMIN semble être un adware.

Pour l'autre fais ceci :

    Ouvre le registre 
(
démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK.  )

et navigue avec les + et les - jusqu'à la clé

    HKEY_CURRENT_USER\Software\Owns Bias MemoLess

(elle doit être sur fond bleu, pour ça, tu cliques dessus)


    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

rodnat · Answer

bonjour lyonnais92,
voilà :

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Owns Bias MemoLess]
"FordGrid"=hex:cf,50,7f,2c,98,d6,10,60,d1,95,07,8d,5b,29,dd,19,47,f6,bd,24,02,\
  13,9b,07,7d,b2,bd,e8,92,bf,3e,6d,ff,bb,69,cb,ca,fe,c9,26,e5,80,ac,db,be,d6,\
  9e,8b,ac,97,f2,d3,ed,a6,46,ba,c8,a0,d8,73,54,d8,98,7f,7d,fe,25,64,ca,93,bc,\
  e3,5b,18,44,96,c1,48,3e,d0,36,d8,c5,b2,08,35,5e,1f,a0,4d,38,10,a7,f4,55,9e,\
  9f,9f,48,db,0e,90,db,b3,33,14,83,3b,28,74,19,85,22,5c,51,8e,80,31,84,e5,ca,\
  94,36,5a,a1,95,06,8d,42,29,de,19,46,f6,b5,24,67,67,9a,53,08,d7,ee,d3,f3,f8,\
  30,6c,fb,f6,28,95,f0,c9,fb,1c,d5,a4,8c,e9,8e,e5,a6,8b,aa,e2,c0,d3,da,c4,71,\
  8e,ff,96,ec,12,5b,d1,cd,70,2b,9a,14,50,ca,90,bf,e3,5b,1c,40,96,c1,4c,3a,d0,\
  36,ad,dc,dc,08,ca,a1,e0,58,48,38,10,a3,f0,55,9e,9b,9b,48,db,7b,90,cb,a0,38,\
  60,80,3a,28,74,1d,86,22,5c,55,87,80,31,80,e4,ca,94,44,40,a7,95,30,bd,72,19,\
  ed,29,77,cf,bd,20,67,67,9b,77,08,d7,9d,a4,f3,cd,1e,2a,a2,fd,5b,b8,ca,96,ab,\
  6e,ba,d2,fe,88,e3,a2,c7,ff,cb,cb,82,bf,88,c8,2a,d5,ba,c5,b4,1c,4e,d2,d5,7e,\
  23,94,52,52,0e,d9,ad

[HKEY_CURRENT_USER\Software\Owns Bias MemoLess\cast test mix]

Lyonnais92 · Answer

Re,

ça a une bonne tête de reste d'infection lop.

On va virer tout ça.

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

[MD5.00000000000000000000000000000000] [APT] [{918AD2B2-5589-428E-970E-3A4C8E801A3B}] (.Pas de propriétaire.) -- C:\PROGRA~1\TVAnts\UNWISE.exe (.not file.)
[HKCU\Software\Owns Bias MemoLess]
O43 - CFD: 10/07/2008 - 12:54:20 ----D- C:\Program Files\LETMIN
O69 - SBI: prefs.js [guilain - o3tlz5ye.default] user_pref("CT2032792.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2032792&SearchSource=2&q=");
O69 - SBI: prefs.js [guilain - o3tlz5ye.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}");
O69 - SBI: prefs.js [guilain - o3tlz5ye.default] user_pref("extensions.snipit.askTbInstalled", true);  


Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

rodnat · Answer

Rapport de ZHPFix 1.12.3233 par Nicolas Coolman, Update du 30/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-02-01-2011-17-03-24.txt
Run by guilain at 02/01/2011 17:03:24
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\Owns Bias MemoLess  => Clé supprimée avec succès

========== Préférences navigateur ==========
O69 - SBI: prefs.js [guilain - o3tlz5ye.default] user_pref("CT2032792.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2032792&SearchSource=2&q=");  => Valeur supprimée avec succès
O69 - SBI: prefs.js [guilain - o3tlz5ye.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}");  => Valeur supprimée avec succès
O69 - SBI: prefs.js [guilain - o3tlz5ye.default] user_pref("extensions.snipit.askTbInstalled", true);  => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\LETMIN  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\progra~1	vants\unwise.exe (.not file.)  => Fichier absent

========== Tache planifiée ==========
Task : {918AD2B2-5589-428E-970E-3A4C8E801A3B}  => Tâche supprimée avec succès


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
3 : Préférences navigateur
1 : Tache planifiée


End of the scan

paulot · Answer

Je suis dans le même cas
Avez-vous pu avoir une réponse
Dès demain je vais téléphoner à francetélécom car aucune information nous a été faite concernant ce problème

Lyonnais92 · Answer

Re,

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

rodnat · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 22/12/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:39:17 le 02/01/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
guilain@PC-DE-GUILAIN (PACKARD BELL BV IMEDIA J9610) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskSearch.js
Fichier supprimé: C:\Users\guilain\AppData\Roaming\Mozilla\FireFox\Profiles\o3tlz5ye.default\searchplugins\web-search.xml
Dossier supprimé: C:\Users\guilain\AppData\LocalLow\Conduit
Dossier supprimé: C:\Users\guilain\AppData\Roaming\OfferBox

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\guilain\AppData\Roaming\Mozilla\FireFox\Profiles\o3tlz5ye.default\Prefs.js --
Ligne supprimée:  
Ligne supprimée:  
Ligne supprimée: user_pref("CT2032792.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT203... 
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&Sea... 
Ligne supprimée: user_pref("browser.search.order.1", "Ask"); 
Ligne supprimée: user_pref("extensions.snipit.askTbInstalled", true); 
Ligne supprimée: user_pref("extensions.snipit.chromeURL", "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&g... 
Ligne supprimée: user_pref("noscript.untrusted", "ask.com offerbox.com hxxp://ask.com hxxp://offerbox.com hxxps://ask... 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Users\guilain\AppData\Roaming\Mozilla\FireFox\Profiles\o3tlz5ye.default\Prefs.js --
browser.download.dir, C:\Users\guilain\Downloads
browser.download.lastDir, I:
browser.search.defaultenginename, Web Search...
browser.startup.homepage, hxxp://vshare.toolbarhome.com/?hp=df
browser.startup.homepage_override.mstone, rv:1.9.2.13
keyword.URL, hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=
privacy.popups.showBrowserMessage, false

========================================

** Internet Explorer Version [8.0.6001.18999] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 19 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 02/01/2011 (3553 Octet(s)) 

Fin à: 17:40:18, 02/01/2011 
 
============== E.O.F ==============

Lyonnais92 · Answer

Re,

l'impression que tout ce qui avait été supprimé par ZHPFix était revenu.

Tu avais installé quelque chose avant le retour de l'infection (ou consulté un site) ?

===

Fais redémarré l'ordi, refais tourner ZHPDiag et poste le rapport dans un lien Cijoint.

mmcj · Answer

même chose pour moi, je le ferme et ça revient

Juulo · Answer

Bjour, 

Je viens d'avoir ce problème.

La page metagate n'arrêtait pas de s'afficher et je ne pouvais donc plus accéder à mes mails !!

je suis sous firefox. j'ai donc essayer de passer par google chrome et pas de problèmes !

j'ai ensuite désinstaller puis réinstaller firefox et plus aucun soucis !!

bon courage!

rodnat · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijWHN0XRk.txt

non rien installé du tout

jmb · Answer

bonsoir et bonne année à tou(te)s
pas de réponse mais le même problème. alors, je vous envoie ce mail de solidarité!!!

meme chose pr moi ,, · Answer

meme chose pr moi ,, je vais essayer de le killer !

cathcath · Answer

j'ai aussi metagate sans arrêt sur orange, j'ai fait des mises à jour, avast, windows, nettoyage etc... et ça revient, apparemment il faut attendre que les gens d'orange aient digéré leur réveillon !

Gertrud · Answer

pareil pour moi ... vous êtes sur PC ou sur mac ?

ben · Answer

idem pour moi

ph7777 · Answer

j'ai un mac avec une partition windows. j'ai le même problème sous OSX mais pas sous seven !??

Azote · Answer

Bonsoir,
moi aussi et c'est très dérangeant

Lyonnais92 · Answer

Re,

j'ai l'impression qu'une de mes réponses a disparu.

Fais ceci :

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

rodnat · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 22/12/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 19:50:47 le 02/01/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
guilain@PC-DE-GUILAIN (PACKARD BELL BV IMEDIA J9610) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Users\guilain\AppData\Roaming\Mozilla\FireFox\Profiles\o3tlz5ye.default\Prefs.js --
browser.download.dir, C:\Users\guilain\Downloads
browser.download.lastDir, I:
browser.search.defaultenginename, Web Search...
browser.startup.homepage, hxxp://vshare.toolbarhome.com/?hp=df
browser.startup.homepage_override.mstone, rv:1.9.2.13
keyword.URL, hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=
privacy.popups.showBrowserMessage, false

========================================

** Internet Explorer Version [8.0.6001.18999] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 19 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 02/01/2011 (3683 Octet(s)) 
C:\Ad-Report-CLEAN[2].txt - 02/01/2011 (2433 Octet(s)) 

Fin à: 19:52:00, 02/01/2011 
 
============== E.O.F ==============

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi.

Le problème est encore là ?

rodnat · Answer

non pour l'instant ca va bien !!
j'espere qu'il est disparu

merou38 · Answer

Bonjour,

J'ai eu le même problème... Un petit coup de Malwarebytes, et le problèmes semble résolu. Malwarebytes m'a trouvé 15 problèmes et les a supprimés. 
Malwarebytes est un logiciel qui est gratuit, si vous utilisé la version gratuite, vous pouvez l'utiliser en paralèlle de votre antivirus.

Voila,
 Bon courage à tous

pierrot 70 · Answer

allez dans outils internet
option internet
confidentialite
sites 
entrer le site
clic refuser

icononoclash · Answer

Je viens d'avoir Orange  ( dim 2 à 21h45)il s'agit d'une tentative de piratage via une carte dromadaire . Orange m'a confirmé de surtout ne pas remplir les cases, ils travaillent pour régler ce pb... à suivre

jm · Answer

à mon avis c'est un spam  très fort!!!!!!!!!!!

Lyonnais92 · Answer

Rodnat,

tu me tiens au courant demain quelque soit la situation.

Merci.

rodnat · Answer

oui bien là il est revenu !!!!!!!!!!!!!!!!

Lyonnais92 · Answer

Re,

alors tu refais un ZHPDiag avec poste du rapport dans un lien Cijoint.

rodnat · Answer

ok mais demain
merci

Seine · Answer

Même problème. J'ai un MAC. France-Télécom dit que ça vient de mon navigateur.

Elo62 · Answer

Bonsoir, j'ai betement moi aussi... fatigue aidante, taper mes identifiants... que dois je faire???

Nîmes · Answer

J'ai le même problème et j'ai essayé avec mes identifiants mais ça ne marche pas donc je ne peux pas lire mes mails pro. j'ai également un mac. ça marche sur pc ?

Elo62 · Answer

Je viens d'appeler Orange qui me dit que c'est un beug, rien a voir avec un virus...

JM45 · Answer

Tout pareil, j'ai pas de solution pour le moment non plus....

peto38 · Answer

apparemment c'est un nouveau processus orange, il est toujours possible de consulter ses mails via un mobile qui va chercher directement les mails sur le serveur en attendant la remise en etat. bonne continuation et bon courage

bibidu09 · Answer

Bonsoir,
En passant par google chrome, ça fonctionne correctement
Bonne soirée

eve · Answer

même problème , ma page de mails s'ouvre et aussitôt cette page megamate apparait dessus , je n'ai pas le temps de lire mes mails.. Quelqu'un aurait il la solution au problème, je ne pense pas que cela vienne de mon pc.. merci d'avance

totopinambour · Answer

J'ai 2 macs et le pb sur un seul. j'ai rechargé SAFARI et ça remarche.

frodon54 · Answer

Même problème depuis deux jours, j'ai seven7. Est ce une tentative de fhishing ? encore une arnaque de hackers ou autre procédé pour piéger l'internaute.

Titine · Answer

J'ai eu le même problème et j'ai fermé le navigateur pour le ré-ouvrir sans aucun problème cette fois.
En cas de doute ne jamais donner vos identifiants !!!

matt · Answer

même chose pour moi

ben · Answer

merci je vais essayer

rodnat · Answer

Cijoint ne fonctionne plus !!

Lyonnais92 · Answer

Bonjour,

le site rencontre des difficultés. Il faut réessayer jusqu'à ce que ça fonctionne (toutes les 5 ou 10 mn).

totopinambour · Answer

\c ca rede'conne ce matin a' 10h, pourtant j'ai reinitialise' et recharge' Safari cette nuit
et tout marchait bien ce matin a' 7h.....

Totor ! · Answer

C'est du grand n'importe quoi ce que vous écrivez ! Ce n'est pas un virus mais un problème interne à Orange ! 
Il n'y a donc rien à faire sur vos pc qui sont en bonne santé ! 

C'est désormais réparé chez Orange !

rodnat · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijFLeIfyQ.txt 

depuis hier pas de probleme
j'ai recupere cijoint
je vous envoyer quand pour voir je je n'ai rien d'autres

Lyonnais92 · Answer

Bonjour,

plus de soucis sur ce rapport.

Pour nettoyer les outils :

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

rodnat · Answer

ok merci pour tes conseils lyonnais 92
apres je peux supprimer les 2 zhp +ad-r ??

Lyonnais92 · Answer

Re,

la manip juste au dessus va les supprimer.

chriscannes · Answer

en fait c'était un bug interne chez orange voir ici : http://entraide.orange.fr/assistance/messages/index-page-6/37225/messagerie-bienvenue-sur-metagate.html

rodnat · Answer

https://forums.commentcamarche.net/forum/affich-20405276-cette-page-contient-un-risque-de-securite

pourrais tu me donner une solution

Pigloo · Answer

Bonjour, je travail dans la fibre optique et Métagate est tout simplement un Service d'Orange destiné à gerer les travaux de déploiement de la fibre optique. Il ne s'agit donc pas d'un virus alors pas de panique :)

Metagate

67 réponses

Discussions similaires

Newsletters