Infection gomeo au retour des usa

Résolu
janine72 Messages postés 5 Statut Membre -  
 janine72 -
Bonjour,

J'ai essayé de m'en séparer avec macafee version payante malwarbytes rien à faire
Je viens de faire ar-d mais je ne suis pas capable d'interpréter le résultat quelqu'un peut il m'aider merci

RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [3]) -> Lancé à 16:17:52 le 13/08/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium (X64)
admin@PORTABLE_ALAIN (Dell Inc. Studio 1747)

============== RECHERCHE ==============

Fichier trouvé: C:\Users\Public\Desktop\Everest Poker.fr.lnk

Clé trouvée: HKCU\Software\Grand Virtual
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker

============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.11 (fr)] ****

HKLM_MozillaPlugins\@mcafee.com/MSC,version=10 (x)
HKLM_MozillaPlugins\@mcafee.com/MVT (x)
Components\Scriptff.dll (McAfee, Inc.)

-- C:\Users\admin\AppData\Roaming\Mozilla\FireFox\Profiles\6ixyjcii.default --
Extensions\{0d0f86af-98d2-4ad7-9409-16395db3dbc7} (XUL Cache)
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.11

-- C:\Users\alain\AppData\Roaming\Mozilla\FireFox\Profiles\yxsdpjfp.default --
Extensions\2020Player@2020Technologies.com (20-20 3D Viewer)
Extensions\2020Player_IKEA@2020Technologies.com (20-20 3D Viewer - IKEA)
Extensions\{0d0f86af-98d2-4ad7-9409-16395db3dbc7} (XUL Cache)
Prefs.js - browser.download.lastDir, C:\\Users\\alain\\Pictures\\Quentin
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.11

========================================

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://g.uk.msn.com/USCON/7
HKCU_Main|Default_Search_URL - hxxp://www.google.com/ie
HKCU_Main|Search bar - hxxp://www.google.com/ie
HKCU_Main|Search Page - hxxp://www.google.com
HKCU_Main|Start Page - hxxp://g.uk.msn.com/USCON/7
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{DFC9195C-F7B2-4B08-BA4D-DF07153F989E} - "?" (?)
HKCU_SearchScopes\{E039BCFB-1C0B-45A9-A381-64AB2EAB3994} - "?" (?)
HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} ("C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll") (x)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{1FCCD250-A453-4348-86C1-E5EA9B76FADB} - C:\Program Files\McAfee\VirusScan\mcvsmap.exe (McAfee, Inc.)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{A8F94DF3-F6C6-422a-8BFC-7EE0F60A8609} - C:\Program Files\McAfee\VirusScan\mcvsshld.exe (McAfee, Inc.)
HKLM_ElevationPolicy\{aa851425-0109-43f3-9ed2-7b7090125861} - C:\Program Files (x86)\Microsoft\BingBar\BingBar.exe (Microsoft Corporation.)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKCU_Extensions\{00000000-0000-0000-0000-000000000000} - "Unibet" (C:\MicroGaming\Poker\unibetpokerMPP\MPPoker.exe,1)
HKLM_Extensions\{90EAE591-7E7E-434a-8E28-ECFD00071806} - "PokerStars.fr" (C:\Program Files (x86)\PokerStars.FR\main.ico)
BHO\{27B4851A-3207-45A2-B947-BE8AFE6163AB} - "McAfee Phishing Filter" (c:\progra~1\mcafee\msk\mskapbho.dll)
BHO\{7DB2D5A0-7241-4E79-B68D-6309F01C5231} - "scriptproxy" (C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20110531194116.dll)
BHO\{d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "Bing Bar Helper" ("C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll") (x)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 2 Fichier(s)

\Ad-Report-SCAN[1].txt - 12/08/2011 14:46:01 (4312 Octet(s))
\Ad-Report-SCAN[2].txt - 12/08/2011 23:05:45 (4334 Octet(s))
\Ad-Report-SCAN[3].txt - 13/08/2011 16:17:56 (4261 Octet(s))

Fin à: 16:19:09, 13/08/2011

============== E.O.F ==============

45 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

La discussion porte sur l’analyse d’un rapport Ad-Remover et sur la présence de composants indésirables après des tentatives de désinfection avec McAfee et Malwarebytes sur Windows 7 et Firefox 3.6. Des réponses recommandent de relancer Malwarebytes et de le mettre à jour, puis de redémarrer en mode sans échec pour un scan complet, et de partager le rapport pour obtenir l'aide. D'autres évoquent l'utilisation d'outils dédiés comme ZHPFix/ZHPDiag, la désactivation temporaire des protections et l'exécution de Combofix en mode sans échec, tout en restant prudent sur les risques. Par ailleurs, le rapport repère des éléments comme des extensions et des services suspects, ainsi que des fichiers et clés dans des emplacements clés, ce qui explique les recommandations de nettoyage profond.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonjour

    On va faire une analyse de ton systéme.

    * Télécharge ZHPDiag ( de Nicolas coolman ).
    ou
    ZHPDiag
    ou
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou le lien FTP en secours :
    ftp://zebulon.fr/ZHPDiag2.exe

    ***********************
    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
    * Laisse toi guider lors de l'installation
    * Il se lancera automatiquement à la fin de l'installation
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    0
    1. Utilisateur anonyme
       
      J'ai volontairement supprimer le rapport zhpdiag qui etait incomplet.Ne postes pas le rapport sur le topic mais fais comme indiqué dans mon résumé. Postes seulement le lien

      * Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
      0
  2. janine72 Messages postés 5 Statut Membre
     
    J'ai me....é ci joint le lien
    https://pjjoint.malekal.com/files.php?id=9466b980b3j8h6l8y7t7j8d15t7k11z14z5g12t15e13s14h7t8t10o14h8
    de plus malwaresbytes a fait ceci
    08:51:38 alain MESSAGE Protection started successfully
    08:51:42 alain MESSAGE IP Protection started successfully
    09:59:54 alain MESSAGE Scheduled update executed successfully
    10:00:23 alain MESSAGE IP Protection stopped
    10:00:25 alain MESSAGE Database updated successfully
    10:00:26 alain MESSAGE IP Protection started successfully
    16:14:35 alain IP-BLOCK 64.111.196.121 (Type: outgoing, Port: 54289, Process: firefox.exe)
    16:14:51 alain IP-BLOCK 64.111.196.121 (Type: outgoing, Port: 54297, Process: firefox.exe)
    encore merci
    0
  3. Utilisateur anonyme
     
    /!\ A l'attention de ceux qui passent sur ce sujet /!\
    Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

    /!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\

    * Télécharge combofix(de sUBs) sur ton Bureau.
    * Double-clique sur ComboFix.exe afin de le lancer.
    * Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
    /!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
    * Lorsque la recherche sera terminée, un rapport apparaîtra.
    * Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    #Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
    Tutoriel officiel de Combofix : Tuto Combofix
    0
  4. janine72 Messages postés 5 Statut Membre
     
    Comment on désactive malwares ad-r mcafee je ne sais pas je suis nul
    merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    dans pratiquement tous les antivirus, un clic droit sur l'icône; il doit y avoir "suspendre la protection" ou désactiver la protection résidente ou tout simplement "Quitter".
    0
  7. janine72 Messages postés 5 Statut Membre
     
    j'ai trouvé pour malwares mais pas pour mcafeeil il a été installé par dell j'ai regardé sur le forum mais.......ad-r est ce que je peux le supprimer je suis découragé au vu de l'analyse l'infection est elle grave je suis obligé de sortir peut on reprendre demain
    merci de votre réponse
    0
    1. Utilisateur anonyme
       
      Tu vas dans :
      McAfee Security Center, PAGE ACCUEIL, ORDINATEUR ET FICHIERS tu as une petite flèche au bout de la ligne tu cliques dessus, puis sur l'encadré à droite, en bas CONFIGURER, tu cliques et là tu vas pouvoir désactiver ce que tu veux pendant le temps que tu souhaites.
      0
  8. janine72
     
    Bonjour
    J'étais absent hier je n'ai pas de flèche sur la page d'accueil de McAFEE
    Peux tu me dire au vu des rapports ou se trouve le problème Malwares bloque des ip
    merci de me renseigner sur le diagnostique.....
    0
  9. Utilisateur anonyme
     
    Tu es infecté par le trojan.tracur
    Il appartient à une famille de chevaux de Troie (Trojan).
    Grâce à l'ouverture d'un port internet, il peut accéder et contrôler à distance un ordinateur à l'insu de son utilisateur.

    A faire dans l''ordre.

    1/ Copie/colle les lignes suivantes en gras:
    2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

    ----------------------------------------------------------
    M2 - MFEP: prefs.js [admin - 6ixyjcii.default\{0d0f86af-98d2-4ad7-9409-16395db3dbc7}] [xul] XUL Cache v1.0 (.Canonical Ltd..)
    O23 - Service: Fournisseur HomeGroup (HomeGroupProvider32) . (...) - C:\Windows\system32\DevicePairingFolder32.exe (.not file.)
    [HKCU\Software\Grand Virtual]
    C:\Users\admin\AppData\Local\Temp\log
    SS - | Auto 0 | (HomeGroupProvider32) . (...) - C:\Windows\system32\DevicePairingFolder32.exe


    --------------------------------------------------------

    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    ==================================================

    Relances Malawarebytes fais la mise a jour et un scan complet.Postes le rapport
    0
  10. janine72
     
    il me dit violation acces 7613fe7c dans le module KERNEBASE.dll lecture de l'adresse 00000043
    que dois faire
    0
  11. Utilisateur anonyme
     
    Fais zhpfix en mode sans echec

    Démarrer Windows en « mode sans échec »

    Avec la touche F8
    - Au démarrage de l'ordinateur presser successivement (intervalle d'une seconde) la touche F8 jusqu'à arriver au menu de démarrage avancé permettant de sélectionner le Mode sans échec.
    - Vous naviguez dans le menu jusqu'à l'option « Mode sans échec » grâce aux flèches de direction.
    - Validez avec la touche Entrée.
    Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.
    0
  12. janine72
     
    même message en mode sans échec.........
    0
  13. Utilisateur anonyme
     
    * Télécharge OTL sur ton bureau.

    * Fais un double-clic sur l'icône d'OTL pour le lancer
    /!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

    * Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

    * Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

    * Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    wininit.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    nslookup www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT


    * Cliques sur l'icône "Analyse" (en haut à gauche) .
    * Laisse le scan aller à son terme sans te servir du PC
    * A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
    * Héberge le ou les rapports sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles , puis copie/colle le ou les liens fournit dans ta prochaine réponse sur le forum

    PS:Tu peux retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

    0
  14. janine72
     
    malwares a bloqué des ip au meme moment
    08:40:26 alain MESSAGE Protection started successfully
    08:40:30 alain MESSAGE IP Protection started successfully
    09:59:53 alain MESSAGE Scheduled update executed successfully
    10:00:21 alain MESSAGE IP Protection stopped
    10:00:23 alain MESSAGE Database updated successfully
    10:00:24 alain MESSAGE IP Protection started successfully
    10:29:35 alain MESSAGE Protection started successfully
    10:29:39 alain MESSAGE IP Protection started successfully
    0
  15. Utilisateur anonyme
     
    Faire un clic droit sur l'icône Malwarebytes' Anti-Malware dans la SysBarre (à coté de l'horloge)
    Décocher Activer la protection
    A la demande "Voulez-vous vraiment désactiver le Module de Protection de Malwarebytes' Anti-Malware?", cliquer sur Oui.
    Cliquer de nouveau sur l'icône MBAM dans la SysBarre et décocher Démarrer avec Windows.
    Cliquer de nouveau sur l'icône MBAM dans la SysBarre et cliquer sur Quitter.
    A la demande "Voulez-vous vraiment fermer le Module de Protection de Malwarebytes' Anti-Malware?", cliquer sur Oui.
    Le Module de Protection de Malwarebytes' Anti-Malware est désactivé, l'icône a disparu.

    Lances OTL
    0
  16. janine72
     
    http://pjjoint.malekal.com/files.php?id=l5d15q14q14l6d6r10z13i11t6q12t8o9h11k15w14p8s11l13t15
    0
  17. Utilisateur anonyme
     
    * A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"

    Il me manque ====>OTL.Txt
    0
  18. janine72
     
    http://pjjoint.malekal.com/files.php?id=q15g9p15x11b10e12g5t5z8f15s9f10x9q6m5i14w12h12q15u5
    désolé
    0
  19. Utilisateur anonyme
     
    Tu dois supprimer cette extension de firefox.====>HomeGroupProvider32

    Dans le cas de Firefox, la gestion se fait à partir du menu Outils puis Modules complémentaires et enfin clic sur extensions Choisis ===>( supprimer) :
    0
  20. janine72
     
    dans extension il n'apparait pas XUL CACHE1 JAVA CONSOLE ET IKEA VIEWER......
    0
  21. Utilisateur anonyme
     
    * Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau
    ou
    * http://www.itxassociates.com/OT-Tools/OTM.exe
    * Double-clique sur OTM.exe pour le lancer.
    * Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.

    -----------------------------

    :services
    HomeGroupProvider32

    :files
    C:\Windows\system32\DevicePairingFolder32.exe

    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    -----------------------------

    * clique sur MoveIt! puis ferme OTM.
    * Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    * Accepte en cliquant sur YES.
    * Poste le rapport situé dans C:\_OTM\MovedFiles.
    * Le nom du rapport correspond au moment de sa création : date_heure.log
    0
  • 1
  • 2
  • 3