Rapport Avira 6 virus, 2 fichiers supprimés Fermé

Question

Bonjour, 

J'ai téléchargé Avira Antivir tout récemment et j'ai fais un scan. Ce scan m'a donné ce résultat : 

36168 Les répertoires ont été contrôlés
 631694 Des fichiers ont été contrôlés
      6 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      2 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      0 Impossible de scanner des fichiers
 631688 Fichiers non infectés
   8122 Les archives ont été contrôlées
      0 Avertissements
    184 Consignes
 650964 Des objets ont été contrôlés lors du Rootkitscan
    191 Des objets cachés ont été trouvés

J'ai lu sur un forum qu'il ne fallait pas s'inquiéter des objets cachés (quoiqu'une confirmation serait bienvenue) mais ce qui me tracasse sont les 6 virus détectés. Une fois le scan terminé, il m'a ouvert une fenêtre avec 2 virus que je pouvais mettre en quarantaine (je les ai supprimés à la place) mais... ou sont les 4 autres ??? 

Merci d'avance pour vos conseils... 

Configuration: Windows Vista / Firefox 3.6.23

juju666 · Answer

Hello avec le rapport complet ça serait mieux

Break · Answer

Le site me dit d'écrire correctement sans faire de faute si je copie mon rapport... comment je fais ?

Navid_92 · Answer

[#] Postes le dernier rapport en date, dans lequel s'ont présent les 6 virus, dans ta prochaine réponse, afin que juju te prenne en main bien comme il faut.

[#] Voici un tutoriel pour récupérer le rapport si tu veux : 
Comment poster un rapport d'analyse avira antivir sur un forum ?

Break · Answer

http://cjoint.com/?0Kuooy3qVqe

Le voici !

juju666 · Answer

C'était un exploit java.

Nous allons effectuer un diagnostic de ton PC: 

&#9654 Télécharge ZHPDiag 

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et  "Exécuter ZHPDiag" 

&#9654 Clique sur l'icône représentant un tournevis vert et coche tout, puis sur l'icone représentant une loupe (« Lancer le diagnostic ») 

&#9654 Durant le scan, accepte l'installation de SigCheck

&#9654 Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau.

Voici comment procéder

&#9654 Rends toi sur pjjoint.malekal.com 
&#9654 Clique sur le bouton Parcourir 
&#9654 Sélectionne le fichier que tu veux héberger et clique sur Ouvrir 
&#9654 Clique sur le bouton Envoyer 
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 

&#9654 Copie le lien dans ta prochaine réponse. 

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=13 

A bientôt.

Break · Answer

Merci. J'ai tout fait, et voici le lien du rapport : 

http://pjjoint.malekal.com/files.php?id=ZHPDiag_f5j5n5y8x11b12l13p11o6j11s11r10g11r14x10q14c13b7k10i13

juju666 · Answer

Eh ben t'es encore bien infecté.

Télécharge ce tool : http://batchdhelus.open-web.fr/programme/MalwaresUploader.exe
Puis tu coches Malekal à gauche
Dans le cadre en bas, copie/colle les chemins des fichiers suivants : 

C:\Users\Sakisha\Protection1252.exe    

et tu cliques sur Upload en bas

~~

&#9654 Télécharge sur le bureau RogueKiller  (par tigzy)   

&#9654 &#9654 Sous Windows XP, double clic gauche   

&#9654 &#9654  Sous Vista/Seven, clique droit, lancer en tant qu'administrateur   

&#9654 Quitte tous tes programmes en cours   
&#9654 Lance RogueKiller.exe.   
&#9654 Un scan se lance, puis tu verra d''indiqué dans la fenêtre  
&#9830 1. Recherche (écrit en vert) 
&#9830 2. Suppression(écrit en rouge)  
&#9830 3. Hosts RAZ (écrit en rouge)  
&#9830 4. Proxy RAZ (écrit en rouge) 
&#9830 5. DNS RAZ (écrit en rouge) 
&#9830 6. Raccourcis RAZ (écrit en rouge) 
&#9830 0. Quitter (écrit en vert) 
&#9654  A ce moment tape 1 et valide   

&#9654 Une fois terminé, un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse.
&#9654 Utilise l'option 0 pour fermer RogueKiller à ce moment là.

&#9654 Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=24

Break · Answer

Ah... bon sang, encore tout ça a télécharger ? Okay... et après je pourrais les supprimer ou je dois tout garder ? Autre question, le seul chemin que je devrais coller c'est ça ? C:\Users\Sakisha\Protection1252.exe  ?
Et j'ai pas compris à quoi va servir le tool... ? ><

Break · Answer

Et y'a pas de dangers pour moi côté confidentialité ? 

Y'a aucun autre moyen ?

Ah, et puisque j'y suis autant faire ma culture : qu'est-ce qu'un rogue ?

juju666 · Answer

Un rogue est un faux logiciel de sécurité.
Non, pas de problème de confidentialité, t'inquiète pas.

Break · Answer

Voici mon rapport avec RogueKiller !

RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: Sakisha [Droits d'admin]
Mode: Recherche -- Date : 20/11/2011 15:26:55

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] Protection1252.exe -- C:\Users\Sakisha\Protection1252.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 11 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : tempHome (C:\Users\Sakisha\AppData\Local\Temp\racourci.vbe) -> FOUND
[SUSP PATH] HKCU\[...]\Run : Protection (C:\Users\Sakisha\Protection1252.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3070037912-2032824382-4025090170-1000[...]\Run : tempHome (C:\Users\Sakisha\AppData\Local\Temp\racourci.vbe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3070037912-2032824382-4025090170-1000[...]\Run : Protection (C:\Users\Sakisha\Protection1252.exe) -> FOUND
[SUSP PATH] Protection.lnk : C:\Users\Sakisha\Protection.exe -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

juju666 · Answer

ok

si tu peux recommencer la manip avec malware uploader pour ce fichier : 

C:\Users\Sakisha\AppData\Local\Temp\racourci.vbe

merci d'avance

~~

Relance RogueKiller option 2 puis poste le rapport. Ferme le rapport, option 0 ça va fermer roguekiller correctement.

~~

&#9654 Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
&#9654 Effectue la mise à jour et lance Malwarebytes' Anti-Malware

&#9654 &#9654 Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

&#9654 Clique dans l'onglet du haut "Recherche"
&#9654 Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
&#9654 Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#9654 Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#9654 Clique sur OK puis "Afficher les résultats"
&#9654 Choisis l'option "Supprimer la sélection"
&#9654 Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#9654 Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#9654 Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=10

Break · Answer

Malware refuse le C:\Users\Sakisha\AppData\Local\Temp\racourci.vbe 

Il me dit qu'il faut choisir un fichier valide.

juju666 · Answer

rends toi là : C:\Users\Sakisha\AppData\Local\Temp
tu fais clic droit -> envoyer vers -> dossier compressé sur racourci.bve
puis tu mets ça dans malware uploader : 

C:\Users\Sakisha\AppData\Local\Temp\racourci.zip

Break · Answer

Attennd attend, je dois mettre TOUT CA en dossier zip ? O__O

Break · Answer

sur racourci.bve ? C'est à dire ? ><

Désolé.

juju666 · Answer

Ton infection venait d'une faille Java.
L'installation s'est déroulée silencieusement par une faille dans ta console java donc.
Le but étant de récupérer les dernières adresses visitées pour trouver l'adresse WEB source de ton infection pour la transmettre aux éditeurs d'antivirus : http://www3.malekal.com/malwares/

    Pour cela, télécharge Mozilla History View : http://www.nirsoft.net/utils/mozillahistoryview.zip si tu navigue sur firefox, ou IE History view http://www.nirsoft.net/utils/iehv.zip si tu navigue sur internet explorer.
    Lance le et trie les adresses par date de visite (cliquer sur la colonne : Last visit ou Modifier)
    Sélectionne les adresses Web du jour et clic sur la disquette en icone dans la barre d'icone.
    Enregistre le fichier url.txt sur ton bureau.
    Pour le transmettre :

* Soit copier/coller ici si ça te gène pas.
* Soit en message privé.
* Soit Envoie url.txt sur http://upload.malekal.com

~~

Il ya encore des adwares.

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Recherche] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=16

Break · Answer

Okay merci. Vu que j'ai utilisé internet explorer jusqu'à hier, on va faire avec celui-là (après une attaque de virus et avoir immédiatement redémarré en mode sans échec pour faire une restauration, j'ai décidé de changer). J'ai juste quelque petites questions :
 -qu'est-ce que tu entends par "sélectionner les adresses du jour" ? je ne suis pas forcément allé sur le site en question hier ou aujourd'hui, non ? 
- qu'est-ce que sont des adwares ?
- et enfin, tu m'as fait télécharger un tas de trucs, ma question à présent est : lesquels dois-je garder et quand dois-je les utiliser ? À quoi me serviront-ils ? (mes connaissances étant limitées, je ne comprends pas la portée totale de leur capacités)

juju666 · Answer

En effet, il me faudrait les adresses d'hier :)
Un adware est un publiciel, il t'affiche des pubs à ton insu ou modifie la page d'accueil de ton navigateur, mais peut également rediriger tes recherches ou t'installer une toolbar.

De tous les outils que nous utilisons, seul un tu pourras conserver, c'est malwarebytes, les autres étant "portables" (ne nécessitent pas d'installation) il sont mis à jour régulièrement , il faut donc les retélécharger.

Break7 · Answer

Historique envoyé. je m'occupe du prochain rapport.

Break7 · Answer

Voici le rapport avec AdwCleaner

# AdwCleaner v1.319 - Rapport créé le 20/11/2011 à 21:47:35
# Mis à jour le 20/11/11 à 11h par Xplode
# Système d'exploitation : Windows (TM) Vista Home Premium Service Pack 2 (64 bits)
# Nom d'utilisateur : Sakisha - PC-DE-SAKISHA (Administrateur)
# Exécuté depuis : C:\Users\Sakisha\Downloads\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\Sakisha\AppData\Local\AskToolbar
Dossier Présent : C:\Users\Sakisha\AppData\LocalLow\AskToolbar
Dossier Présent : C:\Users\Sakisha\AppData\LocalLow\ShoppingReport2
Dossier Présent : C:\Program Files (x86)\Ask.com
Dossier Présent : C:\Program Files (x86)\Conduit
Dossier Présent : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Dossier Présent : C:\Users\Sakisha\AppData\Roaming\Mozilla\Firefox\Profiles\e0x1hmi1.default\extensions	oolbar@ask.com
Fichier Présent : C:\Users\Sakisha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chat-Land site de chat et de rencontre gratuit.URL
Fichier Présent : C:\Users\Sakisha\errorlog.tmp
Fichier Présent : C:\Program Files (x86)\Mozilla Firefox\.autoreg
Fichier Présent : C:\Users\Sakisha\AppData\Roaming\Mozilla\Firefox\Profiles\e0x1hmi1.default\searchplugins\Askcom.xml

***** [Registre] *****

Clé Présente : HKCU\Software\Ask.com
Clé Présente : HKCU\Software\AskToolbar
Clé Présente : HKCU\Software\APN
Clé Présente : HKCU\Software\AppDataLow\AskToolbarInfo
Clé Présente : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Présente : HKCU\Software\AppDataLow\Software\Conduit
Clé Présente : HKCU\Software\AppDataLow\Software\ShoppingReport2
Clé Présente : HKLM\SOFTWARE\AskToolbar
Clé Présente : HKLM\SOFTWARE\APN
Clé Présente : HKLM\SOFTWARE\Conduit
Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Présente : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Présente : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{618aad04-921f-44c2-be38-c0818af69861}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{d3a412e8-1e4b-47d2-9b12-f88291f5afbb}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{B5D2ED96-62F9-4C2C-956D-E425B1F67337}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A1F1ECD3-4806-44C6-A869-F0DADF11C57C}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ShoppingReport2
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec search-web
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\chat-land.org
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow [*.chat-land.org]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

***** [Registre (x64)] *****

Clé Présente : HKCU\Software\Ask.com
Clé Présente : HKCU\Software\AskToolbar
Clé Présente : HKCU\Software\APN
Clé Présente : HKCU\Software\AppDataLow\AskToolbarInfo
Clé Présente : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Présente : HKCU\Software\AppDataLow\Software\Conduit
Clé Présente : HKCU\Software\AppDataLow\Software\ShoppingReport2
Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Présente : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Présente : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Présente : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Présente : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{618aad04-921f-44c2-be38-c0818af69861}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{d3a412e8-1e4b-47d2-9b12-f88291f5afbb}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{B5D2ED96-62F9-4C2C-956D-E425B1F67337}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A1F1ECD3-4806-44C6-A869-F0DADF11C57C}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ShoppingReport2
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec search-web
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\chat-land.org
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow [*.chat-land.org]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.19154

[HKCU\Software\Microsoft\Internet Explorer\Main - Search Page] = hxxp://www.search-web.net/?nav=if&zon=Spie
[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.search-web.net?nav=if&zon=Stpie
[HKCU\Software\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://www.search-web.net
[HKCU\Software\Microsoft\Internet Explorer\Main - Default_Secondary_Page_URL] = hxxp://www.search-web.net
[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page_bak] = hxxp://www.search-web.net?nav=if&zon=Stbpie
[HKCU\Software\Microsoft\Internet Explorer\Main - Search Bar] = hxxp://www.search-web.net
[HKCU\Software\Microsoft\Internet Explorer\Main - Default_Search_URL] = hxxp://www.search-web.net/keyword/
[HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultName] = search-web.net
[HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultURL] = hxxp://www.search-web.net/results.php?cx=partner-pub-4817357351118828%3Avhr5ng8vpns&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&ie=iso-8859-1&oe=iso-8859-1&q={searchTerms}

-\ Mozilla Firefox v3.6.24 (fr)

Profil : e0x1hmi1.default
Fichier : C:\Users\Sakisha\AppData\Roaming\Mozilla\Firefox\Profiles\e0x1hmi1.default\prefs.js

Présente : user_pref("browser.search.defaultengine", "Ask.com");
Présente : user_pref("browser.search.defaultenginename", "Ask.com");
Présente : user_pref("browser.search.order.1", "Ask.com");
Présente : user_pref("browser.search.selectedEngine", "Ask.com");
Présente : user_pref("browser.startup.homepage", "hxxp://www.search-web.net/?nav=ff&zon=hp");
Présente : user_pref("extensions.asktb.InstallDir", "C:\Program Files (x86)\Ask.com\");
Présente : user_pref("extensions.asktb.cbid", "HA");
Présente : user_pref("extensions.asktb.config-updated", true);
Présente : user_pref("extensions.asktb.crumb", "2010.10.28+10.47.57-toolbar003iad-CH-WnVyaWNoLFN3aXR6ZXJsYW5k")[...]
Présente : user_pref("extensions.asktb.default-channel-url-mask", "hxxp://www.ask.com/web?q={query}&o={o}&l={l}[...]
Présente : user_pref("extensions.asktb.dtid", "YYYYYYYYCH");
Présente : user_pref("extensions.asktb.ff-original-keyword-url", "hxxp://websearch.ask.com/redirect?client=ff&s[...]
Présente : user_pref("extensions.asktb.first-launch-url", "hxxp://www.avs4you.com/fr/Register.aspx?ProgID=21&Ty[...]
Présente : user_pref("extensions.asktb.first-restart-after-config-update", true);
Présente : user_pref("extensions.asktb.fresh-install", false);
Présente : user_pref("extensions.asktb.guid", "FFF49AB8-B81F-45D8-BD34-A3B7090FEDD2");
Présente : user_pref("extensions.asktb.hxxp-header-whitelist-hosts", "[\"static-dev.en.dev.ask.com\", \"ask.com[...]
Présente : user_pref("extensions.asktb.if", "su");
Présente : user_pref("extensions.asktb.l", "dis");
Présente : user_pref("extensions.asktb.last-config-req", "1321785419413");
Présente : user_pref("extensions.asktb.last-search-timestamp", "1319340454275");
Présente : user_pref("extensions.asktb.last-v", "3.12.2.100007");
Présente : user_pref("extensions.asktb.locale", "en_US");
Présente : user_pref("extensions.asktb.location", "Zurich,Switzerland");
Présente : user_pref("extensions.asktb.o", "15467");
Présente : user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
Présente : user_pref("extensions.asktb.qsrc", "2871");
Présente : user_pref("extensions.asktb.r", "3");
Présente : user_pref("extensions.asktb.sa", "YES");
Présente : user_pref("extensions.asktb.saguid", "13066049-7839-48FE-8E9D-C3F3298B143E");
Présente : user_pref("extensions.asktb.search-history-queries", "ouistiti||google||canaan");
Présente : user_pref("extensions.asktb.search-plugin-suggestions-url", "hxxp://ss.websearch.ask.com/query?qsrc=[...]
Présente : user_pref("extensions.asktb.search-suggestions-enabled", true);
Présente : user_pref("extensions.asktb.search-suggestions-uri", "hxxp://ss.websearch.ask.com/query?qsrc=2922&li[...]
Présente : user_pref("extensions.asktb.silent-upgrade", true);
Présente : user_pref("extensions.asktb.silent-upgrade-from-pre-newtabs-build", true);
Présente : user_pref("extensions.asktb.themeid", "");
Présente : user_pref("extensions.asktb.utorrent.isCollapsed", true);
Présente : user_pref("extensions.asktb.utorrent.useOneClickMagnets", false);
Présente : user_pref("extensions.asktb.utpairkey", "206DF87A4D2B14B80E704931E33E79C5DDDABAC5");
Présente : user_pref("extensions.enabledItems", "toolbar@ask.com:3.13.1.100008,{CAFEEFAC-0016-0000-0024-ABCDEFF[...]
Présente : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=UTR&o=15467&locale=e[...]

*************************

AdwCleaner[R1].txt - [13600 octets] - [20/11/2011 21:47:35]

########## EOF - C:\AdwCleaner[R1].txt - [13729 octets] ##########

Break7 · Answer

Ah, et j'ai un dossier intitulé RK_Quarantine contenant 9 éléments aux noms bizarres.... (il me semble qu'avant il n'y en avait que 2 et ensuite 6 ><) J'en fais quoi ?

juju666 · Answer

tout cela sera supprimé par la suite :-)

Break7 · Answer

Je suis sûre de t'avoir tout passé mon historique du 19... 
J'ai envoyé sur le site, c'est fait.

Ah... chat-land. J'y suis allé faire un tour occasionnellement mais n'y suis plus retournée depuis au moins 3-4 semaines.... il ne pouvait pas être dans mon historique du 19 ! Oo Mais bon, ça m'étonne pas... (je confirme, MAGNIFIQUE SITE. -_-')

Ah, pour plus de sécurité dois-je aller supprimer mon compte ou vaut-il mieux ne pas retourner sous la page tout court ?

juju666 · Answer

n'y retourne pas ça vaut mieux :)

Break7 · Answer

D'accord.... et maintenant on a fini ? O.O
>> et pour ce fameux dossier, il part quand ?

juju666 · Answer

bah j'attends adwcleaner :)

Break7 · Answer

Voici... (il me semblait l'avoir déjà passé, mais apparemment non).

https://www.cjoint.com/?AKuwtBUANyg

juju666 · Answer

En effet, non x)

Relance AdwCleaner, clique cette fois sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=16

Break7 · Answer

Dis-moi juste, cette fois est la bonne ou j'en ai encore pour longtemps à télécharger/envoyer des rapports ? (je demande parce qu'il se fait tard mais que j'aimerais boucler ça tout en voulant éviter de perdre le contact d'ici demain ^^)

juju666 · Answer

mdr
on continue demain si tu préfères, tfaçon j'vais trainer à roupiller ;)

Break7 · Answer

Oay alors ! XD On continue demain aprèm' ! Passe une bonne nuit et déjà merci pour tout!!! 
^^/

juju666 · Answer

yep pas de soucis, merci à toi aussi :)

Break7 · Answer

De rien ! :D 
J'adore me faire pirater pour vous aider ! (faut bien quelqu'un pour le faire)
>> mais t'as pas répondu mon grand, ça va prendre encore long ? 
Bonne nuit ! ^^

juju666 · Answer

Tout cela est relatif à ce que je vais encore découvrir sur ta bécane :)

Break7 · Answer

Hello ! Voilà mon nouveau scan avec adwcleaner. 

https://www.cjoint.com/?AKvsgOf6vNm

juju666 · Answer

Salut :-)

&#9654  Télécharge AD-Remover sur ton Bureau : (TeamXScript) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Scanner » 
&#9654 Confirme le lancement du scan 
&#9654 Laisse travailler l'outil. 
&#9654 Quand il a fini, un rapport s'ouvrira : ferme le.

&#9830 Pour me transmettre le rapport

clique sur ce lien : https://www.cjoint.com/

? Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt

? Clique sur Ouvrir.

? Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cjoint.com/SKAP5fU.txt

est ajouté dans la page.

? Copie ce lien dans ta réponse.

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=3

Break7 · Answer

Voici mon rapport !

https://www.cjoint.com/?AKvvfNFERZJ

juju666 · Answer

ok !

&#9654 Relance AD-Remover, clique sur [ Nettoyer ]
&#9654 Laisse le pc redémarrer.
&#9654 Une fois revenu sur le bureau, le rapport devrait s'ouvrir : ferme-le

&#9830 Pour me transmettre le rapport

clique sur ce lien : https://www.cjoint.com/

&#9654 Clique sur Parcourir et cherche le fichier C:\Ad-Report-CLEAN[1].txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cjoint.fr/SKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=3

Break7 · Answer

Hello, j'ai fais le nettoyage mais aucun rapport en vue. Et si je le cherche sur mon ordi, aucune trace d'un fichier pareil. Il n'y a que le rapport du scan. Je dois recommencer ? ><

juju666 · Answer

Il est à C:\AD-Remover[Scan]1.txt

Break7 · Answer

Le rapport est définitivement inexistant. >< Va falloir que je refasse le nettoyage, dès que j'ai le temps. *a cherché partout* (désolé pour mon silence, boulot)

juju666 · Answer

oui refais alors ..

Break2 · Answer

Salut.
J'ai refais le scan et juste avant qu'il ne ferme mon ordi, il m'a dit que le rapport se trouvait à C:\AD-Remover[Scan]2.txt (donc il y en avait bien eu un), mais à nouveau impossible de le trouver. O_o Il n'apparait nul part !!!

Break2 · Answer

J'obtiens 2 raccourcis, le logiciel d'installation, le scan-repport, de quoi désinstaller et des raccourcis... aucun autre rapport. ><

juju666 · Answer

tant pis fais le nettoyage

Break2 · Answer

Ca a été fait.

juju666 · Answer

ok

&#9654 Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
&#9654 Effectue la mise à jour et lance Malwarebytes' Anti-Malware

&#9654 &#9654 Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

&#9654 Clique dans l'onglet du haut "Recherche"
&#9654 Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
&#9654 Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#9654 Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#9654 Clique sur OK puis "Afficher les résultats"
&#9654 Choisis l'option "Supprimer la sélection"
&#9654 Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#9654 Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#9654 Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=10

Break7 · Answer

Hello ! Voici mon rapport !
http://cjoint.com/?ALbum4PaBFM 
Aucun fichier infecté détecté !!! ^^

juju666 · Answer

Salut on voit le bout du tunnel on se quitte bientot :) :(

relance un dernier zhpdiag (que tu hébergeras) pour controle

Break7 · Answer

Hop, le voici !
http://cjoint.com/?ALej23CI4yA

Break7 · Answer

Je suis toujours là. u_u' Mais disons que j'ai attendu de voir ce qu'il se passait avec ce nouvel et impromptu arrivant... (et que j'ai pas fait de conneries). 
Donc nous disions ? ^^'

juju666 · Answer

ZHPDiag pas à jour 

~~

Désinstalle Avast 

~~

C:\Program Files (x86)\Plextor\PlexIcon.exe   

toi connaitre ou toi pas connaitre ?

~~

O15 - Trusted Zone: [HKCU\...\Domains] *.chat-land.com    => 

Évites de te rendre sur chat-land .... (quel magnifique site entre nous)

~~

Normal ton IP ? http://whois.domaintools.com/10.0.254.3

~~

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )    


O15 - Trusted Zone: [HKCU\...\Domains] *.search-web.net    => Infection BT (Hijacker.ChercheUS)
O15 - Trusted Zone: [HKCU\...\Domains\www] *.search-web.net    => Infection BT (Hijacker.ChercheUS)
[MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task] (...) -- C:\Program Files (x86)\HBLite\bin\11.0.384.0\HBLiteSA.exe (.not file.)    => Infection BT (Adware.HotBar)
R3 - URLSearchHook: (no name) [64Bits] - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} . (...) (No version) -- (.not file.)    => Eazel-FR Toolbar
R3 - URLSearchHook: Eazel-FR Toolbar [64Bits] - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} . (.Conduit Ltd. - Conduit Toolbar.) (5, 2, 3, 1) -- C:\Program Files (x86)\Eazel-FR	bEaz1.dll
O2 - BHO: Eazel-FR Toolbar [64Bits] - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Eazel-FR	bEaz1.dll
[MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files (x86)\Ask.com\UpdateTask.exe (.not file.)    => Toolbar.Ask
O42 - Logiciel: Eazel-FR Toolbar - (.Pas de propriétaire.) [HKLM] -- Eazel-FR Toolbar    => Eazel-FR Toolbar
[MD5.ED92900BF225E26A4E54C2C14FA1424F] [SPRF][10.09.2011] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Sakisha\AppData\Local\Temp\AskSLib.dll   [246440]
C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar    => Toolbar.Ask
EMPTYTEMP
EMPTYFLASH


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .   

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).   

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.   

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.   

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage 

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message   

Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=12

Break7 · Answer

...

ZHPDiag pas à jour >> je dois le mettre à jour ? 


Dans mes programmes, y'a plus d'Avast depuis un moment. je l'ai déjà désinstallé ! ><'' 

C:\Program Files (x86)\Plextor\PlexIcon.exe > Moi connaître. C'est le programme d'une vieille tablette graphique qu'on m'a donné. 

J'ai arrêté d'aller sur chat-land depuis des semaines... (parce que ça pas en valloir la peine).

Normal ton IP ? http://whois.domaintools.com/10.0.254.3 >> Heu... wtf is that ? 

>> je fais le copier/coller/rapport dès que tu m'as répondu...

juju666 · Answer

oui ok fais le zhpfix puis on va voir :)

Break7 · Answer

Okay, mais tu m'as pas fait installer le zhp fix. juste le diag. link ?

Rapport Avira 6 virus, 2 fichiers supprimés

56 réponses

Discussions similaires