Gabpath Résolu/Fermé

Question

Bonjour, 
Voilà je crois que mon PC à un virus, je suis actuellement en mode sans échec puisque internet ne marche quasiment pas en mode normal.
J'ai fais un scan avec Antivir il n'a rien trouvé, par contre j'ai le virus Gabpath donc j'aimerais aussi le supprimer de mon ordinateur.

Si vous pouvez m'aider merci beaucoup :)



Configuration: Windows 7 / Firefox 3.6.15

Utilisateur anonyme · Answer

Bonjour 

On va faire une analyse de ton systéme.  
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe 

* Télécharge ZHPDiag  ( de Nicolas coolman ).  
ou 
ZHPDiag  

                                                  *********************** 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\  
* Laisse toi guider lors de l'installation  
* Il se lancera automatiquement à la fin de l'installation  
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Eoh · Answer

Merci pour ta réponse,  
voici le lien :http://www.cijoint.fr/cjlink.php?file=cj201104/cijCQyuVcc.txt

Utilisateur anonyme · Answer

1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
O4 - HKCU\..\Run: [cacaoweb] . (...) -- C:\Users\Seii\AppData\Roaming\cacaoweb\cacaoweb.exe     
O4 - HKCU\..\Run: [Adparatus] . (...) -- C:\Program Files (x86)\Adparatus\Adparatus.exe     
O4 - HKUS\S-1-5-21-2234242522-1301898159-1400251837-1000\..\Run: [cacaoweb] . (...) -- C:\Users\Seii\AppData\Roaming\cacaoweb\cacaoweb.exe     
O4 - HKUS\S-1-5-21-2234242522-1301898159-1400251837-1000\..\Run: [Adparatus] . (...) -- C:\Program Files (x86)\Adparatus\Adparatus.exe     
[HKCU\Software\cacaoweb]     
O43 - CFD: 04/04/2011 - 13:50:02 - [647140] ----D- C:\Users\Seii\AppData\Roaming\cacaoweb     
O87 - FAEL: "TCP Query User{A788AFC2-9092-4467-8B01-23094515A810}C:\users\seii\appdataoaming\cacaoweb\cacaoweb.exe" | In - Public - P6 - TRUE | .(...) -- C:\users\seii\appdataoaming\cacaoweb\cacaoweb.exe     
O87 - FAEL: "UDP Query User{147F64AB-FA68-43F7-950B-226FBF4F1CB5}C:\users\seii\appdataoaming\cacaoweb\cacaoweb.exe" | In - Public - P17 - TRUE | .(...) -- C:\users\seii\appdataoaming\cacaoweb\cacaoweb.exe     
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] 
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline 
O4 - HKUS\S-1-5-21-2234242522-1301898159-1400251837-1000\..\Run: [AdobeBridge] Clé orpheline 
O4 - Global Startup: C:\Users\Seii\Desktop\Droit des personnes - Raccourci.lnk . (...)  -- C:\Users\Seii\Documents\Cours\CM\Droit des personnes.odt (.not file.) 
O23 - Service:  (SampleCollector) - Clé orpheline 
O43 - CFD: 16/09/2010 - 14:51:10 - [1311] ----D- C:\ProgramData\Partner     
O43 - CFD: 20/12/2010 - 00:39:08 - [3451] ----D- C:\ProgramDataegid.1986-12.com.adobe 
O87 - FAEL: "{BCCC298F-3033-45C7-9A45-414A3C726C18}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files (x86)\TorrentB\TorrentB.exe (.not file.) 
O87 - FAEL: "{F60A04CA-1394-46C5-8E0C-297E7C035C13}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files (x86)\TorrentB\TorrentB.exe (.not file.) 
R3 - URLSearchHook: Audacity-tools Toolbar [64Bits] - {d0b1518e-3e45-4d16-a23b-4d90ef938e44} . (.Conduit Ltd. - Conduit Toolbar.) (5, 6, 0, 23) -- C:\Program Files (x86)\Audacity-tools	bAuda.dll 
[HKCU\Software\AppDataLow\Software\Audacity-tools]     
[HKCU\Software\AppDataLow\Software\Conduit]     
[HKCU\Software\AppDataLow\Toolbar]     
[HKCU\Software\Conduit]     
[HKLM\Software\Audacity-tools]     
[HKLM\Software\Conduit]     
O43 - CFD: 18/10/2010 - 11:21:54 - [2883453] ----D- C:\Program Files (x86)\Audacity-tools     
O43 - CFD: 02/04/2011 - 10:13:40 - [93502] ----D- C:\Program Files (x86)\BabylonToolbar     
O43 - CFD: 18/10/2010 - 11:21:54 - [529408] ----D- C:\Program Files (x86)\Conduit     
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Audacity-tools Customized Web Search) - http://search.conduit.com 
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] 
[HKLM\Software\ResultTool] 
O43 - CFD: 02/03/2011 - 23:02:14 - [34064] ----D- C:\ProgramData\ResultTool 
O43 - CFD: 02/03/2011 - 23:02:14 - [0] ----D- C:\Program Files (x86)\ResultTool 
EmptyTemp
FirewallRaz 
--------------------------------------------------------

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Eoh · Answer

Rapport de ZHPFix 1.12.3273 par Nicolas Coolman, Update du 03/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-04-04-2011-17-07-15.txt
Run by Seii at 04/04/2011 17:07:15
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\cacaoweb  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  => Clé supprimée avec succès
O23 - Service: (SampleCollector) - Clé orpheline  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Audacity-tools  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Conduit  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Toolbar  => Clé supprimée avec succès
HKCU\Software\Conduit  => Clé supprimée avec succès
HKLM\Software\Audacity-tools  => Clé absente
HKLM\Software\Conduit  => Clé absente
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Audacity-tools Customized Web Search) - http://search.conduit.com  => Clé supprimée avec succès
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}  => Clé absente
HKLM\Software\ResultTool  => Clé absente

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [cacaoweb] . (...) -- C:\Users\Seii\AppData\Roaming\cacaoweb\cacaoweb.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [Adparatus] . (...) -- C:\Program Files (x86)\Adparatus\Adparatus.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2234242522-1301898159-1400251837-1000\..\Run: [cacaoweb] . (...) -- C:\Users\Seii\AppData\Roaming\cacaoweb\cacaoweb.exe  => Valeur absente
O4 - HKUS\S-1-5-21-2234242522-1301898159-1400251837-1000\..\Run: [Adparatus] . (...) -- C:\Program Files (x86)\Adparatus\Adparatus.exe  => Valeur absente
TCP Query User{A788AFC2-9092-4467-8B01-23094515A810}C:\users\seii\appdataoaming\cacaoweb\cacaoweb.exe  => Valeur supprimée avec succès
UDP Query User{147F64AB-FA68-43F7-950B-226FBF4F1CB5}C:\users\seii\appdataoaming\cacaoweb\cacaoweb.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2234242522-1301898159-1400251837-1000\..\Run: [AdobeBridge] Clé orpheline  => Valeur absente
{BCCC298F-3033-45C7-9A45-414A3C726C18}  => Valeur supprimée avec succès
{F60A04CA-1394-46C5-8E0C-297E7C035C13}  => Valeur supprimée avec succès
R3 - URLSearchHook: Audacity-tools Toolbar - {d0b1518e-3e45-4d16-a23b-4d90ef938e44} . (.Conduit Ltd. - Conduit Toolbar.) (5, 6, 0, 23) -- C:\Program Files (x86)\Audacity-tools	bAuda.dll  => Valeur supprimée avec succès
FirewallRaz : Aucune valeur présente dans la clé de registre "Standard Profile"
FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"
FirewallRaz (Domain) : FPS-SpoolSvc-In-TCP-NoScope  => Valeur supprimée avec succès
FirewallRaz (Public) : FPS-SpoolSvc-In-TCP  => Valeur supprimée avec succès
FirewallRaz (Domain) : CoreNet-GP-LSASS-Out-TCP  => Valeur supprimée avec succès
FirewallRaz (Domain) : RemoteSvcAdmin-In-TCP-NoScope  => Valeur supprimée avec succès
FirewallRaz (Public) : RemoteSvcAdmin-In-TCP  => Valeur supprimée avec succès
FirewallRaz (Domain) : NetPres-In-TCP-NoScope  => Valeur supprimée avec succès
FirewallRaz (Domain) : NetPres-Out-TCP-NoScope  => Valeur supprimée avec succès
FirewallRaz (None) : NetPres-WSD-In-UDP  => Valeur supprimée avec succès
FirewallRaz (None) : NetPres-WSD-Out-UDP  => Valeur supprimée avec succès
FirewallRaz (Public) : NetPres-In-TCP  => Valeur supprimée avec succès
FirewallRaz (Public) : NetPres-Out-TCP  => Valeur supprimée avec succès
FirewallRaz (Private) : TCP Query User{963F5894-C56C-4F7E-9678-315A69A3E116}C:\program files (x86)unes of magic\client.exe  => Valeur supprimée avec succès
FirewallRaz (Private) : UDP Query User{E7D8E079-D190-40B8-A830-571FDB034AB4}C:\program files (x86)unes of magic\client.exe  => Valeur supprimée avec succès
FirewallRaz (None) : {100FCFAD-C8C9-42FF-8D13-4296B2324154}  => Valeur supprimée avec succès
FirewallRaz (Private) : TCP Query User{1CF83729-1D96-4C66-BF82-F2A9956BB6CF}C:\program files (x86)\limewire\limewire.exe  => Valeur supprimée avec succès
FirewallRaz (Private) : UDP Query User{BC061810-04D2-4A65-A3A7-3E97B44E60BD}C:\program files (x86)\limewire\limewire.exe  => Valeur supprimée avec succès

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 74

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 41

========== Autre ==========
http://www.cijoint.fr/cjlink.php?file=cj201104/cijCQyuVcc.txt  => Format Non supporté


========== Récapitulatif ==========
12 : Clé(s) du Registre
29 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
1 : Autre


End of the scan

Utilisateur anonyme · Answer

* Télécharge et installe : Malwarebyte's Anti-Malware 
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme) 
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher" 
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen" 
* A la fin du scan, clique sur Afficher les résultats 
* Coche tous les éléments détectés puis clique sur Supprimer la sélection 
* Enregistre le rapport 
* S'il t'est demandé de redémarrer, clique sur Yes 
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.) 
* Si tu as besoin d'aide regarde ce tutorial  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Eoh · Answer

Bonjour, 

Je n'arrive pas à poster le rapport c'est écrit "Titre du message non renseigné"

 donc je l'ai mis sur cijoint.fr 

http://www.cijoint.fr/cjlink.php?file=cj201104/cijzZKMkJX.txt

Eoh · Answer

Voilà, normalement c'est le bon

http://www.cijoint.fr/cjlink.php?file=cj201104/cij0qpASDu.txt

Utilisateur anonyme · Answer

On va faire une vérification . 
Post un nouveau rapport zhpdiag. 
Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Eoh · Answer

voici le lien

http://www.toofiles.com/fr/oip/documents/ZHPDiag2/zhpdiag.html

Eoh · Answer

Raa décidément ^^

http://www.cijoint.fr/cjlink.php?file=cj201104/cijRTnVdip.txt

Bon par contre internet rame énormément en mode normal alors qu'en mode sans échec disons que c'est un tout petit peu mieux mais au moins j'ai internet. A quoi cela peut-il être lié, virus, connexion ... ?

Utilisateur anonyme · Answer

dans le rapport zhpdiag il n'y a aucune infection.On va verifier si pas de presence tdl


* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

Eoh · Answer

Hop
http://www.cijoint.fr/cjlink.php?file=cj201104/cijrNzrqM4.txt

Utilisateur anonyme · Answer

/!\ A l'attention de ceux qui passent sur ce sujet /!\  
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.  

/!\ Désactive tous tes logiciels de protection  (Antivirus, Antispywares)  /!\  

* Télécharge combofix(de sUBs) sur ton Bureau.  
* Double-clique sur ComboFix.exe afin de le lancer.  
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème) 
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\  
* Lorsque la recherche sera terminée, un rapport apparaîtra.   
* Héberge le rapport C:\Combofix.txt  sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum 
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec . 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix

Eoh · Answer

Voilà
http://www.cijoint.fr/cjlink.php?file=cj201104/cijwOfKvyg.txt