Problèmes après instalation de Megaplayer Fermé

Question

Bonjour, 

Je viens tout juste d'installer Megaplayer. Mon antivirus, Avast Free, a immédiatement détecté un troyan et l'a éliminé. Sauf que mon ordinateur est devenu particulièrement lent et je ne parviens plus à lancer et mettre à jour mon antivirus. J'ignore si cela est seulement lié à l'installation de Megaplayer ; depuis plusieurs semaines déjà j'ai l'impression que les problèmes s'accumulent: windows explorer plante régulièrement et je n'arrive plus à installer les mises à jour windows pour Net Framework (sans parler d'Itunes qui refuse lui aussi d'installer les mises à jour). 

En attendant vos réponses, 

Bien à vous, 

TTC

Configuration: Windows Vista / Firefox 7.0.1

sherred · Answer

https://forum.malekal.com/viewtopic.php?t=34222&start=

TTC · Answer

J'ai bien supprimé Megaplayer mais les problèmes continuent. La fenêtre du panneau de configuration par exemple refuse de s'ouvrir.

sherred · Answer

* Télécharge ZHPDiag (de Nicolas Coolman).  https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
Rend toi sur Cijoint  http://www.cijoint.fr/
 et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier" 
Un lien sera généré, copie et colle-le dans ta prochaine réponse.

si les outils de désinfections que je te recommande ne fonctionnent pas 
sur vista   Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) : 
Aller dans démarrer puis panneau de configuration 
Double Cliquer sur l'icône "Comptes d'utilisateurs" 
Cliquer ensuite sur désactiver et valider. 
puis
 clic droit sur le raccourci du programme d'analyse ou de desinfection  et choisir démarrer en tant qu'administrateur

TTC · Answer

Voici donc le lien:

http://www.cijoint.fr/cjlink.php?file=cj201110/cij4qPQ0yI.txt

J'ignore pourquoi mais hier soir mon ordinateur a refusé de s'éteindre. J'ai du le débrancher puis le rallumer. Ce matin je l'ai de nouveau allumé puis éteint. Je l'ai rallumé ce soir et pour la première fois depuis plusieurs semaines Windows semble être parvenu à installer les mises à jour puisque après l'installation de trois d'entre elles, je n'ai plus de mises à jour en attente. De même, l'ordinateur fonctionne à nouveau très bien. J'ai relancé Avast qui a détecté un nouveau virus apparemment peu dangereux et qui l'a éliminé, de même Spybot n'a détecté aucun malware. Par sécurité je vous communique néanmoins le lien que vous m'avez demandé.

sherred · Answer

je suis étonné que ton pc arrive a fonctionner 
INFECTION IDENTIFIEE
Infection BT
Infection PUP
Infection Diverse
Infection Web
Infection Bagle
Infection Rootkit


donc je te conseil de suivre ces instructions

cPRÉLIMINAIRES
Désactiver le TeaTimer de Spybot (Merci à Nico): 

Pour désactiver le TeaTimer : 
=> Ouvrir Spybot S&D 
=> Dans le menu "Mode", séléctionner le mode avancé. 
=> Une fenêtre demande confirmation cliquer sur "oui". 
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils". 
=> Cliquer sur Résident. 
=> La partie Résident comporte deux lignes qui sont normalement cochées : 
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif. 

* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif. 

=> Décocher la ligne TeaTimer. 
=> Redémarrer Spybot (le fermer et le réouvrir) 
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.
-------------------------------

Navilog1
Télécharge Navilog1.exe http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe?thread 
Choisis Enregistrer sous.... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Si, lors du téléchargement, ton Antivirus fais une alerte, ignore-là 
c'est un faux positif, une fausse alerte.. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau 
Au menu principal, choisis 1 et valide. 
ne fais pas le choix 2,3 ou 4 
Analyse Terminée 
Appuie sur une touche , le bloc-note va s'ouvrir. 
Copie/colle l'intégralité du rapport


-----------------------------------

TTC · Answer

merci pour votre réponse, voici donc le rapport pour navilog


Fix Navipromo version 4.1.0 commencé le 14/10/2011 11:16:39,38

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 20.04.2011 à 09h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium  ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     P8400  @ 2.26GHz )
BIOS : Default System BIOS
USER : Thomas ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:223 Go (Free:37 Go)
D:\ (Local Disk) - NTFS - Total:9 Go (Free:1 Go)
E:\ (CD or DVD)


Recherche executée en mode normal 


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 14/10/2011 11:20:06,36 ***




Bien à vous !

TTC · Answer

L'ordi recommence à planter... S'il y a d'autres manips à réaliser, n'hésiter pas à me dire lesquels, je vous en serais vraiment gré !

TTC · Answer

J'ai vu que vous me répondiez souvent le matin mais à cause du décalage horaire (je suis aux États-Unis), je ne peux pas souvent vous répondre...

TTC · Answer

Et j'ai maintenant des difficultés pour installer de nouvelles applications...

g3n-h@ckm@n · Answer

salut sherred il n'y a pas de Bagle dans ce pc , c'est juste que la ligne est trop longue pour passer dans ZHPH 

la voici entiere :

O87 - FAEL: "UDP Query User{B5D0C49E-4946-488B-8D34-EF5D2D51C314}C:\users	homas\appdataoaming\macromedia\flash player\www.macromedia.com\bin\octoshape\octoshape.exe" | In - Private - P17 - TRUE | .(.Octoshape ApS.) -- C:\users	homas\appdataoaming\macromedia\flash player\www.macromedia.com\bin\octoshape\octoshape.exe

TTC · Answer

Ok, donc ça veut dire qu'il n'y a pas d'infection ?

TTC · Answer

Il n'y a vraiment personne ?

g3n-h@ckm@n · Answer

attendons un peu de voir s'il est dispo , et le cas échéant , je  poursuivrai s'il ne peut se liberer (de toutes facons le topic est dans mes interventions maintenant ;))

sherred · Answer

desolé pour ce retard  

et merci a h@ckm@n

bon on va faire un peu de menage

mais au vu de l'etat du pc , ce sera en mode sans echec 

commence par 

télécharger Malwarebyte's ici 
http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.46.exe
ou ici
https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html

tu l'installe 
le programme va se mettre automatiquement a jour. 

tu ne fait pas de recherche pour le moment

redémarre ton pc en mode sans echec 

ensuite démarre Malwarebyte

Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des éléments on été trouvés > click sur supprimer la sélection. 

si il t'es demandé de redémarrer > click sur "yes". 

A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum. 

redemarre en mode normal

Copie et colle le rapport stp. 

PS : les rapport sont aussi rangé dans l onglet rapport/log

.......................

profite en pour refaire un  ZHPDiag 

selon la procedure que je t'ai decrite plus haut

TTC · Answer

Le rapport Malware après désinfection en mode sans échec:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7951

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.6002.18005

15/10/2011 14:03:11
mbam-log-2011-10-15 (14-03-11).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 180494
Temps écoulé: 5 minute(s), 13 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 8
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.Reporter (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.Reporter.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\SRS_IT_E8790673B6765B5637AF98 (Malware.Trace) -> Value: SRS_IT_E8790673B6765B5637AF98 -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\program files\mozilla firefox\extensions\{d9adb0a8-7bfb-498d-9880-ee78a81ccfa0} (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{d9adb0a8-7bfb-498d-9880-ee78a81ccfa0}\chrome (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{d9adb0a8-7bfb-498d-9880-ee78a81ccfa0}\defaults (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{d9adb0a8-7bfb-498d-9880-ee78a81ccfa0}\defaults\preferences (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{f0e1168a-b4b5-484c-b77e-0d28e6b64096} (Adware.QuestScan) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{f0e1168a-b4b5-484c-b77e-0d28e6b64096}\chrome (Adware.QuestScan) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{f0e1168a-b4b5-484c-b77e-0d28e6b64096}\defaults (Adware.QuestScan) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{f0e1168a-b4b5-484c-b77e-0d28e6b64096}\defaults\preferences (Adware.QuestScan) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\Users\Thomas\AppData\Roaming\cglogs.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{d9adb0a8-7bfb-498d-9880-ee78a81ccfa0}\chrome.manifest (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{d9adb0a8-7bfb-498d-9880-ee78a81ccfa0}\install.rdf (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{d9adb0a8-7bfb-498d-9880-ee78a81ccfa0}\chrome\questbrowse.jar (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{d9adb0a8-7bfb-498d-9880-ee78a81ccfa0}\defaults\preferences\prefs.js (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{f0e1168a-b4b5-484c-b77e-0d28e6b64096}\chrome.manifest (Adware.QuestScan) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{f0e1168a-b4b5-484c-b77e-0d28e6b64096}\install.rdf (Adware.QuestScan) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{f0e1168a-b4b5-484c-b77e-0d28e6b64096}\chrome\questscan.jar (Adware.QuestScan) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{f0e1168a-b4b5-484c-b77e-0d28e6b64096}\defaults\preferences\prefs.js (Adware.QuestScan) -> Quarantined and deleted successfully.

TTC · Answer

Et le lien vers le nouveau rapport ZHP: 

http://www.cijoint.fr/cjlink.php?file=cj201110/cijm0Z9OIx.txt

Voilà ! J'ai suivi la procédure que vous m'avez indiquée

TTC · Answer

Lol, au rythme d'une question/réponse par jour, s'il y a pratiquement six infections différentes sur cette ordinateur, ça risque de prendre bien quinze jours pour le désinfecter ! Je ne vous le reproche pas (encore heureux, vous ne faites que m'aider) mais je me demande s'il ne serait pas plus profitable que je sois pris en charge par quelqu'un qui reste en ligne tard dans la nuit plutôt que tôt le matin parce qu'à cause du décalage horaire (je suis aux US), je suis la plupart du temps en train de dormir quand vous êtes en ligne, et inversement. Je dis ça parce que mon ordi débloque pas mal et j'aimerai pouvoir régler ce problème le plus vite possible avant que les ennuies de s'accumulent ou qu'un problème plus grave ne surgisse. 

Bien à vous !

TTC · Answer

En plus, je commence à avoir mes processus hôtes qui se ferment sans aucune raison apparente... May day !

sherred · Answer

je comprend  ;)

mais ne t'inquiette pas , si tu avait une grave infection , il y a longtemps  
qu'un helpeur p)lus confirmer s'en serait mêlé


normalement apres cela tu devrai déja aller mieux

passes adw-cleaner mode SUPPRESSION 

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 
http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner
Lance le, clique sur [Suppression] puis patiente le temps du scan. 
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

si les outils de désinfections que je te recommande ne fonctionnent pas 
sur vista Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection)

TTC · Answer

Me voilà donc rassurer !

Le rapport AdwCleaner: 

# AdwCleaner v1.311 - Rapport créé le 16/10/2011 à 03:25:39
# Mis à jour le 14/10/11 à 18h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Thomas - PC-DE-THOMAS (Administrateur)
# Exécuté depuis : C:\Users\Thomas\Downloads\adwcleaner0.exe
# Option [Suppression]


***** [KillNav] *****

# firefox.exe [PID:2988] -> Tué

***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Viewpoint
Dossier Supprimé : C:\Users\Thomas\AppData\Roaming\OfferBox
Dossier Supprimé : C:\Program Files\Viewpoint
Fichier Supprimé : C:\Program Files\Mozilla FireFox\Components\AskSearch.js

***** [Registre] *****

Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\MetaStream
Clé Supprimée : HKLM\SOFTWARE\Offerbox
Clé Supprimée : HKLM\SOFTWARE\Viewpoint
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.DllInfo
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.Tools
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486B-A045-B233BD0DA8FC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer

***** [Navigateurs] *****

-\ Internet Explorer v7.0.6002.18005

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v7.0.1 (fr)

Profil : x38mh34e.default
Fichier : C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\x38mh34e.default\prefs.js

C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\x38mh34e.default\user.js ... Supprimé !

Supprimée : user_pref("extensions.facemoods.aflt", "_#adj");

sherred · Answer

Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau : 
 http://www.teamxscript.org/too/AD-R.exe
/!\ Déconnectes toi et fermes toutes applications en cours 

? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files ) 
? Double clique sur l'icône Ad-remover située sur ton bureau 


au menu principal choisi l'option "nettoyage" . 


--> le programme va travailler ... 

* Postes le rapport qui apparait à la fin 
( le rapport est sauvegardé aussi sous C:\Ad-report.log )  adreport(clean)

/!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\ 



et refait un zhpdiag    
Quand les bornes sont franchies, il n'y a plus de limite  
Ce que j'ai écrit, je l'ai écrit

TTC · Answer

Le rapport Ad-Remover: 

http://www.cijoint.fr/cjlink.php?file=cj201110/cijbTJcjd2.txt

Et le lien vers le rapport  ZHP: 

http://www.cijoint.fr/cjlink.php?file=cj201110/cijcYevoWj.txt

J'ai remarqué dans mon registre C: la présence de trois dossiers dont j'ignore absolument à quoi ils peuvent correspondre: 

- 3f84878b396fab9ca3056b01e4c63b35

- c4b2525eaea1cb4eb9c9f95513

- d06e236fd935df7cfe

Le premier renvoie sur des applications "checksur.exe", les deux autres contiennent des fichiers eula.rtf écrits en arabe...  qui apparemment parlent de Microsoft.NET Framework 4

sherred · Answer

je ne suis pas sur mon pc a cette heure 
ce midi je te donnerai un script pour nettoyer des residues  

vers 12H45

sauf si g3n-h@ckm@n te propose de le faire avant ou autrement

sherred · Answer

tu a sur ton bureau ZHPFix que l'on va utiliser plus bas

 
1)
* Copie le tout le texte présent en gras ci-dessous ( tu le sélectionne avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

O8 - Extra context menu item: Translate with Babylon - (.not file.) - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll  

[MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task] (...) -- C:\Program Files\ClickPotatoLite\bin\10.0.701.0\ClickPotatoLiteSA.exe (.not file.)  

O42 - Logiciel: OfferBox - (.Secure Digital Services.) [HKLM] -- {766A55D2-E428-4B7C-B5B3-92592F6B107C} 

O43 - CFD: 19/03/2011 - 01:44:58 - [0] ----D- C:\Program Files\Fluendo 

O43 - CFD: 16/02/2011 - 17:10:30 - [581145] ----D- C:\Users\Thomas\AppData\Roaming\moovida-1  

O43 - CFD: 19/03/2011 - 01:44:02 - [599372] ----D- C:\Users\Thomas\AppData\Local\moovida Air    

O69 - SBI: SearchScopes [HKUS\.DEFAULT] {4B8C28A7-A9BC-45F8-990D-21499EED643C} - (QuestScan) - http://www.questscan.com    => Infection BT (Adware.QuestScan)  
O69 - SBI: SearchScopes [HKUS\S-1-5-18] {4B8C28A7-A9BC-45F8-990D-21499EED643C} - (QuestScan) - http://www.questscan.com    => Infection BT (Adware.QuestScan)  

O87 - FAEL: "TCP Query User{9EB6F0AF-6603-45FD-A766-D8D88A0E9622}C:\program files\fluendo\moovida\moovida.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\fluendo\moovida\moovida.exe (.not file.)    => Infection BT (Adware.SPointer)  
O87 - FAEL: "UDP Query User{D3787B51-9796-4834-A04A-68EAE5F1F0BF}C:\program files\fluendo\moovida\moovida.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\fluendo\moovida\moovida.exe (.not file.)    => Infection BT (Adware.SPointer)  

C:\Users\Thomas\AppData\Local\moovida air    


2)
Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie : 
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 
- que les lignes soient disposées les unes en dessous des autres . 

* Puis clique sur le bouton [ OK ] . 
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées . 

* Enfin clique sur le bouton [ Nettoyer ] . 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) ! 

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

TTC · Answer

J'ai bien procédé au nettoyage indiqué, voici le lien vers le rapport ZHPFix: 

http://www.cijoint.fr/cjlink.php?file=cj201110/cijU9yBYZC.txt

TTC · Answer

J'ai refait un ZHPDiag, le rapport en lien: 

http://www.cijoint.fr/cjlink.php?file=cj201110/cijfG1iJ86.txt

TTC · Answer

J'ai bien actualisé IE et Java, ainsi que désinstaller Spybot et nettoyer mes navigateurs grâce à Ccleaner. Je vous communique le dernier rapport ZHP: 

http://www.cijoint.fr/cjlink.php?file=cj201110/cijGvKWAPD.txt

Est-ce que je dois supprimer BS Player, même s'il m'est utile ?

Merci !

sherred · Answer

voila ce que j'ai trouvé :   

BSPlayer est bon lecteur vidéo, mais présence d'un adware dans les dernières versions ,L'éditeur de BS Player semble avoir abandonné l'intégration de l'adware WhenUSave au profit de l'installation dissimulée d'une autre Toolbar, la Controlbar BS Player. Comme si cela ne suffisait pas, nous observons de plus le hack des pages de démarrage de Firefox et d'Internet Explorer. Désormais, la page « bsplayer-search » remplace la page de démarrage et s'impose comme le moteur de recherche par défaut.   


pour ma par j'utilise VLC qui peu lire n'importe quoi ou presque  , il est gratuit et sans surprise   

d'autre part je vois des traces de  Ad-Aware   , ca ne sert a rien du tout , tu peu le désinstaller également  

je vois egalement que tu a des cracks , fait bien attention , aujourd'hui 50 % des cracks que tu trouve sur ta mule ;)  sont des virus, dont certains peuvent te foutre tout ton systeme HS en 15 secondes chrono  

et tu a toujours  Internet Explorer v7.0 ????
   
derniere operation de ma part , Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.   
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3   

* Lance l'installation du programme en exécutant le fichier téléchargé.   
* Double-clique maintenant sur le raccourci de Toolbar-S&D.   
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.   
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.   
* Poste le rapport généré. (C:\TB.txt)  


pour le reste j'aimerai avoir l'avis de g3n-h@ckm@n 
sur ces lignes :  
detected hooks:    
\Driver\atapi -> 0x8a5361f8  
user & kernel MBR OK    
Warning: possible MBR rootkit infection !    => Infection Rootkit (Possible)    


et :  

[HKCU\Software\System32]    => Infection Diverse (Backdoor.Bifrose)  ????????  


Quand les bornes sont franchies, il n'y a plus de limite   
Ce que j'ai écrit, je l'ai écrit

g3n-h@ckm@n · Answer

utiliser usbfix pour bifrose :)

faire defogger et voir si changement dans le mbr

sherred · Answer

merci Gen

TTC

 on verra pour nettoyer tous ces residus plus tard

Télécharge UsbFix (de Chiquitine29) sur ton bureau 
http://www.teamxscript.org/usbfixTelechargement.html

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir 

--> Double clic sur UsbFix 

clic sur le bouton Recherche


et  ne touche plus a rien pendant le scan

Une fois l'analyse terminée, un rapport de scan  est proposé... appuie sur une touche pour ouvrir ce rapport.
 copier/coller ce rapport  dans ta prochaine réponse
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque

TTC · Answer

Le lien vers le rapport USBFix: 

http://www.cijoint.fr/cjlink.php?file=cj201110/cijWmiGvWG.txt

Je n'ai qu'un seul périphérique, un disque dur externe, dont je me sers régulièrement. J'ai perdu ma clé USB lors de mon dernier déménagement.

sherred · Answer

OK c'est bon  

relance usbfix
et cette fois fait l'option suppression

--> Le pc va redémarer 

-->Après redémarrage poste le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque 
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!

TTC · Answer

Re, 


Le lien vers le rapport USBFix après suppression des fichiers infectés: 

http://www.cijoint.fr/cjlink.php?file=cj201110/cijYv5rlik.txt

sherred · Answer

Je me servais de Registry Booster  

et bien je te conseil soit 
https://www.clubic.com/telecharger-fiche26672-auslogics-disk-defrag-free.html 
soit  https://www.commentcamarche.net/telecharger/utilitaires/7087-defraggler/  le plus rapide 

Malwarebyte, Windows le bloque automatiquement au démarrage ?  c'est bien la version gratuite que tu as ????? 

pour ce qui est de avast , je te copnseil un autre antivirus , moins lourd et plus efficace , qui va finir de nettoyer ton pc 

commence par le telecharger sans l'installer 

https://www.commentcamarche.net/download/telecharger-34055402-avira-antivirus-pro 

puis telecharge  aswClear.exe 

https://www.avast.com/fr-fr/uninstall-utility 

a executer de preference sans echec  

ensuite installe antivir d'avira 
une fois installé 
fait un clic droit sur le petit parapluie dans la barre de taches et choisis "Configurer Antivir" 
Coche "Expert Mode" et déroule le menu "Scanner" à l'aide du petit "+".  
Clique sur "Recherche". Dans l'encadré "Fichiers", sélectionnez "Tous les fichiers". Dans l'encadré "Autres réglages", coche "Secteur d'amorçage lecteurs de rech.", "Contrôler secteurs d'amorçage maître", "Suivre les liens symboliques" et "Rech.Rootkit au dém. de la recherche". 
ensuite dans  le menu 
Clique sur "Archives" et coche "Contrôler les archives" et "Tous les types d'archives". 
 dans le menu "Généralités". et dans "Catégories de dangers étendues", coche "Activer tous".
maintenant ton antivir est pret 
et tu peu scanner ton pc 

Quand les bornes sont franchies, il n'y a plus de limite 
Ce que j'ai écrit, je l'ai écrit

Problèmes après instalation de Megaplayer

34 réponses

Discussions similaires