Problème Virus Fermé

Question

Bonjour à tous,

Alors voilà, j'ai attrapé un virus "system tool" qui tente de se faire passer pour un antivirus, sur mon fond d'ecran est écrit "You're in danger, your computer has been infected by a spyware..." Je ne peux plus démarrer aucun programme (je suis donc actuellement en mode sans echec.) De plus, j'ai démarré mon antivirus sous le mode sans echec, et il ne trouve rien.. J'ai trouvé plusieurs sujet concernant ce virus mais tous demande de faire un scan avec malewarebytes, or je ne peux pas démarrer se logiciel, que je tente de l'ouvrir une fenêtre s'ouvre : "Runtime error "0" puis "Malewarebytes error "440" ...
Je vous remercie d'avance pour votre aide

Merci.


Configuration: Windows Vista / Firefox 3.6.15

moment de grace · Answer

bonjour

* Télécharge sur le bureau RogueKiller (par tigzy) 
https://www.luanagames.com/index.fr.html 


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours 
* Lance RogueKiller.exe. 
* Lorsque demandé, tape 2 et valide 

* puis l'option 4
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com

gabrielg67 · Answer

Merci pour ta réponse. J'ai donc télécharger le logiciel et voilà le resultat : RogueKiller V4.3.3 par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: Son [Droits d'admin] Mode: Suppression -- Date : 25/03/2011 19:18:33 Processus malicieux: 0 Entrees de registre: 1 [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:57798) -> NOT REMOVED, USE PROXYFIX Fichier HOSTS: 127.0.0.1 localhost ::1 localhost Termine : << RKreport[4].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

moment de grace · Answer

fais l'option 4

gabrielg67 · Answer

Je suis désolé, je ne suis pas sûr de comprendre ce qu'est "l'option 4", quand je tape "2" le logiciel m'envoie le rapport, je ne peux plus rien faire après, le logiciel m'inscrit "terminé". Dois-je après avoir tapé "2" relancer
 le logiciel en tappant cette fois "4" ?

moment de grace · Answer

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

gabrielg67 · Answer

désolé pour le retard. Voilà le lien : 
 

https://pjjoint.malekal.com/files.php?read=59b652311281510

moment de grace · Answer

pas de notion de temps..

_______

à priori tu peux te mettre en mode normal

1)

Lances ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7),
Cliques sur le bouton 'ProxyFix' situé dans la partie droite de l'écran,
Cliques sur 'Non' au message qui s'affiche à l'écran,
Laisses travailler l'outil,
A la fin du traitement, un rapport s'affiche
Copie ce rapport 
Redémarre le pc pour prendre en compte les modifications. 

...................

2)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

.........................

3)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long) 
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

........................

4)

Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

gabrielg67 · Answer

Je ne peux pas executer Malwarebyte's, quand je tente de le faire une fenêtre s'ouvre "Runtime error "0"" puis "malwarbyte's error "440"" n'y aurez t-il pas d'autres logiciels equivalent, ou commen puis-je régler ce problème ?pour ce qui est du rapport d'Ad remover, le voici : 

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:50:48 le 25/03/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Basique  Service Pack 2 (X86) 
Son@SONBOU (eMachines E520) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Users\Son\AppData\Roaming\Mozilla\FireFox\Profiles\ou9jl598.default\conduit
Dossier supprimé: C:\Users\Son\AppData\Roaming\Mozilla\FireFox\Profiles\ou9jl598.default\ConduitEngine
Dossier supprimé: C:\Users\Son\AppData\Roaming\Mozilla\FireFox\Profiles\ou9jl598.default\extensions\engine@conduit.com
Fichier supprimé: C:\Users\Son\AppData\Roaming\Mozilla\FireFox\Profiles\ou9jl598.default\searchplugins\conduit.xml
Dossier supprimé: C:\Program Files\Ask.com
Dossier supprimé: C:\Users\Son\AppData\LocalLow\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Users\Son\AppData\LocalLow\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine
Dossier supprimé: C:\Program Files\AutocompletePro
Dossier supprimé: C:\Users\Son\AppData\LocalLow\PriceGong
Dossier supprimé: C:\Users\Son\AppData\Roaming\OfferBox

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Son\AppData\Roaming\Mozilla\FireFox\Profiles\ou9jl598.default\Prefs.js --
Ligne supprimée: user_pref("CommunityToolbar.EngineOwner", "ConduitEngine"); 
Ligne supprimée: user_pref("CommunityToolbar.EngineOwnerGuid", "engine@conduit.com"); 
Ligne supprimée: user_pref("CommunityToolbar.EngineOwnerToolbarId", "conduitengine"); 
Ligne supprimée: user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true); 
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwner", "ConduitEngine"); 
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "engine@conduit.com"); 
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "conduitengine"); 
Ligne supprimée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr... 
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList", "ConduitEngine"); 
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList2", "ConduitEngine"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoInterval", 1440); 
Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Fri Mar 25 2011 20:43:52 GMT+0100"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.locale", "en"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.loginIntervalMin", 1440); 
Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastCheckTime", "Fri Mar 25 2011 20:43:52 GMT+0100"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1291048634"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.messageShowTimeSec", 20); 
Ligne supprimée: user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.showTrayIcon", false); 
Ligne supprimée: user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300); 
Ligne supprimée: user_pref("CommunityToolbar.alert.userId", "f4a4674a-a5c1-41f5-be1c-7d407fd392e1"); 
Ligne supprimée: user_pref("ConduitEngine.CTID", "ConduitEngine"); 
Ligne supprimée: user_pref("ConduitEngine.FirstTime", true); 
Ligne supprimée: user_pref("ConduitEngine.FirstTimeFF3", true); 
Ligne supprimée: user_pref("ConduitEngine.FixPageNotFoundErrors", false); 
Ligne supprimée: user_pref("ConduitEngine.HasUserGlobalKeys", true); 
Ligne supprimée: user_pref("ConduitEngine.Initialize", true); 
Ligne supprimée: user_pref("ConduitEngine.InitializeCommonPrefs", true); 
Ligne supprimée: user_pref("ConduitEngine.InstallationType", "UnknownIntegration"); 
Ligne supprimée: user_pref("ConduitEngine.InstalledDate", "Fri Mar 25 2011 20:44:02 GMT+0100"); 
Ligne supprimée: user_pref("ConduitEngine.IsMulticommunity", false); 
Ligne supprimée: user_pref("ConduitEngine.IsOpenThankYouPage", false); 
Ligne supprimée: user_pref("ConduitEngine.IsOpenUninstallPage", false); 
Ligne supprimée: user_pref("ConduitEngine.SearchFromAddressBarIsInit", true); 
Ligne supprimée: user_pref("ConduitEngine.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=C... 
Ligne supprimée: user_pref("ConduitEngine.engineLocale", "en-US"); 
Ligne supprimée: user_pref("ConduitEngine.initDone", true); 
Ligne supprimée: user_pref("browser.search.selectedEngine", "qooqlle"); 
Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://www.qooqlle.com/"); 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\CLSID\{B46C2580-B90D-4678-9A07-5A2B3A50EA47}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B46C2580-B90D-4678-9A07-5A2B3A50EA47}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B46C2580-B90D-4678-9A07-5A2B3A50EA47}
Clé supprimée: HKLM\Software\Classes\Interface\{C9AE652B-8C99-4AC2-B556-8B501182874E}
Clé supprimée: HKLM\Software\Classes\TypeLib\{01BCB858-2F62-4F06-A8F4-48F927C15333}
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\SuggestMeYes.SuggestMeYesBHO
Clé supprimée: HKLM\Software\Classes\SuggestMeYes.SuggestMeYesBHO.1
Clé supprimée: HKLM\Software\Classes\Toolbar.CT1098640
Clé supprimée: HKLM\Software\Classes\Toolbar.CT1572363
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2121919
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2297721
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2405280
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2619605
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2790392
Clé supprimée: HKLM\Software\Classes\AppID\AutocompletePro.DLL
Clé supprimée: HKLM\Software\Classes\AppID\{442F13BC-2031-42D5-9520-437F65271153}
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKLM\Software\iAvatars.com
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\AutocompletePro
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Toolbar
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\conduitEngine
Clé supprimée: HKCU\Software\AppDataLow\Software\PriceGong
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0B5C84D1-A621-4584-8A66-5CB57C3EE7E2}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\AutocompletePro3_is1
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\AutocompletePro3_is1
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine

Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{30F9B915-B755-4826-820B-08FBA6BD249D}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.16 (en-US)] ****

HKLM_MozillaPlugins\@pages.tvunetworks.com/WebPlayer (x)
Searchplugins\amazondotcom.xml (hxxp://www.amazon.com/exec/obidos/external-search/)
Searchplugins\answers.xml (hxxp://www.answers.com/main/ntquery)
Searchplugins\creativecommons.xml (hxxp://search.creativecommons.org/)
Searchplugins\eBay.xml (hxxp://rover.ebay.com/rover/1/711-47294-18009-3/4)
Searchplugins\Mp3Rocket.xml (?)
Searchplugins\wikipedia.xml (hxxp://en.wikipedia.org/wiki/Special:Search)
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension		)

-- C:\Users\Son\AppData\Roaming\Mozilla\FireFox\Profiles\ou9jl598.default --
Extensions\firefox@tvunetworks.com (TVU Web Player)
Extensions\support@predictad.com (AutocompletePro - Your handy search suggestions tool)
Extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} (Softonic-Eng7 Community Toolbar)
Extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} (BitTorrentBar Community Toolbar)
Extensions\{d5b75883-e809-4120-bfeb-8d707d5dfbe3} (Discover France Toolbar)
Extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca} (Torbutton)
Searchplugins\search.xml (?)
Prefs.js - browser.startup.homepage_override.mstone, false

========================================

**** Internet Explorer Version [8.0.6001.19019] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{ba14329e-9550-4989-b3f2-9732e92d17cc} (x)
HKCU_URLSearchHooks|{88c7f2aa-f93f-432c-8f0e-b7d85967a527} - "BitTorrentBar Toolbar" (C:\Program Files\BitTorrentBar	bBitT.dll)
HKCU_URLSearchHooks|{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - "Softonic-Eng7 Toolbar" (C:\Program Files\Softonic-Eng7	bSoft.dll)
HKCU_URLSearchHooks|{d59e6cc3-54fa-470c-971c-b8546b1540ac} - "jdownloader-pro Toolbar" (C:\Program Files\jdownloader-pro	bjdow.dll)
HKLM_URLSearchHooks|{88c7f2aa-f93f-432c-8f0e-b7d85967a527} - "BitTorrentBar Toolbar" (C:\Program Files\BitTorrentBar	bBitT.dll)
HKLM_URLSearchHooks|{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - "Softonic-Eng7 Toolbar" (C:\Program Files\Softonic-Eng7	bSoft.dll)
HKLM_URLSearchHooks|{d59e6cc3-54fa-470c-971c-b8546b1540ac} - "jdownloader-pro Toolbar" (C:\Program Files\jdownloader-pro	bjdow.dll)
HKCU_SearchScopes\{55767307-B2BB-4E9B-B142-955E31DD44E5} - "Mp3Rocket" (hxxp://Mp3Rocket.toolbaroptions.com/?tmp=toolbar_Mp3Rocket_results&prt=mp3rocket...)
HKCU_SearchScopes\{5B291E6C-9A74-4034-971B-A4B007A0B315} - "Web Search..." (hxxp://radiobar.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp)
HKCU_SearchScopes\{A57E58B6-A76B-49EE-A864-AB72755F28C5} - "MP3 Rocket" (hxxp://mp3rocket.toolbaroptions.com/?tmp=toolbar_mp3rocket_homepage&prt=mp3rocke...)
HKCU_Toolbar\WebBrowser|{5B291E6C-9A74-4034-971B-A4B007A0B315} (x)
HKCU_Toolbar\WebBrowser|{BA14329E-9550-4989-B3F2-9732E92D17CC} (x)
HKCU_Toolbar\WebBrowser|{4C350B19-6CA1-4569-B14C-296D8D65300B} (x)
HKCU_Toolbar\WebBrowser|{88C7F2AA-F93F-432C-8F0E-B7D85967A527} (C:\Program Files\BitTorrentBar	bBitT.dll)
HKCU_Toolbar\WebBrowser|{414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} (C:\Program Files\Softonic-Eng7	bSoft.dll)
HKCU_Toolbar\WebBrowser|{D59E6CC3-54FA-470C-971C-B8546B1540AC} (C:\Program Files\jdownloader-pro	bjdow.dll)
HKLM_Toolbar|{88c7f2aa-f93f-432c-8f0e-b7d85967a527} (C:\Program Files\BitTorrentBar	bBitT.dll)
HKLM_Toolbar|{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} (C:\Program Files\Softonic-Eng7	bSoft.dll)
HKLM_Toolbar|{d59e6cc3-54fa-470c-971c-b8546b1540ac} (C:\Program Files\jdownloader-pro	bjdow.dll)
HKLM_ElevationPolicy\0c037340-b888-46fe-8fba-6b7e8943398a - C:\Program Files\free-downloads.net\free-downloads.netToolbarHelper.exe (x)
HKLM_ElevationPolicy\4f37fa7c-63f5-4167-bacf-55b02f1d6ec6 - C:\Program Files\Discover_France\Discover_FranceToolbarHelper.exe (x)
HKLM_ElevationPolicy\9783ee77-0862-4e60-8ee9-56e046c7e09e - C:\Program Files\jdownloader-pro\jdownloader-proToolbarHelper.exe (?)
HKLM_ElevationPolicy\9ca42618-0ac5-4731-9b5a-8b6725db6de3 - C:\Program Files\Nova-FR\Nova-FRToolbarHelper.exe (x)
HKLM_ElevationPolicy\ccc6db0e-86aa-4ee1-93b1-4b16aa87a8b0 - C:\Program Files\ooVoo_Chat\ooVoo_ChatToolbarHelper.exe (x)
HKLM_ElevationPolicy\{2A4FD54B-5BDD-4AA6-B6EB-24433036D160} - C:\Program Files\BitTorrentBar\BitTorrentBarToolbarHelper.exe (?)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (x)
HKLM_ElevationPolicy\{CB488010-B146-428B-AB5C-A73A4E500003} - C:\Program Files\Softonic-Eng7\Softonic-Eng7ToolbarHelper.exe (?)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll)
BHO\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - "Softonic-Eng7 Toolbar" (C:\Program Files\Softonic-Eng7	bSoft.dll)
BHO\{88c7f2aa-f93f-432c-8f0e-b7d85967a527} - "BitTorrentBar Toolbar" (C:\Program Files\BitTorrentBar	bBitT.dll)
BHO\{d59e6cc3-54fa-470c-971c-b8546b1540ac} - "jdownloader-pro Toolbar" (C:\Program Files\jdownloader-pro	bjdow.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 135 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 4 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 25/03/2011 20:50:59 (15148 Octet(s)) 

Fin à: 20:53:04, 25/03/2011 
 
============== E.O.F ==============

gabrielg67 · Answer

J'ai finalement reussit à executer Malwarebyte's, le scan est en route.

moment de grace · Answer

ok

je verrai le résultat demain...

gabrielg67 · Answer

Bonjour,

Voilà le résultat du scan malwarebytes' éffectué cette nuit :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6171

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

3/26/2011 7:06:00 AM
mbam-log-2011-03-26 (07-06-00).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Elément(s) analysé(s): 487353
Temps écoulé: 2 heure(s), 44 minute(s), 51 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\WhiteSmoke (PUP.Whitesmoke) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\GProton (Trojan.Agent) -> Value: GProton -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Redir.Qooqlle) -> Bad: (http://www.qooqlle.com/ Good: (http://www.google.com) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata\GProton.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programdata\lleaagcmolg06511\lleaagcmolg06511.exe (Rogue.SystemTool) -> Quarantined and deleted successfully.
c:\Users\Son\downloads\rk_quarantine\lleaagcmolg06511.exe.vir (Rogue.SystemTool) -> Quarantined and deleted successfully.


C'est étonnant, "qooqlle" est présenté comme étant mis en quarantaine et supprimé, or, la page qooqlle s'affiche toujours.



Et voici le rapport de ZHPDiag, que je viens d'éffectuer : 

https://pjjoint.malekal.com/files.php?read=cd1310f4d31466

moment de grace · Answer

ok  

tu peux vider la quarantaine  

de plus faudrait se calmer un peu avec le P2P et les toolbars inutiles  

Bittorent PeerToPeer    
Azureus PeerToPeer    
University of Washington    
MP2P Technologies    
LimeWire Java PeerToPeer    
MP3 Rocket PeerToPeer    
Shareaza PeerToPeer    
eMule PeerToPeer    
FrostWire Gnutella    


1)  

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  

G0 - GCSP: Preference [User Data\Default][HomePage] https://www.yuzuni.com/fwd/adf14.html   
[MD5.00000000000000000000000000000000] [APT] [RegClean System Startup] (.Unknown owner.) -- C:\Program Files\RegClean\RegClean.exe (.not file.)       
[HKCR\bittorrent]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]       
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]      
R3 - URLSearchHook: BitTorrentBar Toolbar - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.2.4) -- C:\Program Files\BitTorrentBar	bBitT.dll   
R3 - URLSearchHook: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.1.8) -- C:\Program Files\Softonic-Eng7	bSoft.dll   
R3 - URLSearchHook: jdownloader-pro Toolbar - {d59e6cc3-54fa-470c-971c-b8546b1540ac} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 0, 10) -- C:\Program Files\jdownloader-pro	bjdow.dll   
R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} Orphean Key       
R3 - URLSearchHook: BitTorrentBar Toolbar - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.2.4) -- C:\Program Files\BitTorrentBar	bBitT.dll   
R3 - URLSearchHook: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.1.8) -- C:\Program Files\Softonic-Eng7	bSoft.dll   
R3 - URLSearchHook: jdownloader-pro Toolbar - {d59e6cc3-54fa-470c-971c-b8546b1540ac} . (.Conduit Ltd. - Conduit Toolbar.) (5, 5, 0, 10) -- C:\Program Files\jdownloader-pro	bjdow.dll   
O2 - BHO: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic-Eng7	bSoft.dll   
O2 - BHO: BitTorrentBar Toolbar - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\BitTorrentBar	bBitT.dll   
O2 - BHO: jdownloader-pro Toolbar - {d59e6cc3-54fa-470c-971c-b8546b1540ac} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\jdownloader-pro	bjdow.dll   
O3 - Toolbar: BitTorrentBar Toolbar - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\BitTorrentBar	bBitT.dll   
O3 - Toolbar: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic-Eng7	bSoft.dll   
O3 - Toolbar: jdownloader-pro Toolbar - {d59e6cc3-54fa-470c-971c-b8546b1540ac} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\jdownloader-pro	bjdow.dll   
O42 - Logiciel: Softonic-Eng7 Toolbar - (.Softonic-Eng7.) [HKLM] -- Softonic-Eng7 Toolbar       
[HKCU\Software\AppDataLow\Software\BitTorrentBar]       
[HKCU\Software\AppDataLow\Software\Softonic-Eng7]       
[HKLM\Software\BitTorrentBar]       
[HKLM\Software\Softonic-Eng7]       
O43 - CFD: 12/20/2010 - 6:15:44 PM - [4832935] ----D- C:\Program Files\BitTorrentBar       
O43 - CFD: 8/3/2010 - 12:18:26 PM - [116448] ----D- C:\Program Files\RadioBar       
O43 - CFD: 12/12/2010 - 12:09:22 AM - [4123670] ----D- C:\Program Files\Softonic-Eng7       
O69 - SBI: SearchScopes [HKCU] {5B291E6C-9A74-4034-971B-A4B007A0B315} - (Web Search...) - http://ww1.toolbarhome.com      
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\RegClean System Startup.job  
MBRFix  

Puis Lance ZHPFix depuis le raccourci du bureau .  

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".  

Copie/Colle le rapport à l'écran dans ton prochain message   

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport   

____________  

2)  

supprime Spybot inutile et freine le pc  

ainsi que les restes norton  
https://www.commentcamarche.net/faq/2453-supprimer-desinstaller-norton-antivirus-norton-internet-security  

__________  

3)  

redemarre le pc et dis moi si tu as encore des soucis  
CONTRIBUTEUR SECURITE  

En désinfection, c'est la fin le plus important !  
"Restez" jusqu'au bout...merci

gabrielg67 · Answer

Merci beaucoup pour le virus "system tool" je n'ai plus aucun problème avec ça.
En revanche, Qooqlle est toujours là, ce "truc" m'a l'air assez coriace..

moment de grace · Answer

G0 - GCSP: Preference [User Data\Default][HomePage] https://www.yuzuni.com/fwd/adf14.html => Registry key value removed successfully 

redemarre le pc et dis moi si c'est toujours le cas

gabrielg67 · Answer

Non, cette partie entière n'apparait plus : 

========== Browser Profiles ==========
G0 - GCSP: Preference [User Data\Default][HomePage] https://www.yuzuni.com/fwd/adf14.html => Registry key value removed successfully

moment de grace · Answer

pas compris

as tu ta page d'accueil normale maintenant ?

gabrielg67 · Answer

Autant pour moi, non, Qooglle est toujours ma page de démarrage (que se soit google chrome, firefox ou IE)
malgré cette "suppression de clé" apparente selon ZHPFix..

moment de grace · Answer

Télécharge OTL de OLDTimer 

http://oldtimer.geekstogo.com/OTL.scr


enregistre le sur ton Bureau. 

 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer. 

 - Copie et colle les lignes en gras ci-dessous dans la partie inférieure d'OTL "Personnalisation"

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c 

Clic sur Analyse. 

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). 

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt) 

NE LE POSTE PAS SUR LE FORUM 

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport 

Clique ensuite sur "Envoyer le fichierr " et copie/colle le lien dans ton prochain message

Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

gabrielg67 · Answer

Est-ce normal que le scan prenne autant de temps ?? (celà fait près d'une heure que je l'ai démarré.)

gabrielg67 · Answer

Le fichier OTL :


https://pjjoint.malekal.com/files.php?read=50529b93c4896

Le fichier extra :

https://pjjoint.malekal.com/files.php?read=18a33a544e8714

moment de grace · Answer

utilise tu un proxy ?

gabrielg67 · Answer

Nope, enfin j'ai TOR sur ma machine mais il est désactivé la plupart du temps. Et "qooqlle" était présent avant que je telecharge TOR.

moment de grace · Answer

evite les cracks

________

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer. 


?Copie la liste qui se trouve en gras ci-dessous, 

? colle-la dans la zone sous "Personnalisation" : 




:OTL 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = https://fr.ask.com/?o=15506&l=dis [binary data]
FF - prefs.js..browser.startup.homepage: http://www.qooqlle.com/
[2010/12/12 00:09:17 | 000,000,000 | ---D | M] (Softonic-Eng7 Community Toolbar) -- C:\Users\Son\AppData\Roaming\mozilla\Firefox\Profiles\ou9jl598.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}  
[2010/11/21 09:30:05 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\Son\AppData\Roaming\mozilla\Firefox\Profiles\ou9jl598.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}  
[2010/11/11 23:27:51 | 000,000,000 | ---D | M] (Discover France Toolbar) -- C:\Users\Son\AppData\Roaming\mozilla\Firefox\Profiles\ou9jl598.default\extensions\{d5b75883-e809-4120-bfeb-8d707d5dfbe3}
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)   
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found.  
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4C350B19-6CA1-4569-B14C-296D8D65300B} - No CLSID value found.  
 O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {5B291E6C-9A74-4034-971B-A4B007A0B315} - No CLSID value found.  
 O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found.  
 O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found.  
 O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D59E6CC3-54FA-470C-971C-B8546B1540AC} - No CLSID value found.





:commands 
[emptytemp] 
[start explorer] 
[reboot] 


? Clique sur "Correction" pour lancer la suppression. 


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redémarrage.

gabrielg67 · Answer

J'ai du changer d'ordinateur, après la correction j'ai redemarré et avant d'arriver sur la page ou je dois rentrer mon mot de passe pour aller sur ma session l'ecran devient noir, et le reste... J'ai essayé en mode sans echec, puis de réparer l'ordi et enfin "start the computer to an earlier point" il me l'a selon lui mis au point d'hier minuit, j'ai à nouveau essayé de le redémarrer, rien y fait, l'écran noir reviens..

gabrielg67 · Answer

Il m'a refait le même coup, à nouveau ==> restoration pour le remettre en route.

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (clic droit sur le lien ...enregistrer la cible du lien sous ) /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

gabrielg67 · Answer

Je ne suis pas vraiment doué en informatique, qu'est ce que la console de restauration ? où la trouver ? comment la mettre en route ?

Problème Virus

27 réponses

Discussions similaires