Virus, perdue! Fermé

Question

Bonjour, 


http://www.cijoint.fr/cjlink.php?file=cj201105/cij1OtkXZe.txt 

Il y a des virus sur mon pc, dont je ne sais pas comment me débarasser. 
Symptôme 1): avec Firefox, je ne peux plus utiliser Google. Je peux taper une recherche, voir les résultats, mais si je tente de cliquer sur un résultat, la page est soit un autre moteur de recherche, soit la page d'accueil de google.
Symtôme 2): Mon anti virus (SFR) trouve deux "anti programmes": 

Résultat: 2 antiprogramme(s) détecté(s)
Trojan.Generic.5041726 (virus)
    * C:\Program Files\eMule\Incoming\cracked full free version winzip 12.0.rar\Install.exe 
Trojan-Downloader:W32/Agent.DPPH (virus)
    * C:\Program Files\eMule\Incoming\cracked full free version winzip 12.0.rar\patch\crack.exe 
Configuration: Windows XP / Internet Explorer 7.0

Pouvez-vous m'aider svp? Merci!

M@thew · Accepted Answer

Bonsoir...

C:\Program Files\eMule\Incoming\cracked full free version winzip 12.0.rar\Install.exe


Nan rien...  :o)

Dr Zero · Answer

Bonjour

Il y a pas mal de chose dans ton log qui crient à l'infection car je vois 4 ou 5 lignes dans la base de registre. Enfin, je ne suis pas encore un bon spécialiste.


En attendant qu'un helper veuille prendre la main tu peu essayer Malwarebyte, il sort de pas mal de situation d'infection.

Tuto et téléchargement ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

Faite lu et vous allez voir

Dr Zero · Answer

Allez dans outils --> options --> Onglet général --> devant page accueil saisir : https://www.google.fr/?gws_rd=ssl
Relance FireFox

Chessry · Answer

En fait, j'arrive à ouvrir google. Et c'est toujours ma page d'accueil. 
J'arrive à poser une demande. J'arrive à obtenir une réponse (page habituelle). Mais une fois que je clique sur l'un des liens proposés, je me retrouve sur un nouveau moteur de recherches: monstermarketplace.

Dr Zero · Answer

L'infection persiste

Bon pour moi install hitjackthis et envoi moi le rapport.

https://forums.cnetfrance.fr/tutoriels-securite-informatique/1549-hijackthis-comment-l-utiliser 

Là je peu faire quelque chose.

Chessry · Answer

A présent, je ne peux plus utiliser aucun moteur de recherche, ni sous firefox ni sous IE.  

Rapport:  
http://www.cijoint.fr/cjlink.php?file=cj201105/cijsScwFAX.txt 

Merci beaucoup pour le temps que vous passez à m'aider.

juju666 · Answer

Bonsoir,

Infection adware (publiciel) bandoo, open candy, ....

Avertissement: Il y aura une courte extinction du bureau pendant que l''outil travaillera --> pas de panique. 

désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu 

Télécharge Pre_scan (de gen-hackman)

&#9830 Enregistre le sur ton bureau  
s'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau 

&#9654 Exécute Pre_scan. Si l''outil détecte un proxy  et que tu n''en as pas installé  clique sur "supprimer le proxy"

&#9830 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

juju666 · Answer

lance pre_scan on verra

Chessry · Answer

Pardon d'avoir été si longue, mais trouver comment desactiver mes pare feu  a été toute une épreuve... Nulle en info. 

Voici le résultat:

http://www.cijoint.fr/cjlink.php?file=cj201105/cijJN0YlnS.txt

juju666 · Answer

toujours protections désactivés

copie ce texte en gras

folder::
C:\Documents and Settings\Caroline\Application Data\OpenCandy
C:\Documents and Settings\Caroline\Application Data\searchqutb
C:\Program Files\Windows Searchqu Toolbar    

files::
C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\3amiymts.default\searchplugins\SearchquWebSearch.xml
C:\Program Files\Mozilla FireFox\searchplugins\SearchquWebSearch.xml    

lance pre script sur ton bureau
colle le texte dans le document texte qui s ouvre
fichier>enregistrer
ferme le fichier, laisse le programme travailler
colle le résultat

Chessry · Answer

J'obtiens tmp.script

Et à "l'intérieur":
http://www.cijoint.fr/cjlink.php?file=cj201105/cijwOQCcEt.txt 

C'est ça qu'il fallait faire?

juju666 · Answer

oui mais le logiciel aurait du se lancer

 Désactive ton antivirus car l''outil est détecté à tort comme infectieux 

Télécharge ForceMove de Juju666    

Exécute le.  
Colle ça dans le fichier texte INSTRUCTIONS_SVP qui s''ouvre:    


C:\Documents and Settings\Caroline\Application Data\OpenCandy
C:\Documents and Settings\Caroline\Application Data\searchqutb
C:\Program Files\Windows Searchqu Toolbar
C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\3amiymts.default\searchplugins\SearchquWebSearch.xml
C:\Program Files\Mozilla FireFox\searchplugins\SearchquWebSearch.xml 


Ferme le fichier texte. Accepte la modification par Oui.    

Une infobulle t''avertira que tout sera fermé. Accepte par Ok    

Poste le contenu du rapport qui s''ouvrira à terme  (s''il ne s''ouvre pas, il se trouve à C:\forcemovelog.txt)  

Si ton bureau ne réapparait pas fais ceci :
Ctrl + Alt + Delete > Fichier > Nouvelle tache > Exécuter > tape explorer.exe et valide

Chessry · Answer

Pas de fichier qui s'ouvre, ni de fichier sur le bureau. Je l'ai relancé trois fois... Mais rien. 
Mes deux pare feu sont désactivés

juju666 · Answer

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


[MD5.1600FCCBE1F8B062FAFA82BDBA2BBA63] - (.Pas de propriétaire - Data Manager.) -- C:\PROGRA~1\WI9130~1\Datamngr\DATAMN~1.EXE   [796608]    => Infection BT (Adware.Bandoo)
M3 - MFPP: Plugins - [Caroline] -- C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\3amiymts.default\searchplugins\SearchquWebSearch.xml    => Infection BT (Adware.Bandoo)
M3 - MFPP: Plugins - [Caroline] -- C:\Program Files\Mozilla FireFox\searchplugins\SearchquWebSearch.xml    => Infection BT (Adware.Bandoo)
M2 - MFEP: prefs.js [Caroline - 3amiymts.default\{7FF99715-3016-4381-84CE-E4E4C9673020}] [] Searchqu Toolbar v1.0 (.Discordia Ltd. Portions copyright &#169; Visicom Media. Dynamic Toolbar..)    => Infection PUP (Adware.Bandoo)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.ask.com/    => Infection BT (AskBarDis.Adw)
R0 - HKUS\S-1-5-21-73586283-1336601894-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.ask.com/    => Infection BT (AskBarDis.Adw)
O2 - BHO: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} . (.Pas de propriétaire - Searchqu Toolbar Link Library.) -- C:\PROGRA~1\WI9130~1\ToolBar\SearchquDx.dll    => Infection BT (Adware.Bandoo)
O3 - Toolbar: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} . (.Pas de propriétaire - Searchqu Toolbar Link Library.) -- C:\PROGRA~1\WI9130~1\ToolBar\SearchquDx.dll    => Infection BT (Adware.Bandoo)
O4 - HKLM\..\Run: [DATAMNGR] . (.Pas de propriétaire - Data Manager.) -- C:\PROGRA~1\WI9130~1\Datamngr\DATAMN~1.exe    => Infection BT (Adware.Bandoo)
O20 - AppInit_DLLs: . (.Pas de propriétaire - Data Manager.) - c:\progra~1\wi9130~1\datamngr\datamngr.dll    => Infection BT (Adware.Bandoo)
O42 - Logiciel: Windows Searchqu Toolbar - (.Discordia Limited.) [HKLM] -- Searchqu MediaBar    => Infection BT (Adware.Bandoo)
[HKCU\Software\DataMngr]    => Infection PUP (Adware.Bandoo)
[HKCU\Software\searchqutb]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Bandoo]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\DataMngr]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\SearchquMediabarTb]    => Infection PUP (Adware.Bandoo)
O43 - CFD: 09/10/2010 - 15:25:56 - [4874103] ----D- C:\Program Files\Windows Searchqu Toolbar    => Infection BT (Adware.Bandoo)
O43 - CFD: 10/05/2011 - 22:48:02 - [1778902] ----D- C:\Documents and Settings\Caroline\Application Data\OpenCandy    => Infection PUP (Adware.OpenCandy)
O43 - CFD: 09/10/2010 - 15:26:52 - [30574] ----D- C:\Documents and Settings\Caroline\Application Data\searchqutb    => Infection PUP (Adware.Bandoo)
O43 - CFD: 10/05/2011 - 22:48:04 - [759624] ----D- C:\Documents and Settings\Caroline\Local Settings\Application Data\OpenCandy    => Infection PUP (Adware.OpenCandy)
O69 - SBI: SearchScopes [HKCU] {8A96AF9E-4074-43b7-BEA3-87217BDA7403} [DefaultScope] - (Web Search) - http://www.searchnu.com/    => Infection BT (Adware.Bandoo)
[HKCR\shopperreports.reporter]    => Infection BT (Adware.ShopperReports)
[HKCR\shopperreports.reporter.1]    => Infection BT (Adware.ShopperReports)
[HKLM\Software\Classes\AppID\bandoocore.exe]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\AppID\SoftwareUpdate.exe]    => Infection PUP (PUP.Eorezo)
[HKLM\Software\Classes\bandoocore.bandoocore]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\bandoocore.bandoocore.1]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\bandoocore.resourcesmngr]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\bandoocore.resourcesmngr.1]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\bandoocore.settingsmngr]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\bandoocore.settingsmngr.1]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\bandoocore.statisticmngr]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\bandoocore.statisticmngr.1]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\shopperreports.reporter]    => Infection BT (Adware.ShopperReports)
[HKLM\Software\Classes\shopperreports.reporter.1]    => Infection BT (Adware.ShopperReports)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}]    => Infection BT (Adware.AskTBar)
[HKCR\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}]    => Infection PUP (Adware.Bandoo)
[HKCR\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227}]    => Infection BT (Adware.ClickPotato)
[HKLM\Software\Classes\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227}]    => Infection BT (Adware.ClickPotato)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{100EB1FD-D03E-47fd-81F3-EE91287F9465}]    => Infection BT (Adware.ShopperReports)
[HKCR\AppID\{1301a8a5-3dfb-4731-a162-b357d00c9644}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\AppID\{1301a8a5-3dfb-4731-a162-b357d00c9644}]    => Infection PUP (Adware.Bandoo)
[HKCR\CLSID\{27f69c85-64e1-43ce-98b5-3c9f22fb408e}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\CLSID\{27f69c85-64e1-43ce-98b5-3c9f22fb408e}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624f4-c5dd-4e1d-bdd0-1e9c9b7799cc}]    => Infection PUP (Adware.Bandoo)
[HKCR\Interface\{477f210a-2a86-4666-9c4b-1189634d2c84}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\Interface\{477f210a-2a86-4666-9c4b-1189634d2c84}]    => Infection PUP (Adware.Bandoo)
[HKCR\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE}]    => Infection BT (Adware.ClickPotato)
[HKLM\Software\Classes\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE}]    => Infection BT (Adware.ClickPotato)
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}]    => Infection PUP (Adware.Bandoo)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7FF99715-3016-4381-84CE-E4E4C9673020}]    => Infection PUP (Adware.Bandoo)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7FF99715-3016-4381-84CE-E4E4C9673020}]    => Infection PUP (Adware.Bandoo)
[HKCR\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7FF99715-3016-4381-84CE-E4E4C9673020}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FF99715-3016-4381-84CE-E4E4C9673020}]    => Infection PUP (Adware.Bandoo)
[HKCR\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D}]    => Infection BT (Adware.ClickPotato)
[HKLM\Software\Classes\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D}]    => Infection BT (Adware.ClickPotato)
[HKCR\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9c8a3ca5-889e-4554-beec-ec0876e4e96a}]    => Infection PUP (Adware.Bandoo)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}]    => Infection BT (Adware.SmartShopper)
[HKCR\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306}]    => Infection BT (Adware.ClickPotato)
[HKLM\Software\Classes\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306}]    => Infection BT (Adware.ClickPotato)
[HKCR\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}]    => Infection PUP (Adware.Bandoo)
[HKCR\CLSID\{bb76a90b-2b4c-4378-8506-9a2b6e16943c}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\CLSID\{bb76a90b-2b4c-4378-8506-9a2b6e16943c}]    => Infection PUP (Adware.Bandoo)
[HKCR\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}]    => Infection PUP (Adware.Bandoo)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]    => Infection BT (Adware.AskSBar)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]    => Infection BT (Adware.AskSBar)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]    => Infection PUP (Adware.Bandoo)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f9189560-573a-4fde-b055-ae7b0f4cf080}]    => Infection PUP (Adware.Bandoo)
[HKCR\Interface\{ff871e51-2655-4d06-aed5-745962a96b32}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Classes\Interface\{ff871e51-2655-4d06-aed5-745962a96b32}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Bandoo]    => Infection PUP (Adware.Bandoo)
[HKCU\Software\DataMngr]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\DataMngr]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\searchqu mediabar]    => Infection PUP (Adware.Bandoo)
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}    => Infection BT (Adware.AskSBar)
C:\Program Files\Windows Searchqu Toolbar    => Infection BT (Adware.Bandoo)
C:\Documents and Settings\Caroline\Application Data\OpenCandy    => Infection PUP (Adware.OpenCandy)
C:\Documents and Settings\Caroline\Application Data\searchqutb    => Infection PUP (Adware.Bandoo)
C:\Documents and Settings\Caroline\Local Settings\Application Data\OpenCandy    => Infection PUP (Adware.OpenCandy)
C:\Program Files\Mozilla Firefox\searchplugins\SearchquWebSearch.xml    => Infection BT (Adware.Bandoo)
C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\3amiymts.default\SearchPlugins\SearchquWebSearch.xml    => Infection BT (Adware.Bandoo)
O43 - CFD: 23/04/2011 - 13:35:46 - [21949] ----D- C:\Program Files\PokerStars.FR    => PartyGaming PokerStars
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 23/05/2011 - 03:49:03 ---A- . (...) -- C:\WINDOWS\System32\ConduitEngine.tmp   [0]
M2 - MFEP: prefs.js [Caroline - 3amiymts.default\engine@conduit.com] [] Conduit Engine  v3.2.5.2 (.Conduit Ltd..)    => Toolbar.Conduit
M2 - MFEP: prefs.js [Caroline - 3amiymts.default\{7b13ec3e-999a-4b70-b9cb-2617b8323822}] [] Zynga Toolbar v2.7.1.3 (.Conduit Ltd..)    => Conduit Zynga Toolbar
[HKLM\Software\Conduit]    => Toolbar.Conduit
O43 - CFD: 23/05/2011 - 04:56:30 - [6092] ----D- C:\Documents and Settings\Caroline\Local Settings\Application Data\Conduit    => Toolbar.Conduit
O69 - SBI: prefs.js [Caroline - 3amiymts.default] user_pref("CT2438727.SearchEngine", "Search||http://search.conduit.com/    => Toolbar.Conduit
O69 - SBI: prefs.js [Caroline - 3amiymts.default] user_pref("CT2438727.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2438727    => Toolbar.Conduit
O69 - SBI: prefs.js [Caroline - 3amiymts.default] user_pref("CT2536667.SearchEngine", "Search||http://search.conduit.com/    => Toolbar.Conduit
O69 - SBI: prefs.js [Caroline - 3amiymts.default] user_pref("CT2536667.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2536667    => Toolbar.Conduit
O69 - SBI: prefs.js [Caroline - 3amiymts.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2536667&SearchSource=    => Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]    => Toolbar.Conduit
[HKLM\Software\Classes\Conduit.Engine]    => Toolbar.Conduit
[HKLM\Software\Classes\Toolbar.CT2643111]    => Toolbar.Agent
[HKLM\Software\Conduit]    => Toolbar.Conduit
C:\Documents and Settings\Caroline\Local Settings\Application Data\Conduit    => Toolbar.Conduit
C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\3amiymts.default\Conduit    => Toolbar.Conduit
M2 - MFEP: prefs.js [Caroline - 3amiymts.default\{aac4043a-8832-4abe-9963-35377f30b8e6}] [] Castle Age Community Toolbar v3.2.5.2 (.Conduit Ltd..)    => 
O43 - CFD: 26/05/2011 - 07:37:56 - [0] ----D- C:\Documents and Settings\Caroline\Application Data\Ekvoox    => 
O43 - CFD: 24/05/2011 - 08:15:42 - [59941] ----D- C:\Documents and Settings\Caroline\Application Data\Uxpuz    => 
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Searchqu MediaBar]    => 
C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\3amiymts.default\ConduitEngine    => 
C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\3amiymts.default\searchqutb    => 
C:\Documents and Settings\Caroline\Application Data\Mozilla\Firefox\Profiles\3amiymts.default\Extensions\engine@conduit.com    => 
EMPTYTEMP
FIREWALLRAZ




&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

juju666 · Answer

et si ça ne fonctionne toujours pas, essaye en mode sans échec :)

Chessry · Answer

Sans anti virus, ca a marché, amis avec un message d'erreur. 
Rapport: http://www.cijoint.fr/cjlink.php?file=cj201105/cijPPYT8Yo.txt 

Message: violation d'accès à l'adresse 00427C96 dans le module "ZPHFix.exe". Lecture de l'adresse 00000010.

juju666 · Answer

ok nickel :)

&#9654 Télécharge Malwarebytes'' Anti-Malware  et enregistre le sur ton bureau.  

&#9654 &#9654 Miroir 1 si inaccessible  

&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes'' Anti-Malware, « exécuter en tant qu''Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d''installation.  
&#9654 Dans l''onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l''autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l''onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l''analyse, un message s''affiche : L''examen s''est terminé normalement. Cliquez sur ''Afficher les résultats'' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d''analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l''onglet rapport/log  
&#9654 Tu clique dessus pour l''afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d''aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

&#9654 &#9654 Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

Chessry · Answer

Après avoir relancé le pc, j'ai relancé ZHPdiag. 
Toujours un message d'erreur.

Rapport: http://www.cijoint.fr/cjlink.php?file=cj201105/cijTgI9Hld.txt 

Message: L'ordinal 1108est introuvable dans la bibliothèque de liaisons dynamiques WSOCK32.dll. 


Je n'ai pas accès aux moteurs de recherche, ni sur Firefox ni sur EI. 

Je tombe de sommeil, je reviendrai donc demain. Merci encore sincèrement pour votre aide, et le temps que vous me consacrez.

Chessry · Answer

Je lance Malware cette nuit. Merci encore

Chessry · Answer

Bonjour!  

Malware donne comme rapport:  
http://www.cijoint.fr/cjlink.php?file=cj201105/cij6eUfSUv.txt 

Il indique avoir trouvé un "trojan.agent".  

Juste avant de relancer le pc, Malware a indiqué: "violation d'adresse..." et je n'ai pas vu la suite avec que le pc s'éteigne. 

Je relance les différents programmes, en espérant avoir de nouveau accès aux recherches sur Internet. Passez une bonne journée, je reviendrais après le travail.

juju666 · Answer

le malware se trouvait dans la restauration du système, c'est pas grave.

refais zhpdiag qu'on finalise (héberge son rapport comme d'hab)

Virus, perdue!

21 réponses

Discussions similaires