HELP virus ! win32qqchose
sachangel
Messages postés
14
Statut
Membre
-
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,
j'aurais besoin d'aide pour éradiquer un virus constant sur mon ordinateur .
ce virus se nomme WIN32:Morphex[cryp] et il semble qu'il m'ais supprimer tout les fichiers présent sur mon disque dur , de plus mon bureau , enfin mon fond d'ecran et toute mes "applictions" ont disparus et tout est devenus noir . Il s'arête et se rallume non-stop . quant avast m'avertit qu'un virus est présent je le met en quarantaine ou je le supprime mais il réapparaît à chaque fois . je ne sais plus quoi faire !! help ! :)
j'aurais besoin d'aide pour éradiquer un virus constant sur mon ordinateur .
ce virus se nomme WIN32:Morphex[cryp] et il semble qu'il m'ais supprimer tout les fichiers présent sur mon disque dur , de plus mon bureau , enfin mon fond d'ecran et toute mes "applictions" ont disparus et tout est devenus noir . Il s'arête et se rallume non-stop . quant avast m'avertit qu'un virus est présent je le met en quarantaine ou je le supprime mais il réapparaît à chaque fois . je ne sais plus quoi faire !! help ! :)
11 réponses
-
Bonjour,
Tu as dû attrapé un rogue, un faux antivirus.
Tu vas faire ceci:
- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 2 [DELETE] et valide
- Poste le rapport RKreport.txt présent sur le bureau.
* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe
Ensuite tu relances RogueKiller et tu choisis l'option 6 et tu postes le second rapport
Smart -
bonjour !
merci beaucoup pour votre aide smart :) , j'ai fait ce que vous m'avez conseillé , et tous fonctionne à nouveau . j'ai aussi éffectué un scan avast après le roguekiller et j'ai supprimer deux fichiers qui étaient en quarantaine .
Mais maintenant mon ordinateur est extrêment lent et je ne sais pas si cela est due au virus .
dans demarré les programmes ne s'affiche toujours pas . Vous avez peut-être une solution pour nettoyer mon pc en profondeur et le rendre plus rapide ? :)
encore merci
sacha -
Il aurait fallu poster le rapport RogueKiller comme demandé. Et la désinsfection n'est pas terminée.
Smart -
Il faut copier le rapport qui se trouve dans le bloc note et le copier dans ta réponse
Smart-
ah ok !
alors sa c'est le rapport avec l'opption 2 :
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: love [Droits d'admin]
Mode: Suppression -- Date : 29/05/2011 15:35:05
Processus malicieux: 0
Entrees de registre: 8
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[7].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt -
et sa avec l'opption 6 :
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: love [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 29/05/2011 15:38:52
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 7 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 1 / Fail 0
Sauvegarde: [FOUND] Success 0 / Fail 182
Termine : << RKreport[8].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt
sacha
-
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Pourquoi as-tu passé autant de foas RogueKiller (8 en tout)
Peux poster ces deux rapports:
RKreport[1].txt etRKreport[2].txt
Qui doivent se trouver sur ton bureau
Smart-
RogueKiller V5.1.8 [27/05/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: love [Droits d'admin]
Mode: Suppression -- Date : 28/05/2011 13:31:58
Processus malicieux: 1
[SUSP PATH] xHfMOWVgSOobyf.exe -- c:\programdata\xhfmowvgsoobyf.exe -> KILLED
Entrees de registre: 4
[SUSP PATH] HKCU\[...]\Run : xHfMOWVgSOobyf (C:\ProgramData\xHfMOWVgSOobyf.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt -
RogueKiller V5.1.8 [27/05/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: love [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 28/05/2011 13:36:19
Processus malicieux: 1
[SUSP PATH] HelpPane.exe -- c:\windows\helppane.exe -> KILLED
Attributs de fichiers restaures:
Bureau: Success 14 / Fail 0
Lancement rapide: Success 8 / Fail 0
Programmes: Success 7854 / Fail 0
Menu demarrer: Success 205 / Fail 0
Dossier utilisateur: Success 3336 / Fail 0
Mes documents: Success 18 / Fail 0
Mes favoris: Success 35 / Fail 0
Mes images: Success 33 / Fail 0
Ma musique: Success 2 / Fail 0
Mes videos: Success 2 / Fail 0
Disques locaux: Success 13297 / Fail 0
Sauvegarde: [FOUND] Success 182 / Fail 0
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt -
-
-
Maintenant tu vas faire ceci:
* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très imortant
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.
Smart-
le rapport :
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Version de la base de données: 6746
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
01/06/2011 22:23:54
mbam-log-2011-06-01 (22-23-54).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 311998
Temps écoulé: 1 heure(s), 4 minute(s), 5 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 42
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 13
Fichier(s) infecté(s): 16
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{1602F07D-8BF3-4c08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{C55CA95C-324B-451C-B2D2-6E895AA75FEC} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{30B15818-E110-4527-9C05-46ACE5A3460D} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ClickPotatoLiteAX.info.1 (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ClickPotatoLiteAX.info (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1602F07D-8BF3-4C08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1602F07D-8BF3-4C08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7A3D6D17-9DD5-4C60-8076-D1784DABAF8C} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{814BAA91-DC22-4350-87D6-0C86E93F7F08} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{419EDA30-6DFF-432C-B534-E15D899ABEE4} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MenuButtonIE.ButtonIE.1 (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MenuButtonIE.ButtonIE (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{AC6D819E-AA8F-4418-A3BB-D165C1B18BB5} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ClickPotatoLiteAX.UserProfiles.1 (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ClickPotatoLiteAX.UserProfiles (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AC6D819E-AA8F-4418-A3BB-D165C1B18BB5} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{D44FD6F0-9746-484E-B5C4-C66688393872} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB38E21A-0133-419D-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ClickPotatoLiteSA (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.HbAx (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.HbAx.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.HbInfoBand (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.HbInfoBand.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.IEButton (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.IEButton.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.IEButtonA (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.IEButtonA.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.RprtCtrl (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.RprtCtrl.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\MenuButtonIE.DLL (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\clickpotatolitesa (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\ShoppingReport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ClickPotatoLite (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport2 (Adware.Hotbar) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ClickPotatoLiteSA (Adware.ClickPotato) -> Value: ClickPotatoLiteSA -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{DB38E21A-0133-419D-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> Value: {DB38E21A-0133-419D-92AD-ECDFD5244D6D} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> Value: {EB620C54-E229-4942-87CE-E717109FC8C6} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> Value: {EB620C54-E229-4942-87CE-E717109FC8C6} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{DB38E21A-0133-419d-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> Value: {DB38E21A-0133-419d-92AD-ECDFD5244D6D} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\ClickPotatoLite@ClickPotatoLite.com (Adware.ClickPotato) -> Value: ClickPotatoLite@ClickPotatoLite.com -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
c:\programdata\2aca5cc3-0f83-453d-a079-1076fe1a8b65 (Adware.Seekmo) -> Quarantined and deleted successfully.
c:\programdata\clickpotatolitesa (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\Users\love\AppData\Roaming\clickpotatolite (Adware.ClickPotato) -> Delete on reboot.
c:\program files\clickpotatolite (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.659.0 (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.659.0\firefox (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.659.0\firefox\extensions (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.659.0\firefox\extensions\plugins (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\shoppingreport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\program files\shoppingreport2\Bin (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\program files\shoppingreport2\Bin\2.7.32 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\programdata\microsoft\Windows\start menu\Programs\clickpotato (Adware.ClickPotato) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\program files\clickpotatolite\bin\10.0.659.0\clickpotatolitesa.exe (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.659.0\clickpotatolitesaax.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.659.0\clickpotatoliteuninstaller.exe (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.659.0\launchhelp.dll (Adware.Seekmo) -> Quarantined and deleted successfully.
c:\programdata\xhfmowvgsoobyf.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\Users\love\AppData\Local\Temp\saiDF50.exe (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\Users\love\AppData\Local\Temp\Low\tmp77A3.tmp (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\Users\love\rk_quarantine\xhfmowvgsoobyf.exe.vir (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\programdata\clickpotatolitesa\clickpotatolitesa.dat (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programdata\clickpotatolitesa\clickpotatolitesaabout.mht (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programdata\clickpotatolitesa\clickpotatolitesaau.dat (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programdata\clickpotatolitesa\clickpotatolitesaeula.mht (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programdata\clickpotatolitesa\clickpotatolitesa_kyf.dat (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.659.0\firefox\extensions\install.rdf (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\shoppingreport2\Uninst.exe (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\programdata\microsoft\Windows\start menu\Programs\clickpotato\About Us.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.
-
-
OK. Relance MBAM et vide la quarantaine
On va quand même faire un daignostic du PC pour s'il reste des infections
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart -
Tu es également infecté par des adwares et des barres d'aoutils malicieuse.
Pour ton info lis ce dossier:
Les Toolbars ce n'est pas obligatoires
Tu vas faire ceci:
- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Smart-
voici le rapport de AD remover
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:27:36 le 04/06/2011, Mode normal
Microsoft® Windows Vista(TM) Édition Familiale Basique Service Pack 1 (X86)
love@PC-DE-LOVE (Hewlett-Packard HP Pavilion dv2 Notebook PC)
============== ACTION(S) ==============
Dossier supprimé: C:\Users\love\AppData\LocalLow\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Users\love\AppData\LocalLow\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine
Dossier supprimé: C:\Users\love\AppData\LocalLow\PriceGong
Dossier supprimé: C:\Users\love\AppData\LocalLow\ShoppingReport2
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\CLSID\{A516E121-1DAF-4C75-A28F-8C1DD8D78903}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A516E121-1DAF-4C75-A28F-8C1DD8D78903}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A516E121-1DAF-4C75-A28F-8C1DD8D78903}
Clé supprimée: HKLM\Software\Classes\CLSID\{F56ABCB1-FA2E-4FDD-94D2-0270676EE6EB}
Clé supprimée: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}
Clé supprimée: HKLM\Software\Classes\Interface\{618AAD04-921F-44C2-BE38-C0818AF69861}
Clé supprimée: HKLM\Software\Classes\Interface\{A1F1ECD3-4806-44C6-A869-F0DADF11C57C}
Clé supprimée: HKLM\Software\Classes\Interface\{B5D2ED96-62F9-4C2C-956D-E425B1F67337}
Clé supprimée: HKLM\Software\Classes\Interface\{D3A412E8-1E4B-47D2-9B12-F88291F5AFBB}
Clé supprimée: HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2849852
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKCU\Software\AppDataLow\Toolbar
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\conduitEngine
Clé supprimée: HKCU\Software\AppDataLow\Software\PriceGong
Clé supprimée: HKCU\Software\AppDataLow\Software\ShoppingReport2
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1880FAAB-40FB-4E65-9F8F-E4A00854DE7E}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}
============== SCAN ADDITIONNEL ==============
**** Internet Explorer Version [7.0.6001.18000] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{ef79f67a-6ad7-4715-a0f8-932fca442023} - "BittorrentBar_FR Toolbar" (C:\Program Files\BittorrentBar_FR\tbBitt.dll)
HKLM_URLSearchHooks|{ef79f67a-6ad7-4715-a0f8-932fca442023} - "BittorrentBar_FR Toolbar" (C:\Program Files\BittorrentBar_FR\tbBitt.dll)
HKCU_SearchScopes\{467C22A5-8618-4DCB-821A-3D0C6AFC4533} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
HKLM_SearchScopes\{467C22A5-8618-4DCB-821A-3D0C6AFC4533} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
HKCU_Toolbar\WebBrowser|{DE9C389F-3316-41A7-809B-AA305ED9D922} (C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll)
HKCU_Toolbar\WebBrowser|{EF79F67A-6AD7-4715-A0F8-932FCA442023} (C:\Program Files\BittorrentBar_FR\tbBitt.dll)
HKLM_Toolbar|{DE9C389F-3316-41A7-809B-AA305ED9D922} (C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll)
HKLM_Toolbar|{ef79f67a-6ad7-4715-a0f8-932fca442023} (C:\Program Files\BittorrentBar_FR\tbBitt.dll)
HKLM_ElevationPolicy\{ADADAEE2-457A-4984-A57C-E01C3A2BA612} - c:\program files\aol\aol toolbar 5.0\AolTbServer.exe (AOL LLC)
HKLM_ElevationPolicy\{D58A9D00-4854-4AD1-9FE9-D79DF7D93DE2} - C:\Program Files\BittorrentBar_FR\BittorrentBar_FRToolbarHelper.exe (?)
HKLM_Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - "?" (?)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
BHO\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - "SSVHelper Class" (C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll)
BHO\{7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - "AOL Toolbar BHO" (C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll)
BHO\{ef79f67a-6ad7-4715-a0f8-932fca442023} - "BittorrentBar_FR Toolbar" (C:\Program Files\BittorrentBar_FR\tbBitt.dll)
========================================
C:\Program Files\Ad-Remover\Quarantine: 64 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 04/06/2011 19:28:20 (5669 Octet(s))
Fin à: 19:29:36, 04/06/2011
============== E.O.F ==============
-
-
OK Relance AD-Remover et choisis "désinstaller"
Ensuite tu relances ZHPDiag, tu clique sur la flèche verte pour faire la mise à jour. Tu installes la mise à jour et tu fais un scan et tu psotes le rapport via cijoint
Smart -
Il reste encore des traces:
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
[HKCR\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]
[HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]
[HKCR\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}]
[HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}]
[HKCR\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}]
[HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}]
[HKCR\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}]
[HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}]
[HKCR\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]
[HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]
[HKCR\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}]
[HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}]
[HKCR\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}]
[HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}]
[HKCR\AppID\{d2083641-e57f-4eab-bb85-0582424f4a29}]
[HKLM\Software\Classes\AppID\{d2083641-e57f-4eab-bb85-0582424f4a29}]
O4 - HKLM\..\Run: [UCam_Menu] Clé orpheline
O4 - HKLM\..\Run: [UpdatePSTShortCut] Clé orpheline
O23 - Service: (Norton Internet Security) - Clé orpheline
R3 - URLSearchHook: BittorrentBar_FR Toolbar - {ef79f67a-6ad7-4715-a0f8-932fca442023} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.7.3) -- C:\Program Files\BittorrentBar_FR\tbBitt.dll
R3 - URLSearchHook: BittorrentBar_FR Toolbar - {ef79f67a-6ad7-4715-a0f8-932fca442023} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.7.3) -- C:\Program Files\BittorrentBar_FR\tbBitt.dll
O2 - BHO: BittorrentBar_FR Toolbar - {ef79f67a-6ad7-4715-a0f8-932fca442023} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\BittorrentBar_FR\tbBitt.dll
O3 - Toolbar: BittorrentBar_FR Toolbar - {ef79f67a-6ad7-4715-a0f8-932fca442023} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\BittorrentBar_FR\tbBitt.dll
[HKCU\Software\AppDataLow\Software\BittorrentBar_FR]
[HKCU\Software\AppDataLow\Software\Conduit]
[HKCU\Software\AppDataLow\Software\conduitEngine]
[HKLM\Software\BittorrentBar_FR]
O43 - CFD: 08/05/2011 - 16:54:00 - [4135547] ----D- C:\Program Files\BittorrentBar_FR
[HKLM\Software\Classes\toolband.easyhidebtn]
[HKLM\Software\Classes\toolband.easyhidebtn.1]
[HKLM\Software\Classes\toolband.skypeiehelper]
[HKLM\Software\Classes\toolband.skypeiehelper.1]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ef79f67a-6ad7-4715-a0f8-932fca442023}]
[HKCR\CLSID\{ef79f67a-6ad7-4715-a0f8-932fca442023}]
[HKLM\Software\Classes\CLSID\{ef79f67a-6ad7-4715-a0f8-932fca442023}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef79f67a-6ad7-4715-a0f8-932fca442023}]
[HKCU\Software\AppDataLow\Software\BittorrentBar_FR]
[HKLM\Software\BittorrentBar_FR]
[HKCU\Software\AppDataLow\Software\Conduit]
[HKCU\Software\AppDataLow\Software\conduitEngine]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\BittorrentBar_FR Toolbar]
C:\Program Files\BittorrentBar_FR
C:\Users\love\Appdata\LocalLow\BittorrentBar_FR
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Et redémarre mle PC
Smart -