Apparition de Trojans dans les fichiers TEMP
manu78
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Depuis une semaine environ, mon antivirus Kaspersky Anti-Virus 2011 me signale tout les jours la présence de deux Chevaux de Troie dans le dossier APPDATA/LOCAL/TEMP :
- C:\USERS\GALLET\APPDATA\LOCAL\TEMP\~!#DDE2.TMP
- Trojan.Win32.Jorik.Xtoober.aou C:\USERS\GALLET\APPDATA\LOCAL\TEMP\0.4495460001506767.EXE
Je ne comprends pas pourquoi ils réapparaissent tout les jours, surtout que Kaspersky me signal au total maintenant 83 chevaux de troie, qu'il ne neutralise pas (je n'en suis pas sur) :/
Aidez-moi vite ! Merci
Depuis une semaine environ, mon antivirus Kaspersky Anti-Virus 2011 me signale tout les jours la présence de deux Chevaux de Troie dans le dossier APPDATA/LOCAL/TEMP :
- C:\USERS\GALLET\APPDATA\LOCAL\TEMP\~!#DDE2.TMP
- Trojan.Win32.Jorik.Xtoober.aou C:\USERS\GALLET\APPDATA\LOCAL\TEMP\0.4495460001506767.EXE
Je ne comprends pas pourquoi ils réapparaissent tout les jours, surtout que Kaspersky me signal au total maintenant 83 chevaux de troie, qu'il ne neutralise pas (je n'en suis pas sur) :/
Aidez-moi vite ! Merci
A voir également:
- Apparition de Trojans dans les fichiers TEMP
- Renommer plusieurs fichiers en même temps - Guide
- Fichiers epub - Guide
- Explorateur de fichiers - Guide
- Gestionnaire de fichiers - Télécharger - Gestion de fichiers
- Core temp - Télécharger - Divers Utilitaires
12 réponses
pour l instant fais ce qui est demandé en premier lieu , ensuite on utilisera un outil pour virer le rootkit
manu78
Je voudrais d'abord savoir si il n'y a aucun risque à faire le Pre_Scan et ensuite poster ouvertement le lien du document ".txt" .
oui c'est un beug de vista
regarde ici :
https://forums.commentcamarche.net/forum/affich-4203261-erreur-d-execution-du-serveur-sous-vis
regarde ici :
https://forums.commentcamarche.net/forum/affich-4203261-erreur-d-execution-du-serveur-sous-vis
salut
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
si le lien ne fonctionne pas :
http://www.archive-host.com
Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport ici et poste le lien obtenu
https://www.cjoint.com/
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
si le lien ne fonctionne pas :
http://www.archive-host.com
Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport ici et poste le lien obtenu
https://www.cjoint.com/
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Un commentaire sur :
Je ne comprends pas pourquoi ils réapparaissent tout les jours
et
- C:\USERS\GALLET\APPDATA\LOCAL\TEMP\~!#DDE2.TMP
- Trojan.Win32.Jorik.Xtoober.aou C:\USERS\GALLET\APPDATA\LOCAL\TEMP\0.4495460001506767.EXE
Xtoober = Trojan.Karagany.
C'est un Trojan qui se propage par des exploits sur site WEB.
Ton fichier 0.4495460001506767.EXE est caractéristique d'un exploit Java.
Ton fichier ~!#DDE2.TMP est caractéristique de ce pack souvent avec Trojan.NSIS qui fout Tracur et le reste.
Ces bugs sont corrigés dans des versions supérieures et donc te protègent au final, d'où le fait qu'il faut maintenir ses logiciels à jour.
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et ont des bugs qui permettent cela.
Ca signifie deux choses, par rapport à ton "réapparait" :
1/ que tu as des logiciels pas à jour sur ton PC qui permettent l'infection.
2/ que tu as l'air de retourner sur ce site qui est hacké et permet l'infectionde ton PC.
Dans la mesure du possible, faudrait identifier ce site pour ne pas que tu y retournes et éventuellement prévenir le webmaster qu'il fasse le nécessaire. Normalement la visite de ce site doit générer des alertes de ton antivirus.
Dans tous les cas, faut que tu évites de retourner sur ce site sans avoir mis à jour tous tes logiciels sinon tu vas réinfecter ton PC.
Donc pour le moment, évite de retourner sur tes sites habituels sauf ceux grand public comme ici, clubic, lemonde.fr etc.
SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
Je ne comprends pas pourquoi ils réapparaissent tout les jours
et
- C:\USERS\GALLET\APPDATA\LOCAL\TEMP\~!#DDE2.TMP
- Trojan.Win32.Jorik.Xtoober.aou C:\USERS\GALLET\APPDATA\LOCAL\TEMP\0.4495460001506767.EXE
Xtoober = Trojan.Karagany.
C'est un Trojan qui se propage par des exploits sur site WEB.
Ton fichier 0.4495460001506767.EXE est caractéristique d'un exploit Java.
Ton fichier ~!#DDE2.TMP est caractéristique de ce pack souvent avec Trojan.NSIS qui fout Tracur et le reste.
Ces bugs sont corrigés dans des versions supérieures et donc te protègent au final, d'où le fait qu'il faut maintenir ses logiciels à jour.
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et ont des bugs qui permettent cela.
Ca signifie deux choses, par rapport à ton "réapparait" :
1/ que tu as des logiciels pas à jour sur ton PC qui permettent l'infection.
2/ que tu as l'air de retourner sur ce site qui est hacké et permet l'infectionde ton PC.
Dans la mesure du possible, faudrait identifier ce site pour ne pas que tu y retournes et éventuellement prévenir le webmaster qu'il fasse le nécessaire. Normalement la visite de ce site doit générer des alertes de ton antivirus.
Dans tous les cas, faut que tu évites de retourner sur ce site sans avoir mis à jour tous tes logiciels sinon tu vas réinfecter ton PC.
Donc pour le moment, évite de retourner sur tes sites habituels sauf ceux grand public comme ici, clubic, lemonde.fr etc.
SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je ne sais pas, peut être que le document texte contiendrait des informations importantes de mon pc qui pourrait facilement être crackées... (je me trompe surement je voulais juste etre sûr)
des informations ? ben oui il en contient sinon comment on fait pour desinfecter si on ne sait pas ce qu il y a dans le pc ?
mais importantes qui soient crackées ? non je ne vois pas....
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
mais importantes qui soient crackées ? non je ne vois pas....
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
http://cjoint.com/?ALcrV6NOiPf
Voilà, en tout cas merci beaucoup de m'aider et désolé de vous avoir fait patienter.
Voilà, en tout cas merci beaucoup de m'aider et désolé de vous avoir fait patienter.
▶ Télécharge Reload_TDSSKiller
▶ Lance le
choisis : lancer le nettoyage
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
===============================
desinstalle si possible :
ref cake 4
MyWebSearch bar Uninstall
autocompletePro
myweb search
FunWebProducts
===================================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
Lance Pre_script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Store file readme bash"=-
"MyWebSearch Email Plugin"=-
"Error mail"=-
"Acer Tour Reminder"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acer Tour"=-
"eRecoveryService"=-
"My Web Search Bar Search Scope Monitor"=-
"MyWebSearch Email Plugin"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"iTunesHelper"=-
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
[-HKEY_CLASSES_ROOT\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07B18EA9-A523-4961-B6BB-170DE4475CCA}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{07B18EA9-A523-4961-B6BB-170DE4475CCA}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[-HKEY_CLASSES_ROOT\CLSID\{00A6FAF1-072E-44cf-8957-5838F569A31D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00A6FAF1-072E-44cf-8957-5838F569A31D}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{00A6FAF1-072E-44cf-8957-5838F569A31D}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{00A6FAF1-072E-44cf-8957-5838F569A31D}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00A6FAF1-072E-44cf-8957-5838F569A31D}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00A6FAF1-072E-44cf-8957-5838F569A31D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{00A6FAF1-072E-44cf-8957-5838F569A31D}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{00A6FAF1-072E-44cf-8957-5838F569A31D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{00A6FAF1-072E-44cf-8957-5838F569A31D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{00A6FAF1-072E-44cf-8957-5838F569A31D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00A6FAF1-072E-44cf-8957-5838F569A31D}"=-
[-HKEY_CLASSES_ROOT\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0FB6A909-6086-458F-BD92-1F8EE10042A0}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0FB6A909-6086-458F-BD92-1F8EE10042A0}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{0FB6A909-6086-458F-BD92-1F8EE10042A0}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0FB6A909-6086-458F-BD92-1F8EE10042A0}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0FB6A909-6086-458F-BD92-1F8EE10042A0}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{0FB6A909-6086-458F-BD92-1F8EE10042A0}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{0FB6A909-6086-458F-BD92-1F8EE10042A0}"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA}]
[-HKCU\Software\Audio aim cdromSign]
[-HKCU\Software\AutocompletePro]
[-HKCU\Software\AutocompleteProBHO]
[-HKCU\Software\FunWebProducts]
[-HKCU\Software\MyWebSearch]
[-HKLM\Software\FocusInteractive]
[-HKLM\Software\Fun Web Products]
[-HKLM\Software\FunWebProducts]
[-HKLM\Software\MyWebSearch]
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=DWORD:00000000
list::
C:\xcas
file::
C:\tmp
C:\ProgramData\about send wait.9wi4mk7
C:\ProgramData\gpl download move.5qksla
C:\ProgramData\Trust dart manager.qzu4nb
C:\ProgramData\Upload Bags Bags.1pok0hz
C:\ProgramData\Upload Bags Bags.1t39s
C:\ProgramData\Upload Bags Bags.44szeqx
C:\ProgramData\Upload Bags Bags.4g1b4d
C:\ProgramData\Upload Bags Bags.6eonm60
C:\ProgramData\Upload Bags Bags.6omrczd
C:\ProgramData\Upload Bags Bags.bgpwgmn
C:\ProgramData\Upload Bags Bags.hb0ic
folder::
C:\tmp
C:\ProgramData\city about store file
C:\ProgramData\proxy dash
C:\Program Files\AutocompletePro
C:\Program Files\FunWebProducts
C:\Program Files\MyWebSearch
Driver::
MyWebSearchService
My Web Search Service
Host::
attrib::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
==========================================
Télécharge et enregistre ADWcleaner sur ton bureau :
ADWCleaner (Merci à Xplode)
Lance le,
clique sur suppression et poste son rapport.
===================================
▶ Télécharge ici : Ad-remover sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
▶ Lance le
choisis : lancer le nettoyage
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
===============================
desinstalle si possible :
ref cake 4
MyWebSearch bar Uninstall
autocompletePro
myweb search
FunWebProducts
===================================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
Lance Pre_script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Store file readme bash"=-
"MyWebSearch Email Plugin"=-
"Error mail"=-
"Acer Tour Reminder"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acer Tour"=-
"eRecoveryService"=-
"My Web Search Bar Search Scope Monitor"=-
"MyWebSearch Email Plugin"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"iTunesHelper"=-
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
[-HKEY_CLASSES_ROOT\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07B18EA9-A523-4961-B6BB-170DE4475CCA}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{07B18EA9-A523-4961-B6BB-170DE4475CCA}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[-HKEY_CLASSES_ROOT\CLSID\{00A6FAF1-072E-44cf-8957-5838F569A31D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00A6FAF1-072E-44cf-8957-5838F569A31D}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{00A6FAF1-072E-44cf-8957-5838F569A31D}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{00A6FAF1-072E-44cf-8957-5838F569A31D}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00A6FAF1-072E-44cf-8957-5838F569A31D}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00A6FAF1-072E-44cf-8957-5838F569A31D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{00A6FAF1-072E-44cf-8957-5838F569A31D}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{00A6FAF1-072E-44cf-8957-5838F569A31D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{00A6FAF1-072E-44cf-8957-5838F569A31D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{00A6FAF1-072E-44cf-8957-5838F569A31D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00A6FAF1-072E-44cf-8957-5838F569A31D}"=-
[-HKEY_CLASSES_ROOT\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0FB6A909-6086-458F-BD92-1F8EE10042A0}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0FB6A909-6086-458F-BD92-1F8EE10042A0}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{0FB6A909-6086-458F-BD92-1F8EE10042A0}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0FB6A909-6086-458F-BD92-1F8EE10042A0}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0FB6A909-6086-458F-BD92-1F8EE10042A0}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{0FB6A909-6086-458F-BD92-1F8EE10042A0}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{0FB6A909-6086-458F-BD92-1F8EE10042A0}"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA}]
[-HKCU\Software\Audio aim cdromSign]
[-HKCU\Software\AutocompletePro]
[-HKCU\Software\AutocompleteProBHO]
[-HKCU\Software\FunWebProducts]
[-HKCU\Software\MyWebSearch]
[-HKLM\Software\FocusInteractive]
[-HKLM\Software\Fun Web Products]
[-HKLM\Software\FunWebProducts]
[-HKLM\Software\MyWebSearch]
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=DWORD:00000000
list::
C:\xcas
file::
C:\tmp
C:\ProgramData\about send wait.9wi4mk7
C:\ProgramData\gpl download move.5qksla
C:\ProgramData\Trust dart manager.qzu4nb
C:\ProgramData\Upload Bags Bags.1pok0hz
C:\ProgramData\Upload Bags Bags.1t39s
C:\ProgramData\Upload Bags Bags.44szeqx
C:\ProgramData\Upload Bags Bags.4g1b4d
C:\ProgramData\Upload Bags Bags.6eonm60
C:\ProgramData\Upload Bags Bags.6omrczd
C:\ProgramData\Upload Bags Bags.bgpwgmn
C:\ProgramData\Upload Bags Bags.hb0ic
folder::
C:\tmp
C:\ProgramData\city about store file
C:\ProgramData\proxy dash
C:\Program Files\AutocompletePro
C:\Program Files\FunWebProducts
C:\Program Files\MyWebSearch
Driver::
MyWebSearchService
My Web Search Service
Host::
attrib::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
==========================================
Télécharge et enregistre ADWcleaner sur ton bureau :
ADWCleaner (Merci à Xplode)
Lance le,
clique sur suppression et poste son rapport.
===================================
▶ Télécharge ici : Ad-remover sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
