MDG pour Shoujo
moment de grace
Messages postés
30049
Statut
Contributeur sécurité
-
Xplode -
Xplode -
Bonjour,
je t'invite à t'inscrire pour mieux suivre ton sujet
ZHP :http://www.cijoint.fr/cjlink.php?file=cj201101/cijFYILPty.txt
ok
fais ceci stp
1)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\
Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
________________
2)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
____________
3)
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
je t'invite à t'inscrire pour mieux suivre ton sujet
ZHP :http://www.cijoint.fr/cjlink.php?file=cj201101/cijFYILPty.txt
ok
fais ceci stp
1)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\
Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
________________
2)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
____________
3)
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
73 réponses
Rapport de AD-Remover
======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/01/11 à 19:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 06:56:14 le 14/01/2011, Mode normal
Microsoft® Windows Vista(TM) Édition Familiale Premium (X86)
shorty@PC-DE-JEANI (Packard Bell BV EasyNote_MX51)
============== ACTION(S) ==============
Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Users\shorty\AppData\Roaming\OfferBox
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.13 (fr)] **
-- C:\Users\shorty\AppData\Roaming\Mozilla\FireFox\Profiles\uzj6tek8.default\Prefs.js --
browser.download.lastDir, C:\\Users\\shorty\\Pictures
browser.search.defaultenginename, MyStart Search
browser.search.selectedEngine, MyStart Search
browser.startup.homepage, hxxp://www.google.com/
browser.startup.homepage_override.mstone, rv:1.9.2.13
keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar_im2_test_v2&search=
========================================
** Internet Explorer Version [7.0.6000.16982] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 3 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 14/01/2011 (2670 Octet(s))
Fin à: 06:59:38, 14/01/2011
============== E.O.F ==============
======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/01/11 à 19:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 06:56:14 le 14/01/2011, Mode normal
Microsoft® Windows Vista(TM) Édition Familiale Premium (X86)
shorty@PC-DE-JEANI (Packard Bell BV EasyNote_MX51)
============== ACTION(S) ==============
Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Users\shorty\AppData\Roaming\OfferBox
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.13 (fr)] **
-- C:\Users\shorty\AppData\Roaming\Mozilla\FireFox\Profiles\uzj6tek8.default\Prefs.js --
browser.download.lastDir, C:\\Users\\shorty\\Pictures
browser.search.defaultenginename, MyStart Search
browser.search.selectedEngine, MyStart Search
browser.startup.homepage, hxxp://www.google.com/
browser.startup.homepage_override.mstone, rv:1.9.2.13
keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar_im2_test_v2&search=
========================================
** Internet Explorer Version [7.0.6000.16982] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 3 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 14/01/2011 (2670 Octet(s))
Fin à: 06:59:38, 14/01/2011
============== E.O.F ==============
Rapport de Malwarebytes :
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Version de la base de données: 5518
Windows 6.0.6000
Internet Explorer 7.0.6000.16982
14/01/2011 09:06:20
mbam-log-2011-01-14 (09-06-20).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 257480
Temps écoulé: 1 heure(s), 50 minute(s), 15 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\shorty\documents\downloads\vlc.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\shorty\documents\downloads\xvid_setup1.2.2-win32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Version de la base de données: 5518
Windows 6.0.6000
Internet Explorer 7.0.6000.16982
14/01/2011 09:06:20
mbam-log-2011-01-14 (09-06-20).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 257480
Temps écoulé: 1 heure(s), 50 minute(s), 15 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\shorty\documents\downloads\vlc.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\shorty\documents\downloads\xvid_setup1.2.2-win32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
ok
vide la quarantaine de MBAM
puis
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[MD5.D3702E067D5B11237FF2FFCF5D6BD53E] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Local\Temp\cacaonewa7182e.exe [347888]
[MD5.36F12C38B33AAF1B72DD10B6D2FD883C] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Local\Temp\cacaonewf6cae2.exe [347888]
[MD5.36F12C38B33AAF1B72DD10B6D2FD883C] - (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe [347888]
O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe
O4 - HKUS\S-1-5-21-2836588960-3566010448-3788914312-1002\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe
[HKCU\Software\cacaoweb] => Infection Diverse (Mal/TinyDL-T)
O43 - CFD: 03/01/2011 - 03:51:14 ----D- C:\Users\shorty\AppData\Roaming\cacaoweb
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
puis apres redemarrage du pc, dis moi si tu as encore des soucis
vide la quarantaine de MBAM
puis
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[MD5.D3702E067D5B11237FF2FFCF5D6BD53E] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Local\Temp\cacaonewa7182e.exe [347888]
[MD5.36F12C38B33AAF1B72DD10B6D2FD883C] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Local\Temp\cacaonewf6cae2.exe [347888]
[MD5.36F12C38B33AAF1B72DD10B6D2FD883C] - (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe [347888]
O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe
O4 - HKUS\S-1-5-21-2836588960-3566010448-3788914312-1002\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe
[HKCU\Software\cacaoweb] => Infection Diverse (Mal/TinyDL-T)
O43 - CFD: 03/01/2011 - 03:51:14 ----D- C:\Users\shorty\AppData\Roaming\cacaoweb
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
puis apres redemarrage du pc, dis moi si tu as encore des soucis
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bah, j'vois pas de différence.
Et Form1 est toujours là en tout cas, bien ancré !
Bon j'avais écris le rapport, mais il est parti, donc j'la refais :
Rapport de ZHPFix 1.12.3237 par Nicolas Coolman, Update du 12/01/2011
Fichier d'export Registre :
Run by shorty at 14/01/2011 09:55:50
Windows Vista Home Premium Edition, 32-bit (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Processus mémoire ==========
C:\Users\shorty\AppData\Local\Temp\cacaonewa7182e.exe [347888] => Supprimé et mis en quarantaine
C:\Users\shorty\AppData\Local\Temp\cacaonewf6cae2.exe [347888] => Supprimé et mis en quarantaine
C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe [347888] => Supprimé et mis en quarantaine
========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2836588960-3566010448-3788914312-1002\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe => Valeur absente
========== Dossier(s) ==========
C:\Users\shorty\AppData\Roaming\cacaoweb => Supprimé et mis en quarantaine
========== Fichier(s) ==========
========== Récapitulatif ==========
3 : Processus mémoire
2 : Valeur(s) du Registre
1 : Dossier(s)
End of the scan
Et Form1 est toujours là en tout cas, bien ancré !
Bon j'avais écris le rapport, mais il est parti, donc j'la refais :
Rapport de ZHPFix 1.12.3237 par Nicolas Coolman, Update du 12/01/2011
Fichier d'export Registre :
Run by shorty at 14/01/2011 09:55:50
Windows Vista Home Premium Edition, 32-bit (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Processus mémoire ==========
C:\Users\shorty\AppData\Local\Temp\cacaonewa7182e.exe [347888] => Supprimé et mis en quarantaine
C:\Users\shorty\AppData\Local\Temp\cacaonewf6cae2.exe [347888] => Supprimé et mis en quarantaine
C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe [347888] => Supprimé et mis en quarantaine
========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2836588960-3566010448-3788914312-1002\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\shorty\AppData\Roaming\cacaoweb\cacaoweb.exe => Valeur absente
========== Dossier(s) ==========
C:\Users\shorty\AppData\Roaming\cacaoweb => Supprimé et mis en quarantaine
========== Fichier(s) ==========
========== Récapitulatif ==========
3 : Processus mémoire
2 : Valeur(s) du Registre
1 : Dossier(s)
End of the scan
as tu redemarré le pc avant de me répondre?
________________
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qui est en gras ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32drivers\*.sys /lockedfiles
%systemroot%\System32config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
________________
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qui est en gras ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32drivers\*.sys /lockedfiles
%systemroot%\System32config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
Le rapport OTL : http://www.cijoint.fr/cjlink.php?file=cj201101/cij1nNL55q.txt
Le rapport Extra : http://www.cijoint.fr/cjlink.php?file=cj201101/cijR0ufe3U.txt
Le rapport Extra : http://www.cijoint.fr/cjlink.php?file=cj201101/cijR0ufe3U.txt
je vois rien..
Télécharger Eset Nod32 :
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe
* Lancer le fichier
* Accepter les conditions
* Autoriser le programme à accéder à Internet
* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)
* Téléchargement des signatures
Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte !
* Le scan débute dés la fin du téléchargement
* Générer le rapport
* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte...
Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum.
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt
Pour vous aider voici un tuto rédigé par dorgane :
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32
Télécharger Eset Nod32 :
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe
* Lancer le fichier
* Accepter les conditions
* Autoriser le programme à accéder à Internet
* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)
* Téléchargement des signatures
Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte !
* Le scan débute dés la fin du téléchargement
* Générer le rapport
* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte...
Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum.
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt
Pour vous aider voici un tuto rédigé par dorgane :
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32
C'est en train d'se faire là.
Mais ça me stresse quand même que tu trouves pas le pourquoi de Form1 qui est toujours là !
Il est aussi coriace que ça ce virus ?
Mais ça me stresse quand même que tu trouves pas le pourquoi de Form1 qui est toujours là !
Il est aussi coriace que ça ce virus ?
C:\Utilisateurs_Restauré\Shoujo\AppData\Local\Temp\Update_9225.exe une variante de Win32/Adware.CiDHelp application nettoyé par suppression - mis en quarantaine
Voilà.
J'dois le supprimer ou pas ?
Voilà.
J'dois le supprimer ou pas ?
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Bah sachant que j'ai pas d'imprimante j'vais l'écrire sur une feuille hein !
J'ai tout gagné si mon pc plante moi .. v_v
Ca fait quoi s'il me propose pas la console de récupération ?
J'ai tout gagné si mon pc plante moi .. v_v
Ca fait quoi s'il me propose pas la console de récupération ?
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 16:12:49 le 14/01/2011
4.
5. Valeur(s) recherchée(s):
6. Form1
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Recherche registre
14.
15. ====== Fichier(s) ======
16.
17.
18. "C:\Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk" [ ARCHIVE | 518 o ]
19. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:58:36 | DA: 14/01/2011,15:58:36
20.
21. Hash MD5: 2DF1A289B71C9726DE18DCF82A61A4D9
22.
23.
24. =========================
25.
26.
27. "C:\Users\shorty\Pictures\Form1.jpg" [ NOT_CONTENT_INDEXED|ARCHIVE | 104 Ko ]
28. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:57:52 | DA: 14/01/2011,15:57:52
29.
30. Hash MD5: DD6287DF692ADD4E5843A880F7DB4BF4
31.
32.
33. =========================
34.
35.
36.
37. ====== Entrée(s) du registre ======
38.
39.
40. [HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List]
41. "File1"="C:\Users\shorty\Pictures\Form1.jpg" (REG_SZ)
42.
43. [HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs]
44. "40"="Form1.jpg" (REG_BINARY)
45.
46. [HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg]
47. "6"="Form1.jpg" (REG_BINARY)
48.
49. =========================
50.
51. Fin à: 16:22:55 le 14/01/2011
52. 403734 Éléments analysés
53.
54. =========================
55. E.O.F
2.
3. Commencé à: 16:12:49 le 14/01/2011
4.
5. Valeur(s) recherchée(s):
6. Form1
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Recherche registre
14.
15. ====== Fichier(s) ======
16.
17.
18. "C:\Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk" [ ARCHIVE | 518 o ]
19. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:58:36 | DA: 14/01/2011,15:58:36
20.
21. Hash MD5: 2DF1A289B71C9726DE18DCF82A61A4D9
22.
23.
24. =========================
25.
26.
27. "C:\Users\shorty\Pictures\Form1.jpg" [ NOT_CONTENT_INDEXED|ARCHIVE | 104 Ko ]
28. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:57:52 | DA: 14/01/2011,15:57:52
29.
30. Hash MD5: DD6287DF692ADD4E5843A880F7DB4BF4
31.
32.
33. =========================
34.
35.
36.
37. ====== Entrée(s) du registre ======
38.
39.
40. [HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List]
41. "File1"="C:\Users\shorty\Pictures\Form1.jpg" (REG_SZ)
42.
43. [HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs]
44. "40"="Form1.jpg" (REG_BINARY)
45.
46. [HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg]
47. "6"="Form1.jpg" (REG_BINARY)
48.
49. =========================
50.
51. Fin à: 16:22:55 le 14/01/2011
52. 403734 Éléments analysés
53.
54. =========================
55. E.O.F
? Télécharge OTM (OldTimer) sur ton Bureau :
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
? Double-clique sur OTM.exe afin de le lancer.
? Copie (Ctrl+C) le texte suivant ci-dessous :
:Reg
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List]
"File1"=-
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs]
"40"=-
HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg]
"6"=-
:files
C:\Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk
C:\Users\shorty\Pictures\Form1.jpg
:commands
[emptytemp]
[start explorer]
[reboot]
? Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
? Clique maintenant sur le bouton MoveIt! puis ferme OTM
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
? Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
*Le nom du rapport correspond au moment de sa création : date_heure.log
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
? Double-clique sur OTM.exe afin de le lancer.
? Copie (Ctrl+C) le texte suivant ci-dessous :
:Reg
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List]
"File1"=-
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs]
"40"=-
HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg]
"6"=-
:files
C:\Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk
C:\Users\shorty\Pictures\Form1.jpg
:commands
[emptytemp]
[start explorer]
[reboot]
? Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
? Clique maintenant sur le bouton MoveIt! puis ferme OTM
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
? Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
*Le nom du rapport correspond au moment de sa création : date_heure.log
