Pentoweb squatte mon ordi

Résolu
francogo17 Messages postés 15 Statut Membre -  
 Fabian -
Bonjour,





Depuis aujourd'hui mes pages d'accueil (sauf celle de Maxthon) sont "piratées" par Pentoweb et multiexplore (qui ds les options d'internet est nommée Pentoweb). J'ai vu un sujet semblable sur le forum et j'ai donc fait un scan avec ZHPDiag...

Voici le lien, est-ce que quelqu'un peut m'aider s'il vous plaît?

https://pjjoint.malekal.com/files.php?id=ZHPDiag_u13l5x9p5v9l79f10n513r15p6c15y6p13j67j15e6d9

Merci par avance

24 réponses

  • 1
  • 2
  1. Bleuet' Messages postés 594 Statut Membre 35
     
    Salut,

    * Tu ne peux pas modifier tes pages d'accueil pour IE et FF ?
    ------
    * Télécharge Adwcleaner >
    [*] Télécharges AdwCleaner de Xplode
    AdwCleaner : compatible Windows XP/Vista/7 32 et 64 bits.
    http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner
    Option "Suppression":
    [*]/!\ Fermer les navigateurs /!\
    [*] Lancer Adwcleaner
    pour Windows 7: lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    [*]Sur la page, cliques sur le bouton Suppression
    [*]Accepter l'avertissement qui suit
    [*]Laisser travailler l'outil
    [*] Poster le rapport qui apparait à la fin .
    [*]Clic sur Quitter
    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
    [*] Copier/coller le rapport C:\AdwCleaner[S1].txt
    ----------
    * Télécharge malwarebytes anti-malwares >
    https://www.malwarebytes.com/
    [*] Si l'essai de la version "Pro" est proposée, ne pas accepter.
    [*] TUTO d'aide >
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    [*] Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    [*] Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    [*] Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    [*] Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    [*] Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    [*] Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
    [*]/!\ Ne pas vider la quarantaine sans avis. La présence de "faux positifs" est toujours possible /!\
    * Il se pourrait que certains fichiers soient à supprimer au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée "Delete on reboot ?"
    https://forums.malwarebytes.com/forum/40-malwarebytes-for-home-support/ Support MalwareBytes
    * Le logiciel est à garder.
    -----
    * Copier tous les liens des rapports.
    -----
    0
  2. francogo17 Messages postés 15 Statut Membre
     
    Merci de la réponse.

    Si je peux changer mes pages d'accueil pour IE et Firefox mais, Pentoweb revient régulièrement...

    Je fais ce que tu m'as dit et après je vois... ;-)
    0
    1. Bleuet' Messages postés 594 Statut Membre 35
       
      oui. faire les analyses des 2 outils et mettre les rapports.
      0
  3. francogo17 Messages postés 15 Statut Membre
     
    Voici le rapport de AdwCleaner :

    # AdwCleaner v1.317 - Rapport créé le 06/11/2011 à 17:02:03
    # Mis à jour le 06/11/11 à 14h par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
    # Nom d'utilisateur : Françoise G - FRANÇOISEG (Administrateur)
    # Exécuté depuis : C:\Users\Françoise G\Desktop\adwcleaner0.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Users\Françoise G\AppData\LocalLow\ConduitEngine
    Dossier Supprimé : C:\Users\Françoise G\AppData\LocalLow\PriceGong
    Dossier Supprimé : C:\Program Files\ConduitEngine
    Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml
    Fichier Supprimé : C:\Users\Françoise G\AppData\Roaming\Mozilla\Firefox\Profiles\pn729ew0.default\searchplugins\Conduit.xml

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\CToolbar
    Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
    Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
    Clé Supprimée : HKCU\Software\AppDataLow\Software\conduitEngine
    Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
    Clé Supprimée : HKLM\SOFTWARE\Conduit
    Clé Supprimée : HKLM\SOFTWARE\conduitEngine
    Clé Supprimée : HKLM\SOFTWARE\CToolbar
    Clé Supprimée : HKLM\SOFTWARE\Canneverbe Limited\OpenCandy
    Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine
    Clé Supprimée : HKLM\SOFTWARE\Classes\ctbcommon.Buttons
    Clé Supprimée : HKLM\SOFTWARE\Classes\ctbr.R404Pro
    Clé Supprimée : HKLM\SOFTWARE\Classes\CToolbar.TB4Client
    Clé Supprimée : HKLM\SOFTWARE\Classes\CToolbar.TB4Script
    Clé Supprimée : HKLM\SOFTWARE\Classes\CToolbar.TB4Server
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\Crawler
    Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\tbr
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Crawler Search
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8736C681-37A0-40C6-A0F0-4C083409151C}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{30F9B915-B755-4826-820B-08FBA6BD249D}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{30F9B915-B755-4826-820B-08FBA6BD249D}]
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]
    Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.7601.17514

    Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - SearchAssistant] = hxxp://www.crawler.com/search/ie.aspx?tb_id=60341 --> hxxp://www.google.fr
    Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - CustomizeSearch] = hxxp://dnl.crawler.com/support/sa_customize.aspx?TbId=60341 --> hxxp://www.google.fr
    Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://www.crawler.com/search/ie.aspx?tb_id=60341 --> hxxp://www.google.fr
    Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - CustomizeSearch] = hxxp://dnl.crawler.com/support/sa_customize.aspx?TbId=60341 --> hxxp://www.google.fr

    -\\ Mozilla Firefox v7.0.1 (fr)

    Profil : pn729ew0.default
    Fichier : C:\Users\Françoise G\AppData\Roaming\Mozilla\Firefox\Profiles\pn729ew0.default\prefs.js

    C:\Users\Françoise G\AppData\Roaming\Mozilla\Firefox\Profiles\pn729ew0.default\user.js ... Supprimé !

    Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&Sea[...]

    *************************

    AdwCleaner[S1].txt - [4800 octets] - [06/11/2011 17:02:03]
    0
  4. francogo17 Messages postés 15 Statut Membre
     
    Voici le rapport de "Malwaebytes" il ne détecte pas Pentoweb et, pourtant il est bien présent sur le rapport de ZHPDiag...

    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 8097

    Windows 6.1.7601 Service Pack 1
    Internet Explorer 8.0.7601.17514

    06/11/2011 18:40:24
    mbam-log-2011-11-06 (18-40-23).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 261191
    Temps écoulé: 1 heure(s), 22 minute(s), 23 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Bleuet' Messages postés 594 Statut Membre 35
     
    Ça avance.

    * Peu-tu mettre un second rapport ZHPDiag ?
    0
  7. francogo17 Messages postés 15 Statut Membre
     
    je viens d'en tenter une qui à l'air de marcher...

    Ds firefox j'ai cliqué sur l'cône qui est à côté de la barre d'adresse où il y avait l'adresse de Pentoweb...

    Une fenêtre s'ouvre...

    Onglet général : "vie privée et historique" "voir les coockies"... J'ai viré le coockie de Pentoweb

    onglet "Permissions" j'ai tout décoché

    J'ai remis mes pages d'accueil... redémarré l'ordi et pour l'instant elles ne bougent plus....

    Il n'apparaît plus ds le scan...... Yes!

    https://pjjoint.malekal.com/files.php?id=ZHPDiag_k7s11t7n7r14b10r15b13b10f10x13r11j8x6l6x14t6z12r10k7
    0
    1. Bleuet' Messages postés 594 Statut Membre 35
       
      on peut souvent supprimer par les configurations des navigateurs.
      0
  8. Bleuet' Messages postés 594 Statut Membre 35
     
    Re,

    * Ouvrir ZHPFix >
    (Clic droit exécuter en tant qu'administrateur pour Vista/W 7)
    [*] copier le contenu du lien ci-dessous >
    https://www.cjoint.com/?AKgvkG0AzyG
    [*]Par clic sur le H le rapport se met dans la fenêtre blanche qui devient jaune quand le script apparait dans la fenêtre .
    [*] Clic en bas sur OK . (ligne(s) présentée(s) maintenant avec un petit carré à gauche
    [*] Clic sur Tous. (ligne(s) présentée(s) maintenant avec le petit carré coché
    [*] Clic sur Nettoyer. (ligne(s) cochée(s) supprimée(s). Le rapport de suppression s'ouvre dans la fenêtre.
    Copier/coller le texte dans ta réponse.
    Tu peux fermer ZHPFix. Les rapports se trouvent dans le dossier programme.
    TUTO >
    http://www.premiumorange.com/zeb-help-process/zhpfix.html
    ----
    * Tu pourras remettre un rapport final ZHPDiag. On pourra terminer ensuite.
    ----
    0
  9. francogo17 Messages postés 15 Statut Membre
     
    Voici le dernier rapport :

    Rapport de ZHPFix 1.12.3367 par Nicolas Coolman, Update du 29/10/2011
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-11-6-2011-9-54-53 PM.txt
    Run by Françoise G at 11/6/2011 9:54:53 PM
    Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    ABSENT Key: HKCU\Software\Spointer
    ABSENT Key: HKCU\Software\WideStream
    ABSENT Key: HKLM\Software\Classes\Toolbar.CT2542115
    ABSENT Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FBF1B8D2-9A06-4174-A8B5-E38606DDB92B}
    ABSENT Key: CLSID BHO: {4daac69c-cba7-45e2-9bc8-1044483d3352}
    ABSENT Key: HKCU\Software\AppDataLow\Software\Softonic_France
    ABSENT Key: HKLM\Software\Softonic_France
    ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
    ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4daac69c-cba7-45e2-9bc8-1044483d3352}
    ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4daac69c-cba7-45e2-9bc8-1044483d3352}
    ABSENT Key: HKLM\Software\Classes\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}
    ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}

    ========== Valeur(s) du Registre ==========
    ABSENT URLSearchHook: {6edc3889-b841-4127-a2bf-c5fc48f972c7}
    ABSENT URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352}
    SUPPRIME URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352}
    ABSENT Toolbar: {4daac69c-cba7-45e2-9bc8-1044483d3352}

    ========== Dossier(s) ==========
    ABSENT C:\Program Files\Widestream6
    ABSENT C:\Users\Françoise G\AppData\Roaming\widestream
    ABSENT C:\Users\Françoise G\AppData\Local\widestream6 Air
    ABSENT C:\Program Files\Softonic_France
    SUPPRIME Temporaires Windows: : 2

    ========== Fichier(s) ==========
    ABSENT Folder/File: c:\program files\widestream6
    ABSENT Folder/File: c:\users\françoise g\appdata\roaming\widestream
    ABSENT Folder/File: c:\users\françoise g\appdata\local\widestream6 air
    ABSENT File: c:\users\françoise g\desktop\disque externe.lnk
    ABSENT File: f:\ (.not file.)
    ABSENT File: c:\program files\softonic_france\tbsoft.dll
    ABSENT Folder/File: c:\program files\softonic_france
    ABSENT Folder/File: c:\users\françoise g\appdata\locallow\softonic_france
    SUPPRIME Temporaires Windows: : 10

    ========== Récapitulatif ==========
    12 : Clé(s) du Registre
    4 : Valeur(s) du Registre
    5 : Dossier(s)
    9 : Fichier(s)

    End of clean in 00mn AMs

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 11/6/2011 9:49:22 PM [2799]
    C:\ZHP\ZHPFix[R2].txt - 11/6/2011 9:54:53 PM [2645]
    0
  10. Bleuet' Messages postés 594 Statut Membre 35
     
    Salut,

    C'est OK.

    Des mises à jour à faire:
    * Adobe Reader >
    Mise à jour soit:
    par le logiciel par "aide" et "recherche de mise à jour"
    soit par le site lui-même >
    https://get2.adobe.com/fr/reader/otherversions/
    ----
    * JAVA >
    Pour effectuer la dernière mise à jour de JAVA:
    [*]Télécharger JAVA sur cette page >
    https://www.java.com/fr/download/
    [*]/!\A l'installation bien décocher la case d'acceptation de la barre d'outils "Yahoo" (si proposée) et ensuite cliquer sur "suivant"./!\
    [*]Puis par les "ajout/suppression de programmes" désinstaller toutes les versions de JAVA 6 inférieures à la version qui vient d'être installée.
    -----
    * Tu peux désinstaller les outils >
    Télécharger DelFix (de Xplode) pour supprimer les logiciels qui ont servis a cette désinfection.>
    http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/3-delfix
    [*] Lance-le.
    [*] A l'invite, [Suppression] ()
    [*] Un rapport va s'ouvrir à la fin, colle le dans la réponse
    Ensuite pour le désinstaller tu relances et tu passes à l'option [Désinstallation]
    -----
    * Si tu considéres ton problème résolu, tu peux mettre ton titre en [RESOLU]

    ;)
    0
  11. jaco
     
    Bonjour, j'ai le même problème; je viens de faire un scanZHPDiag, comment est ce que je peux te le faire passer .

    Merci d'avance
    0
    1. Bleuet' Messages postés 594 Statut Membre 35
       
      Salut,
      C'est mieux d'ouvrir ton sujet et d'y copier/coller le lien ZHPDIAG.

      ;)
      0
    2. francogo17 Messages postés 15 Statut Membre
       
      Perso je l'ai viré (via firefox)en faisant un clic gche sur l'icone de pentoweb (à gche de de la barre d'adresse)
      => plus d'informations => Général => vie privée et historique => voir les coockies et là tu supprimes le coockie => tu remets ta page habituelle = > tu redémarres ton ordi et, logiquement ça devrait être bon.... sinon si c'est toujours pentoweb ...

      Même démarche que plus haut mais ds la fenêtre tu cliques sur l'onglet "permissions" et là tu décoches tout et tu" bloques" tout....

      Bonne soirée
      Françoise
      0
  12. jaco
     
    Désolé, mais je ne suis pas un habitué des forums et je ne sais pas toujours m'y prendre Ci aprés le lien:

    http://www.cijoint.fr/cjlink.php?file=cj201111/cijdvXI9li.txt
    0
  13. levste
     
    Salut, j'ai aussi le meme probleme, et malgres toutes les demarches faites au dessus, c'est toujours la :'(
    je ne sais vraiment pas comment m'en debarraser, je l'ai sur firefox et internet explorer...
    Une idée???
    merci beacoup.
    ps: je me demandais comment on avait pu se choper une saleté pareil??
    0
  14. Bleuet' Messages postés 594 Statut Membre 35
     
    C'est une épidémie !!...

    Oui. Mais on va pas faire avancer le schmilblick si tous les 2 vous n'ouvrez pas votre sujet. On ne pourra pas s'y retrouver sinon.
    0
  15. jaco
     
    Je doisi pas être très doué:qu'est ce que tu veux dire par "ouvrir ton sujet".
    0
  16. levste
     
    oui je demandais la meme chose :p
    0
    1. francogo17 Messages postés 15 Statut Membre
       
      Visiblement il s'est installé après que j'ai mis sur mon PC "My héritage" qui est un logiciel de généalogie....
      0
    2. levste
       
      oui j'ai surement installé un truc que je n'aurais pas du, j'ai aussi fait la meme manip que toi et les cookies sont bien supprimés, tout est bloqué mais lui il est toujours la :'(
      comprend pas??!!
      0
  17. Bleuet' Messages postés 594 Statut Membre 35
     
    Dans le forum virus/sécurité (vous y êtes) vous ouvrer un sujet à vous.

    Avec le lien en bas de ce message > à droite >"Créer un nouveau sujet"

    ou en haut "Posez votre question"

    0
  18. levste
     
    ok merci beaucoup, je le fais de ce pas, par contre jen e comprend pas pourquoi ouvrir un nouveau sujet puisque mon probleme est exactement le meme que frangogo17???
    0
  19. levste
     
    voila, mon sujet est posté, il n'y a plus qu'a attendre de l'aide ;)
    merci encore
    0
  20. levste
     
    Juste pour dire que mon probleme est resolut grace au nouveau sujet que j'ai ouvert, et un grand merci a juju666 !!!! Jaco si tu n'as pas encore reussi je te le conseille ;) c'est un As...
    0
  • 1
  • 2