Enlever virus Security protection

Question

Bonjour, 

Alors voila le virus SECURITY PROTECTION s'est installé sur mon pc et donc je ne peux plus rien faire dessus.
J'ai essayer de suivre l'aide sur un autre sujet http://www.commentcamarche.net/forum/affich-22334747-virus-security-protection-pc-bloque

Et maintenant j'arrive a aller sur internet, ect ...
Mais je voudrais savoir si je dois quand même installer Ad-remover pour enlever définitivement le virus ou bien le virus est déjà plus sur l'ordi ?

Merci d'avance pour votre aide ! ;)


Configuration: Windows Vista / Firefox 6.0.1

Fish66 · Accepted Answer

Salut,

1)	* Télécharge sur le bureau RogueKiller (par tigzy) 
https://www.luanagames.com/index.fr.html 


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur ) 

* Quitte tous tes programmes en cours 
* Lance RogueKiller.exe. 
* Lorsque demandé, tape1 et valide 
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le en winlogon.exe ou firefox.exe (rajouter l'extension .exe) 
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.


2/
Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://pjjoint.malekal.com/ 

Si indisponible: 

http://ww38.toofiles.com/fr/documents-upload.html 

ou : 

https://www.casimages.com/

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com 

* Rends toi sur http://pjjoint.malekal.com/ 
* Clique sur le bouton Parcourir 
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir 
*Clique sur le bouton Envoyer 
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse

Nina66 · Answer

Salut ! Alors déjà merci pour ta réponse rapide. Donc j'ai fais comme tu m'a dis : 1. (RogueKiller) RogueKiller V5.3.4 [30/08/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: ferrejo [Droits d'admin] Mode: Recherche -- Date : 04/09/2011 22:46:16 Processus malicieux: 0 Entrees de registre: 4 [SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\ferrejo\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND [SUSP PATH] HKUS\S-1-5-21-383886708-1302118787-3427813645-1000[...]\Run : cacaoweb ("C:\Users\ferrejo\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND [SUSP PATH] HKLM\[...]\RunOnce : SoftwareHelper (C:\Users\ferrejo\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe -runonce) -> FOUND [SUSP PATH] Notification de cadeaux MSN.lnk : C:\Users\ferrejo\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe -> FOUND Fichiers / Dossiers particuliers: Fichier HOSTS: 127.0.0.1 localhost ::1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt 2.(ZHPDiag) Le lien : http://pjjoint.malekal.com/files.php?id=ZHPDiag_y106i15j6o9z15y10x5z12r8z12p11x5l5i8l11t14s14u12w13 Voila ! ;)

Dam's ! · Answer

j'ai déjà eu Security protection, je l'ai envoyé chez un professionnel qui me la vite virer :D  sinon bonne chance pour l'enlever de toi-même, je vais suivre ton avancé, cela m'intéresse beaucoup !

Fish66 · Answer

Salut,

1/
- Logiciel: Babylon toolbar on IE 
- Logiciel: ShopperReports - (.SmartShopper.) [HKLM]
- Logiciel: SoftwareUpdate 1.0 - (.eoRezo.) [HKLM] -- SoftwareUpdate_is1    

2/
Relance RogueKiller, tapes 2 puis poste le rapport stp

3/
/!\ ATTENTION : cette analyse peut durer quelques heures /!\

* Télécharge MBAM et installe le selon l'emplacement par défaut  
https://www.malwarebytes.com/mwb-download/ 
 * Fais la mise à jour  
* Lance Malwarebytes' Anti-Malware  
* Clique dans l'onglet  "Recherche"  
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"  
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"  

A la fin de l'analyse, si MBAM n'a rien trouvé :  

* Clique sur OK, le rapport s'ouvre spontanément  

Si des menaces ont été détectées :  

* Clique sur OK puis "Afficher les résultats"  
*Vérifie que toutes les lignes sont cochées 
* Choisis l'option "Supprimer la sélection"  
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"  
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"  

* Copie/colle le rapport dans le prochain message  


Remarque : 
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant  ce fichier puis en l'exécutant.

@+

NinaF66 · Answer

Alors je n'ai pas très bien compris ce que signifié ça : 1/ - Logiciel: Babylon toolbar on IE - Logiciel: ShopperReports - (.SmartShopper.) [HKLM] - Logiciel: SoftwareUpdate 1.0 - (.eoRezo.) [HKLM] -- SoftwareUpdate_is1 2/ RogueKiller : RogueKiller V5.3.4 [30/08/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: ferrejo [Droits d'admin] Mode: Suppression -- Date : 06/09/2011 20:51:27 Processus malicieux: 3 [SUSP PATH] SoftwareUpdateHP.exe -- c:\users\ferrejo\appdata\roaming\eorezo\softwareupdate\softwareupdatehp.exe -> KILLED [TermProc] [SUSP PATH] lsnfier.exe -- c:\users\ferrejo\appdata\roaming\microsoft\notification de cadeaux msn\lsnfier.exe -> KILLED [TermProc] [SUSP PATH] SoftwareUpdate.exe -- c:\users\ferrejo\appdata\roaming\eorezo\softwareupdate\softwareupdate.exe -> KILLED [TermProc] Entrees de registre: 3 [SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\ferrejo\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED [SUSP PATH] HKLM\[...]\RunOnce : SoftwareHelper (C:\Users\ferrejo\AppData\Roaming\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe -runonce) -> DELETED [SUSP PATH] Notification de cadeaux MSN.lnk : C:\Users\ferrejo\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe -> DELETED Fichiers / Dossiers particuliers: Fichier HOSTS: 127.0.0.1 localhost ::1 localhost Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt 3/ MBAM : Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Version de la base de données: 7664 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.19120 06/09/2011 22:35:37 mbam-log-2011-09-06 (22-35-37).txt Type d'examen: Examen complet (C:\|D:\|) Elément(s) analysé(s): 288149 Temps écoulé: 1 heure(s), 25 minute(s), 39 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 21 Valeur(s) du Registre infectée(s): 3 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 21 Fichier(s) infecté(s): 37 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): HKEY_CLASSES_ROOT\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D} (Adware.ClickPotato) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{CC7BD6F1-565C-47ce-A5BB-9C935E77B59D} (Adware.ShopperReports) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{02AED140-2B62-4B49-8B3B-179020CC39B9} (Adware.ShopperReports) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{17BF1E05-C0E8-413C-BD1F-A481EEA3B8E9} (Adware.ShopperReports) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\ShopperReports.CntntDic.1 (Adware.ShopperReports) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\ShopperReports.CntntDic (Adware.ShopperReports) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{CFC16189-8A92-4a29-A940-60248385F426} (Adware.ShopperReports) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\ShopperReports.CntntDisp.1 (Adware.ShopperReports) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\ShopperReports.CntntDisp (Adware.ShopperReports) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{DEE758B4-C3FB-4a5b-9939-848B9C77A2FB} (Adware.ShopperReports) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\ShopperReports.Stock.1 (Adware.ShopperReports) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\ShopperReports.Stock (Adware.ShopperReports) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{89F88394-3828-4d03-A0CF-8203604C3DA6} (Adware.Hotbar) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D4233F04-1789-483c-A137-731E8F113DD5} (Adware.Hotbar) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShopperReportsSA (Adware.ShopperReports) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\BRNstIE.DLL (Adware.ClickPotato) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\ShopperReports3 (Adware.ShopperReports) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\ShopperReports3 (Adware.ShopperReports) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1 (Adware.EoRezo) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\ShopperReports 3.0.517.0 (Adware.HotBar) -> Value: ShopperReports 3.0.517.0 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\SRS_IT_E879067FB1765B543EA995 (Malware.Trace) -> Value: SRS_IT_E879067FB1765B543EA995 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\ShopperReports@ShopperReports.com (ShopperReports) -> Value: ShopperReports@ShopperReports.com -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): c:\Users\ferrejo\AppData\Roaming\shopperreports3 (Adware.ShopperReports) -> Delete on reboot. c:\program files\shopperreports3 (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0 (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\firefox (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\firefox\firefoxtoolbar (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions\chrome (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions\components (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\programdata\microsoft\Windows\start menu\Programs\shopperreports (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\db (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\eodesktop (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\eoStats (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\softwareupdate (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\softwareupdate\Download (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\softwareupdate\Download\itsTV (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\softwareupdate\Download\itsTV\3.0.1.338 (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\softwareupdate\Download\itsTV\4.0.0.2192192 (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\softwareupdate\Download\itsTV\4.0.0.2482483 (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\softwareupdate\Software (Adware.EoRezo) -> Quarantined and deleted successfully. Fichier(s) infecté(s): c:\program files\shopperreports3\bin\3.0.517.0\cntntcntr.dll (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\BRNstIE.dll (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\CmndFF.dll (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\mozillaps.dll (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\shopperreportsuninstaller.exe (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions\components\BRNstFF.dll (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\LocalLow\Sun\Java\deployment\cache\6.0\23\33b33a57-71fce917 (Trojan.Ransom.PGen) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\softwareupdate\softwareupdate.exe (Rogue.Eorezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\softwareupdate\softwareupdatehp.exe (Rogue.Eorezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\Desktop\rk_quarantine\softwareupdate.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\Desktop\rk_quarantine\softwareupdatehp.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\downloads\MPLSetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\launchhelp.dll (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\link.ico (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions\chrome.manifest (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions\install.rdf (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions\chrome\firefoxtoolbar.jar (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\program files\shopperreports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions\components\BRNstFF.xpt (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\programdata\microsoft\Windows\start menu\Programs\shopperreports\About Us.lnk (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\programdata\microsoft\Windows\start menu\Programs\shopperreports\customer support.lnk (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\programdata\microsoft\Windows\start menu\Programs\shopperreports\shopperreports uninstall instructions.lnk (Adware.ShopperReports) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\cache (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\cmhost.cyp (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\confmedia.cyp (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\EoDesk3d.cfg (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\host.cyp (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\user.cyp (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\user.cyp.tmp (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\eodesktop\config.xml (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\eodesktop\eodesktop.html (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\eodesktop\userconfig.xml (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\eoStats\eoStats.txt (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\softwareupdate\help_config.cyp (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\softwareupdate\unins000.dat (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\softwareupdate\unins000.exe (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\softwareupdate\user_config.cyp (Adware.EoRezo) -> Quarantined and deleted successfully. c:\Users\ferrejo\AppData\Roaming\EoRezo\softwareupdate\user_profil.cyp (Adware.EoRezo) -> Quarantined and deleted successfully. Voila j'ai fais ce que tu as demandé. Tu penses que MBAM a pu supprimer le virus Security protection ? Encore merci pour ton aide !!

Fish66 · Answer

Re,

Lance ZHPDiag depuis ton bureau et prépare stp un nouveau rapport ZHPDiag

A demain

Bonne nuit

NinaF66 · Answer

J'ai relancé ZHPDiag, voici le lien :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_15i1115l8e7y7d12h10m812y8o9n12r12o7f7q14o7s8j15

Bonne journée ;)

Fish66 · Answer

Bonjour,
1/
Désinstalle et supprime les logiciels et les dossiers suivants stp :

C:\Program Files\BabylonToolbar   
C:\Program Files\Mozilla Firefox\Extensions\ffxtlbr@babylon.com   
C:\ProgramData\Babylon   
C:\Users\ferrejo\AppData\Roaming\Babylon  
C:\Users\ferrejo\AppData\Roaming\cacaoweb   
C:\Users\ferrejo\AppData\Local\Babylon   
C:\Users\ferrejo\AppData\LocalLow\BabylonToolbar   


2/
Télécharge AdwCleaner (merci à Xplode) 
Ou  ADWCleaner ici
Lance AdwCleaner
Clique sur le bouton [Suppression ] 
Patiente... 
Poste le rapport qui apparait en fin de recherche. 
Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)

@+

NinaF66 · Answer

J'ai désinstallé et supprimé les programmes.
Mais par contre pour AdwCleaner, j'ai essayer plusieurs fois et quand je clique sur Suppression, la recherche s'arrête et un message d'erreur apparait :

[Line 2787 (file " c:\Users\ferrejo\downloads\adwcleaner(1).exe"):
Error: Subscript used with non-Array variable.]

Je sais pas trop pourquoi ?

Fish66 · Answer

Essais de cliquer avec le bouton droit de la souris et choisis "Exécuter en tant qu'administrateur"

NinaF66 · Answer

J'ai réessayé en choisissant "Exécuter en tant qu'administrateur" et toujours le même message d'erreur.
J'ai désinstallé puis réinstallé mais toujours pareil...

Fish66 · Answer

Re,


* Télécharge de AD-Remover sur ton Bureau. 
http://www.teamxscript.org/adremoverTelechargement.html 

/!\ Ferme toutes applications en cours /!\ 

- Double  sur l'icône Ad-remover située sur ton Bureau. 
-Pour vista/Seven : clique avec le bouton droit de la souris  et choisis « exécuter en tant qu'administrateur » 
- Sur la page, clique sur le bouton « Nettoyer » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

@+

NinaF66 · Answer

Alors voici le rapport de AD-Remover : 
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:11:28 le 07/09/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
ferrejo@PC-DE-FERREJO (Packard Bell EasyNote TR85) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskSearch.js

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{83B2FE06-BA20-4F7D-96C6-6FC3A4E877D3}
Clé supprimée: HKLM\Software\Classes\Interface\{B32966A2-F7C2-4362-A6CF-399EC8B44110}
Clé supprimée: HKCU\Software\AskBarDis
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ShopperReportsSA
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [6.0.2 (fr)] ****

Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Users\ferrejo\AppData\Roaming\Mozilla\FireFox\Profiles\kkzkqjm4.default --
Extensions\cacaoweb@cacaoweb.org (cacaoweb)
Prefs.js - browser.startup.homepage, www.google.com
Prefs.js - browser.startup.homepage_override.buildID, 20110902133214
Prefs.js - browser.startup.homepage_override.mstone, rv:6.0.2
Prefs.js - keyword.URL, hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=26f72b83000000000000001e65781592&tlver=1.4.31.2&instlRef=sst...

========================================

**** Internet Explorer Version [8.0.6001.19120] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=r5PDdE_u9M01TN3PTboV_V9GAmE?q={searchTerms})
HKLM_ElevationPolicy\{442E3CEB-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
HKLM_ElevationPolicy\{F365CC6C-656A-4108-8CF0-16DF98696395} - C:\Program Files\Canon\ZoomBrowser EX\Program\ZoomBrowser.exe (?)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - "Skype Browser Helper" (C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 1 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 07/09/2011 21:11:31 (3753 Octet(s)) 

Fin à: 21:12:21, 07/09/2011 
 
============== E.O.F ============== 

Bonne soirée ;)

Fish66 · Answer

Re,

Lance ZHPDiag depuis ton bureau et prépare stp un nouveau rapport ZHPDiag.

NinaF66 · Answer

Et voila le lien : 
https://pjjoint.malekal.com/files.php?id=ZHPDiag_j15t5m10n5p15k12e10n713u11i14t105r10i10y15e8r15f8r12

Ça donne quoi tout ces rapports ?
Penses tu que le virus s'est inséré dans cacaoweb ?

Merci ;)

Fish66 · Answer

Re, 


1/ 
* Télécharge OTM (OldTimer) sur ton Bureau  

ICI >> OTM (OldTimer)  
* Double clic "OTMoveIt3.exe"  
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.  

- Copie (Ctrl+C) le texte suivant en gras ci-dessous :  


 
:Reg  
[-HKCU\Software\cacaoweb]   
[-HKLM\Software\Babylon]     
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]     
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}]     
[-HKLM\Software\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}]     
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] 
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}]    
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}]     
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5}] 
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{c7b76b90-3455-4ae6-a752-eac4d19689e5}] 


:commands  
[emptytemp]  
[purity] 
[Reboot] 




- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.  
- Clique maintenant sur le bouton MoveIt!  
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\  
Le nom du rapport correspond au moment de sa création : date_heure.log 


2/ 
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  


M2 - MFEP: prefs.js [ferrejo - kkzkqjm4.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.17 (.http://www.cacaoweb.org/      
O4 - HKCU\..\Run: [cacaoweb] C:\Users\ferrejo\AppData\Roaming\cacaoweb\cacaoweb.exe (.not file.)      
O4 - HKUS\S-1-5-21-383886708-1302118787-3427813645-1000\..\Run: [cacaoweb] C:\Users\ferrejo\AppData\Roaming\cacaoweb\cacaoweb.exe (.not file.)      
O43 - CFD: 27/09/2010 - 21:22:22 - [56694829] ----D- C:\Program Files\Spybot - Search & Destroy      
O87 - FAEL: "TCP Query User{A2705ED2-F335-4070-8E54-9082B4A970ED}C:\users\ferrejo\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\ferrejo\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)      
 



Puis Lance ZHPFix depuis le raccourci du bureau .  

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

Clique sur le bouton  GO 

Copie/Colle le rapport à l'écran dans ton prochain message. 

3/ 
Est ce que tu as encore Security protection ? 


@+ 


_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

NinaF66 · Answer

1/ OTM
All processes killed
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\Software\cacaoweb\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Babylon\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{c7b76b90-3455-4ae6-a752-eac4d19689e5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c7b76b90-3455-4ae6-a752-eac4d19689e5}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{c7b76b90-3455-4ae6-a752-eac4d19689e5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c7b76b90-3455-4ae6-a752-eac4d19689e5}\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: ferrejo
->Temp folder emptied: 1274148314 bytes
->Temporary Internet Files folder emptied: 113546554 bytes
->Java cache emptied: 6787000 bytes
->FireFox cache emptied: 119566656 bytes
->Google Chrome cache emptied: 32650892 bytes
->Flash cache emptied: 9362425 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 420281 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 5648709 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1 490,00 mb
 
 
OTM by OldTimer - Version 3.1.18.0 log created on 09082011_120136

Files moved on Reboot...
File C:\Windows	emp\_avast_\Webshlock.txt not found!

Registry entries deleted on Reboot...


2/ ZHPFIX

Rapport de ZHPFix 1.12.3359 par Nicolas Coolman, Update du 28/08/2011
Fichier d'export Registre : 
Run by ferrejo at 08/09/2011 12:16:50
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: cacaoweb
ABSENT RunValue: cacaoweb
SUPPRIME TCP Query User{A2705ED2-F335-4070-8E54-9082B4A970ED}C:/users/ferrejo/appdata/roaming/cacaoweb/cacaoweb.exe

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\ferrejo\AppData\Roaming\Mozilla\Firefox\Profiles\kkzkqjm4.default\extensions\cacaoweb@cacaoweb.org
SUPPRIME Folder: C:\Program Files\Spybot - Search & Destroy

========== Fichier(s) ==========
ABSENT File: c:\users\ferrejo\appdataoaming\cacaoweb\cacaoweb.exe


========== Récapitulatif ==========
3 : Valeur(s) du Registre
2 : Dossier(s)
1 : Fichier(s)


End of the scan in 00mn 09s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 08/09/2011 12:16:50 [1014]

3/ Non je n'ai plus security protection qui s'affiche.

Fish66 · Answer

Re,

Pour vérification, relance Malwarebytes pour une analyse complète et poste le rapport stp

@+

NinaF66 · Answer

Voila le rapport :

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7664

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120

08/09/2011 22:16:34
mbam-log-2011-09-08 (22-16-34).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 278134
Temps écoulé: 1 heure(s), 21 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Fish66 · Answer

Re,

Lance ZHPDiag depuis ton bureau et prépare stp un nouveau rapport ZHPDiag pour voir ce qui nous reste

@+

NinaF66 · Answer

Bonsoir,

Désolé pour le temps de réponse, beaucoup de chose à préparer pour la rentrée.
Voici le rapport :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_f13o6r106c12s13u7p7z13x9q15x14e15q6k14r5r15i11j5z6

Penses-tu que c'est bon ?
Merci ;)

Fish66 · Answer

Salut,
1/
Désactives la sandbox d'Avast puis fais ceci stp :

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}]    => Toolbar.Ask
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}]    => Toolbar.Ask
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]    => Toolbar.AskTBar
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]    => Toolbar.AskTBar
O87 - FAEL: "UDP Query User{99F73B76-F141-4289-BE80-8C8F3CFDFA6C}C:\users\ferrejo\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\ferrejo\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)    => Infection PUP (PUP.CacaoWeb)




Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

2/ Ensuite
Toujours avec Sanbox désactivé :

Lance ZHPDiag depuis ton bureau, clique sur l'onglet vert (flèche bas) pour faire la mise à jour et prépare stp un nouveau rapport ZHPDiag

Enlever virus Security protection - Page 2

Discussions similaires

Newsletters