trojan vista recovery...

Question

Bonjour, 

En vous remerciant par avance de vos (très) précieuses réponses 

Configuration: Windows Vista / Firefox 6.0.1


Bonjour,
J'ai aussi été infecté par trojan vista recovery, avec une fenêtre avec des scan, des messages d'erreurs etc, .. 
Plusieurs manipulations et maintenant quand je relance, fond d'écran noir, à droite calendrier, horloge et une photo (fleurs) dans la barre d'outils ça semble normal à droite (haut-parleur, heure etc), mais à gauche juste le sigle microsoft et programmes disponibles dans la liste, mais côté données, tout semble vide, photo, doc, video, téléchargement, musique, plus riennnnnnnnnnnnn...!!!


J'ai suivi des recommandations. Hier soir, j'ai téléchargé Malwarebytes, un scan a eu lieu avec environ 100 fichiers infectés, mais je n'ai plus le rapport.
Je viens de relancer Malwarebytes, voici le rapport :

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7684

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120

10/09/2011 11:31:13
mbam-log-2011-09-10 (11-31-13).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 167781
Temps écoulé: 13 minute(s), 12 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\mauricejoanamaeline\AppData\Local\Temp\is-JMQ2V.tmp\dealiotoolbar-stub-1.exe (PUP.Dealio.TB) -> Quarantined and deleted successfully.



_____________________________________________________________

2011N2 · Answer

Salut,

Bienvenue sur Comment Ça Marche. On va essayer de résoudre ton problème ensemble. Voici quelques régles ==>

-Ici, les helpers sont volontaires, et nous avons également une vie de famille, du travail, comme tout le monde. En conséquences, sois patient en attendant tes réponses de la part du helper.

-Suis la procédure jusqu'au bout, sinon ça ne servira à rien.

-Ne panique pas, n'hésite pas à poser des questions si tu as des doutes, car c'est beaucoup mieux que de planter ton PC si tu ne sais pas quoi faire.

-Avant d'effectuer des manipulations, lis la procédure jusqu'au bout, afin de ne pas faire d'erreur.

-Lors de la désinfection, désactive ton antivirus, afin que la désinfection puisse s'effectuer normalement.

-Si tu es sous Vista/7, éxécute un programme toujours en faisant un clic droit puis ==> Éxécuter en tant qu'administrateur

-Si tu crack (Emule, BiTorrent, etc...) arrête tout de suite, c'est une source d'infection, et la désinfection sera donc inutile.

-N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre).

Si tu es prêt, c'est partit ==>


On va faire un diagnostic de ton PC pour plus de renseignements ==>

=> Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou : 

http://www.premiumorange.com/zeb-help-process/zhpdiag.html

ou :
 
https://www.commentcamarche.net/telecharger/	34066799-zhpdiag


=> Laisse toi guider lors de l'installation, coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag". 

/!\Utilisateur de Vista et Seven/!\ : Clic droit sur le logo de ZHPdiag (parchemin) puis « Exécuter en tant qu'Administrateur » 

=> Clique sur l'icône, en haut à gauche, représentant une loupe : « Lancer le diagnostic ».  
=> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.  
=> Héberge le rapport ZHPDiag.txt sur un des sites ci-dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
 
https://www.cjoint.com/  

ou


http://www.cijoint.fr/ 

ou : 

http://ww38.toofiles.com/fr/documents-upload.html 

ou :
 

http://pjjoint.malekal.com/ 

ou : 

https://www.casimages.com/ 



Si tu as besoin d'aide, ou quelque chose n'est pas clair, n'hésite pas à poser la question.

Merci,

Gabriel.

zemibio · Answer

Rebonjour et merci


Voici le lien du rapport effectué à partir de ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201109/cijenHV2ZL.txt

Gracias
Zemibio

2011N2 · Answer

Salut,

Ok :)

- Télécharge AD- Remover sur ton Bureau (Merci à C_XX) :

http://www.teamxscript.org/too/AD-R.exe

OU 
domain.be/download/AD- Remover.html


/!\ Ferme toutes applications en cours avant de continuer /!\ 

- Double- clique sur l'icône Ad- remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Scanner ». 
- Confirme le lancement du scan. 
- Laisse travailler l'outil. 
- Accepte de redémarrer le PC à la fin, si il est demandé..
- Poste le rapport qui apparaît à la fin, dans le forum.

(Le rapport est sauvegardé aussi sous C:\Ad- Report- SCAN[1].txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

@+

Gabriel.

zemibio · Answer

OK, voici le rapport réalisé par Ad-remover (merci Gabriel) :

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 12:31:28 le 10/09/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
mauriceJoanaMaeline@PC-DE-MAURICEJO (TOSHIBA Satellite P200) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\Users\mauriceJoanaMaeline\AppData\Roaming\Mozilla\FireFox\Profiles\49402z43.default\conduit
Dossier trouvé: C:\Program Files\Conduit
Dossier trouvé: C:\Users\mauriceJoanaMaeline\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CrazyLoader
Dossier trouvé: C:\Program Files\CrazyLoader
Dossier trouvé: C:\Users\mauriceJoanaMaeline\AppData\LocalLow\ShopperReports3
Dossier trouvé: C:\Users\mauriceJoanaMaeline\AppData\Roaming\OfferBox

-- Fichier ouvert: C:\Users\mauriceJoanaMaeline\AppData\Roaming\Mozilla\FireFox\Profiles\49402z43.default\Prefs.js --
Ligne trouvée: user_pref("CT1351374.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_... 
Ligne trouvée: user_pref("CT1351374.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT135... 
Ligne trouvée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr... 
Ligne trouvée: user_pref("CommunityToolbar.ToolbarsList", "CT1351374"); 
Ligne trouvée: user_pref("CommunityToolbar.ToolbarsList2", "CT1351374"); 
Ligne trouvée: user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT1351374"); 
Ligne trouvée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1351374&Sea... 
-- Fichier Fermé --
 

Clé trouvée: HKLM\Software\Classes\Interface\{453DB0C5-F41C-4D97-8DD6-CC72ECD5F699}
Clé trouvée: HKLM\Software\Classes\Interface\{4AFC07D0-59BB-46B8-B097-1A46E88EEF71}
Clé trouvée: HKLM\Software\Classes\Interface\{6511CE4C-4722-40D0-AD3D-4AFA2F50978A}
Clé trouvée: HKLM\Software\Classes\Interface\{83B2FE06-BA20-4F7D-96C6-6FC3A4E877D3}
Clé trouvée: HKLM\Software\Classes\Interface\{9BEC9B38-BF39-4899-806E-A1C5DFEB60A2}
Clé trouvée: HKLM\Software\Classes\Interface\{AEBF09E2-0C15-43C8-99BF-928C645D98A0}
Clé trouvée: HKLM\Software\Classes\Interface\{B32966A2-F7C2-4362-A6CF-399EC8B44110}
Clé trouvée: HKLM\Software\Classes\Interface\{B86D82BF-D39F-439A-A07C-43EDDC6F6EA6}
Clé trouvée: HKLM\Software\Classes\Interface\{DA6305B9-0869-4235-8C1D-533A65E639E5}
Clé trouvée: HKLM\Software\Classes\Interface\{E6961C59-CFCE-4CCD-B794-BC78DB98413A}
Clé trouvée: HKLM\Software\Classes\Interface\{F8B4EC8A-2407-4BE0-AEE2-0F430D65A90D}
Clé trouvée: HKLM\Software\Classes\Toolbar.CT1351374
Clé trouvée: HKLM\Software\Conduit
Clé trouvée: HKLM\Software\Freeze.com
Clé trouvée: HKLM\Software\OfferBox
Clé trouvée: HKCU\Software\OfferBox
Clé trouvée: HKCU\Software\AppDataLow\Software\Conduit
Clé trouvée: HKCU\Software\AppDataLow\Software\ShopperReports3
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ShopperReportsSA
Clé trouvée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|HWSetup


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [6.0.1 (fr)] ****

Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)
Extensions\{27E679CC-6AAB-4B2A-BB87-096FE4178464}(2) (QueryExplorer)
Extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} (Click to call with Skype)

-- C:\Users\mauriceJoanaMaeline\AppData\Roaming\Mozilla\FireFox\Profiles\49402z43.default --
Prefs.js - browser.download.lastDir, C:\Users\mauriceJoanaMaeline\Desktop
Prefs.js - browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1351374&SearchSource=3&q=

{searchTerms}
Prefs.js - browser.startup.homepage, www.yahoo.fr
Prefs.js - browser.startup.homepage_override.buildID, 20110830092941
Prefs.js - browser.startup.homepage_override.mstone, rv:6.0.1
Prefs.js - keyword.URL, hxxp://www.queryexplorer.com/?tmp=nemo_results_removelink&prt=QryexpPB&keywords=

========================================

**** Google Chrome Version [13.0.782.220] ****

Extension\bjeikeheijdjdfjbmknpefojickbkmom (C:\Program Files\OfferBox\OfferBoxChromeExtension.crx) (x)
Extension\lifbcibllhkdhoafpjfnlhfpfgnpldfl (C:\Program Files\Skype\Toolbars\Skype for Chromium\skype_chrome_extension.crx) 

(?)

-- C:\Users\mauriceJoanaMaeline\AppData\Local\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "QueryExplorer" (Activé: true) (hxxp://www.queryexplorer.com/?

tmp=redir_bho_bing&prt=QryexpPB&keywords={searchTerms})
Preferences - homepage: hxxp://www.google.com/
Preferences - homepage_is_newtabpage: false
Plugin - "OfferboxChromePlugin Dynamic Link Library" (Activé: true)
Plugin - "Picasa" (Activé: true)

========================================

**** Internet Explorer Version [8.0.6001.19120] ****

HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKCU_Main|Start Page - hxxp://search.conduit.com?SearchSource=10&ctid=CT1351374
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} - "Softonic France Customized Web Search" 

(hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT...)
HKLM_SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} - "Softonic France Customized Web Search" 

(hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT...)
HKLM_Toolbar|{90222687-F593-4738-B738-FBEE9C7B26DF} (C:\Program Files\Common Files\Symantec 

Shared\coShared\Browser\1.5\UIBHO.dll)
HKLM_ElevationPolicy\be861c05-7050-4285-ad0a-91437aef788a - C:\Program Files\myBabylon_English4

\myBabylon_English4ToolbarHelper.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_Extensions\{53F6FCCD-9E22-4d71-86EA-6E43136192AB} - "?" (?)
HKLM_Extensions\{76577871-04EC-495E-A12B-91F7C3600AFA} - "eBay - Achetez, Vendez" 

(C:\Toshiba\Webshops\eBay\ebay.ico)
HKLM_Extensions\{8A918C1D-E123-4E36-B562-5C1519E434CE} - "Amazon.fr" (C:\Toshiba\Webshops\Amazon\amazon.ico)
HKLM_Extensions\{90EAE591-7E7E-434a-8E28-ECFD00071806} - "PokerStars.fr" (C:\Program Files\PokerStars.FR\main.ico)
HKLM_Extensions\{925DAB62-F9AC-4221-806A-057BFB1014AA} - "?" (?)
HKLM_Extensions\{C08CAF1D-C0A3-40D5-9970-06D067EAC017} - "eBay" (C:\Toshiba\ebay\ebay.ico)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Program Files\Adobe\Acrobat 

7.0\ActiveX\AcroIEHelper.dll)
BHO\{1E8A6170-7264-4D0F-BEAE-D42A53123C75} - "?" (C:\Program Files\Common Files\Symantec 

Shared\coShared\Browser\1.5\NppBho.dll)
BHO\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - "Skype Browser Helper" (C:\Program Files\Skype\Toolbars\Internet 

Explorer\skypeieplugin.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 10/09/2011 12:32:08 (7695 Octet(s)) 

Fin à: 12:32:52, 10/09/2011 
 
============== E.O.F ==============

2011N2 · Answer

Ok :)

/!\ Ferme toutes applications en cours avant de continuer /!\ 

- Double- clique sur l'icône Ad- remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Nettoyer ». 
- Confirme le lancement du nettoyage. 
- Laisse travailler l'outil. 
- Accepte de redémarrer le PC à la fin, si il est demandé. Cela est nécessaire pour finaliser le nettoyage.
- Poste le rapport qui apparaît à la fin, dans le forum.

(Le rapport est sauvegardé aussi sous C:\Ad- Report- CLEAN[1].txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

@+

Gabriel.

zemibio · Answer

Merci pour ton soutien Gabriel

Voici le dit rapport :

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:31:36 le 10/09/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
mauriceJoanaMaeline@PC-DE-MAURICEJO (TOSHIBA Satellite P200) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Users\mauriceJoanaMaeline\AppData\Roaming\Mozilla\FireFox\Profiles\49402z43.default\conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Users\mauriceJoanaMaeline\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CrazyLoader
Dossier supprimé: C:\Program Files\CrazyLoader
Dossier supprimé: C:\Users\mauriceJoanaMaeline\AppData\LocalLow\ShopperReports3
Dossier supprimé: C:\Users\mauriceJoanaMaeline\AppData\Roaming\OfferBox

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\mauriceJoanaMaeline\AppData\Roaming\Mozilla\FireFox\Profiles\49402z43.default\Prefs.js --
Ligne supprimée: user_pref("CT1351374.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_... 
Ligne supprimée: user_pref("CT1351374.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT135... 
Ligne supprimée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr... 
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList", "CT1351374"); 
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList2", "CT1351374"); 
Ligne supprimée: user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT1351374"); 
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1351374&Sea... 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\Interface\{453DB0C5-F41C-4D97-8DD6-CC72ECD5F699}
Clé supprimée: HKLM\Software\Classes\Interface\{4AFC07D0-59BB-46B8-B097-1A46E88EEF71}
Clé supprimée: HKLM\Software\Classes\Interface\{6511CE4C-4722-40D0-AD3D-4AFA2F50978A}
Clé supprimée: HKLM\Software\Classes\Interface\{83B2FE06-BA20-4F7D-96C6-6FC3A4E877D3}
Clé supprimée: HKLM\Software\Classes\Interface\{9BEC9B38-BF39-4899-806E-A1C5DFEB60A2}
Clé supprimée: HKLM\Software\Classes\Interface\{AEBF09E2-0C15-43C8-99BF-928C645D98A0}
Clé supprimée: HKLM\Software\Classes\Interface\{B32966A2-F7C2-4362-A6CF-399EC8B44110}
Clé supprimée: HKLM\Software\Classes\Interface\{B86D82BF-D39F-439A-A07C-43EDDC6F6EA6}
Clé supprimée: HKLM\Software\Classes\Interface\{DA6305B9-0869-4235-8C1D-533A65E639E5}
Clé supprimée: HKLM\Software\Classes\Interface\{E6961C59-CFCE-4CCD-B794-BC78DB98413A}
Clé supprimée: HKLM\Software\Classes\Interface\{F8B4EC8A-2407-4BE0-AEE2-0F430D65A90D}
Clé supprimée: HKLM\Software\Classes\Toolbar.CT1351374
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\Freeze.com
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\ShopperReports3
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ShopperReportsSA
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|HWSetup


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [6.0.1 (fr)] ****

Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)
Extensions\{27E679CC-6AAB-4B2A-BB87-096FE4178464}(2) (QueryExplorer)
Extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} (Click to call with Skype)

-- C:\Users\mauriceJoanaMaeline\AppData\Roaming\Mozilla\FireFox\Profiles\49402z43.default --
Prefs.js - browser.download.lastDir, C:\Users\mauriceJoanaMaeline\Desktop
Prefs.js - browser.startup.homepage, www.yahoo.fr
Prefs.js - browser.startup.homepage_override.buildID, 20110830092941
Prefs.js - browser.startup.homepage_override.mstone, rv:6.0.1
Prefs.js - keyword.URL, hxxp://www.queryexplorer.com/?tmp=nemo_results_removelink&prt=QryexpPB&keywords=

========================================

**** Google Chrome Version [13.0.782.220] ****

Extension\lifbcibllhkdhoafpjfnlhfpfgnpldfl (C:\Program Files\Skype\Toolbars\Skype for Chromium\skype_chrome_extension.crx) (?)

-- C:\Users\mauriceJoanaMaeline\AppData\Local\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "QueryExplorer" (Activé: true) (hxxp://www.queryexplorer.com/?tmp=redir_bho_bing&prt=QryexpPB&keywords={searchTerms})
Preferences - homepage: hxxp://www.google.com/
Preferences - homepage_is_newtabpage: false
Plugin - "OfferboxChromePlugin Dynamic Link Library" (Activé: true)
Plugin - "Picasa" (Activé: true)

========================================

**** Internet Explorer Version [8.0.6001.19120] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Toolbar|{90222687-F593-4738-B738-FBEE9C7B26DF} (C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll)
HKLM_ElevationPolicy\be861c05-7050-4285-ad0a-91437aef788a - C:\Program Files\myBabylon_English4\myBabylon_English4ToolbarHelper.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_Extensions\{53F6FCCD-9E22-4d71-86EA-6E43136192AB} - "?" (?)
HKLM_Extensions\{76577871-04EC-495E-A12B-91F7C3600AFA} - "eBay - Achetez, Vendez" (C:\Toshiba\Webshops\eBay\ebay.ico)
HKLM_Extensions\{8A918C1D-E123-4E36-B562-5C1519E434CE} - "Amazon.fr" (C:\Toshiba\Webshops\Amazon\amazon.ico)
HKLM_Extensions\{90EAE591-7E7E-434a-8E28-ECFD00071806} - "PokerStars.fr" (C:\Program Files\PokerStars.FR\main.ico)
HKLM_Extensions\{925DAB62-F9AC-4221-806A-057BFB1014AA} - "?" (?)
HKLM_Extensions\{C08CAF1D-C0A3-40D5-9970-06D067EAC017} - "eBay" (C:\Toshiba\ebay\ebay.ico)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader Link Helper" (C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)
BHO\{1E8A6170-7264-4D0F-BEAE-D42A53123C75} - "?" (C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll)
BHO\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - "Skype Browser Helper" (C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 13 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 10/09/2011 18:31:44 (7422 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 10/09/2011 12:32:08 (7833 Octet(s)) 

Fin à: 18:32:55, 10/09/2011 
 
============== E.O.F ==============

2011N2 · Answer

Je t'en prie :)

Refais un scan avec ZHPdiag STP ;)

Merci,

Gabriel.

zemibio · Answer

Bonjour

Voici le lien du scan :

http://www.cijoint.fr/cjlink.php?file=cj201109/cijUOibLS9.txt

Merci
Zemibio

2011N2 · Answer

Ok :)

>Copie les lignes "helpers" (Avec Ctrl + C) présentes dans le fichier texte : http://dl.dropbox.com/u/32869654/Pour%20zemibio.txt

>Ouvre ZHPfix, icone seringue (Vista et 7 : "Exécuter en tant qu'administrateur").
>Colle les lignes helpers : Pour ce, clique sur la balise document, à droite de l'appareil photo. Ou alors sur le H.  
>Faire Ok. 
>Clique sur "Tous".  
>Clique sur "Nettoyer". 
>Copie le rapport, et coller-le dans la prochaine réponse sur le forum.


Si tu as des questions, n'hésite pas à me les poser !

@+

Gabriel.

zemibio · Answer

Bonjour et merci pour tous ces échanges,

J'ai eu un message d'erreur en lançant le "nettoyer" de ZHPfix. Voici le contenu du message d'erreur, qui bloque l'ordinateur :

appdata\local\google\chrome\userdata\default\preferences

"acces refusé"

Ce message est-il normal ? Aurais-tu une autre manipulation à me faire faire ?

Merci
Zemibio

2011N2 · Answer

Salut,

Je suppose que tu as oublié de faire clic droit => Éxécuter en tant qu'administrateur ?

Merci,

Gabriel.

zemibio · Answer

Je ne pense pas. J'ai lancé ZHPFix avec le clic droit et j'ai collé ce rapport :
G2 - GCE: Preference [User Data\Default] [bjeikeheijdjdfjbmknpefojickbkmom] Offerbox v.2.1.3128.64 (Activé)    => Infection PUP (PUP.OfferBox)
O43 - CFD: 17/05/2010 - 20:26:04 - [0] ----D- C:\Program Files\Babylon    => Infection BT (Toolbar.Babylon)
O69 - SBI: SearchScopes [HKUS\.DEFAULT] {C34A3EC2-C7F1-4F62-A549-DCE7F7322A79} - (QueryExplorer) - http://www.queryexplorer.com    => Infection Diverse (Adware.QueryExplorer)
O69 - SBI: SearchScopes [HKUS\S-1-5-18] {C34A3EC2-C7F1-4F62-A549-DCE7F7322A79} - (QueryExplorer) - http://www.queryexplorer.com    => Infection Diverse (Adware.QueryExplorer)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}]    => Infection BT (Adware.PriceGong)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550F-191D-4826-B069-D9439253D926}]    => Infection BT (Adware.PriceGong)
C:\Program Files\Babylon
O87 - FAEL: "{5E49A3D7-A942-4A53-974D-DCC58152B726}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
O87 - FAEL: "{A48A01B6-E5F9-4667-9158-20FAEC62FA78}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
[HKLM\SOFTWARE\Microsoft\Security Center] UacDisableNotify: Modified
O69 - SBI: prefs.js [mauriceJoanaMaeline - 49402z43.default] user_pref("CT1351374.SearchEngine", "Recherche||http://search.conduit.com/Results.aspx?
O69 - SBI: prefs.js [mauriceJoanaMaeline - 49402z43.default] user_pref("CT1351374.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT1351374
O69 - SBI: prefs.js [mauriceJoanaMaeline - 49402z43.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT1351374
EmptyTemp
EmptyFlash
SysRestore

Quand j'ai lancé le nettoyage après avoir tout sélectionné, j'ai eu une fenêtre avec le message que j'ai recopié sur mon précédant message

...
Merci
Zemibio

2011N2 · Answer

Réessaye ;)

@+

Gabriel.

zemibio · Answer

Bonjour Gabriel,

Sans succès, voici le message d'erreur tel qu'il apparaît dans une fenêtre au moment où je lance "nettoyer" :

impossible de créer le fichier "C/users/appdata/local/google/chrome/userdata/default/preferences" accès refusé

Je ne sais plus quoi faire...

Merci par avance
Zemibio

2011N2 · Answer

Réinstalle ZHPfix : https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html

Ensuite, tu colles bien tout ce qui est en gras ci-dessous ?

G2 - GCE: Preference [User Data\Default] [bjeikeheijdjdfjbmknpefojickbkmom] Offerbox v.2.1.3128.64 (Activé)    => Infection PUP (PUP.OfferBox)
O43 - CFD: 17/05/2010 - 20:26:04 - [0] ----D- C:\Program Files\Babylon    => Infection BT (Toolbar.Babylon)
O69 - SBI: SearchScopes [HKUS\.DEFAULT] {C34A3EC2-C7F1-4F62-A549-DCE7F7322A79} - (QueryExplorer) - http://www.queryexplorer.com    => Infection Diverse (Adware.QueryExplorer)
O69 - SBI: SearchScopes [HKUS\S-1-5-18] {C34A3EC2-C7F1-4F62-A549-DCE7F7322A79} - (QueryExplorer) - http://www.queryexplorer.com    => Infection Diverse (Adware.QueryExplorer)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}]    => Infection BT (Adware.PriceGong)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550F-191D-4826-B069-D9439253D926}]    => Infection BT (Adware.PriceGong)
C:\Program Files\Babylon
O87 - FAEL: "{5E49A3D7-A942-4A53-974D-DCC58152B726}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
O87 - FAEL: "{A48A01B6-E5F9-4667-9158-20FAEC62FA78}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
[HKLM\SOFTWARE\Microsoft\Security Center] UacDisableNotify: Modified
O69 - SBI: prefs.js [mauriceJoanaMaeline - 49402z43.default] user_pref("CT1351374.SearchEngine", "Recherche||http://search.conduit.com/
O69 - SBI: prefs.js [mauriceJoanaMaeline - 49402z43.default] user_pref("CT1351374.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT1351374
O69 - SBI: prefs.js [mauriceJoanaMaeline - 49402z43.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT1351374
EmptyTemp
EmptyFlash
SysRestore

@+

Gabriel.

zemibio · Answer

Bonjour et merci,

Je ferai la manip ce soir dès mon retour et te tiendrai informé

Zemibio

2011N2 · Answer

Pas de soucis :)

À ce soir.

Gabriel.

g3n-h@ckm@n · Answer

bonjour tout ce qui etait dans le menu demarrer ne reviendra plus :)

faut pas nettoyer les fichiers temporaires suite à une attaque par rogue , ce que fait ad-remover

il ne reste donc plus qu'à refaire tous les liens qui s'y trouvaient manuellement

zemibio · Answer

Bonjour et merci :),

Dans un premier temps, j'essaie de retrouver les données stockées essentiellement sur le disque dur et quelques dossiers (importants) stockés sur le bureau.

J'espère que ces récupérations seront possibles...
Côté applications, si elles sont perdues, je me débrouillerai

Merci pour vos remarques
Zemibio

zemibio · Answer

merci

et pour récupérer les raccourcis et supprimer le rogue, il y a une méthode ?

Merci
Zemibiio

g3n-h@ckm@n · Answer

regarde dans l'onglet rapport/logs voir si tu retrouves le rapport relatant beaucoup d'infections

g3n-h@ckm@n · Answer

re et suite :

je suis en train de coder un bout de programme pour te rendre un minimum de fonctions dans ton menu demarrer (deja la liste des programmes installés , windows update et internet explorer (je galère un peu sur ces deux derniers pour l'icone ^^ )

g3n-h@ckm@n · Answer

j'ai presque fini :)

il y a un raccourci qui tu aimerais avoir dans le menu demarrer bien specifique ? tant qu'à faire....

là j'ai codé de quoi faire tout "Program Files" sans les systeme bien sur

windows live messenger
internet explorer
windows update
visionneuse XPS....

zemibio · Answer

Mes applications fonctionnement. Certaines ont disparu (ex : chrome)

Sur le bureau, tout a disparu. Mon disque dur "data E", où sont stockées mes données est vide également... alors que j'ai bien l'espace occupé et l'espace vide.
Ma priorité, c'est bien mon disque E

...???

Merci

g3n-h@ckm@n · Answer

ah si c est que ca on va te le rendre mais je ne pense pas que ca te rende le menu demarrer on verra ensuite pour cela

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

si le lien ne fonctionne pas :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

zemibio · Answer

Voici le lien contenant le rapport Pre Scan :

http://cjoint.com/data3/3IotCurhZyA.htm


merci
Zemibio

g3n-h@ckm@n · Answer

desinstalle babylon

=================================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"iTunesHelper"=-
[-HKEY_LOCAL_MACHINE\Software\BrowserChoice] 

folder::
C:\Program Files\Babylon        

attrib::                                    
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

zemibio · Answer

Tout à l'air d'être revenu. Je vérifie demain

Merciiiiiiiiiiiiii à Gabriel, à g3n-h@ckm@n

Zemibio :)

g3n-h@ckm@n · Answer

re

:)

et ton menu demarrer ?

zemibio · Answer

Bonsoir :)

Ca va mieux. Le menu démarrer aussi.

Je me demande s'il faut procéder à un nettoyage, à une défragmentation.
Je me demande aussi quel antivirus installer ?

En tout cas, nous sommes soulagés...

Merci encore

Zemibio

g3n-h@ckm@n · Answer

apparemment tu n'as pas le raccourci de windows update

tu es rentré dans demarrer/programmes pour voir si la liste de tes programmes installés s'y trouvaient avec leur raccourci respectif ?

Trojan vista recovery...

31 réponses

Votre réponse

Discussions similaires

Newsletters