Comment supprimer un virus type NSIS : adware - EO (PUP)

Bonjour,

Je te remercie tout d'abord pour ton aide :)

Voici le lien : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20121017_b7v6j6p7g5

# AdwCleaner v2.005 - Rapport créé le 17/10/2012 à 23:18:16
# Mis à jour le 14/10/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Emilie - PC-DE-EMILIE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Emilie\Downloads\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Viewpoint
Dossier Supprimé : C:\ProgramData\IBUpdaterService
Dossier Supprimé : C:\ProgramData\Viewpoint

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{76C45B18-A29E-43EA-AAF8-AF55C2E1AE17}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{96EF404C-24C7-43D0-9096-4CCC8BB7CCAC}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97720195-206A-42AE-8E65-260B9BA5589F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97D69524-BB57-4185-9C7F-5F05593B771A}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{986F7A5A-9676-47E1-8642-F41F8C3FCF82}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B18788A4-92BD-440E-A4D1-380C36531119}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\S
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Supprimée : HKLM\Software\MetaStream
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Clé Supprimée : HKLM\Software\Viewpoint

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v15.0.1 (fr)

Nom du profil : default
Fichier : C:\Users\Emilie\AppData\Roaming\Mozilla\Firefox\Profiles\xgkpwbmr.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Emilie\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [3265 octets] - [17/10/2012 22:12:58]
AdwCleaner[R2].txt - [3325 octets] - [17/10/2012 22:14:40]
AdwCleaner[R3].txt - [3385 octets] - [17/10/2012 23:17:44]
AdwCleaner[S1].txt - [3346 octets] - [17/10/2012 23:18:16]

########## EOF - C:\AdwCleaner[S1].txt - [3406 octets] ##########



Est ce que c'est ok?

Merci

Bonsoir,

J'ai essayé toute la journée de faire cette analyse. Mais cela fait bugger mon ordinateur.

Il détecte quelque chose après environ 2h d'analyse et puis après soit le pc bug soit c'est Malwarebytes qui bug.

Voici le rapport :
RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Emilie [Droits d'admin]
Mode : Recherche -- Date : 18/10/2012 22:52:36

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[TASK][SUSP PATH] Video Performer : C:\Users\Emilie\AppData\Local\Temp\Video Performer63413.exe /XML="C:\Users\Emilie\AppData\Local\Temp\A94F.tmp" /STP=0:1 -> TROUVÉ
[TASK][SUSP PATH] {5B3376F2-AE84-49F1-8A1B-FF74A02ADC58} : C:\Windows\System32\pcalua.exe -a "C:\Users\Emilie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6D6BOYP8\installer_adobe_photoshop_cs2_9_0_2[1].exe" -d C:\Users\Emilie -> TROUVÉ
[TASK][SUSP PATH] {E27FADC2-986B-4102-A51E-F9F827C3BEFF} : C:\Windows\System32\pcalua.exe -a "C:\Users\Emilie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EXI35W45\wmp11-windowsxp-x86-FR-FR[1].exe" -d C:\Users\Emilie -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
IRP[IRP_MJ_CREATE] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x86F801F8)
IRP[IRP_MJ_CLOSE] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x86F801F8)
IRP[IRP_MJ_DEVICE_CONTROL] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x86F801F8)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x86F801F8)
IRP[IRP_MJ_POWER] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x86F801F8)
IRP[IRP_MJ_SYSTEM_CONTROL] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x86F801F8)
IRP[IRP_MJ_PNP] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x86F801F8)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: FUJITSU MHZ2320BH G2 ATA Device +++++
--- User ---
[MBR] cafb43031aa8a8e410d581b8f31dc48c
[BSP] 709a88ba9f9fba8b85f93dc7d7abf4ca : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 295686 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 605566976 | Size: 9555 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: General USB Flash Disk USB Device +++++
--- User ---
[MBR] 0b7807dbe24a05f46a13fd9024bbadb4
[BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 3823 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt



Merci

Voici le rapport :

RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Emilie [Droits d'admin]
Mode : Suppression -- Date : 19/10/2012 09:59:45

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 8 ¤¤¤
[TASK][SUSP PATH] Video Performer : C:\Users\Emilie\AppData\Local\Temp\Video Performer63413.exe /XML="C:\Users\Emilie\AppData\Local\Temp\A94F.tmp" /STP=0:1 -> SUPPRIMÉ
[TASK][PREVRUN] {1C6614F6-1549-4FCF-9AC1-2CB4D317C7E2} : C:\Windows\System32\pcalua.exe -a "C:\Program Files\EA GAMES\Les Sims 2\Sims2_Lanceur.exe" -d C:\PROGRA~1\EAGAME~1\LESSIM~1 -> SUPPRIMÉ
[TASK][PREVRUN] {5B3376F2-AE84-49F1-8A1B-FF74A02ADC58} : C:\Windows\System32\pcalua.exe -a "C:\Users\Emilie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6D6BOYP8\installer_adobe_photoshop_cs2_9_0_2[1].exe" -d C:\Users\Emilie -> SUPPRIMÉ
[TASK][PREVRUN] {E27FADC2-986B-4102-A51E-F9F827C3BEFF} : C:\Windows\System32\pcalua.exe -a "C:\Users\Emilie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EXI35W45\wmp11-windowsxp-x86-FR-FR[1].exe" -d C:\Users\Emilie -> SUPPRIMÉ
[TASK][PREVRUN] {FE63AFB0-B1A3-4ECA-A012-3DA16D46E00F} : C:\Windows\System32\pcalua.exe -a E:\.\Autorun.exe -d E:\ -> SUPPRIMÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
IRP[IRP_MJ_CREATE] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x86F801F8)
IRP[IRP_MJ_CLOSE] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x86F801F8)
IRP[IRP_MJ_DEVICE_CONTROL] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x86F801F8)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x86F801F8)
IRP[IRP_MJ_POWER] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x86F801F8)
IRP[IRP_MJ_SYSTEM_CONTROL] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x86F801F8)
IRP[IRP_MJ_PNP] : \SystemRoot\system32\drivers\atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x86F801F8)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

::1 localhost


Merci

Je rencontre le même problème. J'ai éssayer de faire cette analyse plusieurs fois mais cela fait bugger mon ordinateur au bout d'environ 2h. ("arrêt non planifié de windows")

Voici le lien : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20121022_g10v10y8r8p11

Merci

Emilie

test suite pb ajout commentaire

Je n'arrive pas a vous transmettre le rapport, le site me bloque, le rapport doit être trop long.

Du coup j'en est refait un à l'instant. Et voici le rapport : http://pjjoint.malekal.com/files.php?id=20121023_m11u15k13v13g6

Merci

Voici le rapport : http://pjjoint.malekal.com/files.php?id=20121024_f6n14u6b10g9

Merci

Voici le rapport : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20121024_h11o5g14l11l11

Merci

voici le rapport :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20121025_t13m14i14k6i12

merci

J'ai supprimé AVG.

Voici le rapport :

Rapport de ZHPFix 1.3.05 par Nicolas Coolman, Update du 09/10/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-25-10-2012-12-30-04.txt
Run by Emilie at 25/10/2012 12:30:04
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://nicolascoolman.skyrock.com/



========== Clé(s) du Registre ==========
SUPPRIME CLSID MPSK: {08b8f249-1aa1-11de-9a8b-ca0a73ed101f}
SUPPRIME CLSID MPSK: {f377c754-5bcf-11e1-b46e-001eecab3b71}

========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (Public) : {73702220-CC08-4538-9D58-A4F7E9D4959D}
SUPPRIME FirewallRaz (Public) : {F786F858-2E08-4CA7-83DB-8DA1369961BC}
SUPPRIME FirewallRaz (Public) : TCP Query User{DE619883-4F3E-4574-BF7B-23768F177708}C:\program files\electronic arts\eadm\core.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{17877C12-205C-4F6E-9577-C7BE06735439}C:\program files\electronic arts\eadm\core.exe
SUPPRIME FirewallRaz (None) : {3B5FDE75-314C-44C5-80B5-2847C2858574}
SUPPRIME FirewallRaz (Public) : {FD7234DB-63DD-44E0-A426-0661F5BC685B}
SUPPRIME FirewallRaz (Public) : {FC93FDD5-153C-4B2A-B560-06C57E931A47}
SUPPRIME FirewallRaz (Public) : TCP Query User{CEC1E685-BB45-430D-A76B-AE5CDE415F24}C:\program files\emule\emule.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{E05C84D3-A847-4743-A4CE-FAB199C34BC9}C:\program files\emule\emule.exe

========== Dossier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME File: c:\users\emilie\desktop\continue sweetim installation.lnk
ABSENT File: c:\users\emilie\appdata\local\temp\shortcut_sweetimsetup.exe
SUPPRIME File: c:\users\emilie\desktop\xilisoft iphone ringtone maker - raccourci.lnk
ABSENT File: c:\users\emilie\downloads\xilisoft.iphone.ringtone.maker.2.0.8.827.portable\xilisoft iphone ringtone maker.exe
SUPPRIME File: c:\users\emilie\appdata\roaming\microsoft\internet explorer\quick launch\internet - raccourci.lnk
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
2 : Clé(s) du Registre
11 : Valeur(s) du Registre
2 : Dossier(s)
7 : Fichier(s)


End of clean in 00mn 05s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 25/10/2012 12:30:04 [2289]

Merci

voici le rapport : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20121025_c14n10o11z10x9

voici le rapport de ZHP fix :

Rapport de ZHPFix 1.3.05 par Nicolas Coolman, Update du 09/10/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-26-10-2012-13-32-26.txt
Run by Emilie at 26/10/2012 13:32:26
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://nicolascoolman.skyrock.com/



========== Clé(s) du Registre ==========
SUPPRIME Key: Service: Bonjour Service
SUPPRIME Key: HKLM\Software\BrowserChoice
ABSENT Key: Service: Bonjour Service

========== Valeur(s) du Registre ==========
ABSENT RunValue: Adobe Reader Speed Launcher
SUPPRIME RunValue: HP Software Update
SUPPRIME RunValue: QuickTime Task
SUPPRIME RunValue: iTunesHelper

========== Dossier(s) ==========
SUPPRIME Folder: C:\ProgramData\avg8


========== Récapitulatif ==========
3 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Dossier(s)


End of clean in 00mn 52s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 25/10/2012 11:30:04 [2341]
C:\ZHP\ZHPFix[R2].txt - 26/10/2012 13:32:26 [939]

rapport de Delfix :
# DelFix v9.0 - Rapport créé le 26/10/2012 à 13:37:13
# Mis à jour le 23/09/12 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Emilie - PC-DE-EMILIE (Administrateur)
# Exécuté depuis : C:\Users\Emilie\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\USBFix
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\Emilie\Desktop\RK_Quarantine
Non Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[R3].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_PC-DE-EMILIE.zip
Supprimé : C:\Users\Emilie\Desktop\RKreport[1].txt
Supprimé : C:\Users\Emilie\Desktop\RKreport[2].txt
Supprimé : C:\Users\Emilie\Desktop\RKreport[3].txt
Supprimé : C:\Users\Emilie\Desktop\UsbFix.txt
Supprimé : C:\Users\Emilie\Desktop\UsbFixsuppression.txt
Supprimé : C:\Users\Emilie\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Emilie\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Emilie\Downloads\AdwCleaner.exe
Supprimé : C:\Users\Emilie\Downloads\RogueKiller.exe
Supprimé : C:\Users\Emilie\Downloads\UsbFix.exe
Supprimé : C:\Users\Emilie\Downloads\ZHPDiag2(1).exe
Supprimé : C:\Users\Emilie\Downloads\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\USBFix
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1912 octets] - [26/10/2012 13:37:13]

########## EOF - C:\DelFix[S1].txt - [2036 octets] ##########

Je vous remercie vraiment pour tout. je savais plus quoi faire.

J'ai juste une petite question, vous me dite d'installer HOSTS Anti-PUPs/Adware et puis vous me dites comment le supprimer si je le souhaites. Mais pour qu'il me bloque les site, il faut que je le garde tout le temps. Non?