choix entre virus ou pas d'internet obligé Résolu

Question

Bonjour,   
j'ai un virus ntj.exe qui me redirige vers de la pub et se dévellope rapidement .  
si je supprime ntj.exe (dit comme infecté par malwarebit anti-malware et antivir)  
mes pages wesb ne se chargent sur aucun navigateur par contre j'ai toujour accès à la radio par vlc . et quand je relance ntj.exe et redémarre mon navigateur une fois sur 3 un lien google et redirigé vers shopper repport.  

j'ai vu que vous demandiez souvent un scanner hidjackthis donc voici le mien   
merci d'avance   

Malwarebytes' Anti-Malware 1.46  
www.malwarebytes.org  

Version de la base de données: 5007  

Windows 6.1.7600  
Internet Explorer 9.0.7930.16406  

18/06/2011 13:54:07  
mbam-log-2011-06-18 (13-54-07).txt  

Type d'examen: Examen rapide  
Elément(s) analysé(s): 151977  
Temps écoulé: 8 minute(s), 7 seconde(s)  

Processus mémoire infecté(s): 0  
Module(s) mémoire infecté(s): 0  
Clé(s) du Registre infectée(s): 53  
Valeur(s) du Registre infectée(s): 3  
Elément(s) de données du Registre infecté(s): 0  
Dossier(s) infecté(s): 15  
Fichier(s) infecté(s): 25  

Processus mémoire infecté(s):  
(Aucun élément nuisible détecté)  

Module(s) mémoire infecté(s):  
(Aucun élément nuisible détecté)  

Clé(s) du Registre infectée(s):  
HKEY_CLASSES_ROOT\shopperreports.asyncreporter (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.asyncreporter.1 (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.dwnldr (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.dwnldr.1 (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.hbguru (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.hbguru.1 (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.reportdata (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.reportdata.1 (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.reporter (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.reporter.1 (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.triggerimmidiate (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.triggerimmidiate.1 (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.triggerimmidiateorrandomts (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.triggerimmidiateorrandomts.1 (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.triggeronceinday (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shopperreports.triggeronceinday.1 (Adware.ShopperReports) -> No action taken.  
HKEY_CLASSES_ROOT\shoppingreport2.hbax (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\TypeLib\{f244a744-534d-4a46-855f-c0c7e9f27daa} (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\Interface\{030c9927-10fc-4169-97a2-55becd5d88d8} (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\CLSID\{258c9770-1713-4021-8d7e-1f184a2bd754} (Adware.ShoppingReport2) -> No action taken.  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{258c9770-1713-4021-8d7e-1f184a2bd754} (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\CLSID\{3e2dfd6a-4e20-4d4c-aa8b-e1f9dbef3c80} (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\CLSID\{714e0876-fcee-49ce-a429-b9ad8aefcb56} (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\CLSID\{bdea95cf-f0e6-41e0-bd3d-b00f39a4e939} (Adware.ShoppingReport2) -> No action taken.  
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{bdea95cf-f0e6-41e0-bd3d-b00f39a4e939} (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\CLSID\{dd15bcc0-5fe9-4690-a957-99fa60ed9d26} (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\shoppingreport2.hbax.1 (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\shoppingreport2.hbinfoband (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\shoppingreport2.hbinfoband.1 (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\shoppingreport2.iebutton (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\shoppingreport2.iebutton.1 (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\shoppingreport2.iebuttona (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\shoppingreport2.iebuttona.1 (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\shoppingreport2.rprtctrl (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\shoppingreport2.rprtctrl.1 (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\Interface\{0eb3f101-224a-4b2b-9e5b-df720857529c} (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\Interface\{a1f1ecd3-4806-44c6-a869-f0dadf11c57c} (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\AppID\{0d82acd6-a652-4496-a298-2bde705f4227} (Adware.ClickPotato) -> No action taken.  
HKEY_CLASSES_ROOT\Typelib\{b035ba6b-57cd-4f72-b545-65be465fcaf6} (Adware.ShoppingReport2) -> No action taken.  
HKEY_CLASSES_ROOT\Typelib\{d44fd6f0-9746-484e-b5c4-c66688393872} (Adware.ShoppingReport2) -> No action taken.  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{db38e21a-0133-419d-92ad-ecdfd5244d6d} (Adware.ShoppingReport2) -> No action taken.  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{eb620c54-e229-4942-87ce-e717109fc8c6} (Adware.ShoppingReport2) -> No action taken.  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{a078f691-9c07-4af2-bf43-35e79eecf8b7} (Adware.Softomate) -> No action taken.  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{89f88394-3828-4d03-a0cf-8203604c3da6} (Adware.Hotbar) -> No action taken.  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{d4233f04-1789-483c-a137-731e8f113dd5} (Adware.Hotbar) -> No action taken.  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\shoppingreport2 (Adware.ShoppingReport2) -> No action taken.  
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> No action taken.  
HKEY_CLASSES_ROOT\AppID\Pltfrm.DLL (Adware.ClickPotato) -> No action taken.  
HKEY_CURRENT_USER\Software\hblitesa (Adware.HotBar) -> No action taken.  
HKEY_CURRENT_USER\SOFTWARE\ShopperReports3 (Adware.ShopperReports) -> No action taken.  
HKEY_CURRENT_USER\Software\ShoppingReport2 (Adware.ShoppingReport2) -> No action taken.  
HKEY_LOCAL_MACHINE\SOFTWARE\ShopperReports3 (Adware.ShopperReports) -> No action taken.  
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport2 (Adware.ShoppingReport2) -> No action taken.  

Valeur(s) du Registre infectée(s):  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\shopperreports 3.1.69.0 (Adware.HotBar) -> No action taken.  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\srs_it_e8790773bc7659563ea996 (Malware.Trace) -> No action taken.  
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\shopperreports@shopperreports.com (ShopperReports) -> No action taken.  

Elément(s) de données du Registre infecté(s):  
(Aucun élément nuisible détecté)  

Dossier(s) infecté(s):  
C:\Users\mathlunique\AppData\Roaming\ShopperReports3 (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3 (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0 (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0\firefox (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0\firefox\firefoxtoolbar (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0\firefox\firefoxtoolbar\extensions (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0\firefox\firefoxtoolbar\extensions\chrome (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0\firefox\firefoxtoolbar\extensions\chrome\content (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0\firefox\firefoxtoolbar\extensions\components (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShoppingReport2 (Adware.ShoppingReport2) -> No action taken.  
C:\Program Files (x86)\ShoppingReport2\Bin (Adware.ShoppingReport2) -> No action taken.  
C:\Program Files (x86)\ShoppingReport2\Bin\2.7.34 (Adware.ShoppingReport2) -> No action taken.  
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ShopperReports (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\InstallPedia (Adware.InstallPedia) -> No action taken.  

Fichier(s) infecté(s):  
C:\Program Files (x86)\ShoppingReport2\Bin\2.7.34\ShoppingReport.dll (Adware.ShoppingReport2) -> No action taken.  
C:\Program Files (x86)\Mozilla Firefox\plugins
pclntax_HBLiteSA.dll (Adware.Hotbar) -> No action taken.  
C:\$Recycle.Bin\S-1-5-21-2166240323-4015774709-4003710123-1005\$RL5U9X4.0\HBLiteSA.exe (Adware.Hotbar) -> No action taken.  
C:\Downloads\DLcine_VLC_Media_player.exe (Trojan.Dropper) -> No action taken.  
C:\Downloads\VLCSetup.exe (Adware.Hotbar) -> No action taken.  
C:\Windows\System32\Utils.dll (Adware.InstallPedia) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0\CmndFF.dll (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0\link.ico (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0\firefox\firefoxtoolbar\extensions\chrome.manifest (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0\firefox\firefoxtoolbar\extensions\install.rdf (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0\firefox\firefoxtoolbar\extensions\chrome\content\infopane.js (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0\firefox\firefoxtoolbar\extensions\chrome\content\InfoPane.xul (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0\firefox\firefoxtoolbar\extensions\components\BrowserExtensionFF.dll (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShopperReports3\bin\3.1.69.0\firefox\firefoxtoolbar\extensions\components\BrowserExtensionFF.xpt (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\ShoppingReport2\Uninst.exe (Adware.ShoppingReport2) -> No action taken.  
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ShopperReports\About Us.lnk (Adware.ShopperReports) -> No action taken.  
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ShopperReports\Customer Support.lnk (Adware.ShopperReports) -> No action taken.  
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ShopperReports\ShopperReports Uninstall Instructions.lnk (Adware.ShopperReports) -> No action taken.  
C:\Program Files (x86)\InstallPedia\Ionic.Zip.Reduced.dll (Adware.InstallPedia) -> No action taken.  
C:\Program Files (x86)\InstallPedia\lnetworker.exe (Adware.InstallPedia) -> No action taken.  
C:\Program Files (x86)\InstallPedia
etworker.exe (Adware.InstallPedia) -> No action taken.  
C:\Program Files (x86)\InstallPedia\pref_updater.exe (Adware.InstallPedia) -> No action taken.  
C:\Program Files (x86)\InstallPedia\service.exe (Adware.InstallPedia) -> No action taken.  
C:\Program Files (x86)\InstallPedia\Utils.dll (Adware.InstallPedia) -> No action taken.  
C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> No action taken.  


Configuration: windows 7 64bit

jfkpresident · Accepted Answer

Ce doit etre le processus qui nous empeche de bosser comme il faut ....Fait ceci :

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 2 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

Llama · Answer

Salut,
J'en connais pas assez pour te dire ou est le problème mais ce serait moi je formaterais histoire d'être tranquille, mais c'est peut être un peu bourrin^^

math 2000 · Answer

ha oui et j'ai plus de restauration system

jfkpresident · Answer

Bonsoir,

Pour l'instant tu n'a rien supprimé avec MBAM . Pourquoi ?

Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php ou celui-ci : http://pjjoint.malekal.com/
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

jfkpresident · Answer

Je viens  juste de voir :

Malwarebytes' Anti-Malware 1.46  


Ton MBAM n'est pas a jour puisqu'on en est a la version 1.51 ....La liste de fichiers infectés devrait etre encore plus longue ^^

jfkpresident · Answer

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

math 2000 · Answer

merci .voici mon rapport combofix http://www.cijoint.fr/cjlink.php?file=cj201106/cijn9qmkTk.txt

jfkpresident · Answer

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers:

c:\windows\wm2000.exe      
c:\windows\Nwiqoa.exe      

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

math 2000 · Answer

rien à signaler au premier  
MD5: 6560a06288752e36a5ccda0b9d115e31 
Date first seen: 2009-02-16 01:46:25 (UTC) 
Date last seen: 2011-04-22 13:44:36 (UTC) 
Detection ratio: 0/39
 le second fichier est introuvable un antimalware a du le supprimer

jfkpresident · Answer

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant) 
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes : 

 Folder:: 
c:\users\mathlunique\AppData\Local\Media Get LLC     
c:\users\mathlunique\AppData\Local\MediaGet2     

File:: 
c:\windows\Nwiqoa.exe       
c:\windows\SysWow64\wlandlgm.dll     
c:\users\mathlunique\AppData\Roaming\Microsoft\Installer\{F9CF85B4-73D1-4020-96CB-174E16D42974}\SWF_Converter.exe_F9CF85B473D1402096CB174E16D42974.exe     
c:\users\mathlunique\AppData\Roaming\Microsoft\Installer\{F9CF85B4-73D1-4020-96CB-174E16D42974}\Player.exe_F9CF85B473D1402096CB174E16D42974.exe     
c:\users\mathlunique\AppData\Roaming\Microsoft\Installer\{F9CF85B4-73D1-4020-96CB-174E16D42974}\FVR_Player.exe_F9CF85B473D1402096CB174E16D42974.exe     
c:\users\mathlunique\AppData\Roaming\Microsoft\Installer\{F9CF85B4-73D1-4020-96CB-174E16D42974}\FVR.exe1_F9CF85B473D1402096CB174E16D42974.exe     
 c:\users\mathlunique\AppData\Roaming\Microsoft\Installer\{F9CF85B4-73D1-4020-96CB-174E16D42974}\FVR.exe_F9CF85B473D1402096CB174E16D42974.exe     
c:\users\mathlunique\AppData\Roaming\Microsoft\Installer\{F9CF85B4-73D1-4020-96CB-174E16D42974}\ARPPRODUCTICON.exe     
c:\users\mathlunique\AppData\Roaming\Microsoft\Installer\{4BE1E111-4580-41BE-899F-60B5DC1DB2EA}\Shortcut_Trial_4BD2E0FC458041BE899F60B5DC1DB2EA.exe     
   
- Enregistre ce fichier sous le nom CFScript 
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer. 
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! 
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter ! 
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt  
***Membre Contributeur Sécurité***

math 2000 · Answer

J' ai perdu du temps à cause d avg mais maintenant combo me dit est ce bien un fichier cfscript le nom semble mal ecrit  je dis oui  j' ai une fenettre bleu qui me dit que combofix va demarrer et là je n' est que mOn bureau et combofix n est pas dans les processus

jfkpresident · Answer

Spybot qui dois mettre le dawa ....

Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

Ensuite relance le CFscript .

math 2000 · Answer

Spybot desactiver de msconfig et dossier renomme :meme resultat pareil en mode sans echec.je n ai pas acces a ton lien depuis lipod touch

math 2000 · Answer

Dois je supprimer mediaget parce que je l avait fait mais j ai vuvque il y avais le chemin dans ton script dnc je l ai sorti de la corbeille

math 2000 · Answer

RogueKiller V5.2.3 [16/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode normal Utilisateur: mathlunique [Droits d'admin] Mode: Suppression -- Date : 20/06/2011 16:28:19 Processus malicieux: 0 Entrees de registre: 3 [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2) [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt avec le fichier nrt lancé j'ai ça en plus Processus malicieux: 1 [SUSP PATH] ntj.exe -- c:\users\mathlunique\desktop\ntj.exe -> KILLED

math 2000 · Answer

je me suis installé 2 vnp et ça m'a débloquer le problème d'abord provnp mais je me suis rendu compte que c'était payant puis Hotspot Shield et maintenant même quand le vnp n'est pas activé(mais quand m^me en fond de tache) j'ai accès à internet sans lancé le virus .bizarre mais bon, ils m'ont installé des drivers c'est peut être ça !!!!        
je ne met pas encore en résolu car je n'arrive toujours pas à réactiver la restauration systeme      

edit: c'est le premier qui m'a débloquer en fait car quand je le lance pas j'ai  pas internet, je refait un test pour être sur.Peut être que provnp fait appel à d'autre processus qui eux me relance internet je vais vérifier   
bon j'ai verifié il lance rien du tout donc je suis obligé de garder le vnp en désactivé pour avoir internet c'est bien le truc le plus bizarre que j'ai vu en informatique. 

je me suis mis spyware terminator pour faire le ménage et avoir une protection résidente

jfkpresident · Answer

oh lala .....Qu'est ce que tu m'a fait ....:(

Spyware terminator ,a dégagé ,c'est de la daube en boite ...:(

Essaie de relancer ZhpDiag et colle moi le rapport comme décrit dans mon premier post .

math 2000 · Answer

j'ai désinstaller spyware terminator ,et zhpdiag n 'a pas planté voici le rapport http://www.cijoint.fr/cjlink.php?file=cj201106/cijwUBq4yo.txt

jfkpresident · Answer

Maintenant ,on y voit plus clair !

Copie dans le Presse-papier les lignes ci-dessous en gras (sélectionne les avec la souris et fais simultanément Ctrl et C)

M2 - MFEP: prefs.js [mathlunique - x30ied9e.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.15 (.http://www.cacaoweb.org/    
M2 - MFEP: prefs.js [mathlunique - x30ied9e.default\support@predictad.com] [] AutocompletePro - Your handy search suggestions tool v0.76 (.Yossi Marouani; http://www.predictad.com.)   
M2 - MFEP: prefs.js [mathlunique - xeaac55a.2\support@predictad.com] [] AutocompletePro - Your handy search suggestions tool v3.3.3.2 (.Yossi Marouani; http://www.predictad.com.)    
M2 - MFEP: prefs.js [mathlunique - y1lw1ob9.3\support@predictad.com] [] AutocompletePro - Your handy search suggestions tool v3.3.3.2 (.Yossi Marouani; http://www.predictad.com.)    
M2 - MFEP: prefs.js [mathlunique - yb1gsn6u.Utilisateur par dÃ©faut\support@predictad.com] [] AutocompletePro - Your handy search suggestions tool v3.3.3.2 (.Yossi Marouani; http://www.predictad.com.)  
M2 - MFEP: prefs.js [mathlunique - yb1gsn6u.Utilisateur par défaut\support@predictad.com] [] AutocompletePro - Your handy search suggestions tool v0.5.5 (.Yossi Marouani; http://www.predictad.com.)   
G0 - GCSP: Preference [User Data\Default][HomePage] http://search.babylon.com   
G2 - GCE: Preference [User Data\Default] [defdhglnppeioeflggkmglipcecffkhk] AutocompletePro plugin for chrome v.1.0 (Activé)   
O2 - BHO: Hotspot Shield Class [64Bits] - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} . (.AnchorFree Inc. - Pas de description.) -- C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll   
O2 - BHO: SuggestMeYesBHO [64Bits] - {0FB6A909-6086-458F-BD92-1F8EE10042A0} . (...) -- C:\Program Files (x86)\AutocompletePro\AutocompletePro.dll (.not file.)    
O42 - Logiciel: CrazyLoader - (.Pas de propriétaire.) [HKLM] -- CrazyLoader    
[HKCU\Software\AppDataLow\Software\ShoppingReport2]    
[HKCU\Software\cacaoweb] 
[HKLM\Software\Babylon]    
[HKLM\Software\InstallPedia]    
O43 - CFD: 01/04/2011 - 19:48:26 - [0] ----D- C:\ProgramData\Babylon  
O43 - CFD: 19/06/2011 - 09:20:38 - [648] ----D- C:\ProgramData\Media Get LLC    
O43 - CFD: 01/04/2011 - 19:48:26 - [2699] ----D- C:\Users\mathlunique\AppData\Roaming\Babylon    
O43 - CFD: 18/12/2010 - 11:50:12 - [143376] ----D- C:\Users\mathlunique\AppData\Roaming\CrazyLoader   
O43 - CFD: 19/06/2011 - 09:19:40 - [1677] ----D- C:\Users\mathlunique\AppData\Roaming\Media Get LLC   
O43 - CFD: 01/06/2011 - 15:15:02 - [57729422] ----D- C:\Users\mathlunique\AppData\Roaming\OpenCandy    
O43 - CFD: 01/04/2011 - 19:48:26 - [5898900] ----D- C:\Users\mathlunique\Appdata\Local\Babylon   
O43 - CFD: 17/06/2011 - 10:31:10 - [75947] ----D- C:\Users\mathlunique\Appdata\Local\Media Get LLC   
O43 - CFD: 02/06/2011 - 09:39:50 - [0] ----D- C:\Users\mathlunique\Appdata\Local\OpenCandy   
O43 - CFD: 18/12/2010 - 11:49:36 - [3856] ----D- C:\Users\mathlunique\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CrazyLoader    
O43 - CFD: 19/06/2011 - 00:17:20 - [0] ----D- C:\Program Files (x86)\Ask.com    
O43 - CFD: 16/04/2011 - 15:31:30 - [28930481] ----D- C:\Program Files (x86)\CrazyLoader   
O53 - SMSR:HKLM\...\startupreg\BabylonToolbar  [Key] . (...) -- C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.19.5\BabylonToolbarsrv.exe (.not file.)    
O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Search the web (Babylon)) - http://search.babylon.com   
O87 - FAEL: "{EAB97B05-28D5-4E73-9BC0-31AD86DD3D58}" | In - Private - P6 - TRUE | .(.Vity - File Downloader.) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe   
O87 - FAEL: "{C7D68E1F-51BD-4B46-AE13-59DA3A5801A7}" | In - Private - P17 - TRUE | .(.Vity - File Downloader.) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe    
O87 - FAEL: "TCP Query User{EB543A6E-50D9-4FBC-BF09-52AB1352DB2E}C:\users\mathlunique\appdataoaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\mathlunique\appdataoaming\cacaoweb\cacaoweb.exe (.not file.)    
O87 - FAEL: "UDP Query User{89D980BE-C556-4860-BE3A-06670D82011A}C:\users\mathlunique\appdataoaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\mathlunique\appdataoaming\cacaoweb\cacaoweb.exe (.not file.)    
O87 - FAEL: "TCP Query User{552CC91A-9BFA-42B8-9526-3C589AE5B0CE}C:\users\mathlunique\appdata\local\mediaget2\mediaget.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\mathlunique\appdata\local\mediaget2\mediaget.exe (.not file.)   
O87 - FAEL: "UDP Query User{0FBEF7A8-AF29-49C9-A232-B19375219E4C}C:\users\mathlunique\appdata\local\mediaget2\mediaget.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\mathlunique\appdata\local\mediaget2\mediaget.exe (.not file.)  
[HKLM\Software\Wow6432Node\Cheat Engine\OpenCandy]  
[HKLM\Software\Classes\AppID\autocompletepro.dll]    
[HKLM\Software\Wow6432Node\Classes\AppID\autocompletepro.dll]    
[HKLM\Software\Classes\Wow6432Node\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}]  
[HKLM\Software\Classes\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}] 
[HKLM\Software\Classes\Wow6432Node\TypeLib\{04006843-5199-4CE4-B3CD-8092CC91706E}]  
[HKLM\Software\Classes\TypeLib\{04006843-5199-4CE4-B3CD-8092CC91706E}]   
[HKLM\Software\Classes\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C}]   
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}]    
[HKLM\Software\Classes\AppID\{442f13bc-2031-42d5-9520-437f65271153}]   
[HKLM\Software\Wow6432Node\Classes\AppID\{442f13bc-2031-42d5-9520-437f65271153}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}]   
[HKLM\Software\Classes\Interface\{9bec9b38-bf39-4899-806e-a1c5dfeb60a2}]   
[HKLM\Software\Classes\Interface\{a1f1ecd3-4806-44c6-a869-f0dadf11c57c}]    
[HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]   
[HKLM\Software\Classes\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}] 
[HKLM\Software\Classes\Interface\{E25DA6D6-C365-46CF-ABAF-DC5893135D7A}]   
[HKLM\Software\Classes\Interface\{e6961c59-cfce-4ccd-b794-bc78db98413a}]  
[HKLM\Software\Classes\Interface\{E9BBD270-4B87-4EE2-912F-6635674986C0}]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]    
[HKLM\Software\Classes\CLSID\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]   
[HKLM\Software\CrazyLoader]   
[HKLM\Software\Wow6432Node\InstallPedia]   
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\CrazyLoader]    
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440} 
C:\ProgramData\Babylon   
C:\ProgramData\Media Get LLC   
C:\Users\mathlunique\AppData\Roaming\Babylon   
C:\Users\mathlunique\AppData\Roaming\Crazyloader  
C:\Users\mathlunique\AppData\Roaming\Media Get LLC    
C:\Users\mathlunique\AppData\Roaming\OpenCandy    
C:\Users\mathlunique\Appdata\Local\Babylon   
C:\Users\mathlunique\Appdata\Local\Media Get LLC   
C:\Users\mathlunique\Appdata\Local\OpenCandy   
C:\Users\mathlunique\Appdata\LocalLow\BabylonToolbar    
C:\Users\mathlunique\Appdata\LocalLow\ShopperReports3     
C:\Users\mathlunique\Appdata\LocalLow\Toolbar4 
C:\Documents and Settings\mathlunique\Local Settings\Application Data\Babylon    
C:\Documents and Settings\mathlunique\Local Settings\Application Data\Media Get LLC    
C:\Documents and Settings\mathlunique\Local Settings\Application Data\OpenCandy    
C:\Program Files (x86)\Ask.com    
C:\Program Files (x86)\Crazyloader    
C:\Users\mathlunique\AppData\Roaming\Mozilla\Firefox\Profiles\x30ied9e.default\Extensions	oolbar@ask.com  
C:\Users\mathlunique\AppData\Roaming\Mozilla\Firefox\Profiles\xeaac55a.2\Extensions	oolbar@ask.com 
 G2 - GCE: Preference [User Data\Default] [gffjhibehnempbkeheiccaincokdjbfe] Mail Checker Plus for Google Mail  v.name: Mail Checker Plus for Google Mail\u2122, (Activé)      
 G2 - GCE: Preference [User Data\Default] [hdgimgkinlbjlbhlekmapllojibjjgkl] Mega-Debrid plugin v.1.2 (Activé)      
 G2 - GCE: Preference [User Data\Default] [limjdlbdjofiohfdmggocjifiekjbiia] Mega-Debrid plugin v.1.5 (Activé)      
 G2 - GCE: Preference [User Data\Default] [mgfgkhpfnnibibcfmggofofpiefbphhd] SpokenText for Chrome v.1.0.4 (Désactivé)      
 G2 - GCE: Preference [User Data\Default] [okanipcmceoeemlbjnmnbdibhgpbllgc] Google Quick Scroll v.1.8 (Activé)      
  [HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\BabylonToolbar]   
Emptytemp
Emptyflash

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

jfkpresident · Answer

Arrff....Mon message ne passe pas :/

jfkpresident · Answer

Merci Crapoulou -;)

Regarde ici Math: https://forums.commentcamarche.net/forum/affich-22403468-choix-entre-virus-ou-pas-d-internet-oblige#29

jfkpresident · Answer

il m'a supprimer des extensions chrome !!!

Tu veux qu'on remette des extensions indésirables ?

Comment va le pc ?

jfkpresident · Answer

grrrr.....recolle moi un nouveau rapport ZhpDiag histoire de vérifier si rien n'est revenu entre temps .

math 2000 · Answer

j'ai eu un message d'erreur mais j'ai quand même le rapport qui a  fonctionné   
http://www.cijoint.fr/cj201106/cijms14zBR.txt  

le message  est "'l ordinal 1108 est introuvable dans la bibliothèque de lien dinamique wsock32.dll."


j'ai fait une recherche j'ai les même symptôme que cette personne qui n'a pas résolu son post https://forums.commentcamarche.net/forum/affich-22203220-virus-perdue

jfkpresident · Answer

Tu m'as collé le rapport de ZhpFix mais moi je veux un nouveau rapport ZhpDiag

jfkpresident · Answer

J'étais absent ..Je regarde ton rapport et donne suite demain .

jfkpresident · Answer

Je me demande si ton probleme ne vient pas de la :

MSIE: Internet Explorer v9.0.8112.16421 (Defaut)
OPIE: Opera v11.50 beta build 1027
MFIE: Mozilla Firefox v
MFIE: Mozilla Firefox 4.0.1 v
MFIE: Mozilla Firefox 5.0 v
GCIE: Google Chrome v14.0.794.0

Tu as 6 navigateurs d'installés !

Pourquoi tous ces navigateurs ?

jfkpresident · Answer

IE est ton navigateur par défaut actuellement mais avec lequel surfe tu ?

jfkpresident · Answer

ok,on faire ça :

Copie dans le Presse-papier les lignes ci-dessous en gras (sélectionne les avec la souris et fais simultanément Ctrl et C)

O2 - BHO: SuggestMeYesBHO [64Bits] - {0FB6A909-6086-458F-BD92-1F8EE10042A0} Clé orpheline   
[HKLM\Software\Babylon]   
O87 - FAEL: "TCP Query User{EB543A6E-50D9-4FBC-BF09-52AB1352DB2E}C:\users\mathlunique\appdataoaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\mathlunique\appdataoaming\cacaoweb\cacaoweb.exe (.not file.)   
O87 - FAEL: "UDP Query User{89D980BE-C556-4860-BE3A-06670D82011A}C:\users\mathlunique\appdataoaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\mathlunique\appdataoaming\cacaoweb\cacaoweb.exe (.not file.)   
O87 - FAEL: "TCP Query User{552CC91A-9BFA-42B8-9526-3C589AE5B0CE}C:\users\mathlunique\appdata\local\mediaget2\mediaget.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\mathlunique\appdata\local\mediaget2\mediaget.exe (.not file.)    
O87 - FAEL: "UDP Query User{0FBEF7A8-AF29-49C9-A232-B19375219E4C}C:\users\mathlunique\appdata\local\mediaget2\mediaget.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\mathlunique\appdata\local\mediaget2\mediaget.exe (.not file.)   
C:\Users\mathlunique\Appdata\LocalLow\ShoppingReport2    
C:\Users\mathlunique\AppData\Roaming\Mozilla\Firefox\Profiles\xeaac55a.2\Extensions	oolbar@ask.com  
Proxyfix  

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

jfkpresident · Answer

Ouvre ZhpFix (icone seringue) puis clique sur l'onglet "ProxyFix" .

jfkpresident · Answer

Je vais voir avec l'auteur de ZhpDiag ...Je te tient au jus .

jfkpresident · Answer

Ouvre ZhpDiag puis clique sur la fleche verte (update) .>Une fois mis a jour réouvre ZhpFix et clique sur l'onglet "Proxyfix" .

jfkpresident · Answer

Tu n'as plus du tout acces au net depuis le pc ?

jfkpresident · Answer

je l'ai partout mais avec des redirection de pub ou vers google

Je comprend pas bien ....Google est un moteur de recherche .

Google n'est pas ta page d'accueil d'habitude ?

Qu'appelle tu "redirections de pubs" ? Quand tu clique sur un lien ,tu es redirigé vers un autre site ? Lequel ? Ou est ce que ce sont des pages de pubs qui s'affiche par dessus ta page web ?

jfkpresident · Answer

Je crois que je viens de comprendre avec ton premier message :

j'ai un virus ntj.exe qui me redirige vers de la pub et se dévellope rapidement .
si je supprime ntj.exe (dit comme infecté par malwarebit anti-malware et antivir)
mes pages wesb ne se chargent sur aucun navigateur par contre j'ai toujour accès à la radio par vlc . et quand je relance ntj.exe et redémarre mon navigateur une fois sur 3 un lien google et redirigé vers shopper repport. 

En fait tu as sorti ntj.exe de la quarantaine pour faire fonctionner ton navigateur ? C'est bien ça ?

math 2000 · Answer

j'ai tout réinstallé .merci quand même de ton aide

Choix entre virus ou pas d'internet obligé

36 réponses

Votre réponse

Discussions similaires

Newsletters