Adware:Win32/PriceGong Résolu/Fermé

Question

Bonjour, Aujourd'hui mon logiciel NORTON à trouvé ce vius Win 32 PriceGong
j'ai donc fait nettoyage systeme comme annonce par Norton , mais il est toujours la il est pas  retiré. Avez vous une solution pour supprimer ce Virus. Merci de votre aide @+ 



Configuration: Systeme Windows 7 PC Portable HP

cabrier · Answer

Bonjour NINI,

PriceGong est un adware.
Désinstalle-le par le Panneau de configuration 

puis :

Peux-tu utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

ATTENTION : Si ton Antivirus est Avast, désactive la sandbox sinon l'analyse risque d'être faussées.
Voici comment faire ici 

* Télécharge >ZHPDiag< (de Nicolas Coolman) sur ton bureau,
/!\Il est très important de l'enregistrer sur le bureau / !\  
* Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
/!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
/!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\
* Maintenant clique sur l'icône du "tournevis" et dans la fenêtre d'options qui apparait coche "Tous"
* Clique sur la loupe pour  « lancer le diagnostic » .
* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
* En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
* Laisse l'outil travailler, il peut être assez long. 
* Le rapport s'enregistre sur ton bureau et dans le dossier où est installé ZHPDiag (en général C:\ZHP\). 
* Transmets moi le lien du fichier.
* Rappel des dépôts : cijoint ou  pjoint
 
A+

NINIDUWEB · Answer

Bonsoir 

Voici le lien et merci de votre aide 

 https://www.cjoint.com/?3AzsslyYsVF

cabrier · Answer

Hello NINI,

Pas mal de malwares sur ta machine ! 
C'est une vraie pépinière....

Utilise cet outil de désinfection spécifique aux logiciels publicitaires : 

* Télécharge sur ton bureau  AdwCleaner ( d'Xplode )
* Lance le, clique sur [Recherche] puis patiente le temps du scan.
* Une fois le scan fini, un rapport s'ouvrira.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt
sauvegarde ce rapport sur ton bureau
* Héberge-le sur cijoint ou  pjoint 
* Envoie-moi le lien fourni par l'hébergeur dans ta prochaine réponse sur le forum

------
Si tu es bloqué par le filtre SmartScreen pour le téléchargement d'"AdwCleaner" c'est un bug de Internet Explorer.
Voici comment s'en affranchir :
https://toolslib.net

A+

NINIDUWEB · Answer

Bonjour  Merci pour ton aide a ce que je vois je vais pouvoir faire de la culture  voici ci joint le lien pour me debarasser de ces bestioles  Bonne Journée @+ 
  https://www.cjoint.com/?3AAiJS9ioZy
  
NINI

cabrier · Answer

Nini, oui, beau bouillon de culture ;)

On va virer tout ça pour commencer.

Relance AdwCleaner et cette fois cliques sur [Supprimer]

Donne moi le lien du rapport.

Ensuite :

* Télécharge Malwaresbytes anti malware ici
* Choisis la version -Download Now-
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installation ) et mets le à jour .
* Tu as un tuto si tu en as besoin : tuto

* Avant de lancer le programme Déconnecte toi d'Internet et ferme toutes tes applications.

* /I\ Sous Vista ou Seven ---> clic droit "Exécuter en tant qu'administrateur"/I\
* Clique sur l'onglet "Mise à jour" si celle ci ne t'a pas été proposée lors de l'installation.
* Clique ensuite sur l'onglet "Recherche" puis coche "Exécuter un examen Complet"
* Le scan peut durer plusieurs heures, aussi ne t'impatiente pas et laisse tourner le programme sans rien faire d'autre sur ta machine.
* Lorsque le scan est terminé clique sur "Afficher les résultats"
* Vérifie que toutes les lignes des objets infectés soient cochées, puis clique sur "Supprimer la sélection"

PS : Redémarre ta machine pour achever le nettoyage.

* Enregistre-le rapport de Suppression (onglet "rapport/log", le dernier en date) dans un endroit approprié pour le retrouver et héberge-le sur cijoint ou  pjoint 
*  Envoie-moi le lien fourni dans ta prochaine réponse.

A+

NINIDUWEB · Answer

Rebonjour
                                                                                                            http://cjoint.com/?3AAnUXXzfZYur                                               Voici déja la 1er partie le reste suit : 
voici le lien:    
                                  Merci @+

juju666 · Answer

Salut ça craint ça : 

O41 - Driver: (cupkblec) . (. - .) - C:\Windows\system32\drivers\cupkblec.sys (.not file.)

cabrier · Answer

NINI,

Ton lien du rapport de suppression de AdwCleaner n'est pas bon.
Redonne moi le !

Quitte tous les programmes en cours !

---> Télécharge sur le bureau RogueKiller (créé par Tigzy)
https://www.luanagames.com/index.fr.html

---> Après le pre-scan, Lancer un Scan par le bouton Scan à droite.

---> Clique sur [Suppression]

---> Puis clique sur [Rapport] une fois le scan terminé, et copie/colle le rapport dans ta réponse.

---> Redémarre ton ordinateur.

(le rapport est également sur le bureau)

* Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois, ou renomme le en winlogon.exe 

Et si ça ne marche toujours pas , lance le en mode sans échec avec prise en charge du réseau.
====================
Aide ici : https://www.malekal.com/demarrer-windows-mode-sans-echec/
 
A+

NINIDUWEB · Answer

Re Voici le rapport suite au SCAN Merci @+ RogueKiller V8.4.3 [Jan 8 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Nicole [Droits d'admin] Mode : Suppression -- Date : 26/01/2013 15:40:38 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 9 ¤¤¤ [TASK][ROGUE ST] 0 : c:\program files (x86)\internet explorer\iexplore.exe -> SUPPRIMÉ [TASK][ROGUE ST] 4783 : wscript.exe C:\Users\Nicole\AppData\Local\Temp\launchie.vbs //B -> SUPPRIMÉ [TASK][SUSP PATH] VisualBeeRecovery : C:\Users\Nicole\AppData\Local\VisualBeeExe\VisualBeeRecovery.exe /s -> SUPPRIMÉ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:8877;hxxps=127.0.0.1:8877) -> NON SUPPRIMÉ, UTILISER PROXY RAZ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NON SUPPRIMÉ, UTILISER PROXY RAZ [PROXY FF] kcdf26ls.default\ 127.0.0.1:8877 -> NON SUPPRIMÉ, UTILISER PROXY RAZ [HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK1059GSMP +++++ --- User --- [MBR] 46a45cff6eae1bf489a55165055d33c5 [BSP] 4887bf4e5191061849b04f5f3d6c19fb : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 931000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1907097600 | Size: 22566 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1953312768 | Size: 102 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_26012013_154038.txt >> RKreport[1]_S_26012013_154006.txt ; RKreport[2]_D_26012013_154038.txt

cabrier · Answer

OK,

Relance Roguekiller et après le pré-scan clique sur l'onglet à droite "PROXY RAZ"

A+

NINIDUWEB · Answer

Bonsoir Voici la suite Merci @+ RogueKiller V8.4.3 [Jan 8 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Nicole [Droits d'admin] Mode : Proxy RAZ -- Date : 26/01/2013 18:08:54 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 3 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:8877;hxxps=127.0.0.1:8877) -> SUPPRIMÉ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REMPLACÉ (0) [PROXY FF] kcdf26ls.default\ 127.0.0.1:8877 -> SUPPRIMÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ Termine : << RKreport[3]_PR_26012013_180854.txt >> RKreport[1]_S_26012013_154006.txt ; RKreport[2]_D_26012013_154038.txt ; RKreport[3]_PR_26012013_180854.txt

cabrier · Answer

Bien,

[*] Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau
[*] Double-clique sur TDSSKiller.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
[*]  Clique sur Change parameters et coche la case Loaded modules. Le message Reboot is required s'affiche.
[*]  Il faut le valider en cliquant sur Reboot now.
[*]  Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
    L'outil TDSSKiller se relance.
[*] Clique de nouveau sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK
 [*] Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
[*] En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer :
 [*]  Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
[*]  Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
 [*] Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
 [*] Si Suspicious object est indiqué, l'option Skip soit cochée

[*]     Clique ensuite sur Continue, puis clique sur Reboot computer
[*]  Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum

    Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt



Tutoriel d'utilisation TDSSKiller en images :
https://forum.security-x.fr/tutoriels-317/tutoriel-tdsskiller-nouvelle-version/

NINIDUWEB · Answer

Bonjour 


Voici le rapport : le lien  Bonne Journée @+  Merci encore de votra aide 

http://cjoint.com/?3ABjujUEaWt

cabrier · Answer

NINI,

Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection (antivirus et pare-feu) et ferme toutes les fenêtres ouvertes avant de l'utiliser.

¶ Télécharge ComboFix (de sUBs) sur ton Bureau.
¶ Double-clique sur ComboFix.exe afin de le lancer.
¶ Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
¶ Ne touche à rien pendant le scan.
¶ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuie sur la touche entrée du clavier.

Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
 
A+

NINIDUWEB · Answer

Re:      Voici le rapport 
 
 https://www.cjoint.com/?3ABk0cbW7R3          Merci @+

cabrier · Answer

OK,

Tu me refais un ZHPDiag et poste moi le nouveau rapport.

A+

NINIDUWEB · Answer

Bonsoir 

Voici le lien du Rapport https://www.cjoint.com/?3ABstDR6krs
 
Merci Bonne Soirée   @+




NINI

cabrier · Answer

NINI,

Le lien que tu me donnes là c'est celui du dernier passage de Roguekiller.

Je t'ai demandé un nouveau rapport de ZHPDIAG pour contrôle !

A toi.

NINIDUWEB · Answer

Bonsoir, Excuse moi  voici le bon maintenant 

 https://www.cjoint.com/?3ABvE52DktT

Merci encore     Bonne Soirée  @+

cabrier · Answer

NINI,  

Toujours beaucoup de malwares !  

* Télécharge sur ton bureau  AdwCleaner ( d'Xplode )  
* Lance le, mais avant de cliquer sur [Suppression] et si ton antivirus est Antivir appuie sur simultanément sur les touches ALT et A puis clique sur [Suppression] et patiente le temps du scan.  
* Une fois le scan fini, un rapport s'ouvrira.  
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[Sx].txt  
sauvegarde ce rapport sur ton bureau  
* Héberge-le sur cijoint ou  pjoint ou FEC  
* Envoie-moi le lien fourni par l'hébergeur dans ta prochaine réponse sur le forum.  

A+ 
----------Contributeur Sécurité-----------  
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

cabrier · Answer

Nini, 

De plus un proxy récalcitrant me casse les pieds ! 

¶ Télécharge OTL sur ton Bureau. 

¶ Lance le (clic-droit --> Exécuter en temps qu'administrateur). 

¶ Sous Personnalisation, copie-colle ce script : 

/md5start 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
netsvcs 
safebootminimal 
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\system32\*.ini 
%systemroot%\Tasks\*.* 
%systemroot%\system32\Tasks\*.* 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
%systemroot%\system32\config\*.exe /s 
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 
CREATERESTOREPOINT 

¶ Coche la case "tous les utilisateurs" puis clique sur le bouton "Analyse" 

¶ Patiente pendant l'analyse jusqu'à l'apparition des deux rapports OTL.txt et Extras.txt 

¶ Rends toi sur cijoint ou  pjoint, clique sur "Parcourir", sélectionne le rapport de OTL et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. 

A+ 
  
----------Contributeur Sécurité----------- 
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

NINIDUWEB · Answer

Bonsoir 

voici le lien comme demandé : 
http://cjoint.com/?3ACsmmXY2us  

j'espère que je t'ennuie pas pas avec mes mes problèmes, merci beaucoup de m'aider je te fait suivre le reste^pour le Proxy  @+

NINIDUWEB · Answer

Me revoici 

Voici le lien pour le Proxy 
 
http://cjoint.com/?3ACsXQn1FWU  

Bonne soirée  @+

cabrier · Answer

NINI,

Des infections installent un proxy , empêchant une connexion normale
Il faut le désactiver.

Vas dans le menu Outils d'Internet Explorer
Clique sur Options Internet, puis sur l'onglet Connexions, puis sur Paramètres réseau.
Coche : ne pas activer de Serveur proxy...

Dans Firefox
Vas dans Outils-> Options
Active l'onglet Réseau
Clique sur Paramètres
Et choisis l'option: Pas de proxy
Clique sur Ok 

A+

cabrier · Answer

NINI, J'ai examiné le rapport OTL. Tu vas faire ce qui suit : * Clic droit sur OTL.exe pour le lancer---> Exécuter en tant qu'administrateur * Copie la liste qui se trouve en gras et italique ci-dessous, * Colle-la dans la zone sous "Personnalisation" : :processes explorer.exe iexplore.exe firefox.exe :OTL PRC - [2012/07/27 08:00:28 | 000,049,664 | ---- | M] (TheBestMatch) -- C:\Program Files (x86)\TheBestMatch\Homepage\Homepage.exe PRC - [2012/07/27 08:00:28 | 000,030,720 | ---- | M] (TheBestMatch) -- C:\Program Files (x86)\TheBestMatch\Homepage\HPMonitor.exe SRV - [2012/07/27 08:00:28 | 000,049,664 | ---- | M] (TheBestMatch) [Auto | Running] -- C:\Program Files (x86)\TheBestMatch\Homepage\Homepage.exe -- (Homepage) SRV - [2012/07/27 08:00:28 | 000,030,720 | ---- | M] (TheBestMatch) [Auto | Running] -- C:\Program Files (x86)\TheBestMatch\Homepage\HPMonitor.exe -- (HPMonitor) PRC - [2012/06/04 08:36:28 | 000,183,096 | ---- | M] (Microsoft Corporation) -- C:\Users\Nicole\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe IE - HKU\S-1-5-21-1250425492-144481173-2216854460-1001\..\SearchScopes\{696FA1D1-F2DA-433A-9217-AF95106F6CB1}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3242339&CUI=UN60162033924437239 IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <-loopback>; IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8877;https=127.0.0.1:8877 IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <-loopback>; IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8877;https=127.0.0.1:8877 IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = IE - HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8877;https=127.0.0.1:8877 IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8877;https=127.0.0.1:8877 IE - HKU\S-1-5-21-1250425492-144481173-2216854460-1000\..\SearchScopes,DefaultScope = IE - HKU\S-1-5-21-1250425492-144481173-2216854460-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-21-1250425492-144481173-2216854460-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8877;https=127.0.0.1:8877 IE - HKU\S-1-5-21-1250425492-144481173-2216854460-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-21-1250425492-144481173-2216854460-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-21-1250425492-144481173-2216854460-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:8877;https=127.0.0.1:8877 FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 8877 FF - prefs.js..network.proxy.type: 1 O4 - HKU\.DEFAULT..\Run: [systray] C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe (TheBestMatch) O4 - HKU\S-1-5-18..\Run: [systray] C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe (TheBestMatch) O4 - HKU\S-1-5-21-1250425492-144481173-2216854460-1000..\Run: [systray] C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe (TheBestMatch) O4 - Startup: C:\Users\Nicole\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de notification de cadeaux MSN.lnk = C:\Users\Nicole\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe (Microsoft Corporation) O4 - HKLM..\Run: [USB3MON] C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe (Intel Corporation) @Alternate Data Stream - 144 bytes -> C:\ProgramData\Temp:373E1720 :Files C:\Program Files (x86)\TheBestMatch\Homepage\Homepage.exe C:\Program Files (x86)\TheBestMatch\Homepage\HPMonitor.exe C:\Users\Nicole\AppData\Roaming\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe :Commands [CLEARALLRESTOREPOINTS] [emptytemp] [start explorer] * Clique sur "Correction" pour lancer la suppression. * Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail après le redémarrage. A+

NINIDUWEB · Answer

Bonjour 

 Voici le lien  : 

 
http://cjoint.com/?3ADlE2qCKWb  

 
J'espère que tout ira bien cette fois Merci  @+

cabrier · Answer

NINI,

Oui moi aussi.

Tu me refais un ZHPDiag pour voir ?

A+

cabrier · Answer

NINI,

Non je ne suis pas encore satisfait !

Ce script va cibler certains éléments à supprimer :

* Copie tout le texte ci-dessous (en gras et italique) tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C

[MD5.00000000000000000000000000000000] [APT] [DealPlyUpdate] (...) -- C:\Program Files (x86)\DealPly\DealPlyUpdate.exe (.not file.)
O42 - Logiciel: Homepage - (.TheBestMatch.) [HKLM][64Bits] -- {29633E53-BF13-41B5-9E10-19D7843BD9C3}
O42 - Logiciel: Internet Explorer Toolbar 4.7 by SweetPacks - (.SweetIM Technologies Ltd..) [HKLM][64Bits] -- {96E2E493-C484-43E3-9B95-D62EE7D40D3A}
[HKCU\Software\SweetIM]
[HKLM\Software\Wow6432Node\SweetIM]    => Infection PUP (PUP.SweetIM)
O43 - CFD: 07/09/2012 - 18:46:24 - [1,419] ----D C:\Program Files (x86)\TheBestMatch
O43 - CFD: 07/09/2012 - 18:46:39 - [0,216] ----D C:\Users\Nicole\AppData\Local\TheBestMatch
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\482AA67AD25E6E74E9F48BD5FBE8533C]
[HKCU\Software\SweetIM]
[HKLM\Software\Wow6432Node\SweetIM]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{29633E53-BF13-41B5-9E10-19D7843BD9C3}]
C:\Program Files (x86)\TheBestMatch
C:\Users\Nicole\AppData\Local\TheBestMatch
O90 - PUC: "394E2E69484C3E34B9596DE27E4DD0A3" . (.Internet Explorer Toolbar 4.7 by SweetPacks.) -- C:\Windows\Installer\{96E2E493-C484-43E3-9B95-D62EE7D40D3A}\ARPPRODUCTICON.exe
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]
[MD5.756DB0D65CB04054C02B02814A9A4A87] - (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files (x86)\IncrediMail\Bin\IncMail.exe   [366024] [PID.5108]
[MD5.6CF49B881DBB751E3F5F852C2F56BC96] - (.IncrediMail, Ltd. - IncrediMail Tray Application.) -- C:\Program Files (x86)\IncrediMail\Bin\ImApp.exe   [263624] [PID.6920]
O4 - HKCU\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files (x86)\IncrediMail\bin\IncMail.exe
O4 - Global Startup: C:\Users\All Users\Desktop\Choix de navigateur .lnk . (.Microsoft Corporation.)  -- C:\Windows\System32\browserchoice.exe
O4 - Global Startup: C:\Users\All Users\Desktop\IncrediMail.lnk . (.IncrediMail, Ltd..)  -- C:\Program Files (x86)\IncrediMail\Bin\IncMail.exe
O4 - Global Startup: C:\Users\Nicole\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Uninstall .lnk . (...)  -- C:\Program Files (x86)\installer_12345.exe (.not file.)
O4 - Global Startup: C:\Users\Nicole\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\IncrediMail 2.0.lnk . (.IncrediMail, Ltd..)  -- C:\Program Files (x86)\IncrediMail\Bin\IncMail.exe
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
[MD5.F02A533F517EB38333CB12A9E8963773] [APT] [GoogleUpdateTaskMachineCore] (.Google Inc..) -- C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
[MD5.F02A533F517EB38333CB12A9E8963773] [APT] [GoogleUpdateTaskMachineUA] (.Google Inc..) -- C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
[MD5.00000000000000000000000000000000] [APT] [{36FF7742-1A98-4751-94D8-BEF2DEC88970}] (...) -- C:\Users\Nicole\AppData\Local\Temp\Temp1_incredimail-fr-2031.zip\IncrediMailSetup_fr 2031.exe (.not file.)
O42 - Logiciel: IncrediMail - (.IncrediMail.) [HKLM][64Bits] -- {5E97F3BD-CDDC-4188-9D98-532E14FABB5D}
O42 - Logiciel: IncrediMail 2.0 - (.IncrediMail Ltd..) [HKLM][64Bits] -- IncrediMail
[HKCU\Software\IncrediMail]
O43 - CFD: 19/05/2012 - 07:43:58 - [26,449] ----D C:\Program Files (x86)\IncrediMail
O43 - CFD: 26/02/2012 - 11:14:46 - [9,213] ----D C:\Program Files (x86)\WildTangent Games
O43 - CFD: 19/05/2012 - 07:44:28 - [0,000] ----D C:\ProgramData\IM
O43 - CFD: 19/05/2012 - 07:43:58 - [6,703] ----D C:\ProgramData\IncrediMail    
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ


* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPFix.exe, « exécuter en tant qu'Administrateur »/ !\ 
* Clique sur la 2ème icône en haut à gauche ("coller le presse-papier")
Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) 
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre. 
* Clique sur le bouton «GO » pour lancer le nettoyage 
* Le rapport s'ouvre automatiquement après l'exécution du script. Il se trouve aussi sous C:\ZHP\ZHPPFixReport.txt
* Transmets-moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
*Rappel des dépôts : cijoint ou  pjoint ou FEC
-------------------------------------------------------------
Lors de l'utilisation de Zhpfix le processus "explorer exe" peut se fermer.
Ton bureau apparaitra sans icones et sans barre des taches.
Pour relancer "explorer.exe" appuie simultanément sur les touches ctrl+alt+suppr pour ouvrir le gestionnaire de tâches.
Cliques sur "fichier" et sur "nouvelle tâche" et dans le champ de saisie, tu tapes explorer.exe et cliques sur OK.

A+

NINIDUWEB · Answer

bONSOIR?    
Voici le lien mais petit souci ca ma supprime mon incredimail à voir ? 
 
http://cjoint.com/?3ADsS1BoFtz  
+ @+     Cordialement

cabrier · Answer

NINI,

---> Incrédimail ===>client de messagerie à PROSCRIRE 
lis ce petit article d'un site tout à fait sérieux :
http://assiste.com.free.fr/p/logitheque/incredimail.html 
alors c'est comme tu veux, moi je te conseillerai 
Thunderbird ICI

Il est moins "rigolo" mais infiniment plus fiable et facilement paramétrable.

Maintenant pour espérer en terminer.

Relance MalwareByte (après mise à jour)

puis un nouveau ZHPDiag

et si plus de problème on désinstalle les outils et rapports.

D'accord ?

NINIDUWEB · Answer

bSR    Pourquoi pas changer de boite mail le seul souci c'est que j'avais des petits dossiers ou je gardes certains mails vais je pouvoir les récupérer?  

le reste suite   à tout à l heure

NINIDUWEB · Answer

Bonsoir 

Voici le lien  
http://cjoint.com/?3ADv1sop7y4  


Espère que la fin est proche  Bonne fin de Soirée   @+ et Merci du temps que tu donnes pour nous aider .

cabrier · Answer

Bonjour NINI,

Désolé pour Incrédimail, j'aurai du te prévenir.


Tu as relancé MalwareByte ?
Je ne vois pas le lien du rapport.

Il y a encore quelques éléments qui me gênent.

Relance AdwCleaner en mode [Suppression]


Ton logiciel HomePage installe un Proxy, ce qui n'est pas bon.

Puis :

¶ Télécharge http://general-changelog-team.fr/fr/downloads/viewdownload/14-outils-de-c-xx/6-seaf SEAF] (de C_XX) sur ton Bureau.
¶ Lance SEAF
¶ Dans les options, coche "Informations supplémentaires" et "Chercher également dans le Registre"
¶ Tape HomePage dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
¶ Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.
 
Rends moi compte de :
- MBAM,
- AdwCleaner
- Seaf

A+

NINIDUWEB · Answer

Bonjour C'est toujours moi 

voici déja 2 liens et le dernier suit 

 
http://cjoint.com/?3AEjYED9j7K  

 
http://cjoint.com/?3AEj0YgKedU



@+  Merci

NINIDUWEB · Answer

Bonjour 

Peut tu me dire étant donné que j'ai perdu mon Incredimail ou j'avais tous mes contacts et adresses mail  avant de mettre celui que tu ma indiqué serait t-il possible que je recupére les adresses et contacts avant d'installer le nouveau. si oui peut tu m'indiquer comment faire ou me diriger sur quelqu'un d'autre Merci encore pour tout. 
Bonne Après Midi      @

cabrier · Answer

Bonjour NINI,

Pour retrouver tes fichiers et dossiers Incrédimail :

1) Tu lances ZHPFix
Pour la partie dossier/fichier :
2) Tu cliques sur le bouton "Restaurer la quarantaine", c'est le bouton en haut à droite avec un Q
3) Une liste va s'afficher, tu sélectionnes les lignes correspondant à Incrédimail une à une en cliquant juste devant la ligne et clic droit  sur "Restaurer la ligne sélectionnée"

Tu devrais retrouver tous tes dossiers et fichiers Incrédimail.

A+

NINIDUWEB · Answer

Bonsoir, 

Merci mais je n'est pas pu recuperer les dossiers malgré la réeinstallationTant pis 
je vais être obligé de rechercher tous mes contacts et refaire mes dossiers  du travail en perspective. 

Merci quand même    Bonne Soirée

cabrier · Answer

Désolé, mais laisse tomber Incredimail ! 

...et n'oublie pas :
Pour tout ce qui t'est personnel ====> sauvegarde, sauvegarde...!

C'est une précaution INDISPENSABLE avec un PC.

A+  
  
----------Contributeur Sécurité----------- 
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

NINIDUWEB · Answer

Bonsoir,   OK pour l'info j'attends ton petit script comme proposer 
dans message précedent  Merci pour l'aide 

Bonne fin de Soirée

cabrier · Answer

NINI,

Voici le script promis :

[*] Lance OTL, il doit encore être sur ton bureau (clic-droit dessus et choisis "exécuter en temps qu'administrateur")

[*] Dans la fenêtre inférieure nommée "Personnalisation", colle le script ci-dessous. Uniquement ce qui est en gras et en italique ci-dessous.


:reg
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{29633E53-BF13-41B5-9E10-19D7843BD9C3}]
"DisplayName"="Homepage"=-
[HKLM\Software\Classes\CLSID\{766BF2AE-D650-11d1-9811-00C04FC31D2E}]
""="HomePage Class"=-
[HKLM\Software\Classes\CLSID\{766BF2AE-D650-11d1-9811-00C04FC31D2E}\ProgID]
""="HomePage.HomePage.1"=-
[HKLM\Software\Classes\CLSID\{766BF2AE-D650-11d1-9811-00C04FC31D2E}\VersionIndependentProgID]
""="HomePage.HomePage"=-
[HKLM\Software\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell]
""="OpenHomePage"=-
[-HKLM\Software\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage]
[-HKLM\Software\Classes\HomePage.HomePage]
[HKLM\Software\Classes\Wow6432Node\CLSID\{766BF2AE-D650-11d1-9811-00C04FC31D2E}]
""="HomePage Class"=-
[HKLM\Software\Classes\Wow6432Node\CLSID\{766BF2AE-D650-11d1-9811-00C04FC31D2E}\VersionIndependentProgID]
""="HomePage.HomePage"=-
[HKLM\Software\Classes\Wow6432Node\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell]
""="OpenHomePage"=-
[-HKLM\Software\Classes\Wow6432Node\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage]
[HKLM\Software\Classes\Wow6432Node\Interface\{766BF2AF-D650-11D1-9811-00C04FC31D2E}]
""="IHomePage"=-
[-HKLM\System\ControlSet001\services\eventlog\Application\Homepage]
[-HKLM\System\ControlSet002\services\eventlog\Application\Homepage]
[HKLM\System\WDP]
"assemblyPath"="C:\Program Files (x86)\TheBestMatch\Homepage\Homepage.exe"=-
[-HKLM\System\CurrentControlSet\services\eventlog\Application\Homepage]
[-HKU\.DEFAULT\Software\DataMngr\Files\Homepage]
[HKU\S-1-5-21-1250425492-144481173-2216854460-1000\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Run]
"systray"="C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe"=-
[HKU\S-1-5-21-1250425492-144481173-2216854460-1000_Classes\Software\Microsoft\Windows\CurrentVersion\Run]
"systray"="C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe"=-
[-HKU\S-1-5-21-1250425492-144481173-2216854460-1001\Software\Microsoft\Installer\Assemblies\C:|Program Files (x86)|TheBestMatch|Homepage|DWCSysTray.exe]
[-HKU\S-1-5-21-1250425492-144481173-2216854460-1001\Software\Microsoft\Installer\Assemblies\C:|Program Files (x86)|TheBestMatch|Homepage|FiddlerCore.dll]
[-HKU\S-1-5-21-1250425492-144481173-2216854460-1001\Software\Microsoft\Installer\Assemblies\C:|Program Files (x86)|TheBestMatch|Homepage|Homepage.exe]
[-HKU\S-1-5-21-1250425492-144481173-2216854460-1001\Software\Microsoft\Installer\Assemblies\C:|Program Files (x86)|TheBestMatch|Homepage|HpgTask.exe]
[-HKU\S-1-5-21-1250425492-144481173-2216854460-1001\Software\Microsoft\Installer\Assemblies\C:|Program Files (x86)|TheBestMatch|Homepage|HPMonitor.exe]
[-HKU\S-1-5-18\Software\DataMngr\Files\Homepage]

:Commands
[EMPTYTEMP]
[start explorer] 
[Reboot] 



[*] Clique sur le bouton "Correction" en haut à gauche puis patiente durant le suppression.

[*] Le PC va redémarrer (si ce n'est pas le cas, fais le manuellement).

[*] Héberge le rapport résultant sur cijoint ou  pjoint et fournis moi le lien en retour.

Note : Les éléments supprimés sont déplacés dans la quarantaine d'OTL (soit par défaut : C:_OTLMovedFiles. )
que tu pourras éventuellement restaurer au cas où ...
Il est donc tout à fait normal que par la suite ton antivirus détecte des éléments malicieux dans la quarantaine d'OTL : C:_OTLMovedFiles 
 
A+

NINIDUWEB · Answer

Bonsoir 

Voici le rapport       
 <gras>https://www.cjoint.com/?3BeuSHdxXrh



Bonne Soirée et Merci

cabrier · Answer

Hello NINI, ok !

Comment va ta machine maintenant ?

NINIDUWEB · Answer

bONSOIR 

Pas trop bien plantage sur Internet, ecran qui se fige ou pub qui apparait 
je ne sais pas pourquoi donc je patiente et ca reviens .Comme je suis patiente de nature j'attends  voila la situation.  Bonne soirée  @+

cabrier · Answer

Salut NINI,

Pas mal occupé en ce moment, désolé.

Tu veux refaire un ZHPDiag;
Attention si Avast (je ne me souviens plus) désactive la sandbox.

A+

Angelratus · Answer

https://pjjoint.malekal.com/files.php?id=20140220_h15v8j5n12s8

Angelratus · Answer

Bonjour,

Désolé pour le double post
J'ai un soucis avec mon ordi, à chaque redémarrage mes paramètres proxy internet (système windows), et  firefox se réinitialisent. Voici le rapport de OTL

https://pjjoint.malekal.com/files.php?id=20140220_h15v8j5n12s8

Merci d'avance.

Fénigant · Answer

Bonjour, Moi c'est simple la première chose à faire et c'est à la porté de tous le monde,s'est de vérifier avant de commencer à travaillé les mises à jours des systèmes de sécurité . Adware:Win32/PriceGong  a été mis en quarantaine avec mon windows Defender intégré dans Windows7 . Bonne journée à vous

Fénigant · Answer

Merci pour ta réponse. Mais là,il est comme dans une camisole de force il est en quarantaine .J'ai vérifié pour voir si je devais le désinstaller ,et bien il ne s'y trouve pas. Ce que je trouve bizarre que l'on puisse pas garder sous la main AdwCleaner,comme Ccleaner ,Roquekiller c'est pareil ,une fois fait le travail  il disparait.

Fénigant · Answer

Je suis étonné ,pourtant l'Antivirus Norton surtout la version 2014 est vanté comme étant le meilleur avec BidDefender et Kapersky ?

Adware:Win32/PriceGong

49 réponses

Discussions similaires