Binternet Résolu/Fermé

Question

Bonjour à tous , 
J'ai un petit souci avec mon pc portable un message binternet me dit qu'il a cessé de fonctionné suite à une erreur ligne N° 18 erreur 91 ... ect . 
Suite une petite recherche il semblerait que cela soit un virus . Impossible de l'éffacer manuellement et Mcafee n'a rien vu :-( 
petite précision le message s'ouvre sous forme de fenêtre toutes les 20/40 minutes plus ou moins
j'ai fait une analyse pour faire avancer les choses voici le rapport 

Malwarebytes' Anti-Malware 1.50 
www.malwarebytes.org 

Version de la base de données: 6320 

Windows 6.1.7600 
Internet Explorer 8.0.7600.16385 

9/04/2011 21:18:54 
mbam-log-2011-04-09 (21-18-54).txt 

Type d'examen: Examen rapide 
Elément(s) analysé(s): 170235 
Temps écoulé: 5 minute(s), 16 seconde(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 0 
Clé(s) du Registre infectée(s): 0 
Valeur(s) du Registre infectée(s): 0 
Elément(s) de données du Registre infecté(s): 6 
Dossier(s) infecté(s): 0 
Fichier(s) infecté(s): 0 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Clé(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Valeur(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Elément(s) de données du Registre infecté(s): 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://www.cherche.us/keyword/) Good: (http://www.google.com) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com/) -> Quarantined and deleted successfully. 

Dossier(s) infecté(s): 
(Aucun élément nuisible détecté) 

Fichier(s) infecté(s): 
(Aucun élément nuisible détecté)

Merci de bien vouloir m'aider car je ne sais quoi faire 
Bien à vous 
G 
<config>Windows 7 /ig>

Lyonnais92 · Answer

Bonjour,

on va essayer de voir ce qui se passe.

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Lyonnais92 · Answer

Bonsoir,

on va traiter.

Au passage, je vais te faire enlever des toolbars Conduit dont le rôle principal est de transmettre des informations sur tes habitudes de surf.

 
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)


Emptytemp
M3 - MFPP: Plugins - [Georges] -- C:\Users\Georges\AppData\Roaming\Mozilla\Firefox\Profiles\6dhb2ih2.default\searchplugins\cherche.xml 
M0 - MFSP: prefs.js [Georges - 6dhb2ih2.default] http://ww12.cherche.us
M2 - MFEP: prefs.js [Georges - 6dhb2ih2.default\engine@conduit.com] [] Conduit Engine  v3.2.5.2 (.Conduit Ltd..) 
M2 - MFEP: prefs.js [Georges - 6dhb2ih2.default\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}] [] uTorrentBar_FR Community Toolbar v3.2.5.2 (.Conduit Ltd..)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww12.cherche.us
R0 - HKUS\S-1-5-21-2003422213-1834296470-3396653136-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww12.cherche.us
R1 - HKUS\S-1-5-21-2003422213-1834296470-3396653136-1000\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = cherche.us
R1 - HKUS\S-1-5-21-2003422213-1834296470-3396653136-1000\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.cherche.usa%23fffff0%3b&q={searchterms}
O4 - HKCU\..\Run: [binternet] . (.Copyright - binternet.) -- C:\Users\Georges\binternet.exe
O4 - HKUS\S-1-5-21-2003422213-1834296470-3396653136-1000\..\Run: [binternet] . (.Copyright - binternet.) -- C:\Users\Georges\binternet.exe
O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM][64Bits] -- conduitEngine
[HKCU\Software\AppDataLow\Software\Conduit]
[HKCU\Software\AppDataLow\Software\PriceGong]
[HKCU\Software\AppDataLow\Software\conduitEngine]
[HKCU\Software\AppDataLow\Toolbar]
[HKLM\Software\Conduit]
O43 - CFD: 19/01/2011 - 03:31:34 - [532064] ----D- C:\Program Files (x86)\Conduit
O43 - CFD: 19/01/2011 - 03:31:24 - [3987823] ----D- C:\Program Files (x86)\ConduitEngine
O43 - CFD: 13/04/2010 - 08:52:10 - [58152] ----D- C:\ProgramData\xp
O69 - SBI: prefs.js [Georges - 6dhb2ih2.default] user_pref("CT2851639.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2851639
O69 - SBI: prefs.js [Georges - 6dhb2ih2.default] user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "http://ww12.cherche.us
O69 - SBI: prefs.js [Georges - 6dhb2ih2.default] user_pref("ConduitEngine.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?
O69 - SBI: prefs.js [Georges - 6dhb2ih2.default] user_pref("browser.startup.homepage", "http://ww12.cherche.us");
O69 - SBI: prefs.js [Georges - 6dhb2ih2.default] user_pref("keyword.URL", "http://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} [DefaultScope] - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms}
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKLM\Software\Classes\Conduit.Engine]
[HKLM\Software\Conduit] 
[HKLM\Software\conduitEngine]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{30F9B915-B755-4826-820B-08FBA6BD249D}
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]



Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

G-fusion · Answer

http://www.cijoint.fr/cjlink.php?file=cj201104/cijVc9XWSI.txt

Il ne m'a pas demandé de redémarrer dois je le faire?

Lyonnais92 · Answer

Re,

tout semble s'être bien passé.

===

Tu fais redémarrer l'ordi.

Comment va-t-il ?

===

Tu refais tourner ZHPDiag et tu postes le rapport dans un lien Cijoint.

G-fusion · Answer

http://www.cijoint.fr/cjlink.php?file=cj201104/cijfDVRGts.txt

l semble que tout fonctionne bien je n'ai plus cette fenêtre binternet qui s'ouvre 
C'est le moment ou jamais de faire une sauvegarde del'ordi sur disque il me semble .
Lorsque j'ai installé zhpdiag je n'ai pas eu deux mais trois icone sur mon logo zhpdiag , zuhpfix et Mbrgheck à quoi sert ce troisième ? Dois je conserver ces programmes ?

En tout cas un grand merci pour ton aide sije peux te retourner ce coup de main d'une manière ou d'une autre n'hésite pas ;-)

Lyonnais92 · Answer

Re,

MBRCheck est un outil qui permet de vérifier si le MBR est on n'est pas infecté.

Dans ton cas, il ne l'est pas.


===

Il reste des données sur les toolbars Conduit.

Tu relances ZHPDiag avec ces lignes :

O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM][64Bits] -- conduitEngine
[HKCU\Software\AppDataLow\Software\uTorrentBar_FR]
[HKLM\Software\Conduit]
[HKLM\Software\uTorrentBar_FR]
O43 - CFD: 19/01/2011 - 03:31:34 - [4135547] ----D- C:\Program Files (x86)\uTorrentBar_FR 
[HKLM\Software\Conduit]
[HKLM\Software\conduitEngine]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]

Tu postes le nouveau rapport (pas besoin de le mettre dans un lien Cijoint.

Tu le copies dans ta réponse.

G-fusion · Answer

Je ne veux pas faire de bêtise donc c'est bien avec zhpfix que je dois faire cette procédure ?

Lyonnais92 · Answer

Re,

oui, ZHPFix, mille excuses.

G-fusion · Answer

Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : 
Run by Georges at 13/04/2011 22:52:44
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM][64Bits] -- conduitEngine  => Logiciel déjà supprimé

========== Clé(s) du Registre ==========
HKCU\Software\AppDataLow\Software\uTorrentBar_FR  => Clé supprimée avec succès
HKLM\Software\Conduit  => Clé absente
HKLM\Software\uTorrentBar_FR  => Clé absente
HKLM\Software\conduitEngine  => Clé absente
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine  => Clé absente

========== Dossier(s) ==========
C:\Program Files (x86)\uTorrentBar_FR  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
5 : Clé(s) du Registre
1 : Dossier(s)
1 : Logiciel(s)


End of the scan


Voici le dernier rapport :-)

Lyonnais92 · Answer

Re,

on nettoie les outils.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 
 

Si tu as des restes (MBRCheck ou des rapports sur le Bureau), tu les supprimes par Clic droit et Supprimer.

G-fusion · Answer

Outils nettoyés ! Lyonnais92 un grand merci on peut dire que tu es d'une efficacité redoutable ! Je pense que l'on peut passer à l'étape résolu ? ;-)

Lyonnais92 · Answer

Bonjour,

de rien pour l'aide, ce fut avec plaisir.

Pour être honnête, ce fut une désinfection simple.

Je vais mettre le topic en résolu.

Tu le réouvres si un souci revient.

G-fusion · Answer

Merci beaucoup !!