pubs + virus : post d'un rapport ZHPDiag Fermé

Question

Bonjour,  

 Voilà je me permets de poster ce rapport : 

 http://cjoint.com/12fe/BBbsOrJHByB.htm

car je suis infester de pubs intempestives, mon ordinateur portable n'arrête pas de planter, de rester figé, voir de s'éteindre. Je pense avoir pas mal de virus. Pourriez vous y jeter un petit coup d'oeil afin que je puisse régler ce problème? merci d'avance 

Lilyy 

Configuration: Windows 7 / Firefox 9.0.1

Malekal_morte- · Answer

Salut,

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan.  
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Lilyy681 · Answer

coucou, merci pour le coup de main, voilà le rapport : 

# AdwCleaner v1.408 - Rapport créé le 01/02/2012 à 19:00:10
# Mis à jour le 29/01/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Lilyy - LILYY-PC (Administrateur)
# Exécuté depuis : C:\Users\Lilyy\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Lilyy\AppData\Roaming\cacaoweb
Dossier Supprimé : C:\Users\Lilyy\AppData\Roaming\Mozilla\Firefox\Profiles\17hbymgh.default\extensions\ffxtlbr@funmoods.com
Fichier Supprimé : C:\Users\Lilyy\AppData\Roaming\Mozilla\Firefox\Profiles\17hbymgh.default\searchplugins\funmoods.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki

***** [Registre (x64)] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://start.funmoods.com/?f=1&a=ddrnw --> hxxp://www.google.fr
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 --> hxxp://www.google.fr

-\ Mozilla Firefox v9.0.1 (fr)

Profil : 17hbymgh.default
Fichier : C:\Users\Lilyy\AppData\Roaming\Mozilla\Firefox\Profiles\17hbymgh.default\prefs.js

C:\Users\Lilyy\AppData\Roaming\Mozilla\Firefox\Profiles\17hbymgh.default\user.js ... Supprimé !

Supprimée : user_pref("extensions.enabledAddons", "ffxtlbr@funmoods.com:1.5.0,{972ce4c6-7e08-4474-a285-3208198ce[...]
Supprimée : user_pref("extensions.funmoods.admin", false);
Supprimée : user_pref("extensions.funmoods.aflt", "ddrnw");
Supprimée : user_pref("extensions.funmoods.cntry", "FR");
Supprimée : user_pref("extensions.funmoods.dfltLng", "");
Supprimée : user_pref("extensions.funmoods.dfltSrch", true);
Supprimée : user_pref("extensions.funmoods.excTlbr", false);
Supprimée : user_pref("extensions.funmoods.hdrMd5", "7EC5EE855DD1578B4C87587DAC6AD3BF");
Supprimée : user_pref("extensions.funmoods.hmpg", true);
Supprimée : user_pref("extensions.funmoods.id", "4eede141000000000000bcaec52ff264");
Supprimée : user_pref("extensions.funmoods.instlDay", "15371");
Supprimée : user_pref("extensions.funmoods.instlRef", "");
Supprimée : user_pref("extensions.funmoods.lastVrsnTs", "1.5.11.1616:40:52");
Supprimée : user_pref("extensions.funmoods.newTab", true);
Supprimée : user_pref("extensions.funmoods.newTabUrl", "hxxp://start.funmoods.com/?f=2&a=ddrnw");
Supprimée : user_pref("extensions.funmoods.noFFXTlbr", false);
Supprimée : user_pref("extensions.funmoods.prdct", "funmoods");
Supprimée : user_pref("extensions.funmoods.prtnrId", "funmoods");
Supprimée : user_pref("extensions.funmoods.sg", "none");
Supprimée : user_pref("extensions.funmoods.smplGrp", "none");
Supprimée : user_pref("extensions.funmoods.srchPrvdr", "Search");
Supprimée : user_pref("extensions.funmoods.tlbrId", "base");
Supprimée : user_pref("extensions.funmoods.tlbrSrchUrl", "hxxp://start.funmoods.com/results.php?f=3&a=ddrnw&q=")[...]
Supprimée : user_pref("extensions.funmoods.vrsn", "1.5.11.16");
Supprimée : user_pref("extensions.funmoods.vrsnTs", "1.5.11.1616:40:52");
Supprimée : user_pref("extensions.funmoods.vrsni", "1.5.11.16");
Supprimée : user_pref("extensions.funmoods_i.aflt", "ddrnw");
Supprimée : user_pref("extensions.funmoods_i.dfltLng", "");
Supprimée : user_pref("extensions.funmoods_i.dfltSrch", true);
Supprimée : user_pref("extensions.funmoods_i.dnsErr", true);
Supprimée : user_pref("extensions.funmoods_i.excTlbr", false);
Supprimée : user_pref("extensions.funmoods_i.hmpg", true);
Supprimée : user_pref("extensions.funmoods_i.hmpgUrl", "hxxp://start.funmoods.com/?f=1&a=ddrnw");
Supprimée : user_pref("extensions.funmoods_i.id", "4eede141000000000000bcaec52ff264");
Supprimée : user_pref("extensions.funmoods_i.instlDay", "15371");
Supprimée : user_pref("extensions.funmoods_i.instlRef", "");
Supprimée : user_pref("extensions.funmoods_i.newTab", true);
Supprimée : user_pref("extensions.funmoods_i.newTabUrl", "hxxp://start.funmoods.com/?f=2&a=ddrnw");
Supprimée : user_pref("extensions.funmoods_i.prdct", "funmoods");
Supprimée : user_pref("extensions.funmoods_i.prtnrId", "funmoods");
Supprimée : user_pref("extensions.funmoods_i.smplGrp", "none");
Supprimée : user_pref("extensions.funmoods_i.srchPrvdr", "Search");
Supprimée : user_pref("extensions.funmoods_i.tlbrId", "base");
Supprimée : user_pref("extensions.funmoods_i.tlbrSrchUrl", "hxxp://start.funmoods.com/results.php?f=3&a=ddrnw&q=[...]
Supprimée : user_pref("extensions.funmoods_i.vrsn", "1.5.11.16");
Supprimée : user_pref("extensions.funmoods_i.vrsnTs", "1.5.11.1616:40:52");
Supprimée : user_pref("extensions.funmoods_i.vrsni", "1.5.11.16");
Supprimée : user_pref("extensions.illimitux.ilx_pref_pt_veoh", true);

*************************

AdwCleaner[R1].txt - [1006 octets] - [20/08/2011 14:02:04]
AdwCleaner[S1].txt - [1130 octets] - [20/08/2011 14:02:37]
AdwCleaner[S2].txt - [319 octets] - [01/02/2012 18:59:48]
AdwCleaner[S3].txt - [6102 octets] - [01/02/2012 19:00:10]

*************************

Dossier Temporaire : 3 dossier(s) et 5 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S3].txt - [6322 octets] ##########

Malekal_morte- · Answer

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

* Lance OTL    
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    
netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s   
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    
* Clique sur le bouton Analyse.    
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

Malekal_morte- · Answer

Le rapport OTL est ok côté programmes pourris.
Des popups de pubs, tu en reçois encore ?
Même quand tu surfs pas ?

Par contre tu as Trend-Micro ET Antivir.
Deux antivirus, faut pas t'étonner que ça rame (déjà que t'as pas mal de programmes qui tournet).
Faudrait faire du ménage.

Ca donne quoi côté virus ?

Pubs + virus : post d'un rapport ZHPDiag

4 réponses

Discussions similaires