Virus ? pub intempestive ! Résolu/Fermé

Question

Bonjour, 

Un petit soucis que j'ai depuis maintenant 2 mois : des pages publicitaires firefox s'ouvre intempestivement même quand je ne suis pas sur mozilla. 
ça s'ouvre de manière prioritaire : quitte l'application en utilisation (film, jeux, logiciel,...) et m'affiche des pub.

j'ai fais scan AVAST et Anti Malwarebytes, aucune réponse, pas de virus ou peu mais qui ne change rien une fois supprimer/desinstaller.

Des amis à qui cela est arrivé ont eu pour dernier recours formatage du pc, ce que j'aimerai évité pour le moment.

Ne connaitriez-vous pas la solution ?

PS : j'ai recherché avant de poster, mais la manière d'apparition des pages était différente, donc j'en créer un nouveau (=Topic).

Merci d'avance pour votre patience et vos réponses. 

Mihawk--

Configuration: PC portable

ACER 5738ZG 
écran 16:9

-Intel Pentium Processor T4300 (2.1GHz, 800MHz FSB)

-ATI Mobility Radeon HD 4570 Up to 2304MB HyperMemory

-15.6" HD LCD 
-4GB Memory
-320 GB HDD
-DVD Super Multi DL drive
-Acer Nplify 802.11b/g/n
-6 cell Li-ion battery
numeric keypad+backup manager

Utilisateur anonyme · Answer

Salut,

Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://pjjoint.malekal.com/ 

Si indisponible: 
http://www.cijoint.fr/ 

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com 

* Rends toi sur http://pjjoint.malekal.com/ 
* Clique sur le bouton Parcourir 
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir 
*Clique sur le bouton Envoyer 
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse.

Mihawk-- · Answer

Ok, merci je vais m'en occuper 

mais avant, je précise que je viens d'utiliser CCleaner et AD-R, le premier n'a rien debusquer, le second pas mal de chose en rapport avec internet que j'ai supprimer (les "choses" pas internet ^^)

J'ai fais la mise à jour de avast et java 

Et la je défragmente, donc je ne pourrai agir qu'à la fin de ce processus
et je posterai donc le "lien" demain dans la matinée à priori.

Utilisateur anonyme · Answer

Re,

Poste moi donc les rapport ZHPDiag et Ad-remover

A demain..

Mihawk-- · Answer

Voila pour ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201107/cijFq7QeSx.txt

pour ADR , je ne sais plus où il a était enregistrer =S

Utilisateur anonyme · Answer

Salut, 

Ton PC est très infecté !

* Télécharge de AD-Remover sur ton Bureau.  
http://www.teamxscript.org/adremoverTelechargement.html  

/!\ Ferme toutes applications en cours /!\  

- Double-clique sur l'icône Ad-remover située sur ton Bureau.  
- Sur la page, clique sur le bouton « Nettoyer »  
- Confirme lancement du scan  
- Laisse travailler l'outil.  
- Poste le rapport qui apparaît à la fin.  

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)  

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c 

-*-*-*-*-*-*-*-*-*-*-*-*-*<<<<<<<<<< 
Membre, Contributeur  
-*-*-*-*-*-*-*-*-*-*-*-*-*<<<<<<<<<<

Mihawk-- · Answer

Voici le rapport nettoyage :

http://www.cijoint.fr/cjlink.php?file=cj201107/cij998XnUQ.txt

et le rapport scan :

http://www.cijoint.fr/cjlink.php?file=cj201107/cij11CQfyU.txt

Utilisateur anonyme · Answer

Re,

Copie tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


[HKLM\Software\Classes\Conduit.Engine] 
[HKLM\Software\Wow6432Node\Classes\Conduit.Engine] 
[HKLM\Software\Classes\PCTutoBHO.PCTBHO] 
[HKLM\Software\Wow6432Node\Classes\PCTutoBHO.PCTBHO] 
[HKLM\Software\Classes\PCTutoBHO.PCTBHO.1] 
[HKLM\Software\Wow6432Node\Classes\PCTutoBHO.PCTBHO.1] 
[HKLM\Software\Classes\Toolbar.CT2542115] 
[HKLM\Software\Wow6432Node\Classes\Toolbar.CT2542115] 
[HKLM\Software\Classes\Toolbar.CT2612669] 
[HKLM\Software\Wow6432Node\Classes\Toolbar.CT2612669] 
[HKLM\Software\Classes\Toolbar.CT2851639] 
[HKLM\Software\Wow6432Node\Classes\Toolbar.CT2851639] 
[HKLM\Software\Classes\Wow6432Node\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}]     
[HKLM\Software\Classes\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}]     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] 
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKLM\Software\Classes\Interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}]     
[HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]     
[HKCU\Software\Agence-Exclusive]     
[HKLM\Software\Wow6432Node\Agence-Exclusive]     
[HKCU\Software\cacaoweb]     
[HKCU\Software\AppDataLow\Software\Conduit]     
[HKLM\Software\Wow6432Node\Conduit]     
[HKLM\Software\CrazyLoader]     
[HKCU\Software\Grand Virtual]     
[HKCU\Software\AppDataLow\Software\PriceGong]     
[HKCU\Software\AppDataLow\Toolbar]     
[HKCU\Software\AppDataLow\Software\Toolbar]     
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}     
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}     
C:\ProgramData\Media Get LLC     
C:\Users\Mihawk\AppData\Roaming\Agence-Exclusive     
C:\Users\Mihawk\AppData\Roaming\cacaoweb     
C:\Users\Mihawk\AppData\Roaming\Crazyloader     
C:\Users\Mihawk\AppData\Roaming	eamspeak2     
C:\Users\Mihawk\AppData\Local\Agence-Exclusive     
C:\Users\Mihawk\AppData\Local\Conduit     
C:\Users\Mihawk\AppData\Local\MediaGet2     
C:\Users\Mihawk\AppData\Local\OpenCandy     
C:\Users\Mihawk\AppData\LocalLow\Conduit     
C:\Users\Mihawk\AppData\LocalLow\PriceGong     
C:\Users\Mihawk\AppData\Local\Temp\AskSearch     
C:\Program Files (x86)\Agence-Exclusive     
C:\Program Files (x86)\Ask.com     
C:\Program Files (x86)\Conduit     
C:\Program Files (x86)\DAEMON Tools Toolbar     
C:\Users\Mihawk\AppData\Roaming\Mozilla\Firefox\Profiles\7bzla60h.default\Conduit     
C:\Users\Mihawk\AppData\Roaming\Mozilla\Firefox\Profiles\7bzla60h.default\ConduitEngine     
C:\Users\Mihawk\AppData\Roaming\Mozilla\Firefox\Profiles\7bzla60h.default\Extensions\engine@conduit.com 
C:\Users\Mihawk\AppData\Roaming\Mozilla\Firefox\Profiles\7bzla60h.default\SearchPlugins\conduit.xml     
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk     

FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

Mihawk-- · Answer

Rapport de ZHPFix 1.12.3344 par Nicolas Coolman, Update du 21/07/2011
Fichier d'export Registre : C:\ZHPExportRegistry-23-07-2011-14-49-10.txt
Run by Mihawk at 23/07/2011 14:49:10
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\Classes\Conduit.Engine
ABSENT Key: HKLM\Software\Wow6432Node\Classes\Conduit.Engine
ABSENT Key: HKLM\Software\Classes\PCTutoBHO.PCTBHO
ABSENT Key: HKLM\Software\Wow6432Node\Classes\PCTutoBHO.PCTBHO
ABSENT Key: HKLM\Software\Classes\PCTutoBHO.PCTBHO.1
ABSENT Key: HKLM\Software\Wow6432Node\Classes\PCTutoBHO.PCTBHO.1
ABSENT Key: HKLM\Software\Classes\Toolbar.CT2542115
ABSENT Key: HKLM\Software\Wow6432Node\Classes\Toolbar.CT2542115
ABSENT Key: HKLM\Software\Classes\Toolbar.CT2612669
ABSENT Key: HKLM\Software\Wow6432Node\Classes\Toolbar.CT2612669
ABSENT Key: HKLM\Software\Classes\Toolbar.CT2851639
ABSENT Key: HKLM\Software\Wow6432Node\Classes\Toolbar.CT2851639
ABSENT Key: HKLM\Software\Classes\Wow6432Node\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}
ABSENT Key: HKLM\Software\Classes\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423A-9845-901AC0A7EE6E}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
SUPPRIME Key: HKLM\Software\Classes\Interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}
SUPPRIME Key: HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}
ABSENT Key: HKCU\Software\Agence-Exclusive
ABSENT Key: HKLM\Software\Wow6432Node\Agence-Exclusive
ABSENT Key: HKCU\Software\cacaoweb
ABSENT Key: HKCU\Software\AppDataLow\Software\Conduit
ABSENT Key: HKLM\Software\Wow6432Node\Conduit
SUPPRIME Key: HKLM\Software\CrazyLoader
ABSENT Key: HKCU\Software\Grand Virtual
ABSENT Key: HKCU\Software\AppDataLow\Software\PriceGong
ABSENT Key: HKCU\Software\AppDataLow\Toolbar
ABSENT Key: HKCU\Software\AppDataLow\Software\Toolbar

========== Valeur(s) du Registre ==========
ABSENT [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
ABSENT [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
SUPPRIME FirewallRaz (Public) : TCP Query User{23039607-56CC-44A5-ADD6-66F7E80F946D}F:\multimédia	mnationsforever	mforever.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{18AACD0A-4D70-4518-BA04-550D35C20986}F:\multimédia	mnationsforever	mforever.exe
SUPPRIME FirewallRaz (Public) : {ED3EDCA2-F659-4076-B526-221900D6D391}
SUPPRIME FirewallRaz (Public) : {0CCF415B-3D8C-43C9-B75C-8C0B730C94F5}
SUPPRIME FirewallRaz (Public) : TCP Query User{58353262-BD6F-4E3D-A86A-FE28F6897CA5}F:\multimédia\jeux vidéo	mnationsforever	mforever.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{76846EE9-FF96-4EC6-9233-D52F434C13FB}F:\multimédia\jeux vidéo	mnationsforever	mforever.exe
SUPPRIME FirewallRaz (Public) : TCP Query User{D7C7D491-DBE9-4BB5-AAF6-535396819BD0}G:\multimédia\jeux vidéo	mnationsforever	mforever.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{E2499725-F0DA-4784-94A8-A1752DE094BE}G:\multimédia\jeux vidéo	mnationsforever	mforever.exe
SUPPRIME FirewallRaz (None) : {6D452C54-7CFF-434C-BC76-7259467550FF}
SUPPRIME FirewallRaz (Private) : TCP Query User{D9008F66-2E32-408F-92F1-178344CF1655}C:\users\mihawk\appdata\local	emp\jdic_0_9_5\ieembed.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{5E5E64A1-01BB-4084-83F3-C88BB999FDC3}C:\users\mihawk\appdata\local	emp\jdic_0_9_5\ieembed.exe

========== Dossier(s) ==========
SUPPRIME Reboot Folder**: c:\users\mihawk\appdataoaming\cacaoweb
SUPPRIME Folder*: c:\program files (x86)\daemon tools toolbar
SUPPRIME Folder: c:\users\mihawk\appdataoaming\mozilla\firefox\profiles\7bzla60h.default\conduit
SUPPRIME Temporaires Windows: : 189
SUPPRIME Flash Cookies: 5
SUPPRIME Temporaires Windows: : 0
SUPPRIME Flash Cookies: 0

========== Fichier(s) ==========
ABSENT Folder/File: c:\programdata\media get llc
ABSENT Folder/File: c:\users\mihawk\appdataoaming\agence-exclusive
ABSENT Folder/File: c:\users\mihawk\appdataoaming\crazyloader
ABSENT Folder/File: c:\users\mihawk\appdataoaming	eamspeak2
ABSENT Folder/File: c:\users\mihawk\appdata\local\agence-exclusive
ABSENT Folder/File: c:\users\mihawk\appdata\local\conduit
ABSENT Folder/File: c:\users\mihawk\appdata\local\mediaget2
ABSENT Folder/File: c:\users\mihawk\appdata\local\opencandy
ABSENT Folder/File: c:\users\mihawk\appdata\locallow\conduit
ABSENT Folder/File: c:\users\mihawk\appdata\locallow\pricegong
ABSENT Folder/File: c:\users\mihawk\appdata\local	emp\asksearch
ABSENT Folder/File: c:\program files (x86)\agence-exclusive
ABSENT Folder/File: c:\users\mihawk\appdataoaming\mozilla\firefox\profiles\7bzla60h.default\conduitengine
ABSENT Folder/File: c:\users\mihawk\appdataoaming\mozilla\firefox\profiles\7bzla60h.default\extensions\engine@conduit.com
ABSENT Folder/File: c:\users\mihawk\appdataoaming\mozilla\firefox\profiles\7bzla60h.default\searchplugins\conduit.xml
ABSENT Folder/File: c:\programdata\microsoft\windows\start menu\programs
avigateur offerbox.lnk
SUPPRIME Temporaires Windows: : 2526
SUPPRIME Flash Cookies: 2
ABSENT Folder/File: c:\users\mihawk\appdataoaming\mozilla\firefox\profiles\7bzla60h.default\conduit
SUPPRIME Temporaires Windows: : 3
SUPPRIME Flash Cookies: 0


========== Récapitulatif ==========
33 : Clé(s) du Registre
15 : Valeur(s) du Registre
7 : Dossier(s)
21 : Fichier(s)


========== Chemin du fichier rapport ==========
C:\Program Files (x86)\ZHPDiag\ZHPFixReport.txt



End of the scan in 02mn 38s

Utilisateur anonyme · Answer

Re,

Prépare stp un nouveau rapport ZHPDiag (à l'héberger)

Mihawk-- · Answer

Voici, 

http://www.cijoint.fr/cjlink.php?file=cj201107/cij0FZDTbe.txt

Utilisateur anonyme · Answer

Re,

Attention, avant de commencer, lit attentivement la procédure 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\ 

? Fais un clic droit sur ce lien, enregistre le dans ton bureau 

Voici Aide combofix 


? /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\ 
 

? Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven) 

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

? ? SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets internet) 

? Mets-le en langue française F 

? Tape sur la touche 1 (Yes) pour démarrer le scan. 


? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

?En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

? Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

? ? /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

? Note : Le rapport se trouve également là : C:\ComboFix.txt  

@+

Utilisateur anonyme · Answer

Re, 

Redémarre ton PC 

Avant d'utiliser ComboFix : 

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : 

. Télécharge Defogger (de jpshortstuff) sur ton Bureau 

. Lance le 

Une fenêtre apparait : clique sur "Disable" 

. Fais redémarrer l'ordinateur si l'outil te le demande 

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"  

Ensuite lance Combofix comme expliqué ici 

@+ 

-*-*-*-*-*-*-*-*-*-*-*-*-*<<<<<<<<<< 
Membre, Contributeur  
-*-*-*-*-*-*-*-*-*-*-*-*-*<<<<<<<<<<

Mihawk-- · Answer

Il vient de percuter a linstant
, il finalise 

J'ai desinstaller deamon tool cette aprem je l'utiliser plus ;)

Mihawk-- · Answer

Voila voila, 

http://www.cijoint.fr/cjlink.php?file=cj201107/cij7kbfdW6.txt

Utilisateur anonyme · Answer

Re, 

Lance Malwarebytes pour une analyse complète après avoir effectué la mise à jour puis poste le rapport stp

@+ 
-*-*-*-*-*-*-*-*-*-*-*-*-*<<<<<<<<<< 
Membre, Contributeur  
-*-*-*-*-*-*-*-*-*-*-*-*-*<<<<<<<<<<

Mihawk-- · Answer

voilou

http://www.cijoint.fr/cjlink.php?file=cj201107/cijmFT21WQ.txt

Mihawk-- · Answer

j'ai également fais une recherche de rogue, avec roguekiller (mon pc est un habitué)

voici les deux rapport, recherche et destruction.

recherche :
http://www.cijoint.fr/cjlink.php?file=cj201107/cijBbazdAK.txt

suppression : 
http://www.cijoint.fr/cjlink.php?file=cj201107/cij2n0V4XQ.txt

Utilisateur anonyme · Answer

Re,

1/
Poste moi stp le rapport Malwarebytes

2/ Ensuite

Prépare un nouveau rapport ZHPDiag stp

@+

Mihawk-- · Answer

Et voici 
le ZHPDIAG

http://www.cijoint.fr/cjlink.php?file=cj201107/cijEpwLhRw.txt

Utilisateur anonyme · Answer

Re,

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 



O87 - FAEL: "TCP Query User{9A70BBD4-8585-4357-9474-E1CB20E31BEE}C:\users\mihawk\appdataoaming\cacaoweb\cacaoweb.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\mihawk\appdataoaming\cacaoweb\cacaoweb.exe (.not file.)     
[HKLM\Software\CrazyLoader]     
O43 - CFD: 11/07/2011 - 18:38:32 - [7772207] ----D- C:\Program Files (x86)\Teamspeak2_RC2     
[HKLM\Software\Classes\Interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}]     
[HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]     
M2 - MFEP: prefs.js [Mihawk - 7bzla60h.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.17 (.http://www.cacaoweb.org/     
M2 - MFEP: prefs.js [Mihawk - 7bzla60h.default\playbox@toolbar] [] PlayBox Toolbar v1.0.1 (.Playbox.)     
O2 - BHO: IMVU Inc [64Bits] - {90b49673-5506-483e-b92b-ca0265bd9ca8} . (...) -- C:\Program Files (x86)\IMVU_Inc\prxtbIMVU.dll (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{9FDFBA7D-6742-4603-B432-F730705BDB3F}] (...) -- C:\Users\Mihawk\Desktop\Counter Strike 1.6\Counter-Strike 1.6 (Version Portable.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{BB89543F-2E0F-4986-81DD-628348C166F4}] (...) -- C:\Users\Mihawk\Desktop
sfu2\NFSUG2_DISK1\NFSUG2_DISK2\RunGame.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{FA7F030A-B2C0-4414-A499-CD8B11D2B379}] (...) -- C:\Users\Mihawk\Desktop
sfu2\NFSUG2_DISK1\NFSUG2_DISK2\RunGame.exe (.not file.) 
O42 - Logiciel: IMVU Inc Toolbar - (.IMVU Inc.) [HKLM][64Bits] -- IMVU_Inc Toolbar     
O42 - Logiciel: TeamSpeak 2 RC2 - (.Dominating Bytes Design.) [HKLM][64Bits] -- Teamspeak 2 RC2_is1     
[HKCU\Software\RainbowCrack]     




Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Mihawk-- · Answer

c'est fait

Mihawk-- · Answer

Aujourd'hui pas de page intempestive à remarquer : )

Merci bien pour ta patience et le temps que tu as pris pour m'aider ; )

Fish66 · Answer

Re,

J'ai changé mon pseudo :) 

Pour vérification prépare stp un dernier rapport ZHPDiag avant de finaliser !

@+

Mihawk-- · Answer

http://www.cijoint.fr/cjlink.php?file=cj201107/cij0zQ10tr.txt

Et voila

Fish66 · Answer

Re,

1/
Désinstalle ces deux logiciels :

O42 - Logiciel: IMVU Inc Toolbar -
O42 - Logiciel: TeamSpeak 2 RC2 - (.Dominating Bytes Design.) [HKLM][64Bits] -- Teamspeak 2 RC2_is1    => Toolbar.Conduit

2/
* Télécharge OTM (OldTimer) sur ton Bureau 

ICI >> OTM (OldTimer) 
* Double clic "OTMoveIt3.exe" 
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer. 

- Copie (Ctrl+C) le texte suivant en gras ci-dessous : 



:files 
C:\users\mihawk\appdata\roaming\cacaoweb\cacaoweb.exe
:Reg 

[-HKLM\Software\CrazyLoader]    
[-HKLM\Software\Classes\Interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}]   
[-HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]    

:commands 
[emptytemp] 
[Reboot]

- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved. 
- Clique maintenant sur le bouton MoveIt! 
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

@+

Mihawk-- · Answer

Finalement j'ai eu le temps 

voila pour ce soir 

_____________________________________________

All processes killed
========== FILES ==========
File/Folder C:\users\mihawk\appdataoaming\cacaoweb\cacaoweb.exe not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\CrazyLoader\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\Interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{db885111-f39f-4d88-9ee5-c88460b6df7b}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2ED56B6-35FC-4484-9530-EC87FB458E78}\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: .BackupManager
->Temp folder emptied: 0 bytes
 
User: All Users
 
User: AppData
->Temp folder emptied: 0 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 56468 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Mihawk
->Temp folder emptied: 542478 bytes
->Temporary Internet Files folder emptied: 2631542 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 94640326 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Opera cache emptied: 1984781 bytes
->Flash cache emptied: 3148230 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 13363 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67910 bytes
RecycleBin emptied: 3367636332 bytes
 
Total Files Cleaned = 3 310,00 mb
 
 
OTM by OldTimer - Version 3.1.18.0 log created on 07242011_201653

Files moved on Reboot...
C:\Users\Mihawk\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Mihawk\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QE2PNPFA\api[1].htm moved successfully.
C:\Users\Mihawk\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QE2PNPFA\background-banner-middle-v9[2].jpg moved successfully.
C:\Users\Mihawk\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QE2PNPFA\background-banner-right-v9[2].jpg moved successfully.
C:\Users\Mihawk\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QE2PNPFA\background_button_green_full[2].png moved successfully.
C:\Users\Mihawk\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3GXVSMKP\api[1].htm moved successfully.
C:\Users\Mihawk\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0L6A928G\background_banner_green_50_v9[1].jpg moved successfully.
C:\Users\Mihawk\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0L6A928G\list-item-plus[2].png moved successfully.
File move failed. C:\Windows	emp\_avast_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

____________________________________________________

Fish66 · Answer

Re,

*Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


[HKLM\Software\CrazyLoader]    => Infection BT (Adware.SPointer)
O87 - FAEL: "UDP Query User{BA1E61CB-C972-4775-8991-CC1880F49552}C:\users\mihawk\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\mihawk\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)    => Infection PUP (PUP.CacaoWeb)
O87 - FAEL: "TCP Query User{80B8B190-F399-49DD-8522-8DD8442AF3FA}C:\users\mihawk\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\mihawk\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)    => Infection PUP (PUP.CacaoWeb)
O87 - FAEL: "UDP Query User{06047BB3-B71B-496F-B724-3F33BA78EFD4}C:\users\mihawk\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\mihawk\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)    => Infection PUP (PUP.CacaoWeb)
[HKLM\Software\Classes\Interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}]    => Infection BT (Toolbar.Agent )
[HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]    => Infection PUP (PUP.Eorezo)
[HKLM\Software\CrazyLoader]    => Infection BT (Adware.SPointer)

FirewallRAZ



Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.


*
Pour finir :

1/   

IMPORTANT   

Purger les points de restauration système:   

Télécharge OneClick2RestorePoint   

http://www.multifa7.be/Laddy/OneClick2RP.exe   

Mirroirs si non accessible :   
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe   
https://app.box.com/s/cqcsz5m0oz   

* Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)   
* Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir   
* Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...   
* Rends toi dans l'onglet "Autres options"   
* Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.   
* Les points de restauration système seront purgés sauf le dernier créé.   


Ensuite avec le même outil   
Créer un nouveau point de restauration reconnaissable   

Aide ICI
2/   

Télécharge DelFix  sur  ton  bureau.    
* Lance le, tape suppression puis valide   

Patiente pendant le scan jusqu'à l'ouverture du rapport.   

* Copie/Colle le contenu du rapport dans ta prochaine réponse.   

Note : Le rapport se trouve également sous C:\DelFix.txt   

tu peux le desinstaller   

3/   
Mise à jour Java
* Tu peux vérifier ta Console Java  : 

Installer la nouvelle version si besoin (dans ce cas désinstalle avant l'ancienne version). 

voici pour desinstaller : 

JavaRa 

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. 
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis clique sur Select. 
* Clique sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 
4/
Télécharge et installe :   

CCleaner version Slim   

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis   

Avancé et décoche la case Effacer uniquement les fichiers etc....   

* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.   

* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare   

toutes les erreurs tant de fois qu il en trouve a l analyse .   

**************** Aide ICI ******************   

Tu peux utiliser Ccleaner une fois par semaine   

5/   

Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour   

Fais la mise à jour surtout d'adobe reader 



6/   

Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.   

7/   

Je te conseille d'utiliser le navigateur Firefox et d'installer les modules   

complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...  
 8/ 
Un peu de lecture : 
* Les dangers du Peer-To-Peer, Emule etc..  
* Comment Sécuriser son ordinateur... 


J'attend les rapports ...

Mihawk-- · Answer

Rapport de ZHPFix 1.12.3344 par Nicolas Coolman, Update du 21/07/2011
Fichier d'export Registre : C:\ZHPExportRegistry-25-07-2011-12-43-13.txt
Run by Mihawk at 25/07/2011 12:43:13
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\CrazyLoader
SUPPRIME Key: HKLM\Software\Classes\Interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}
SUPPRIME Key: HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}

========== Valeur(s) du Registre ==========
SUPPRIME UDP Query User{BA1E61CB-C972-4775-8991-CC1880F49552}C:/users/mihawk/appdata/roaming/cacaoweb/cacaoweb.exe
SUPPRIME TCP Query User{80B8B190-F399-49DD-8522-8DD8442AF3FA}C:/users/mihawk/appdata/roaming/cacaoweb/cacaoweb.exe
SUPPRIME UDP Query User{06047BB3-B71B-496F-B724-3F33BA78EFD4}C:/users/mihawk/appdata/roaming/cacaoweb/cacaoweb.exe
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 


========== Récapitulatif ==========
3 : Clé(s) du Registre
5 : Valeur(s) du Registre


========== Chemin du fichier rapport ==========
C:\Program Files (x86)\ZHPDiag\ZHPFixReport.txt



End of the scan in 00mn 03s


_____________________________________________________

Mihawk-- · Answer

Voila tout est fait, 

cependant, j'ai une petite inquiétude, en bas à droite de l'écran ne s'affiche plus l'icone de JAVA ni celui de Adobe, est-ce normal ? (il n'y sont plus depuis que la mise a jour a été faite) mais est ce qu'ils fonctionnent tout de même ?

Fish66 · Answer

Re,

Ce n'est pas un problème!

L'essentiel :
1/
As tu installé la dernière version de Java : java6 update 26  ?

Pourquoi tu n'as pas désinstallé l'ancienne en suivant les procédures que je t'ai donné ici en 3/

Envois moi le rapport de désinstallation qui se trouve aussi dans C:\ 
sous le nom JavaRa.log. 

2/
As tu installé la dernière version d'adobe reader (version 10 ) et désinstallé l'ancienne ?

@+

Mihawk-- · Answer

je l'ai complétement désinstallé par le mode "ajout/suppr logiciel" et je suis allé le chercher sur son site.
Car le fais qu'il ne s'affiche pas m'inquiété alors je l'ai réinstallé en partant de 0.

Pour adobe reader 10 c'est fait.

Quand au rapport JavaRa.log = inexistant

Fish66 · Answer

Puisque tu as désinstallé java, donc c'est normal qu'il n'y'aura pas de rapport!

OK!

Si tu n'as pas des soucis, pense à mettre ton sujet comme résolu

@+

Mihawk-- · Answer

En effet plus de soucis, 

Encore merci à toi ; )

Virus ? pub intempestive !

33 réponses

Discussions similaires