Virus, redirection lors de recherche google. Fermé

Question

Bonjour, 

Voici mon problème depuis hier soir, suite à plusieurs téléchargements me voila vérolé, quand je lance des recherches google je suis redirigé sur plein de pages pour finir sur gomeo.fr en général (que depuis aujourd'hui gomeo). J'ai passer des coup de malwaresbyte et ccleaner et anti virus, rien à faire, 

merci de l'aide que vous m'apporterez.

fred08700 · Answer

salut ● Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) Déconnecte toi et ferme toutes les applications en cours ● Double-clique sur l'icône AD-Remover Vista ou windows 7 => clic droit "executer en tant que...." ● Au menu principal, clique sur "Nettoyer" ● Confirme le lancement de l'analyse et laisse l'outil travailler ● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt ) (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. **************************** ● Télécharges ZHPDiag ( de Nicolas Coolman ). ==> outil de diagnostique ou http://www.premiumorange.com/zeb-help-process/zhpdiag.html ==> en bas de page /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'administrateur /!\ ● Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " ) ● Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau ● Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner. ● Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau. ● Rends toi sur pjjoint.malekal.com ● Cliques sur " Parcourir " ● Sélectionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau ● Clique ensuite sur "envoyer le fichier " et copie/colle le lien dans ton prochain message ==> autre site d'hébergement : ci-joint too-files

Jojo · Answer

Alors, merci encore et voici les rapports:

Ad-remover:

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 16:06:00 le 03/03/2011, Mode normal

Microsoft Windows 7 Professionnel   (X64) 
Metronic@METRONIC-PC ( ) 
 
============== RECHERCHE ==============


Fichier trouvé: C:\Users\Metronic\binternet.exe
Fichier trouvé: C:\Users\Metronic\scriptjava.html
Dossier trouvé: C:\Users\Metronic\AppData\LocalLow\Conduit
Dossier trouvé: C:\Program Files (x86)\Conduit
Dossier trouvé: C:\Users\Metronic\AppData\LocalLow\ConduitEngine
Dossier trouvé: C:\Program Files (x86)\ConduitEngine
Dossier trouvé: C:\Users\Metronic\AppData\LocalLow\PriceGong

Clé trouvée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé trouvée: HKLM\Software\Classes\CLSID\{940C3545-8992-4653-9183-82F8D61A76C9}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{940C3545-8992-4653-9183-82F8D61A76C9}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{940C3545-8992-4653-9183-82F8D61A76C9}
Clé trouvée: HKLM\Software\Classes\Conduit.Engine
Clé trouvée: HKLM\Software\Classes\Toolbar.CT2851639
Clé trouvée: HKLM\Software\Conduit
Clé trouvée: HKLM\Software\conduitEngine
Clé trouvée: HKCU\Software\AppDataLow\Toolbar
Clé trouvée: HKCU\Software\AppDataLow\Software\Conduit
Clé trouvée: HKCU\Software\AppDataLow\Software\conduitEngine
Clé trouvée: HKCU\Software\AppDataLow\Software\PriceGong
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{6F702119-DE6F-4484-9FEF-1772B3DAC7D7}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine

Valeur trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|binternet
Valeur trouvée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.14 (fr)] ****

HKCU_MozillaPlugins\@soe.sony.com/installer,version=1.0.3 (x)
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension		)
HKLM_Extensions|{3f963a5b-e555-4543-90e2-c3908898db71} - C:\Program Files (x86)\AVG\AVG10\Firefox\

-- C:\Users\Metronic\AppData\Roaming\Mozilla\FireFox\Profiles\47f2fyr8.default --
Extensions\cacaoweb@cacaoweb.org (cacaoweb)

========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.google.com
HKCU_Main|Default_Search_URL - hxxp://www.google.com
HKCU_Main|SearchMigratedDefaultURL - hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A55...
HKCU_Main|Search bar - hxxp://www.google.com
HKCU_Main|Search Page - hxxp://www.google.com
HKCU_Main|Start Page - hxxp://www.google.com
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_URLSearchHooks|{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - "uTorrentBar_FR Toolbar" (C:\Program Files (x86)\uTorrentBar_FR	buTor.dll)
HKLM_URLSearchHooks|{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - "uTorrentBar_FR Toolbar" (C:\Program Files (x86)\uTorrentBar_FR	buTor.dll)
HKCU_SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193} - "cherche.us" (hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&c...)
HKCU_Toolbar\WebBrowser|{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} (C:\Program Files (x86)\uTorrentBar_FR	buTor.dll)
HKLM_Toolbar|{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} (C:\Program Files (x86)\uTorrentBar_FR	buTor.dll)
HKLM_Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D} (C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{6F702119-DE6F-4484-9FEF-1772B3DAC7D7} - C:\Program Files (x86)\ConduitEngine\ConduitEngineHelper.exe (?)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{7D7345B8-EAC9-40B6-9437-51516353F64C} - C:\Program Files (x86)\uTorrentBar_FR\uTorrentBar_FRToolbarHelper.exe (?)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
BHO\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - "uTorrentBar_FR Toolbar" (C:\Program Files (x86)\uTorrentBar_FR	buTor.dll)
BHO\{30F9B915-B755-4826-820B-08FBA6BD249D} - "Conduit Engine" (C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 03/03/2011 16:14:21 (5529 Octet(s)) 

Fin à: 16:14:56, 03/03/2011 
 
============== E.O.F ============== 

ZHP diag:

https://pjjoint.malekal.com/files.php?id=089633ccc4118


Voilou !

Jojo · Answer

J'attends l'ame charitable capable d'analyser mes rapports :D

Jojo · Answer

Bump!

Jojo · Answer

Ad remover CLEAN >

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:12:38 le 03/03/2011, Mode normal

Microsoft Windows 7 Professionnel   (X64) 
Metronic@METRONIC-PC ( ) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Users\Metronic\binternet.exe
Fichier supprimé: C:\Users\Metronic\scriptjava.html
Dossier supprimé: C:\Users\Metronic\AppData\LocalLow\Conduit
Dossier supprimé: C:\Program Files (x86)\Conduit
Dossier supprimé: C:\Users\Metronic\AppData\LocalLow\ConduitEngine
Dossier supprimé: C:\Program Files (x86)\ConduitEngine
Dossier supprimé: C:\Users\Metronic\AppData\LocalLow\PriceGong

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\CLSID\{940C3545-8992-4653-9183-82F8D61A76C9}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{940C3545-8992-4653-9183-82F8D61A76C9}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{940C3545-8992-4653-9183-82F8D61A76C9}
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2851639
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKCU\Software\AppDataLow\Toolbar
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\conduitEngine
Clé supprimée: HKCU\Software\AppDataLow\Software\PriceGong
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{6F702119-DE6F-4484-9FEF-1772B3DAC7D7}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine

Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|binternet
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.14 (fr)] ****

HKCU_MozillaPlugins\@soe.sony.com/installer,version=1.0.3 (x)
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension		)
HKLM_Extensions|{3f963a5b-e555-4543-90e2-c3908898db71} - C:\Program Files (x86)\AVG\AVG10\Firefox\

-- C:\Users\Metronic\AppData\Roaming\Mozilla\FireFox\Profiles\47f2fyr8.default --
Extensions\cacaoweb@cacaoweb.org (cacaoweb)

========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - "uTorrentBar_FR Toolbar" (C:\Program Files (x86)\uTorrentBar_FR	buTor.dll)
HKLM_URLSearchHooks|{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - "uTorrentBar_FR Toolbar" (C:\Program Files (x86)\uTorrentBar_FR	buTor.dll)
HKCU_SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193} - "cherche.us" (hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&c...)
HKCU_Toolbar\WebBrowser|{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} (C:\Program Files (x86)\uTorrentBar_FR	buTor.dll)
HKLM_Toolbar|{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} (C:\Program Files (x86)\uTorrentBar_FR	buTor.dll)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{7D7345B8-EAC9-40B6-9437-51516353F64C} - C:\Program Files (x86)\uTorrentBar_FR\uTorrentBar_FRToolbarHelper.exe (?)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
BHO\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - "uTorrentBar_FR Toolbar" (C:\Program Files (x86)\uTorrentBar_FR	buTor.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 61 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 03/03/2011 17:12:41 (5225 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 03/03/2011 16:14:21 (5667 Octet(s)) 

Fin à: 17:13:26, 03/03/2011 
 
============== E.O.F ============== 


C'est bon comme ca chef? :)

Jojo · Answer

http://www.cijoint.fr/cjlink.php?file=cj201103/cij3n48m1A.txt 

Voici le nouveau diag, merci d'avance.

Jojo · Answer

Bump!

Jojo · Answer

Je m'absente un peu je serais de retour dans la soirée, merci d'avance (encore!) ^^

fred08700 · Answer

Utilisation de ZHPfix 

*fais un copié des lignes en gras suivantes  

---------------------------------------------------------- 
M2 - MFEP: prefs.js [Metronic - 47f2fyr8.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.11 (.http://www.cacaoweb.org/  
G0 - GCSP: Preference [User Data\Default][HomePage] http://ww12.cherche.us    
O4 - HKCU\..\Run: [cacaoweb] . (...) -- C:\Users\Metronic\AppData\Roaming\cacaoweb\cacaoweb.exe   
O4 - HKUS\S-1-5-21-284670108-1276418268-2634280712-1001\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Metronic\AppData\Roaming\cacaoweb\cacaoweb.exe    => Infection Diverse (Mal/TinyDL-T)
[HKCU\Software\cacaoweb]   
O43 - CFD: 26/02/2011 - 01:28:54 - [407244323] ----D- C:\Users\Metronic\AppData\Roaming\cacaoweb    
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms}  
O4 - HKCU\..\Run: [PBNTZUQK] rundll32 "C:\Users\Metronic\AppData\Roaming\C_1361A.dll (.not file.)
O4 - HKUS\S-1-5-21-284670108-1276418268-2634280712-1001\..\Run: [PBNTZUQK] rundll32 "C:\Users\Metronic\AppData\Roaming\C_1361A.dll (.not file.)
O4 - Global Startup: C:\Users\Metronic\Desktop\Ordinateur - Raccourci.lnk - Clé orpheline
O44 - LFC:[MD5.AE6019F60689718A656E867BEBACFCC2] - 03/03/2011 - 17:13:28 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt   [5429]
O44 - LFC:[MD5.8306BAC4EFF495F69D75A76BB0CCFA58] - 03/03/2011 - 16:14:56 ---A- . (...) -- C:\Ad-Report-SCAN[1].txt   [5667]
O69 - SBI: prefs.js [Metronic - ku0cohk2.default] user_pref("CT2851639.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2851639
O69 - SBI: prefs.js [Metronic - ku0cohk2.default] user_pref("ConduitEngine.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?
M2 - MFEP: prefs.js [Metronic - ku0cohk2.default\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}] [] uTorrentBar_FR Community Toolbar v3.2.5.2 (.Conduit Ltd..)   
R3 - URLSearchHook: uTorrentBar_FR Toolbar [64Bits] - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.7.3) -- C:\Program Files (x86)\uTorrentBar_FR	buTor.dll
O42 - Logiciel: uTorrentBar_FR Toolbar - (.uTorrentBar_FR.) [HKLM][64Bits] -- uTorrentBar_FR Toolbar    => Conduit uTorrentBar Toolbar
[HKCU\Software\AppDataLow\Software\uTorrentBar_FR]   
O43 - CFD: 15/02/2011 - 00:44:02 - [4135548] ----D- C:\Program Files (x86)\uTorrentBar_FR   
hostfix
emptytemp
emptyflash
FirewallRaz 
---------------------------------------------------------- 
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\  

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-) 
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
* Le texte que tu as copié sera présent  
* Clique sur « Tous », puis sur « Nettoyer » 

==> si tu reçois un message de confirmation de désinstallation de certains logiciels, accèpte le :-)  

* Copie/colle la totalité du rapport dans ta prochaine réponse

************************************
Utilise ce logiciel de désinfection généraliste stp : 

  &#9679 Télécharges Malwarebytes    

(NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici :  
https://www.malekal.com/tutorial-aboutbuster/ 

   &#9679 Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.    

    &#9679 Fais la mise à jour du logiciel (elle se fait normalement à l'installation)    

    &#9679 Lance une analyse complète en cliquant sur "Exécuter un examen complet"    

    &#9679 Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"    

    &#9679 L'analyse peut durer un bon moment.....    

    &#9679 Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"   

    &#9679 Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"   

    &#9679 Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum   

&#9679 Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée   


Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.   
MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.

Jojo · Answer

Me voila de retour, merci pour ta réponse, je sens qu'on en voit le bout!!

ZHP Fix: Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-04-03-2011-00-15-10.txt
Run by Metronic at 04/03/2011 00:15:10
Windows 7 Business Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\cacaoweb  => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms}  => Clé supprimée avec succès
[HKEY_CURRENT_USER\SOFTWARE\Classes\Wow6432Node\CLSID\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]  => Clé supprimée avec succès
[HKCR\CLSID\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\uTorrentBar_FR  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [cacaoweb] . (...) -- C:\Users\Metronic\AppData\Roaming\cacaoweb\cacaoweb.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-284670108-1276418268-2634280712-1001\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Metronic\AppData\Roaming\cacaoweb\cacaoweb.exe => Infection Diverse (Mal/TinyDL-T)  => Valeur absente
O4 - HKCU\..\Run: [PBNTZUQK] rundll32 "C:\Users\Metronic\AppData\Roaming\C_1361A.dll (.not file.)  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-284670108-1276418268-2634280712-1001\..\Run: [PBNTZUQK] rundll32 "C:\Users\Metronic\AppData\Roaming\C_1361A.dll (.not file.)  => Valeur absente
R3 - URLSearchHook: uTorrentBar_FR Toolbar - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.7.3) -- C:\Program Files (x86)\uTorrentBar_FR	buTor.dll  => Valeur supprimée avec succès

========== Préférences navigateur ==========
C:\Documents and Settings\Metronic\Application Data\Mozilla\Firefox\Profiles\47f2fyr8.default\prefs.js  => Fichier absent
G0 - GCSP: Preference [User Data\Default][HomePage] http://ww12.cherche.us  => Valeur supprimée avec succès
O69 - SBI: prefs.js [Metronic - ku0cohk2.default] user_pref("CT2851639.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2851639  => Valeur supprimée avec succès
O69 - SBI: prefs.js [Metronic - ku0cohk2.default] user_pref("ConduitEngine.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?  => Valeur supprimée avec succès

========== Dossier(s) ==========
Dossiers Flash Cookies supprimés : 12

========== Fichier(s) ==========
Fichiers Flash Cookies supprimés : 7

========== Logiciel(s) ==========
O42 - Logiciel: uTorrentBar_FR Toolbar - (.uTorrentBar_FR.) [HKLM][64Bits] -- uTorrentBar_FR Toolbar => Conduit uTorrentBar Toolbar  => Logiciel déjà supprimé

========== Fichier HOSTS ==========
Le fichier Hosts est sain


========== Récapitulatif ==========
5 : Clé(s) du Registre
5 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
1 : Logiciel(s)
4 : Préférences navigateur
1 : Fichier HOSTS


End of the scan



(J'avais déjà passer un coup de Maware Bytes hier soir cela n'avait rien donner malgrès qu'il ai trouver des fichier à mettre en quarantaine.)

Voici le résultat du premier scan:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5943

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

03/03/2011 15:37:15
mbam-log-2011-03-03 (15-37-15).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 158897
Temps écoulé: 2 minute(s), 8 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
c:\Users\Metronic\AppData\Local\Temp\Cph.exe (Trojan.Agent) -> 4812 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\LKGGOPABUH (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://ww12.cherche.us Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Metronic\AppData\Local\Temp\Cph.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.


Pour le second, rien n'a été trouvé: 

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5943

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

04/03/2011 00:33:59
mbam-log-2011-03-04 (00-33-59).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|)
Elément(s) analysé(s): 242851
Temps écoulé: 18 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Sinon je n'ai pour l'instant plus l'air d'etre victime du fameux virus, je t'en dirais plus demain.

fred08700 · Answer

salut

relance malwarebytes et vides la quarantaine

puis

* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux!


? Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :

? ferme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.