Virus qui detourne les recherches google
guillomp
-
dr.pc1 Messages postés 5077 Statut Contributeur -
dr.pc1 Messages postés 5077 Statut Contributeur -
Bonjour,
Depuis quelques jours mon ordinateur est infecté par un virus qui détourne mes recherches google pour me rediriger vers des sites n'ayant rien à voir.
J'ai déjà fait quelques recherches sur le net, mais j'ai cru comprendre que c'est un problème qui se règle au cas par cas.
j'ai fait 2 scan et les rapports sont les suivants :
http://cjoint.com/?BAvwWL3IlvU
rapport tdsskiller
http://cjoint.com/?BAvw6DEYBPF
ZHPDiag
merci d'avance de bien vouloir m'aider
Depuis quelques jours mon ordinateur est infecté par un virus qui détourne mes recherches google pour me rediriger vers des sites n'ayant rien à voir.
J'ai déjà fait quelques recherches sur le net, mais j'ai cru comprendre que c'est un problème qui se règle au cas par cas.
j'ai fait 2 scan et les rapports sont les suivants :
http://cjoint.com/?BAvwWL3IlvU
rapport tdsskiller
http://cjoint.com/?BAvw6DEYBPF
ZHPDiag
merci d'avance de bien vouloir m'aider
A voir également:
- Virus qui detourne les recherches google
- Google maps satellite - Guide
- Dns google - Guide
- Google maps - Guide
- Google photo - Télécharger - Albums photo
- Google - Guide
28 réponses
Salut,
**Télécharge AdwCleaner ( d'Xplode ) : ici
*installe-le sur ton bureau.
*Lance le, clique sur [Suppression].
Une fois le scan fini, un rapport s'ouvrira. Poste moi le contenu du rapport dans ta prochaine réponse.
PS: Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
**Télécharge AdwCleaner ( d'Xplode ) : ici
*installe-le sur ton bureau.
*Lance le, clique sur [Suppression].
Une fois le scan fini, un rapport s'ouvrira. Poste moi le contenu du rapport dans ta prochaine réponse.
PS: Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Puis :
** Télécharge de AD-Remover sur ton Bureau: ici
/!\ Désactive pendant l'utilisation de AD-Remover, la protection de ton Antivirus et de tes Antispywares puis ferme toutes applications en cours /!\
* Double-clique sur l'icône Ad-Remover (clic droit "exécuter en tant qu'administrateur" pour windows vista et 7.)
* Clique sur le bouton « NETTOYER ».
* Confirme le lancement du scan.
* Poste le rapport qui apparaît à la fin sur pjjoint : ici et donne moi le lien du rapport.
PS: Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt
** Télécharge de AD-Remover sur ton Bureau: ici
/!\ Désactive pendant l'utilisation de AD-Remover, la protection de ton Antivirus et de tes Antispywares puis ferme toutes applications en cours /!\
* Double-clique sur l'icône Ad-Remover (clic droit "exécuter en tant qu'administrateur" pour windows vista et 7.)
* Clique sur le bouton « NETTOYER ».
* Confirme le lancement du scan.
* Poste le rapport qui apparaît à la fin sur pjjoint : ici et donne moi le lien du rapport.
PS: Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt
d'abord merci de m'aider :
voici le 1er rapport
# AdwCleaner v1.407 - Rapport créé le 21/01/2012 à 23:29:17
# Mis à jour le 18/01/2012 par Xplode
# Système d'exploitation : Windows 7 Ultimate (32 bits)
# Nom d'utilisateur : Guillom - GUILLOM-PC (Administrateur)
# Exécuté depuis : C:\Users\Guillom\Desktop\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\Users\Guillom\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Guillom\AppData\Local\TempDir
Dossier Supprimé : C:\Users\Guillom\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Guillom\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PriceGong
Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Program Files\PriceGong
***** [Registre] *****
[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceFactorIE.PriceGongBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceFactorIE.PriceGongBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceGongIE.PriceGongCtrl
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceGongIE.PriceGongCtrl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\PriceGongIE.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{835315FC-1BF6-4CA9-80CD-F6C158D40692}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D2A2595C-4FE4-4315-AA9B-19DBD6271B71}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8B3372D0-09F0-41A5-8D9B-134E148672FB}
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PriceGong
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{3C5F0F00-683D-4847-89C8-E7AF64FD1CFB}]
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.7600.16385
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Google Chrome v [Impossible d'obtenir la version]
Fichier : C:\Users\Guillom\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [4103 octets] - [21/01/2012 23:29:17]
*************************
Dossier Temporaire : 4 dossier(s) et 17 fichier(s) supprimés
########## EOF - C:\AdwCleaner[S1].txt - [4324 octets] ##########
voici le 1er rapport
# AdwCleaner v1.407 - Rapport créé le 21/01/2012 à 23:29:17
# Mis à jour le 18/01/2012 par Xplode
# Système d'exploitation : Windows 7 Ultimate (32 bits)
# Nom d'utilisateur : Guillom - GUILLOM-PC (Administrateur)
# Exécuté depuis : C:\Users\Guillom\Desktop\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\Users\Guillom\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Guillom\AppData\Local\TempDir
Dossier Supprimé : C:\Users\Guillom\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Guillom\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PriceGong
Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Program Files\PriceGong
***** [Registre] *****
[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceFactorIE.PriceGongBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceFactorIE.PriceGongBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceGongIE.PriceGongCtrl
Clé Supprimée : HKLM\SOFTWARE\Classes\PriceGongIE.PriceGongCtrl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\PriceGongIE.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{835315FC-1BF6-4CA9-80CD-F6C158D40692}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D2A2595C-4FE4-4315-AA9B-19DBD6271B71}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8B3372D0-09F0-41A5-8D9B-134E148672FB}
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\bkomkajifikmkfnjgphkjcfeepbnojok
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1631550F-191D-4826-B069-D9439253D926}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PriceGong
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{3C5F0F00-683D-4847-89C8-E7AF64FD1CFB}]
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.7600.16385
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Google Chrome v [Impossible d'obtenir la version]
Fichier : C:\Users\Guillom\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [4103 octets] - [21/01/2012 23:29:17]
*************************
Dossier Temporaire : 4 dossier(s) et 17 fichier(s) supprimés
########## EOF - C:\AdwCleaner[S1].txt - [4324 octets] ##########
et voilà le 2nd
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 23:34:20 le 21/01/2012, Mode normal
Microsoft Windows 7 Édition Intégrale (X86)
Guillom@GUILLOM-PC (LENOVO 0768BZG)
============== ACTION(S) ==============
(!) -- Fichiers temporaires supprimés.
Valeur supprimée: HKCU\Software\Mozilla\Firefox\Extensions|{8a9386b4-e958-4c4c-adf4-8f26db3e4829}
============== SCAN ADDITIONNEL ==============
**** Internet Explorer Version [8.0.7600.16385] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 21/01/2012 23:34:39 (1810 Octet(s))
Fin à: 23:35:36, 21/01/2012
============== E.O.F ==============
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 23:34:20 le 21/01/2012, Mode normal
Microsoft Windows 7 Édition Intégrale (X86)
Guillom@GUILLOM-PC (LENOVO 0768BZG)
============== ACTION(S) ==============
(!) -- Fichiers temporaires supprimés.
Valeur supprimée: HKCU\Software\Mozilla\Firefox\Extensions|{8a9386b4-e958-4c4c-adf4-8f26db3e4829}
============== SCAN ADDITIONNEL ==============
**** Internet Explorer Version [8.0.7600.16385] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 21/01/2012 23:34:39 (1810 Octet(s))
Fin à: 23:35:36, 21/01/2012
============== E.O.F ==============
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut,
*Télécharge et installe Malwarebyte's Anti-Malware : ici
-Met la base de définition à jour
-Lance un scan complet (cela peut durer de quelques minutes à plusieurs heures )
A la fin du scan, clique sur le bouton en bas à gauche Supprimez Selection.
Et poste-moi le rapport dans ta prochaine réponse :-)
*Télécharge et installe Malwarebyte's Anti-Malware : ici
-Met la base de définition à jour
-Lance un scan complet (cela peut durer de quelques minutes à plusieurs heures )
A la fin du scan, clique sur le bouton en bas à gauche Supprimez Selection.
Et poste-moi le rapport dans ta prochaine réponse :-)
slt
désolé du temps de réponse...... les enfants prennent pas mal de temps !!
donc voilà le rapport de mbam :
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org
Version de la base de données: v2012.01.24.04
Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Guillom :: GUILLOM-PC [administrateur]
24/01/2012 20:01:50
mbam-log-2012-01-24 (20-01-50).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 252338
Temps écoulé: 25 minute(s), 12 seconde(s)
Processus mémoire détecté(s): 2
C:\ProgramData\79bjm5me7g.exe (Trojan.VUPX.Gen) -> 760 -> Suppression au redémarrage.
C:\Users\Guillom\AppData\Roaming\Microsoft\svchost.exe (Trojan.FakeMS) -> 2088 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 6
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|79bjm5me7g (Trojan.VUPX.Gen) -> Données: C:\ProgramData\79bjm5me7g.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSN (Trojan.FakeMS) -> Données: C:\Users\Guillom\AppData\Roaming\Microsoft\svchost.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|79bjm5me7g (Trojan.VUPX.Gen) -> Données: C:\Users\Guillom\79bjm5me7g.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|GoogleApps (Trojan.FakeMS) -> Données: C:\Users\Guillom\AppData\Roaming\Microsoft\Windows\Templates\svchost.exe -> Mis en quarantaine et supprimé avec succès.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|msnfad (Trojan.CryptPro.Gen) -> Données: rundll32.exe "C:\Windows\System32\config\systemprofile\AppData\Local\App\msnfad.dll",wmain -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Données: C:\Users\Guillom\AppData\Local\4fdca529\X -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 15
C:\ProgramData\79bjm5me7g.exe (Trojan.VUPX.Gen) -> Suppression au redémarrage.
C:\Users\Guillom\AppData\Roaming\Microsoft\svchost.exe (Trojan.FakeMS) -> Suppression au redémarrage.
C:\Users\Guillom\79bjm5me7g.exe (Trojan.VUPX.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Roaming\Microsoft\Windows\Templates\svchost.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\config\systemprofile\AppData\Local\App\msnfad.dll (Trojan.CryptPro.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\8B004FE9-3711-4E99-6B4D-19BE47B7CE54.avi (Trojan.CryptPro.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Local\4fdca529\U\00000001.@ (Backdoor.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Local\4fdca529\U\000000c0.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Local\4fdca529\U\000000cb.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Local\4fdca529\U\000000cf.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Local\4fdca529\U\800000c0.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Local\4fdca529\U\800000cb.@ (Backdoor.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\config\systemprofile\AppData\Local\8B004FE9-3711-4E99-6B4D-19BE47B7CE54.avi (Trojan.CryptPro.Gen) -> Mis en quarantaine et supprimé avec succès.
D:\documents_guillom\logiciels\Crack Windows 7 Edition Intégrale pc en by gileragsm80\Crack Windows 7 Edition Intégrale pc en by gileragsm80\crack7\2\CW.eXe (Hacktool.ChewWGA) -> Mis en quarantaine et supprimé avec succès.
(fin)
désolé du temps de réponse...... les enfants prennent pas mal de temps !!
donc voilà le rapport de mbam :
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org
Version de la base de données: v2012.01.24.04
Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
Guillom :: GUILLOM-PC [administrateur]
24/01/2012 20:01:50
mbam-log-2012-01-24 (20-01-50).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 252338
Temps écoulé: 25 minute(s), 12 seconde(s)
Processus mémoire détecté(s): 2
C:\ProgramData\79bjm5me7g.exe (Trojan.VUPX.Gen) -> 760 -> Suppression au redémarrage.
C:\Users\Guillom\AppData\Roaming\Microsoft\svchost.exe (Trojan.FakeMS) -> 2088 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 6
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|79bjm5me7g (Trojan.VUPX.Gen) -> Données: C:\ProgramData\79bjm5me7g.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSN (Trojan.FakeMS) -> Données: C:\Users\Guillom\AppData\Roaming\Microsoft\svchost.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|79bjm5me7g (Trojan.VUPX.Gen) -> Données: C:\Users\Guillom\79bjm5me7g.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|GoogleApps (Trojan.FakeMS) -> Données: C:\Users\Guillom\AppData\Roaming\Microsoft\Windows\Templates\svchost.exe -> Mis en quarantaine et supprimé avec succès.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|msnfad (Trojan.CryptPro.Gen) -> Données: rundll32.exe "C:\Windows\System32\config\systemprofile\AppData\Local\App\msnfad.dll",wmain -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Données: C:\Users\Guillom\AppData\Local\4fdca529\X -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 15
C:\ProgramData\79bjm5me7g.exe (Trojan.VUPX.Gen) -> Suppression au redémarrage.
C:\Users\Guillom\AppData\Roaming\Microsoft\svchost.exe (Trojan.FakeMS) -> Suppression au redémarrage.
C:\Users\Guillom\79bjm5me7g.exe (Trojan.VUPX.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Roaming\Microsoft\Windows\Templates\svchost.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\config\systemprofile\AppData\Local\App\msnfad.dll (Trojan.CryptPro.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\8B004FE9-3711-4E99-6B4D-19BE47B7CE54.avi (Trojan.CryptPro.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Local\4fdca529\U\00000001.@ (Backdoor.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Local\4fdca529\U\000000c0.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Local\4fdca529\U\000000cb.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Local\4fdca529\U\000000cf.@ (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Local\4fdca529\U\800000c0.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Local\4fdca529\U\800000cb.@ (Backdoor.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Guillom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\config\systemprofile\AppData\Local\8B004FE9-3711-4E99-6B4D-19BE47B7CE54.avi (Trojan.CryptPro.Gen) -> Mis en quarantaine et supprimé avec succès.
D:\documents_guillom\logiciels\Crack Windows 7 Edition Intégrale pc en by gileragsm80\Crack Windows 7 Edition Intégrale pc en by gileragsm80\crack7\2\CW.eXe (Hacktool.ChewWGA) -> Mis en quarantaine et supprimé avec succès.
(fin)
Salut,
Tu es sacrément infecté ;-)
Telecharge et enregistre Pre_Scan sur ton bureau : :
ici
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://dl.dropbox.com/u/21363431/Pre_Scan.pif
ou cette version renommée winlogon.exe :
http://dl.dropbox.com/u/21363431/winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne-moi le lien ;-)
Tu es sacrément infecté ;-)
Telecharge et enregistre Pre_Scan sur ton bureau : :
ici
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://dl.dropbox.com/u/21363431/Pre_Scan.pif
ou cette version renommée winlogon.exe :
http://dl.dropbox.com/u/21363431/winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne-moi le lien ;-)
On va diagnostiquer ton pc :
* Télécharge ZHPDiag (de Nicolas Coolman) : ici
*Lance le ( Pour Windows Vista et Windows 7 clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
*Il va se lancer tout seul.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
*Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.
*Rends toi sur Pjjoint : ici, clique sur "Choisissez un fichier", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier.
Puis copie/colle le lien fourni dans ta prochaine réponse.
PS: Tous les rapports que tu devra me donner après donne les moi par pjjoint.
* Télécharge ZHPDiag (de Nicolas Coolman) : ici
*Lance le ( Pour Windows Vista et Windows 7 clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
*Il va se lancer tout seul.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
*Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.
*Rends toi sur Pjjoint : ici, clique sur "Choisissez un fichier", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier.
Puis copie/colle le lien fourni dans ta prochaine réponse.
PS: Tous les rapports que tu devra me donner après donne les moi par pjjoint.
slt
voilà le zhgdiag :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120127_o7i6g8b15f11
Merci d'avance
voilà le zhgdiag :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120127_o7i6g8b15f11
Merci d'avance
Salut,
Tu dois copier ces lignes en gras :
C:\Users\Guillom\AppData\LocalLow\uTorrentBar_FR =>Toolbar.Conduit
O43 - CFD: 21/01/2012 - 20:07:56 - [0,026] ----D- C:\ProgramData\Spybot - Search & Destroy
O43 - CFD: 21/01/2012 - 20:07:20 - [4,417] ----D- C:\Program Files\Spybot - Search & Destroy
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F}
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\beodbp.job
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [79bjm5me7g] C:\Users\Guillom\79bjm5me7g.exe (.not file.)
O4 - HKUS\S-1-5-21-3772654596-491458971-489258903-1001\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-21-3772654596-491458971-489258903-1001\..\Run: [79bjm5me7g] C:\Users\Guillom\79bjm5me7g.exe (.not file.)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll
EMPTYTEMP
EMPTYFLASH
FirewallRaz
-Puis Lance ZHPFix depuis le raccourci du bureau .
-Une fois ZHPFix ouvert , clique sur le bouton [ H ] .
- Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent.
-Vérifie que c'est les bonne lignes qui sont collés.
-Clique sur le bouton GO
-Copie/Colle le rapport à l'écrans sur pjjoint .
Tu dois copier ces lignes en gras :
C:\Users\Guillom\AppData\LocalLow\uTorrentBar_FR =>Toolbar.Conduit
O43 - CFD: 21/01/2012 - 20:07:56 - [0,026] ----D- C:\ProgramData\Spybot - Search & Destroy
O43 - CFD: 21/01/2012 - 20:07:20 - [4,417] ----D- C:\Program Files\Spybot - Search & Destroy
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F}
O39 - APT:Automatic Planified Task - C:\Windows\Tasks\beodbp.job
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [79bjm5me7g] C:\Users\Guillom\79bjm5me7g.exe (.not file.)
O4 - HKUS\S-1-5-21-3772654596-491458971-489258903-1001\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-21-3772654596-491458971-489258903-1001\..\Run: [79bjm5me7g] C:\Users\Guillom\79bjm5me7g.exe (.not file.)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll
EMPTYTEMP
EMPTYFLASH
FirewallRaz
-Puis Lance ZHPFix depuis le raccourci du bureau .
-Une fois ZHPFix ouvert , clique sur le bouton [ H ] .
- Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent.
-Vérifie que c'est les bonne lignes qui sont collés.
-Clique sur le bouton GO
-Copie/Colle le rapport à l'écrans sur pjjoint .
tout a bien fonctionné !!
le rapport :
https://pjjoint.malekal.com/files.php?id=20120127_q14r13l6f15z14
le rapport :
https://pjjoint.malekal.com/files.php?id=20120127_q14r13l6f15z14
ben oui en fait, c'est toujours pareil sur google. Quand je clique sur un lien dans google ça m'envoie sur une pub et impossible d'aller sur la page que je veux hormis copier/coller de l'adresse...!!!
Ok donne-moi un nouveau rapport ZHPDiag puis fait cela :
Télécharge Reload_Tdsskiller :ici.
*Lance le choisis : lancer le nettoyage
*TDSSKiller va s'ouvrir , clique sur "Start Scan"
-Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
-Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
-Si TDSS.tdl4(HardDisk0MBR) est détecté assure toi que Cure est bien cochée.
-Si Suspicious file est indiqué, laisse l''option cochée sur SkipSi Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas.
*une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
*sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
Copie/Colle son contenu sur pjjoint et donne moi le lien dans ta prochaine réponse.
Télécharge Reload_Tdsskiller :ici.
*Lance le choisis : lancer le nettoyage
*TDSSKiller va s'ouvrir , clique sur "Start Scan"
-Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
-Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
-Si TDSS.tdl4(HardDisk0MBR) est détecté assure toi que Cure est bien cochée.
-Si Suspicious file est indiqué, laisse l''option cochée sur SkipSi Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas.
*une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
*sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
Copie/Colle son contenu sur pjjoint et donne moi le lien dans ta prochaine réponse.
je viens d'avoir le virus "gendarmerie nationale" donc j'ai pris une autre session ur laquelle tout va bien
de cette session j'ai lancé malewarebytes pour tenter de virer cette merde de virus qui bloque tout.
je fais ce que tu m'as dit de l'autre session ou.... je sais plus, suis perdu !! :-/
de cette session j'ai lancé malewarebytes pour tenter de virer cette merde de virus qui bloque tout.
je fais ce que tu m'as dit de l'autre session ou.... je sais plus, suis perdu !! :-/