supprimer striking search système Fermé

Question

Bonsoir 

j'ai un problème de virus "strikingsearchsystème" 
je n'ai plus accès au gestionnaire de tache; ainsi qu'a l'activation des fonctionnalités windows... 
je n'arrive pas non plus à suprimer C:Windowssystem32DRIVERSmrxsmb.sys 
et je ne trouve pas consrv.dll dans C:Windowssystem32 
j'ai aussi éssayé TDSSKillers et OLTD ça n'a rien changé....

voici le rapport combofix : 

https://pjjoint.malekal.com/files.php?id=u7v8c10n11j11u1211q13l11o12s13b7r14s14y12h9i11j614q10

Configuration: Windows 7 / Safari 535.2

juju666 · Answer

Re

&#9654 &#9654 DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

&#9654 &#9654 SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!! 

&#9654 Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


KillAll::

File::
C:\Windows\TEMP\logishrd\LVPrcInj01.dll
C:\Windows\SysWow64\sho24DE.tmp      
C:\Windows\SysWow64\MijFrc.dll    
C:\Windows\SysWow64\sho24CE.tmp        

Folder::
C:\data    
C:\Users\Raphaël\AppData\Local\Babylon    
C:\Users\Raphaël\AppData\Roaming\Babylon    
C:\ProgramData\Babylon    
C:\Program Files\Babylon    
C:\Program Files (x86)\Conduit    
C:\Users\Raphaël\AppData\Local\Conduit    
C:\ProgramData\Spybot - Search & Destroy    
C:\Program Files (x86)\Spybot - Search & Destroy    
C:\Program Files (x86)\PCTuto
C:\Users\Raphaël\AppData\Roaming\PCtuto

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"SpybotSD TeaTimer"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 
"Adobe Reader Speed Launcher"=-
"PCTuto"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce] 
"autoupdater"=-

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]  
"AppInit_DLLs"=-

Firefox::
FF - prefs.js: browser.search.defaulturl -      
FF - prefs.js: browser.search.selectedEngine - SweetIM Search      
FF - prefs.js: browser.startup.homepage - about:home      
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=   




&#9654 Enregistre ce fichier sous le nom  CFScript 

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif 

&#9654 Combofix se lance, laisse toi guider.. 

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! 
Ne touche à rien tant que le scan n'est pas terminé. 
&#9654 Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis 

&#9654 Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

victorh1 · Answer

Merci pour la réponse 

 j'ai toujours le problème d'accès au gestionnaire de tâche, ainsi qu'a l'activation des fonctionnalités windows..(rien ne s'affiche dans la fenêtre) je ne sais pas si cela est du à  "strikingsearchsystème" 
   
dernier rapport COMBOFIX 

http://pjjoint.malekal.com/files.php?id=c8e8g14l11l11u15r5e5d13m9g9x15v15c7f7n6g15m11z5l8

juju666 · Answer

le problème c'est que tu as le rootkit 0access et que tu es sous 64 bits ça ne facilite pas la chose ;)

fais analyser les 2 fichiers suivant sur virustotal.com puis colle les liens des analyses :

c:\windows\system32\drivers\MijXfilt.sys
c:\windows\SysWow64\TubeFinder.exe

~~

&#9654 Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


KillAll::

Rootkit::
c:\windows\TEMP\logishrd\LVPrcInj01.dll

Reboot::


&#9654 Enregistre ce fichier sous le nom  CFScript 

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif 

&#9654 Combofix se lance, laisse toi guider.. 

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! 
Ne touche à rien tant que le scan n'est pas terminé. 
&#9654 Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis 

&#9654 Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

victorh1 · Answer

Toujours le même problème fonctionnalités windows et gestionnaire des taches..

j'ai désinstallé le driver Mijxfilt.sys
pas de problème détecté pour le fichier TubeFinder.exe sur virustotal.

rapport ComboFix.txt

http://pjjoint.malekal.com/files.php?id=w126l6t15j15m9q7f8n7k7q6j5w12f7d14t9j8i11n5w9

juju666 · Answer

grrrrr

&#9654 Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

&#9654 Double-clique sur OTM.exe pour le lancer.

&#9654 Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
   
 
:Files
c:\windows\TEMP\logishrd\LVPrcInj01.dll


&#9654 Clique sur MoveIt! puis ferme OTM.

&#9654 Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

&#9654 Accepte en cliquant sur YES.

&#9654 Poste le rapport situé dans C:\_OTM\MovedFiles.

&#9654 Le nom du rapport correspond au moment de sa création : date_heure.log

victorh1 · Answer

apparemment je n'ai plus les fenêtre de triking search...et pour le gestionnaire des tâches désolé  mais je crois qu'en voulant supprimer trikingsearch j'ai effacé taskmgr..dans le gestionnaire, je suppose qu'il est lié à l'affichage des fonctionnalités windows...


.merci pour vôtre aide  ...

juju666 · Answer

je peux voir le rapport OTM ?

victorh1 · Answer

Le voici :   http://pjjoint.malekal.com/files.php?id=q1112f13x6x12i14i5i12w10j8x11f15b7p5n7d7m10p8q7q10

juju666 · Answer

Grmlrnbjrbper $$ù$*¨@

* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista/7  [img]http://imagesup.org/image[/img]

[img]http://img256.imageshack.us/img256/6883/080229185901qa4.jpg[/img]

* Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

Files to delete:

c:\windows\TEMP\logishrd\LVPrcInj01.dll

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:avenger.txt

victorh1 · Answer

Il n'y a pas de fichier avenger sur le disque, il confirme bien avoir retiré le fichier lodshir mais une fois redémarré le fichier est toujours présent.dans .C:WINDOWS/TEMP..j'ai éxécuter avenger en tant qu'administrateur

j'ai un nouveau message : C:Windows/systeme32/MSVCP100.dll n'est pas conçu ^pour s'exécuter sous windows...c'est lié ?

juju666 · Answer

Certainement ...

On va essayer autrement (sans conviction)

&#9654 Télécharge ici The Avanger

&#9654 Dézippe le , lance l'épée (Clic droit > exécuter en tant qu'administrateur sous vista/7) 

&#9654 Dans le cadre , sous Input Script here , copie-colle le contenu du cadre ci dessous et clic execute:

Files to replace with dummy:

c:\windows\TEMP\logishrd\LVPrcInj01.dll

&#9654 Après le re-démarrage, il crée un fichier log qui s'ouvrira, que tu posteras dans ta prochaine réponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

victorh1 · Answer

le fichier logishrd n'est toujours pas supprimé, et il n'y a pas de fichier avenger.text....par contre un doc.text est apparu dans windows\systeme32	emp\MPCmdRun voici le lien :

http://pjjoint.malekal.com/files.php?id=f8c10r15f11w10d11x5l11o5g11o7x8p13h7l13m10z9u7y5x14

juju666 · Answer

ça c'est un log de windows defender ...

Spybot est bien désinstallé ? 
Désactive Windows Defender et ton antivirus 
Puis refais ça

victorh1 · Answer

Bonjour 
j'ai désactiver defender spybot supprimer l'antivirus et toujours pas de fichier avenger dans c:  
bon bah je crois que je suis bon pour un formatage.....

juju666 · Answer

non

Nous allons effectuer un diagnostic de ton PC: 

&#9654 Télécharge ZHPDiag 

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et  "Exécuter ZHPDiag" 

&#9654 Clique sur l'icône représentant un tournevis vert et coche tout, puis sur l'icone représentant une loupe (« Lancer le diagnostic ») 

&#9654 Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau.

Voici comment procéder

&#9654 Rends toi sur pjjoint.malekal.com 
&#9654 Clique sur le bouton Parcourir 
&#9654 Sélectionne le fichier que tu veux héberger et clique sur Ouvrir 
&#9654 Clique sur le bouton Envoyer 
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 

&#9654 Copie le lien dans ta prochaine réponse. 

A bientôt.

victorh1 · Answer

alors voici le rapport : http://pjjoint.malekal.com/files.php?id=ZHPDiag_o14d15k7k810k7d14t15h1512j14h7i13f8w7p9l8g6d6l12

juju666 · Answer

Tes pubs viennent de PCTuto.

Tu as installé des programmes PCTuto, sais-tu que le service transmet certaines informations ? comme par exemple ton adresse, numéro de télephone qui ont été saisis lors de l'inscription ?
PCTuto modifie aussi ta page de démarrge vers lo.st, il se peux aussi que ce site transmettent certaines informations et affiche des popups de publicité.

Pour plus d'informations se reporter à cette page : https://forum.malekal.com/viewtopic.php?t=33439&start=

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du nettoyage.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

victorh1 · Answer

fichier d'analyse:

http://pjjoint.malekal.com/files.php?id=k14s12u10m12r10g13l12i5h12l9w6o1212f7i7x13h6z13d12g11


Fichier de suppression:
http://pjjoint.malekal.com/files.php?id=d11v12p15w5j5i6h11y9s13e12j1013d14t135m14r13x6s10c13

toujours le même problème avec le gestionnaire de tâche et fonctionnalité windows

juju666 · Answer

Ok on y vient deux minutes :)

&#9654  Télécharge AD-Remover sur ton Bureau : (TeamXScript) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Scanner » 
&#9654 Confirme le lancement du scan 
&#9654 Laisse travailler l'outil. 
&#9654 Quand il a fini, un rapport s'ouvrira : ferme le.

&#9830 Pour me transmettre le rapport utilise le site pjjoint

victorh1 · Answer

voici le rapport: http://pjjoint.malekal.com/files.php?id=d9s7q7o14n11l14s15z8v6r7c14r13n12y12x12v6z15q11s12x9

juju666 · Answer

encore quelques petits trucs 

&#9654 Relance AD-Remover, clique sur [ Nettoyer ]
&#9654 Laisse le pc redémarrer.
&#9654 Une fois revenu sur le bureau, le rapport devrait s'ouvrir : ferme-le

&#9830 Pour me transmettre le rapport utilise le site pjjoint 

~~

&#9654 Télécharge ici : USBFIX sur ton bureau

OU lien alternatif : http://general-changelog-team.fr/telechargements/logiciels/viewdownload/80-outils-de-el-desaparecido/32-usbfix

branche tous tes périphériques externes sans les ouvrir (MP3, MP4, clé USB, disque dur externe, GSM, ...)

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

victorh1 · Answer

rapport AD-report: http://pjjoint.malekal.com/uploader.php

Usbfix: http://pjjoint.malekal.com/files.php?id=l11f7g12e12o712o12y11s14y12f14m9h14y8u12d7w9f11f9l11

juju666 · Answer

Le lien pour ad-report n'est pas bon :p

normalement tu as du retrouver l'accès à taskmgr :)

&#9654 Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
&#9654 Effectue la mise à jour et lance Malwarebytes' Anti-Malware

&#9654 &#9654 Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

&#9654 Clique dans l'onglet du haut "Recherche"
&#9654 Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
&#9654 Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#9654 Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#9654 Clique sur OK puis "Afficher les résultats"
&#9654 Choisis l'option "Supprimer la sélection"
&#9654 Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#9654 Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#9654 Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

victorh1 · Answer

Bonsoir 

Voici le rapport MBAM :
 http://pjjoint.malekal.com/files.php?id=x14h14p15t12z5f7o14r5d14b8l14l9f6u14o14t7p8d5i6q10


http://pjjoint.malekal.com/files.php?id=d10r14e7l11f8b11z12s14z12i15q6z12g8l13m11z6i13g6x6n8

mais toujurs les mêmes problèmes :(

juju666 · Answer

&#9654 Télécharge Reload_TDSSKiller  

&#9654 Lance le   

choisis : lancer le nettoyage  

l'outil va automatiquement télécharger la derniere version puis   

TDSSKiller va s'ouvrir , clique sur "Start Scan"  Clique ici pour l'aide en image  

Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.   
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.   
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.   
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas  
Si Suspicious file est indiqué, laisse l''option cochée sur Skip    
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer  

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau  

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

victorh1 · Answer

rapport TDSSKILLER : http://pjjoint.malekal.com/files.php?id=f10t15m13t9r13j8b7q6k8g15r14r6y11n9x88f12n11v5i15



Dans le fichier quarantaine de Usbfix il y a : $RECYCLE.BIN
Je l'ai déjà supprimé de C: mais il réapparaît

juju666 · Answer

grr

Nous allons effectuer un diagnostic de ton PC: 

&#9654 Télécharge ZHPDiag 

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et  "Exécuter ZHPDiag" 

&#9654 Clique sur l'icône représentant un tournevis vert et coche tout, puis sur l'icone représentant une loupe (« Lancer le diagnostic ») 

&#9654 Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau.

Voici comment procéder

&#9654 Rends toi sur pjjoint.malekal.com 
&#9654 Clique sur le bouton Parcourir 
&#9654 Sélectionne le fichier que tu veux héberger et clique sur Ouvrir 
&#9654 Clique sur le bouton Envoyer 
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 

&#9654 Copie le lien dans ta prochaine réponse. 

A bientôt.

victorh1 · Answer

Raopport ZHPDiag :  http://pjjoint.malekal.com/files.php?id=ZHPDiag_s14p14f10m5m10l11y14p11r9d5r12k11j10c11c148i15s10z10l5

juju666 · Answer

met à jour mozilla : http://www.mozilla-europe.org/fr/

désinstalle spyware doctor c est un daube
désinstalle spybot il sert à rien

~~

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )    


G1 - GCS: Preference [User Data\Default] http://search.babylon.com    => Infection BT (Toolbar.Babylon)
O20 - AppInit_DLLs: . (...) - C:\PROGRA~2\WI3C8A~1\Datamngr\x64\datamngr.dll (.not file.)    => Infection BT (Adware.Bandoo)
O42 - Logiciel: PCTuto Avast 2.0 - (.PCTuto.) [HKLM] -- PCTuto Avast_is1    => Infection BT (Spyware.AgenceExclusive)
O42 - Logiciel: UpdatePCTuto 2.0 - (.PCtuto.) [HKLM] -- UpdatePCTuto_is1    => Infection BT (Spyware.AgenceExclusive)
O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu 413 MediaBar    => Infection BT (Adware.Bandoo)
O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu 414 MediaBar    => Infection BT (Adware.Bandoo)
O42 - Logiciel: Windows iLivid Toolbar - (.Bandoo Media, Inc.) [HKLM] -- Searchqu 406 MediaBar    => Infection BT (Adware.Bandoo)
[HKCU\Software\AppDataLow\Software\searchqutoolbar]    => Infection PUP (Adware.Bandoo)
[HKCU\Software\Nosibay]    => Infection PUP (Adware.SPointer)
[HKCU\Software\ilivid]    => Infection BT (Adware.Bandoo)
[HKLM\Software\CrazyLoader]    => Infection BT (Adware.SPointer)
O43 - CFD: 15/10/2011 - 18:53:18 - [0] ----D- C:\ProgramData\BabylonUpdater    => Infection BT (Toolbar.Babylon)
O43 - CFD: 17/08/2011 - 20:52:24 - [0] ----D- C:\Users\Raphaël\AppData\Roaming\Nosibay    => Infection PUP (Adware.SPointer)
O87 - FAEL: "{401E4C4F-87AE-42FB-A886-97D365A29888}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.)    => Infection BT (Adware.Bandoo)
O87 - FAEL: "{2D7B83D5-85C1-4BD8-9DF5-94A7C21CD81F}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.)    => Infection BT (Adware.Bandoo)
O87 - FAEL: "{81A791B5-6EC4-4719-BBD5-E9EC30FD488B}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.)    => Infection BT (Adware.SPointer)
O87 - FAEL: "{76E85D56-E282-48BB-84B3-5FFF8F354060}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.)    => Infection BT (Adware.SPointer)
O87 - FAEL: "{E26293BC-7900-496C-80C7-118D04ADFA82}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.)    => Infection BT (Adware.Bandoo)
O87 - FAEL: "{D973E3CA-C605-474E-8994-6951D3C0028B}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files (x86)\Windows iLivid Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.)    => Infection BT (Adware.Bandoo)
[HKLM\Software\WOW6432Node\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}]    => Infection PUP (Adware.Bandoo)
[HKLM\Software\WOW6432Node\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}]    => Infection BT (Adware.Agent)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]    => Infection BT (Toolbar.Babylon)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}]    => Infection BT (Toolbar.Babylon)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}]    => Infection BT (Toolbar.Babylon)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}]    => Infection BT (Toolbar.Babylon)
[HKLM\Software\WOW6432Node\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]    => Infection PUP (PUP.Eorezo)
[HKCU\Software\ilivid]    => Infection BT (Adware.Bandoo)
[HKCU\Software\Nosibay]    => Infection PUP (Adware.SPointer)
[HKCU\Software\AppDataLow\Software\searchqutoolbar]    => Infection PUP (Adware.Bandoo)
C:\ProgramData\BabylonUpdater    => Infection BT (Toolbar.Babylon)
C:\Users\Raphaël\AppData\Roaming\Nosibay    => Infection PUP (Adware.SPointer)
C:\Users\Raphaël\AppData\LocalLow\BabylonToolbar    => Infection BT (Toolbar.Babylon)
C:\Users\Raphaël\AppData\LocalLow\searchquband    => Infection BT
EMPTYTEMP
EMPTYFLASH


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .   

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).   

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.   

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.   

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage 

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message   

Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)

victorh1 · Answer

Rapport ZHP : http://pjjoint.malekal.com/files.php?id=k12z9j8i5j9y14c10c14g14h6s815v15t12s10n8z13z7n15x7

juju666 · Answer

ok

&#9654 Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu''administrateur)

&#9654 Lance OTL
&#9654 Sous Personnalisation, copie-colle ce qu''il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c 
&#9654 Clique sur le bouton Analyse.
&#9654 Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

victorh1 · Answer

rapport OTL: http://pjjoint.malekal.com/files.php?id=t13o6r15h12t7i15o10x15q12x8r15b9o5b14h7n11y11b5i10i10

juju666 · Answer

'ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


&#9654 Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :


:OTL
[2011/11/11 20:06:10 | 000,000,000 | ---D | M] (uTorrentBar_FR Community Toolbar) -- C:\Users\Raphaël\AppData\Roaming\Mozilla\Firefox\Profiles\9gr2mprx.default\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} 
[2011/10/30 11:36:33 | 000,002,055 | ---- | M] () -- C:\Users\Raphaël\AppData\Roaming\Mozilla\Firefox\Profiles\9gr2mprx.default\searchplugins\daemon-search.xml 
CHR - default_search_provider: Search the web (Babylon) (Enabled)      
CHR - default_search_provider: search_url = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=b6f2ce85000000000000f80f411e01f0      
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll File not found 
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found 
O8 - Extra context menu item: Rechercher sur le Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found 
O8 - Extra context menu item: Rechercher sur le Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found 
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll File not found   
[2011/10/18 18:47:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy  
[2011/10/15 18:46:51 | 000,000,000 | -HSD | C] -- C:\Users\Raphaël\AppData\Local\e5c6cac1    

:Files
@Alternate Data Stream - 109 bytes -> C:\ProgramData\Temp:DFC5A2B2

:commands
[emptytemp]


&#9654 Clique sur « Correction » et laisse l''outil travailler. L''ordinateur redémarre.

&#9654 Copie/colle la totalité du rapport dans ta prochaine réponse.

victorh1 · Answer

rapport OTL: http://pjjoint.malekal.com/files.php?id=l14h9p14t15z10b11b6s13i14g5y9e1512b98i11v15f11i11p7

juju666 · Answer

encore des soucis ou on peut finaliser ?

victorh1 · Answer

Malwarebytes' affiche 3 trojans dans le fichier quarantaine.. 
Trojan.Backd.. 
adware Eorozo 
et trojan Banker  

sinon je nai toujours pas accès au gestionnaire et aux fonctionnalités... 
Je vais reformater tant pis....merci pour ton aide ! 
sinon, tu me conseil quoi comme anti_trojan ou programme de nétoynnage du disque... 
c cleaner est-suffissant  ou adwcleaner./...j'ai viré search  & Destroy.... 

voilà encore merci ....

juju666 · Answer

un antivirus gratuit comme avira, mse, avast 
malwarebytes antimalware

Supprimer striking search système

37 réponses