blocage PC : activitées illégalles????

Question

Bonjour, 


comme lolo93300 quand j'allume mon portable je tombe sur une page sur laquelle on me dit que "des activités illégales ont été détectés sur mon ordinateur" et que mon système d'exploitation a été verrouillé" et que mon adresse IP à été signalée aux autorités policières " !!!!!!!!
merci pour l'aide, sachant que je ne suis pas un fortich. en informatique

Windows seven / Firefox / avira antivir/malwarebytes'anti-malware

jlpjlp · Answer

slt 

colle un rapport avec roguekiller option 2 


puis télécharge malwarebyte, mets le à jour et colle un rapport d'analyse rapide avec 

puis 

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic) 

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " ) 

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message 

ou sinon pour transmettre ton rapport: 
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports. 
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

griou42 · Answer

merci jlpjlp pour ton aide 1- rapport roguekiller mode 2 RogueKiller V6.1.12 [02/12/2011] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: gégé [Droits d'admin] Mode: Suppression -- Date : 07/12/2011 13:53:41 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 3 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : avupdate (C:\Users\gégé\AppData\Roaming\mahmud.exe) -> DELETED [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NOT LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com [...] Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt 2- rapport malwarebits' anti-malware Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Version de la base de données: 8327 Windows 6.1.7601 Service Pack 1 (Safe Mode) Internet Explorer 8.0.7601.17514 07/12/2011 14:13:47 mbam-log-2011-12-07 (14-13-47).txt Type d'examen: Examen rapide Elément(s) analysé(s): 169565 Temps écoulé: 2 minute(s), 46 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 11 Valeur(s) du Registre infectée(s): 2 Elément(s) de données du Registre infecté(s): 2 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 2 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): HKEY_CLASSES_ROOT\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Not selected for removal. HKEY_CLASSES_ROOT\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Not selected for removal. HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Not selected for removal. HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Not selected for removal. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Not selected for removal. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Not selected for removal. HKEY_CLASSES_ROOT\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Not selected for removal. HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Not selected for removal. HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Not selected for removal. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Not selected for removal. Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> Not selected for removal. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> Not selected for removal. Elément(s) de données du Registre infecté(s): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://startsear.ch/?aff=1) Good: (http://www.google.com) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://startsear.ch/?aff=1) Good: (http://www.google.com) -> Quarantined and deleted successfully. Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): c:\program files (x86)\vshare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Not selected for removal. c:\Users\gégé\AppData\Roaming\mahmud.exe (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully. 3-rapport ZHPdiag http://cjoint.com/?ALhoV6jtN9d voila jlpjlp, j'espère que je n'ai pas commis d'erreur! merci encore pour ton aide

jlpjlp · Answer

pour malwarebyte il fallait tout séléctionner et tout supprimer!

puis passe zhpdiag

a plus

griou42 · Answer

bonsoir jlpjlp,

merci pour ton aide;

je viens de repasser malwarebyte, rapport ci dessous:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8328

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

07/12/2011 17:40:03
mbam-log-2011-12-07 (17-40-03).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 170050
Temps écoulé: 5 minute(s), 8 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)




ensuite zhpdiag,

	http://cjoint.com/?ALhr6Ejajcg  
  	
	bonne reception

  ps: il semble que le pb soit réglé, j'ai pu me connecter et utuiliser les logiciels sans ennui

cordialement

jlpjlp · Answer

le lien passe pas

griou42 · Answer

je fais un nouvel essai


http://cjoint.com/?ALhtFNMDCxY

jlpjlp · Answer

non le site doit avoir un problème
fais ici:

http://pjjoint.malekal.com/

griou42 · Answer

bonjour jlpjlp

voici le rapport, en espérant qu'il soit exploitable

slts


: http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111208_y12z1497q6

jlpjlp · Answer

ok colle un rapport de suppression avec ad remover

puis remets un rapport zhpdiag

a plus

griou42 · Answer

je suis bien ennuyé:impossible de lancer AD remover: il se charge bien sur le pc avec succes, mais quand je veux l'ouvrir, j'ai une fenêtre; ERROR NOT ADMINISTRATOR

que faire??
merci aide

jlpjlp · Answer

a la place lance adwcleaner et colle un rapport de suppression

http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner

lola · Answer

Bonjour, j'ai le même problème j'ai suivi tt le processus et voilà le lien. j'espère k ça va marcher maintenant et k c sécurisé. mes données ne vont pas être exploitées.

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111208_s8c8e12o11e14

griou42 · Answer

bonjour jlpjlp

je crois que j'ai trouvé la manière de lancer AD r avec mozilla,

je fais ça dans la journée

griou42 · Answer

rebonjour jlpjlp

je bute sur un problème:

quand je veux t' expédier les rapports AD r clean et ZHPdiag, je clique sur 

visualiser et là j'ai un message en rouge en haut du texte :

"titre du message non renseigné"  et bien sur quand je valide rien ne se passe

peux tu m'aider?  je suis bloqué!!

jlpjlp · Answer

inscris toi sur le site de comment ça marche et tente de nouveau de tout faire passer

griou · Answer

bonsoir, je me suis inscrit:
je refais un essai:

rapport ADr clean:

======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:39:58 le 08/12/2011 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows 7 Édition Familiale Premium  (Service Pack 1 - X64)
Nom du PC: GÉGÉ-PC (Packard Bell EasyNote LM81)
Utilisateur actuel: gégé
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Program Files (x86)\Ask.com
C:\Program Files (x86)\baidu
C:\Users\gégé\AppData\LocalLow\AskToolbar
C:\Users\gégé\AppData\LocalLow\baidu
C:\Users\gégé\AppData\Roaming\Mozilla\FireFox\Profiles\p6xpf3nf.default\extensions	oolbar@ask.com
C:\Users\gégé\AppData\Roaming\Mozilla\FireFox\Profiles\p6xpf3nf.default\searchplugins\askcom.xml
C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\AppDataLow\Software\AskToolbar
HKCU\Software\AppDataLow\Software\baidu
HKCU\Software\Ask.com
HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B8E20CD7-BAC2-4820-9AA6-1060B3AF25E2}
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CB0AEA82-EF53-4646-AD62-B81B9BD372C6}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\AskToolbar
HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 8.0.1 (fr) *
.
C:\Users\gégé\..\p6xpf3nf.default\prefs.js - browser.search.defaultenginename: Ask.com
C:\Users\gégé\..\p6xpf3nf.default\prefs.js - browser.search.selectedEngine: Ask.com
C:\Users\gégé\..\p6xpf3nf.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
C:\Users\gégé\..\p6xpf3nf.default\prefs.js - browser.startup.homepage_override.buildID: 20111120135848
C:\Users\gégé\..\p6xpf3nf.default\prefs.js - browser.startup.homepage_override.mstone: rv:8.0.1
C:\Users\gégé\..\p6xpf3nf.default\prefs.js - keyword.URL: hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=fr_FR&apn_uid=78ECF2D0-F4BE-4126-9B51-E1574700E775&apn_ptnrs=PV&apn_sauid=E8FC94D3-84DB-4D40-A901-B252D388CDEE&apn_dtid=YYYYYYYYFR&&q=
.
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=fr_FR&apn_uid=78ECF2D0-F4BE-4126-9B51-E1574700E775&apn_ptnrs=PV&apn_sauid=E8FC94D3-84DB-4D40-A901-B252D388CDEE&apn_dtid=YYYYYYYYFR&&q=");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("CommunityToolbar.originalSearchEngine", "Ask.com");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("browser.search.defaultengine", "Ask.com");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("browser.search.defaultenginename", "Ask.com");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("browser.search.order.1", "Ask.com");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("browser.search.selectedEngine", "Ask.com");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.InstallDir", "C:\Program Files (x86)\Ask.com\");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.abar-war-timeout", "4000");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.autofill-competitor-query-enabled", true);
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.autofill-text-highlight-enabled", true);
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.cbid", "PV");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.config-updated", true);
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.crumb", "2011.08.13+08.31.57-toolbar001iad-FR-TWFyc2VpbGxlLEZyYW5jZQ%3D%3D");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&o={o}&l={l}");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.displaybehavior", "");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.displaytext", "");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.dtid", "YYYYYYYYFR");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.dyn-weather-do-locid-lookup-weatherWidget", false);
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.dyn-weather-locid-weatherWidget", "FRXX0059");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.dyn-weather-tempunit-weatherWidget", "C");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.ff-original-keyword-url", "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.first-restart-after-config-update", true);
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.fresh-install", false);
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.guid", "78ECF2D0-F4BE-4126-9B51-E1574700E775");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.hxxp-header-whitelist-hosts", "[\"static-dev.en.dev.ask.com\", \"ask.com\", \"www.facebook.com\", \"www.playsushi.com\", \"WWW.google.com\", \"hxxps://websearch.ask.com\", \"hxxp://wiki.jeeves.ask.info\", \"69.147.125.65\", \"10.0.2.85\", \"sp.ask.com\", \"websearch.ask.com\", \"www.ask.com\", \"ask.com\"]");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.if", "first");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.l", "dis");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.last-config-req", "1322854339843");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.last-v", "3.12.2.100006");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.locale", "fr_FR");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.location", "Marseille,France");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.lstation", "");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.o", "15000");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.pstate", "");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.qsrc", "2871");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.r", "4");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.sa", "YES");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.saguid", "E8FC94D3-84DB-4D40-A901-B252D388CDEE");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.search-suggestions-enabled", true);
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.silent-upgrade", true);
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.silent-upgrade-from-pre-newtabs-build", false);
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.socialmini-first", true);
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.socialmini-interval", "1200000");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.socialmini-max-char-ticker", "33");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.socialmini-max-items", "30");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.socialmini-native-on", true);
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.socialmini-speed", "5000");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.socialmini-transition-first-open", false);
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.themeid", "");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.to", "");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.v", "3.13.1.100008");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.asktb.volume", "");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("extensions.installCache", "[{\"name\":\"app-global\",\"addons\":{\"{972ce4c6-7e08-4474-a285-3208198ce6fd}\":{\"descriptor\":\"C:\\Program Files (x86)\\Mozilla Firefox\\extensions\\{972ce4c6-7e08-4474-a285-3208198ce6fd}\",\"mtime\":1323201130245}}},{\"name\":\"app-profile\",\"addons\":{\"toolbar@ask.com\":{\"descriptor\":\"C:\\Users\\gÃ©gÃ©\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\p6xpf3nf.default\\extensions\\toolbar@ask.com\",\"mtime\":1322859102107},\"{0538E3E3-7E9B-4d49-8831-A227C80A7AD3}\":{\"descriptor\":\"C:\\Users\\gÃ©gÃ©\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\p6xpf3nf.default\\extensions\\{0538E3E3-7E9B-4d49-8831-A227C80A7AD3}\",\"mtime\":1323340846824},\"{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}\":{\"descriptor\":\"C:\\Users\\gÃ©gÃ©\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\p6xpf3nf.default\\extensions\\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi\",\"mtime\":1317739712953},\"{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}\":{\"descriptor\":\"C:\\Users\\gÃ©gÃ©\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\p6xpf3nf.default\\extensions\\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}.xpi\",\"mtime\":1319921568242}}}]");
EFFACÉ: C:\Users\gégé\..\p6xpf3nf.default\prefs.js - user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=fr_FR&apn_uid=78ECF2D0-F4BE-4126-9B51-E1574700E775&apn_ptnrs=PV&apn_sauid=E8FC94D3-84DB-4D40-A901-B252D388CDEE&apn_dtid=YYYYYYYYFR&&q=");
.
* Internet Explorer Version 8.0.7601.17514 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 238 Fichier(s)
C:\Ad-Remover\Backup: 14 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 13325 Octet(s)
C:\Ad-Report-SCAN[1].txt - 13325 Octet(s)
C:\Ad-Report-SCAN[2].txt - 13368 Octet(s)
.
Fin à: 18:42:25, 08/12/2011
.
============== E.O.F - CLEAN[1] ==============

rapport ZHPdiag:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111209_p9q5v13j14f5

griou · Answer

je me suis inscrit et j'ai l'impression que le message n'est pas passé!

il y nullnull qui est arrivé sous ton message!!

je suis paumé!!

griou · Answer

je refait un essai en passant les 2 rapports par ppjoint/malecal:

https://pjjoint.malekal.com/files.php?id=20111209_15e9c7j11v13

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111209_p9q5v13j14f5

jlpjlp · Answer

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

---------------------------------------------------------- 

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]   =>Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]   =>Toolbar.Agent
[HKLM\Software\WOW6432Node\Classes\CLSID\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]   =>Toolbar.Agent
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]   =>Toolbar.Agent
[HKLM\Software\Classes\TypeLib\{79D60450-56C5-4A8C-9321-6D5BC2A81E5A}]   =>Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]   =>Spyware.BHO
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]   =>Spyware.BHO
[HKLM\Software\WOW6432Node\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}]   =>Toolbar.Agent
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}]   =>Toolbar.Agent
[HKLM\Software\Classes\TypeLib\{99C22A61-21BA-4F81-85FF-CDC9EB5DB10B}]   =>Toolbar.Agent
[HKLM\Software\WOW6432Node\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}]   =>Toolbar.Agent
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}]   =>Toolbar.Agent
[HKCU\Software\APN]   =>Toolbar.Agent
[HKLM\Software\WOW6432Node\APN]   =>Toolbar.Agent
[HKCU\Software\Ask.com.tmp]   =>Toolbar.Ask
[HKLM\Software\WOW6432Node\Install Pedia Limited]   =>Adware.InstallPedia
[HKCU\Software\AppDataLow\Software\PriceGong]   =>Adware.PriceGong
[HKCU\Software\StartSearch]   =>Hijacker.Agent
[HKCU\Software\AppDataLow\Toolbar]   =>Toolbar.Conduit
[HKCU\Software\AppDataLow\Software\uTorrentBar_FR]   =>Toolbar.Conduit
[HKLM\Software\WOW6432Node\uTorrentBar_FR]   =>Toolbar.Conduit
[HKCU\Software\vShare.tv]   =>Toolbar.Agent
C:\Program Files\Installer   =>Adware.InstallPedia
C:\Users\gégé\AppData\Local\Conduit   =>Toolbar.Conduit
C:\Users\gégé\AppData\LocalLow\Conduit   =>Toolbar.Conduit
C:\Users\gégé\AppData\LocalLow\PriceGong   =>Adware.PriceGong
C:\Users\gégé\AppData\LocalLow\uTorrentBar_FR   =>Toolbar.Conduit
C:\Program Files (x86)\Conduit   =>Toolbar.Conduit
C:\Program Files (x86)\Installer   =>Adware.InstallPedia
C:\Program Files (x86)\uTorrentBar_FR   =>Toolbar.Conduit
C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar



----------------------------------------------------------
- Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse


puis dis nous:

comment va le pc?

griou42 · Answer

je viens de lancer ZHPfix à partir de l'icône sur le bureau:

la page s'affiche, mais rien ne se passe

que dois-je faire?

jlpjlp · Answer

refais

griou · Answer

ouf!! je pense que j'y suis arrivé:

Rapport de ZHPFix 1.12.3374 par Nicolas Coolman, Update du 05/12/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-09-12-2011-20-01-30.txt
Run by gégé at 09/12/2011 20:01:29
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{79D60450-56C5-4A8C-9321-6D5BC2A81E5A}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{99C22A61-21BA-4F81-85FF-CDC9EB5DB10B}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}
SUPPRIME Key: HKCU\Software\APN
SUPPRIME Key: HKLM\Software\WOW6432Node\APN
ABSENT Key: HKCU\Software\Ask.com.tmp
SUPPRIME Key: HKLM\Software\WOW6432Node\Install Pedia Limited
SUPPRIME Key: HKCU\Software\AppDataLow\Software\PriceGong
SUPPRIME Key: HKCU\Software\StartSearch
SUPPRIME Key: HKCU\Software\AppDataLow\Toolbar
SUPPRIME Key: HKCU\Software\AppDataLow\Software\uTorrentBar_FR
SUPPRIME Key: HKLM\Software\WOW6432Node\uTorrentBar_FR
SUPPRIME Key: HKCU\Software\vShare.tv

========== Dossier(s) ==========
SUPPRIME Folder: c:\program files\installer
SUPPRIME Folder: c:\users\gégé\appdata\local\conduit
SUPPRIME Folder: c:\users\gégé\appdata\locallow\conduit
SUPPRIME Folder: c:\users\gégé\appdata\locallow\pricegong
SUPPRIME Folder: c:\users\gégé\appdata\locallow\utorrentbar_fr
SUPPRIME Folder: c:\program files (x86)\conduit
SUPPRIME Folder: c:\program files (x86)\installer
SUPPRIME Folder: c:\program files (x86)\utorrentbar_fr

========== Fichier(s) ==========
SUPPRIME File: C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar


========== Récapitulatif ==========
22 : Clé(s) du Registre
8 : Dossier(s)
1 : Fichier(s)


End of clean in 00mn 10s


quand au PC : tout va bien!!!

merci encore pour tout

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 09/12/2011 20:01:29 [2870]

jlpjlp · Answer

ok remets un rapport zhpdiag pour tout controler

a plus

griou · Answer

bonjour jlpjlp,

voici le dernier rapport zhpdiag:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111210_e6z11r13i6l13

jlpjlp · Answer

colle un rapport de suppression/nettoyage avec ad remover





https://www.commentcamarche.net/telecharger/securite/2547-ad-remover/

griou · Answer

voici le rapport ad r :

======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:43:32 le 10/12/2011 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows 7 Édition Familiale Premium  (Service Pack 1 - X64)
Nom du PC: GÉGÉ-PC (Packard Bell EasyNote LM81)
Utilisateur actuel: gégé
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.

(!) -- Fichiers temporaires supprimés.
.
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 8.0.1 (fr) *
.
C:\Users\gégé\..\p6xpf3nf.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
C:\Users\gégé\..\p6xpf3nf.default\prefs.js - browser.startup.homepage_override.buildID: 20111120135848
C:\Users\gégé\..\p6xpf3nf.default\prefs.js - browser.startup.homepage_override.mstone: rv:8.0.1
.
.
* Internet Explorer Version 8.0.7601.17514 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 238 Fichier(s)
C:\Ad-Remover\Backup: 28 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 13538 Octet(s)
C:\Ad-Report-CLEAN[2].txt - 2239 Octet(s)
.
Fin à: 16:46:05, 10/12/2011
.
============== E.O.F - CLEAN[2] ==============

jlpjlp · Answer

ok remets un rapport zhpdiag et explique tes problemes

griou42 · Answer

je m'excuse jlpjlp  mais  je ne comprends pas la réponse: actuellement je n'ai pas 

de problème!

jlpjlp · Answer

ok 

remets un rapport zhpdiag pour vérifier une chose
et conclure


a plus

griou · Answer

ok  voici rapport zhpdiag

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111210_h12m12o9v8z15

jlpjlp · Answer

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

---------------------------------------------------------- 

O69 - SBI: prefs.js [gégé - p6xpf3nf.default] user_pref("CT2851639.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2851639&q=");
O69 - SBI: prefs.js [gégé - p6xpf3nf.default] user_pref("CT2851639.TBHomePageUrl", "http://search.conduit.com/?ctid=CT2851639&SearchSource=13");




----------------------------------------------------------
- Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

griou · Answer

rapport ZHPfix :



Rapport de ZHPFix 1.12.3366 par Nicolas Coolman, Update du 26/10/2011
Fichier d'export Registre : 
Run by gégé at 11/12/2011 20:14:21
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Préférences navigateur ==========
SUPPRIME Mozilla Pref: user_pref("CT2851639.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2851639&q=");
SUPPRIME Mozilla Pref: user_pref("CT2851639.TBHomePageUrl", "http://search.conduit.com/?ctid=CT2851639&SearchSource=13");


========== Récapitulatif ==========
2 : Préférences navigateur


End of clean in 00mn 08s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 09/12/2011 20:01:30 [2922]
C:\ZHP\ZHPFix[R2].txt - 11/12/2011 20:14:21 [783]

jlpjlp · Answer

ok pour supprimer ce qui a été utilisé lance delfix

http://www.commentcamarche.net/faq/24877-supprimer-les-logiciels-de-desinfection


encore des soucis?

griou · Answer

bonjour jlpjlp,

je viens de passer DELFIX: c'est ok!

je l'ai téléchargé sur IE, en effet sur Mozilla, refus.

pour le moment je ne constate pas de pb particulier....

2 petites questions:

1- comment fait on pour noter une discussion comme RESOLU ?

2- en parcourant le site je constate que ce virus est toujours actif et ce depuis 

plusieurs mois!!  y a t'il un moyen de s'en prémunir?

te remerciant pour ton aide et ta compétence

cordialement

Blocage PC : activitées illégalles????

34 réponses

Votre réponse

Discussions similaires

Newsletters