VIRUS GENDARMERIE NATIONALE

Fermé
Cutta Messages postés 16 Date d'inscription mardi 13 décembre 2011 Statut Membre Dernière intervention 16 décembre 2011 - 13 déc. 2011 à 18:40
 Utilisateur anonyme - 16 déc. 2011 à 13:48
Bonjour,

J'ai comme beaucoup de personnes le virus de la gendarmerie nationale et j'ai posté deux messages mais personne ne me répond donc je flippe un peu! J'ai rallumé mon ordinateur en mode sans échec, téléchargé roguekiller et fait deux rapports. Voici le premier :

RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: b [Droits d'admin]
Mode: Recherche -- Date : 13/12/2011 17:55:29

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 6 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\b\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
[SUSP PATH] HKCU\[...]\Run : sfiw42yq.exe (C:\Users\b\AppData\Roaming\sfiw42yq.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-264414833-2567538196-405847349-1002[...]\Run : cacaoweb ("C:\Users\b\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-264414833-2567538196-405847349-1002[...]\Run : sfiw42yq.exe (C:\Users\b\AppData\Roaming\sfiw42yq.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 1008f6f9ab928676ace40080bb49e9e8
[BSP] 410a29d91ac7caef7b97cf0e187d7724 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 419 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 821248 | Size: 160035 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 313391104 | Size: 159616 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
A voir également:

14 réponses

Utilisateur anonyme
13 déc. 2011 à 18:42
Re

Passe à l'option 2 de Rogue killer

@+
0
Cutta Messages postés 16 Date d'inscription mardi 13 décembre 2011 Statut Membre Dernière intervention 16 décembre 2011
13 déc. 2011 à 18:45
Je l'ai fait. Voici le deuxième rapport :

RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: b [Droits d'admin]
Mode: Suppression -- Date : 13/12/2011 17:57:33

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\b\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED
[SUSP PATH] HKCU\[...]\Run : sfiw42yq.exe (C:\Users\b\AppData\Roaming\sfiw42yq.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 1008f6f9ab928676ace40080bb49e9e8
[BSP] 410a29d91ac7caef7b97cf0e187d7724 : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 419 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 821248 | Size: 160035 Mo
2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 313391104 | Size: 159616 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
0
Utilisateur anonyme
13 déc. 2011 à 18:54
Re

Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d'utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)


@+
0
Cutta Messages postés 16 Date d'inscription mardi 13 décembre 2011 Statut Membre Dernière intervention 16 décembre 2011
13 déc. 2011 à 19:01
Merci infiniment! Comment puis je savoir si COMCTL32.OCX manque ou pas ? C'était dans le téléchargement non ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Cutta Messages postés 16 Date d'inscription mardi 13 décembre 2011 Statut Membre Dernière intervention 16 décembre 2011
13 déc. 2011 à 19:03
Le lien que tu m'as passé ne marche pas!
0
Utilisateur anonyme
13 déc. 2011 à 19:30
Il fonctionne parfaitement ;tu choisis ensuite le gratuit
0
Cutta Messages postés 16 Date d'inscription mardi 13 décembre 2011 Statut Membre Dernière intervention 16 décembre 2011
13 déc. 2011 à 20:01
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8365

Windows 6.1.7601 Service Pack 1 (Safe Mode)
Internet Explorer 8.0.7601.17514

13/12/2011 19:56:21
mbam-log-2011-12-13 (19-56-21).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 454839
Temps écoulé: 45 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 34
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 14
Fichier(s) infecté(s): 17

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{100EB1FD-D03E-47FD-81F3-EE91287F9465} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF6-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45dd-9B68-D6A12C30E5D7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\HBLiteAX.Info (Adware.HotBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\HBLiteAX.Info.1 (Adware.HotBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\HBLiteAX.UserProfiles (Adware.HotBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\HBLiteAX.UserProfiles.1 (Adware.HotBar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.Reporter (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.Reporter.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AH (Rogue.MultipleAV) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\hblitesa (Adware.HotBar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\hblite (Adware.HotBar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\ah\Content Type (Rogue.MultipleAV) -> Value: Content Type -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\SRS_IT_E8790776B076545135AD97 (Malware.Trace) -> Value: SRS_IT_E8790776B076545135AD97 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\hblite@hblite.com (Adware.HotBar) -> Value: hblite@hblite.com -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\programdata\HBLiteSA (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\program files (x86)\funwebproducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\program files (x86)\funwebproducts\screensaver (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\program files (x86)\funwebproducts\screensaver\Images (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\program files (x86)\hblite (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\program files (x86)\hblite\bin (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\program files (x86)\hblite\bin\11.0.358.0 (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\program files (x86)\hblite\bin\11.0.358.0\firefox (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\program files (x86)\hblite\bin\11.0.358.0\firefox\extensions (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\program files (x86)\hblite\bin\11.0.358.0\firefox\extensions\plugins (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\program files (x86)\mywebsearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\program files (x86)\mywebsearch\bar (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\program files (x86)\mywebsearch\bar\History (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\program files (x86)\mywebsearch\bar\Settings (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\program files (x86)\hblite\bin\11.0.358.0\hblitesahook.dll (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\program files (x86)\hblite\bin\11.0.358.0\firefox\extensions\plugins\npclntax_hblitesa.dll (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\Users\b\AppData\Local\Temp\offerboxsetup.exe (PUP.Offerbox) -> Quarantined and deleted successfully.
c:\Users\b\AppData\Local\Temp\icreinstall\audioconvertersetup.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\Users\b\downloads\audioconvertersetup.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\Users\b\downloads\MPLSetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\Users\Raghda\AppData\Local\mwsautSp.exe (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\Users\raghda toorani\AppData\Local\Temp\acenmoxrws.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\raghda toorani\AppData\Local\Temp\mnyl.exe (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.
c:\Users\b\AppData\Local\Temp\0.4772135256246066.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
c:\programdata\HBLiteSA\HBLiteSA.dat (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\programdata\HBLiteSA\hblitesaabout.mht (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\programdata\HBLiteSA\hblitesaau.dat (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\programdata\HBLiteSA\hblitesaeula.mht (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\programdata\HBLiteSA\hblitesa_kyf.dat (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\program files (x86)\hblite\bin\11.0.358.0\firefox\extensions\install.rdf (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\program files (x86)\mywebsearch\bar\Settings\s_pid.dat (Adware.MyWebSearch) -> Quarantined and deleted successfully.
0
Utilisateur anonyme
13 déc. 2011 à 21:12
Re


Pour vérifications, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :


http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

A+
0
Cutta Messages postés 16 Date d'inscription mardi 13 décembre 2011 Statut Membre Dernière intervention 16 décembre 2011
13 déc. 2011 à 21:28
Il n'y a pas de loupe ce doit etre la nouvelle version et je ne préfère pas cliquer sur n'importe quoi meme si j'ai lu les sites d'explication je ne sais pas comment lancer l'analyse!
0
Cutta Messages postés 16 Date d'inscription mardi 13 décembre 2011 Statut Membre Dernière intervention 16 décembre 2011
13 déc. 2011 à 21:31
Désolé je viens de voir que j'étais sur ZHPFix et non Diag! :)
0
Cutta Messages postés 16 Date d'inscription mardi 13 décembre 2011 Statut Membre Dernière intervention 16 décembre 2011
13 déc. 2011 à 21:58
Voici le lien : http://cjoint.com/11dc/ALnv5JFhlfA.htm
0
Utilisateur anonyme
13 déc. 2011 à 22:12
Ce n'est pas le bon rapport

ZHPScan au lieu de ZHPDIag

@+
0
Cutta Messages postés 16 Date d'inscription mardi 13 décembre 2011 Statut Membre Dernière intervention 16 décembre 2011
13 déc. 2011 à 22:30
Je ne comprends pas j'ai pourtant cliqué sur la loupe et une analyse a été lancée. Où dois-je cliquer ?
0
Cutta Messages postés 16 Date d'inscription mardi 13 décembre 2011 Statut Membre Dernière intervention 16 décembre 2011
13 déc. 2011 à 22:32
0
Utilisateur anonyme
13 déc. 2011 à 22:55
Non;ce n'est toujours pas le bon ;-((

Le rapport en question porte le nom de ZHPDiag mais c'est un fichier txt

@+
0
Cutta Messages postés 16 Date d'inscription mardi 13 décembre 2011 Statut Membre Dernière intervention 16 décembre 2011
14 déc. 2011 à 14:12
Où dois-je cliquer alors ? J'ai pourtant fait les deux analyses possibles!
0
Bonjour

Télécharge Adwcleaner

Lance le option suppression

Poste moi son rapport

@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
0
Cutta Messages postés 16 Date d'inscription mardi 13 décembre 2011 Statut Membre Dernière intervention 16 décembre 2011
14 déc. 2011 à 18:42
# AdwCleaner v1.402 - Rapport créé le 14/12/2011 à 18:38:15
# Mis à jour le 11/12/11 à 19h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : b - RAGHDATOORANI (Administrateur)
# Exécuté depuis : C:\Users\b\AppData\Local\Temp\xpa9guva.tmp\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\b\AppData\Roaming\cacaoweb
Dossier Supprimé : C:\Users\b\AppData\Roaming\CrazyLoader
Dossier Supprimé : C:\Users\b\AppData\Roaming\OfferBox
Dossier Supprimé : C:\Program Files (x86)\Conduit

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2653012
[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2857573
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\Headlight
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\Fun Web Products
Clé Supprimée : HKCU\Software\AppDataLow\Software\MyWebSearch
Clé Supprimée : HKCU\Software\JavaSoft\Prefs\crazyloader
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Offerbox
Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{872F3C0B-4462-424c-BB9F-74C6899B9F92}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{08858AF6-42AD-4914-95D2-AC3AB0DC8E28}

***** [Registre (x64)] *****

Clé Supprimée : HKLM\SOFTWARE\Software
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{21BA420E-161C-413A-B21E-4E42AE1F4226}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{453DB0C5-F41C-4D97-8DD6-CC72ECD5F699}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4AFC07D0-59BB-46B8-B097-1A46E88EEF71}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6511CE4C-4722-40D0-AD3D-4AFA2F50978A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8AD9AD05-36BE-4E40-BA62-5422EB0D02FB}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9BEC9B38-BF39-4899-806E-A1C5DFEB60A2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AEBF09E2-0C15-43C8-99BF-928C645D98A0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B86D82BF-D39F-439A-A07C-43EDDC6F6EA6}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D8560AC2-21B5-4C1A-BDD4-BD12BC83B082}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DA6305B9-0869-4235-8C1D-533A65E639E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E25DA6D6-C365-46CF-ABAF-DC5893135D7A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E6961C59-CFCE-4CCD-B794-BC78DB98413A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{71E02280-5212-45C3-B174-4D5A35DA254F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{65A16874-2ED0-460E-A547-5FE2EC3A13A7}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{07B18EAA-A523-4961-B6BB-170DE4475CCA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{07B18EAC-A523-4961-B6BB-170DE4475CCA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1093995A-BA37-41D2-836E-091067C4AD17}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{120927BF-1700-43BC-810F-FAB92549B390}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{17DE5E5E-BFE3-4E83-8E1F-8755795359EC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1F52A5FA-A705-4415-B975-88503B291728}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{247A115F-06C2-4FB3-967D-2D62D3CF4F0A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2E3537FC-CF2F-4F56-AF54-5A6A3DD375CC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3E1656ED-F60E-4597-B6AA-B6A58E171495}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3E53E2CB-86DB-4A4A-8BD9-FFEB7A64DF82}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3E720451-B472-4954-B7AA-33069EB53906}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3E720453-B472-4954-B7AA-33069EB53906}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{63D0ED2B-B45B-4458-8B3B-60C69BBBD83C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{63D0ED2D-B45B-4458-8B3B-60C69BBBD83C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6E74766C-4D93-4CC0-96D1-47B8E07FF9CA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{72EE7F04-15BD-4845-A005-D6711144D86A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7473D291-B7BB-4F24-AE82-7E2CE94BB6A9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7473D293-B7BB-4F24-AE82-7E2CE94BB6A9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7473D295-B7BB-4F24-AE82-7E2CE94BB6A9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7473D297-B7BB-4F24-AE82-7E2CE94BB6A9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8E9CF769-3D3B-40EB-9E2D-76E7A205E4D2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{90449521-D834-4703-BB4E-D3AA44042FF8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{991AAC62-B100-47CE-8B75-253965244F69}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A626CDBD-3D13-4F78-B819-440A28D7E8FC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BBABDC90-F3D5-4801-863A-EE6AE529862D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D6FF3684-AD3B-48EB-BBB4-B9E6C5A355C1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DE38C398-B328-4F4C-A3AD-1B5E4ED93477}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25E}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E79DFBC9-5697-4FBD-94E5-5B2A9C7C1612}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E79DFBCB-5697-4FBD-94E5-5B2A9C7C1612}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EB9E5C1C-B1F9-4C2B-BE8A-27D6446FDAF8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F87D7FB5-9DC5-4C8C-B998-D8DFE02E2978}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{17BF1E05-C0E8-413C-BD1F-A481EEA3B8E9}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v16.0.912.63

Fichier : C:\Users\b\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [7219 octets] - [14/12/2011 18:38:15]

*************************

Dossier Temporaire : 127 dossier(s)et 612 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [7442 octets] ##########
0
Utilisateur anonyme
15 déc. 2011 à 08:20
Bonjour

Utilisation de l'outil ZHPFix :

* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
-------------------------------------------------------------------------------------------------


G0 - GCSP: Preference [User Data\Default][HomePage] http://search.imesh.net/
O2 - BHO: MediaBar [64Bits] - {28387537-e3f9-4ed7-860c-11e69af4a8a0} . (...) -- C:\PROGRA~2\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll (.not file.)
O4 - HKLM\..\Wow6432Node\Run: [ToshibaServiceStation] Clé orpheline
OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 10.0\Reader\reader_sl.exe
O20 - AppInit_DLLs: . (...) - C:\Program Files\IMESHA~1\MediaBar\Datamngr\x64\datamngr.dll (.not file.)
FirewallRAZ
Emptytemp

--------------------------------------------------------------------------------------------
Puis lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
« Exécuter en tant qu'administrateur »
.

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

*Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

*Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )



A+

0
Cutta Messages postés 16 Date d'inscription mardi 13 décembre 2011 Statut Membre Dernière intervention 16 décembre 2011
16 déc. 2011 à 13:44
Rapport de ZHPFix 1.12.3374 par Nicolas Coolman, Update du 05/12/2011
Fichier d'export Registre :
Run by b at 16.12.2011 13:41:41
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: CLSID BHO: {28387537-e3f9-4ed7-860c-11e69af4a8a0}

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: ToshibaServiceStation
SUPPRIME RunValue: Adobe Reader Speed Launcher
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIME FirewallRaz (Public) : NetPres-In-TCP
SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIME FirewallRaz (Domain) : {DF9C3A5C-41F1-441A-8365-D076C5C54262}
SUPPRIME FirewallRaz (None) : {D0AE444D-3251-4BFC-BE47-E9A280B534B5}
SUPPRIME FirewallRaz (Public) : {4A4228E4-642D-4F8C-913B-C72F7D664FE0}
SUPPRIME FirewallRaz (Public) : {05FF17B7-2265-4DD5-B174-ABD68BFFBEC4}
SUPPRIME FirewallRaz (Domain) : {81CC0834-BF31-4690-BE18-67F82BC048DC}
SUPPRIME FirewallRaz (Domain) : {DE106836-9D57-4440-90CE-AA58ADBB77C8}
SUPPRIME FirewallRaz (Private) : {295B9361-1FE8-46AD-8A3D-DEA887B55DA8}
SUPPRIME FirewallRaz (Private) : {8F09EEB1-B23E-44BC-8283-8A1280043306}
SUPPRIME FirewallRaz (None) : {76F2F017-2C74-4294-82CF-AA7239D06E9D}
SUPPRIME FirewallRaz (Public) : {EF81FA5D-693A-4498-A53A-8C3E7F5765E7}
SUPPRIME FirewallRaz (Public) : {B2EEC09D-069A-4522-96BA-04A218BFBD01}
SUPPRIME FirewallRaz (Public) : TCP Query User{94B2E4FA-F101-4915-AE9D-FB6568875FFB}C:\users\b\appdata\roaming\cacaoweb\cacaoweb.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{7FC72E96-D9E0-4437-8D8A-3E934DF052A4}C:\users\b\appdata\roaming\cacaoweb\cacaoweb.exe
SUPPRIME FirewallRaz (Public) : {A1F068C2-7974-4F1C-856F-350310E3B793}
SUPPRIME FirewallRaz (Public) : {9B2438E7-9296-4036-8108-F888AB53ACD1}
SUPPRIME FirewallRaz (Public) : {235A2EAC-E3E1-4242-BB87-B9204F716A4E}
SUPPRIME FirewallRaz (Public) : {E3DB4945-6ABC-4B6E-9110-6912589E5BCE}
SUPPRIME FirewallRaz (Public) : {102475BC-A54D-48E3-9454-E8749847923D}

========== Elément(s) de donnée du Registre ==========
SUPPRIME AppInit: \Program Files\IMESHA~1\MediaBar\Datamngr\x64\datamngr.dll

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\b\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://search.imesh.net/

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 75

========== Fichier(s) ==========
ABSENT File: c:\progra~2\imesha~1\mediabar\toolbar\imeshdtxmltbpi.dll
ABSENT File: \program files\imesha~1\mediabar\datamngr\x64\datamngr.dll
SUPPRIME Temporaires Windows: : 29


========== Récapitulatif ==========
1 : Clé(s) du Registre
27 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
3 : Fichier(s)
2 : Préférences navigateur


End of clean in 00mn 02s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 16.12.2011 13:41:41 [3173]
0
Utilisateur anonyme
16 déc. 2011 à 13:48
Bonjour

Finalisons


1) Télécharge DelFix de Xplode

* Lance le.
* A l'invite, [Suppression]
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]


2)C - Ccleaner :

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur <gras>suivant

.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur installer
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
. coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.clique maintenant sur registre et puis sur rechercher les erreurs
.laisse tout coché et clique sur réparer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et une fois fermé tu vérifies en relançant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm


3)
Purge la restauration sur Seven
Comment faire :

http://www.forum-seven.com/forum/

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


@+
0