Boxore Résolu/Fermé

Question

Bonjour,

Mon ordinateur portable, PC, windows 7, est infesté par BOXORE, malgré plusieurs essais, adw cleaner, ad cleaner, je n'arrive pas à le supprimer.

Merci de vos conseils pour m'aider à résoudre ce problème.

Cordialement

Mpl

Utilisateur anonyme · Answer

Salut

Poste le rapport C:\AdwCleaner[S1].txt

&#9654 Télécharge et installe Malwarebytes' Anti-Malware (MBAM). 

&#9654 Exécute-le. Accepte la mise à jour.

&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique donc sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

mariepl · Answer

Bonjour,

Merci pour la réponse mais malheureusement ça ne fonctionne pas.
Plusieurs choses d'abord il s'agit de : boxore clients
Ensuite ma fille a déjà essayé Malaware byte, spybot, cclernear, AD cleaner et ADW cleaner.
Quand on passe par la suppression de programme de windows il dit qu'il ne trouve pas la source et ne peut pas le supprimer.

Nous sommes à cours d'idée, donc nous sommes ouvertes à tous conseils pouvant nous permettre de supprimer boxore client.

Merci à l'avance de vos suggestions.

Bien cordialement.
MPL

Utilisateur anonyme · Answer

Bonjour,

commencez par désinstaller spybot.

mariepl · Answer

Re,

C'est fait, mais windows me dit qu'il reste des éléments qu'il faudra supprimer manuellement.
Je ne sais pas comment ni s'il faut le faire maintenant ?

Voila.

@+

MPL

Utilisateur anonyme · Answer

Ok,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

&#9654 Clique ici pour voir la configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%LocalAppData%\*
%LocalAppData%\*. 
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig 
netsvcs 
BASESERVICES
safebootminimal
safebootnetwork 
CREATERESTOREPOINT
SAVEMBR:0
dir "%Homedrive%\*" /S /A:L /C 

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange  

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

@+

mariepl · Answer

Bonsoir,

J'ai tout fait hier après midi, et j'ai posté les liens comme demandé, mais je ne vois pas mon message sur le site !
donc je vais renvoyer les liens....

https://forums-fec.be/upload/www/?a=d&i=9440223363

https://forums-fec.be/upload/www/?a=d&i=8565444097

Je ne sais pas ce qui s'est passé, j'ai peut-être fait une mauvaise manip....

Voila, j'espère que ce coup là ça va fonctionner.

Bonne lecture, et bonne soirée.

MPL

Utilisateur anonyme · Answer

Salut

rappelle-moi de venir te donner le fixe demain ; il est prêt. 

Bonne soirée.

afideg · Answer

Hello,

Rappel #1 ==> Poste le rapport C:\AdwCleaner[S1].txt 

spybot, cclernear et AD cleaner ne conviennent pas pour traiter ce souci "Boxore clients" !

Éviter d'agir pour ensuite demander .
L'inverse est souhaitable.

Al.

mariepl · Answer

Salut,

Comme demandé dans ton message, je te rappelle de me donner le fixe.
Pour info, qu'appelles tu un fixe ?

Je te remercie encore pour ton aide, ainsi qu'Afideh qui m'a également répondu mais puisque nous avons commencé je vais terminer avec toi.

Bonne journée, @+.

MPL

Utilisateur anonyme · Answer

Re. 1) Rapport ADWCleaner. Je n'ai toujours pas eu le rapport C:\AdwCleaner[S1].txt. Fournit le moi dans ta prochaine réponse. A la vue de ton rapport, ADWCleaner ne devait pas être à jour. 2) Programmes inutiles au démarrage. As-tu besoin, dès que l'ordinateur démarre, d'Adobe ARM, de toutes les conneries Egis machin ? Je ne pense pas. Désactive les programmes dont tu ne te sers pas dès le démarrage de la machine via msconfig ou CCleaner. > Tutoriel ici < 3) Y'a quoi dans ces dossiers ? Pour répondre à ma question, affiche les extensions, les fichiers et les dossiers cachés. > Tutoriel ici < C:\elements C:\oldies C:\Program Files (x86)\dayofthe (peut-être un jeu ?) 4) Des programmes à désinstaller. - Pando - Giraffic - à mon avis il sert à rien ce logiciel - PriceGong - WebAdSystem - CoolLyrics - uTorrent et sa toolbar - WebPlayer - TuneUp si toujours présent - IncrediMail si toujours présent - Spybot si toujours présent - Veoh WebPlayer - à mon avis, ce logiciel ne sert rien 5) Le fixe tant attendu. Définition : En désinfection, cible des éléments nocifs ou inutiles à supprimer de votre ordinateur. Synonyme : script. ATTENTION !!! : Script personnalisé pour cette machine uniquement, ne pas reproduire !!! Ferme tous les programmes en cours d'utilisation. Si tu as XP => double clique Si tu as Vista ou Windows 7 => clic droit "exécuter en tant que...." sur OTL.exe pour le lancer. ▶ Copie la liste qui se trouve en gras ci-dessous, ▶ Colle-la dans la zone sous "Personnalisation" : :OTL PRC - [2013/05/23 11:09:59 | 002,827,728 | ---- | M] () -- C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe MOD - [2013/05/23 11:09:01 | 002,521,040 | ---- | M] () -- C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.dll IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes,DefaultScope = {2FDA6332-7DC0-4F66-B402-1EF6E9E92BD0} IE - HKU\S-1-5-21-3079179682-3827296819-3392246447-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2851639 IE - HKU\S-1-5-21-3079179682-3827296819-3392246447-1000\..\URLSearchHook: {338c5d66-6b92-40a7-a216-9830d2e54103} - No CLSID value found IE - HKU\S-1-5-21-3079179682-3827296819-3392246447-1000\..\URLSearchHook: {cd90bf73-20f6-44ef-993d-bb920303bd2e} - No CLSID value found IE - HKU\S-1-5-21-3079179682-3827296819-3392246447-1000\..\SearchScopes,DefaultScope = {2FDA6332-7DC0-4F66-B402-1EF6E9E92BD0} IE - HKU\S-1-5-21-3079179682-3827296819-3392246447-1000\..\SearchScopes\{2FDA6332-7DC0-4F66-B402-1EF6E9E92BD0}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639 FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster pPandoWebPlugin.dll (Pando Networks) FF - HKLM\Software\MozillaPlugins\@www.dlmanager.net/omaha/tools//Software Update;version=8: C:\Program Files (x86)\Software\Update\1.2.201.0 pSoftwareOneClick8.dll File not found FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}: C:\Program Files (x86)\PriceGong\2.6.7\FF CHR - Extension: No name found = C:\Users\MASTER\AppData\Local\Google\Chrome\User Data\Default\Extensions\clffglkbddffcdnehidjiimmoiphomid\1.114_0\ CHR - Extension: No name found = C:\Users\MASTER\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.5_0\ CHR - Extension: No name found = C:\Users\MASTER\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib\2.3.15.10_0\ CHR - Extension: No name found = C:\Users\MASTER\AppData\Local\Google\Chrome\User Data\Default\Extensions\clffglkbddffcdnehidjiimmoiphomid\1.114_0 CHR - Extension: No name found = C:\Users\MASTER\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib\2.3.15.10_0\ CHR - Extension: No name found = C:\Users\MASTER\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.5_0\ O2 - BHO: (WebAdSystem) - {EC8FCB46-9F27-476E-B26A-93989316D2FB} - C:\Program Files\WebAdSystem\BrowserExtensions\internetexplorer\WebAdSystemBho.dll (KalityWeb) O2 - BHO: (Cool Lyrics) - {7C5D7930-FACC-4A25-AE26-51DDA83F3D75} - C:\Program Files (x86)\CoolLyrics\coolrcs.dll (CoolZone) O2 - BHO: (WebAdSystem) - {EC8FCB46-9F27-476E-B26A-93989316D2FB} - C:\Program Files (x86)\WebAdSystem\BrowserExtensions\internetexplorer\WebAdSystemBho.dll (KalityWeb) O3:[b]64bit:/b - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3079179682-3827296819-3392246447-1000\..\Toolbar\WebBrowser: (no name) - {338C5D66-6B92-40A7-A216-9830D2E54103} - No CLSID value found. O3 - HKU\S-1-5-21-3079179682-3827296819-3392246447-1000\..\Toolbar\WebBrowser: (no name) - {CD90BF73-20F6-44EF-993D-BB920303BD2E} - No CLSID value found. O4 - HKLM\..\Run: [tuto4pc_fr_42] File not found O4 - HKLM\..\Run: [Startertv] File not found O20 - AppInit_DLLs: (c:\progra~3\browse~1\261339~1.144\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.dll () MsConfig:64bit - StartUpReg: [b]WebAdSystem/b - hkey= - key= - C:\Program Files (x86)\WebAdSystem\WebAdSystem.exe (KalityWeb) [2012/07/05 19:56:14 | 000,000,000 | ---D | M] (uTorrentBar_FR Community Toolbar) -- C:\Users\MASTER\AppData\Roaming\mozilla\Firefox\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} [2013/06/27 16:05:08 | 000,000,402 | ---- | M] () -- C:\Windows asks\Cool Lyrics Update.job [2013/06/27 16:01:24 | 000,001,082 | ---- | M] () -- C:\Windows asks\SoftwareUpdateTaskMachineCore.job [2013/06/27 15:33:00 | 000,001,086 | ---- | M] () -- C:\Windows asks\SoftwareUpdateTaskMachineUA.job [2013/06/20 21:13:51 | 000,000,402 | ---- | C] () -- C:\Windows asks\Cool Lyrics Update.job [2013/01/18 14:21:19 | 000,003,033 | ---- | C] () -- C:\Users\MASTER\WebPlayerV2.lnk [2012/06/11 14:03:23 | 000,000,122 | ---- | C] () -- C:\Users\MASTER\AppData\Roaming\Offre.ini [2010/11/19 05:57:51 | 000,131,984 | ---- | C] () -- C:\ProgramData\FullRemove.exe [2011/08/26 11:25:05 | 000,000,206 | RHS- | M] () -- C:\Preload.rev [2011/02/17 02:49:30 | 000,004,663 | RHS- | M] () -- C:\Patch.rev [2012/08/20 21:35:03 | 000,000,355 | ---- | M] () -- C:\Favoris - Raccourci.lnk [2012/06/11 15:18:14 | 000,078,926 | ---- | M] () -- C:\TDSSKiller.2.6.22.0_11.06.2012_15.17.08_log.txt [2012/03/03 11:26:37 | 000,001,492 | ---- | M] () -- C:\user.js [2013/01/19 21:28:21 | 000,003,033 | ---- | M] () -- C:\Users\MASTER\WebPlayerV2.lnk [2012/08/20 21:37:49 | 000,001,348 | ---- | M] () -- C:\Users\MASTER\scummvm - Raccourci.lnk :Files C:\Users\MASTER\AppData\Roaming\TuneUp Software C:\Users\MASTER\AppData\Roaming\uTorrent C:\ProgramData\PMB Files C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Tarma Installer C:\ProgramData\TuneUp Software C:\Users\MASTER\AppData\Local\Software C:\Users\MASTER\AppData\Local\Updater3491 C:\ProgramData\BrowserDefender C:\Program Files (x86)\Pando Networks C:\Program Files (x86)\WebAdSystem C:\Program Files (x86)\PriceGong C:\Program Files (x86)\CoolLyrics C:\Program Files (x86)\Spybot - Search & Destroy c:\Program files (x86)\SweetIM C:\Program Files (x86)\WebPlayer C:\Program Files (x86)\Vid-Saver C:\Program Files (x86)\uTorrent C:\Program Files (x86)\Conduit C:\Program Files (x86)\Sam.et.Max.2.Au.Dela.du.Temps.et.de.l.espace.FRENCH.iSO-BAZOOKA C:\Program Files (x86)\Spybot - Search & Destroy C:\Windows\SysWow64\searchplugins C:\Windows\SysWow64\Extensions C:\Users\MASTER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserDefender :Reg [HKEY_LOCAL_MACHINE\Software] "d4d78fbd3dbf14"=- "Conduit"=- "KalityWeb"=- "Pando Networks"=- "StarterTV"=- "Software"=- [HKEY_CURRENT_USER\Software] "TuneUp"=- "Tutorials"=- "TutoTag"=- "(null)"=- "BabSolution"=- "BitTorrent"=- "Conduit"=- "d4d78fbd3dbf14"=- "ImInstaller"=- "IncrediMail"=- "InstallCore"=- "IM"=- "KalityWeb"=- "lollipop"=- "Pando Networks"=- :Commands [emptytemp] [resthosts] [reboot] ▶ Clique sur "Correction" pour lancer la suppression. ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail après le redémarrage. T'as du boulot ! Si tu ne comprends pas quelque chose, demande-moi. Bon courage et bonne journée. ;o

mariepl · Answer

Bonsoir,

Je te dois plusieurs réponses.

1. Je n'ai pas le rapport adwcleaner, car l'ordinateur a planté et windows a supprimé adwcleaner entre autre et ses annexes, ainsi que spybot. Et visiblement la corbeille a été vidée. J'ai cherché dans l'ordi mais il n'y a plus rien. Désolée.

2. Pour les programmes dont tu parles, je ne sais pas ce que c'est,  cet ordi est utilisé par ma fille. Je vais faire le ménage de toute façon.

3. Les fichiers et dossiers cachés sont affichés, selon windows, il en va de même pour les extensions. J'ai vérifié dans l'affichage tout était correctement coché ou décoché pour que tout soit affiché.

Le fichier éléments est vide
Le fichier oldies contient dayofthe qui est effectivement un jeu.

4. tout a été désinstallé.

5. J'ai lancé le script comme tu me l'as indiqué, je te joins le lien sur fec pour que tu puisses voir ce qu'il en est.

 	https://forums-fec.be/upload/www/?a=d&i=4737531864

Après vérification, boxore clients apparait toujours dans les programmes dans windows.

Voila ce qu'il en est actuellement.

Merci encore pour ton aide et ton temps.

Bonne soirée.

MPL

Utilisateur anonyme · Answer

Re

très bien :)

y'a pas eu 2 corrections par hasard ?

Clic droit sur otl -> exécuter en tant qu'admin
Clique sur Analyse rapide, poste le rapport correspondant (normalement, OTL(1).txt si tu n'as pas supprimé l'autre). 

@+
 
Aider les autres, c'est bien... Mais quand on ne sait pas s'y prendre, on s'abstient!

mariepl · Answer

Hello,

pour les 2 corrections je ne sais pas, c'est un pote de ma fille qui a fait les premières manips, avant que je récupère le bébé. Et je ne peux pas lui demander elle est à l'étranger.

Voila le lien :

 	https://forums-fec.be/upload/www/?a=d&i=9772563434
@+

MPL

Utilisateur anonyme · Answer

Salut

y'a eu un problème là...

Le rapport est illisible, tout est attaché !

ça te fait pareil quand tu l'ouvres ?

@+

mariepl · Answer

Hello,

Non le fichier est différent. Je te le remets sur le site fec.
Pour info, il a transité par mon PC avant de le mettre sur le site fec.

Ce coup là il a été mis directement du Portable qui a un problème.

https://forums-fec.be/upload/www/index.php?action=d&step=3

J'espère qu'il sera correct.

@+

mpl

juju666 · Answer

Le lien correct :  https://forums-fec.be/upload/www/?a=d&i=7509156569

Je vire les rapports.

mariepl · Answer

https://forums-fec.be/upload/www/?a=d&i=1128554274

J'ai refait la manip, voila lien.

Pour info, je vais chercher ma fille à l'aéroport, elle récupère l'ordi, donc je passe la main, c'est elle qui prend le relais.

Merci encore pour tout, et @+

mpl

Utilisateur anonyme · Answer

Bonsoir

désolé je n'étais pas chez moi.

Je ne comprends pas bien ; c'est lequel le bon lien ? Le tien ou celui que Julien a mis plus haut ?

@+ 
 
Aider les autres, c'est bien... Mais quand on ne sait pas s'y prendre, on s'abstient!

mariepl · Answer

Re,

Pour celui de Julien je suppose qu'il est bon.

Pour celui que j'ai reposté il doit- l'être aussi.

Voila.

MPL

Utilisateur anonyme · Answer

Re,

désinstalle ton ancien adwcleaner si ce n'est pas déjà fait puis :

> Télécharge ici: AdwCleaner (de Xplode)

> Lance-le

> Clique sur Suppression et patiente le temps du nettoyage.

> Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

j'ai la belle impression que le fixe n'a servi à rien..

Aider les autres, c'est bien... Mais quand on ne sait pas s'y prendre, on s'abstient!

mariepl · Answer

Re,

voila les reultats de adwcleaner
https://forums-fec.be/upload/www/?a=d&i=9511306318

@+ 
mpl

Utilisateur anonyme · Answer

Re

fais une recherche avec ADWCleaner, poste le rapport qui en ressort.

mariepl · Answer

https://forums-fec.be/upload/www/?a=d&i=9436699605
voila

Utilisateur anonyme · Answer

Re

très bien.

Le fichier hosts a été pourri par Spybot, ralentissant la navigation. On va donc procédé à une vérification :

&#9654 Télécharge ici :  RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
&#9654 Enregistre et ferme tous les programmes en cours
&#9654 Lance RogueKiller et attend que le Prescan ait fini
&#9654 Accepte l'EULA puis clique sur Scan. 
&#9654 Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.

Bonne nuit
 
Aider les autres, c'est bien... Mais quand on ne sait pas s'y prendre, on s'abstient!

mariepl · Answer

Bonjour, Voici le rapport de rogue killer mail : tigzyRKgmailcom Remontees : hxxp://www.adlice.com/forum/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : MASTER [Droits d'admin] Mode : Recherche -- Date : 07/02/2013 08:42:58 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 4 ¤¤¤ [HJ POL] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ POL] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ POL] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ POL] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> TROUVÉ ¤¤¤ Tâches planifiées : 2 ¤¤¤ [V2][SUSP PATH] EPUpdater : C:\Users\MASTER\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe [x] -> TROUVÉ [V2][SUSP PATH] Updater3491.exe : C:\Users\MASTER\AppData\Local\Updater3491\Updater3491.exe - /extensionid=3491 /extensionname="Vid-Saver" /chromeid=pgmfkblbflahhponhjmkcnpjinenhlnc [x][x] -> TROUVÉ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : Mal.Hosts ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 download-winmx-free.com --> Potentially malicious! 127.0.0.1 www.download-winmx-free.com --> Potentially malicious! 127.0.0.1 www.facebook.com.img335.tk --> Potentially malicious! 127.0.0.1 free-winmx-downloads.com --> Potentially malicious! 127.0.0.1 www.free-winmx-downloads.com --> Potentially malicious! 127.0.0.1 www.google.dospop.com --> Potentially malicious! 127.0.0.1 www.mp3winmx.com --> Potentially malicious! 127.0.0.1 mp3winmx.com --> Potentially malicious! 127.0.0.1 winmx.click-new-download.com --> Potentially malicious! 127.0.0.1 www.winmx.click-new-download.com --> Potentially malicious! 127.0.0.1 www.winmx-d0wnload.com --> Potentially malicious! 127.0.0.1 winmx-d0wnload.com --> Potentially malicious! 127.0.0.1 www.winmxfrance.com --> Potentially malicious! 127.0.0.1 winmxfrance.com --> Potentially malicious! 127.0.0.1 winmx-freebie.com --> Potentially malicious! 127.0.0.1 www.winmx-freebie.com --> Potentially malicious! 127.0.0.1 www.winmx-music-download.com --> Potentially malicious! 127.0.0.1 winmx-music-download.com --> Potentially malicious! 127.0.0.1 winmx-usa.com --> Potentially malicious! 127.0.0.1 www.winmx-usa.com --> Potentially malicious! 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD7500BPVT-22HXZT1 +++++ --- User --- [MBR] 6f2691fed9c2e21726a42b523d5ac601 [BSP] 6be750a827dd9b3b79fe84b87e8a1807 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15000 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 30722048 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30926848 | Size: 700302 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_07022013_084258.txt >>

Utilisateur anonyme · Answer

re

c'est bien ce que je pensais... Le script OTL n'a pas l'air d'avoir fonctionné.

Fais la suppression avec RK, poste le rapport.

Clique sur Hosts RAZ, poste le rapport.

mariepl · Answer

rapport de suppression Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : MASTER [Droits d'admin] Mode : Recherche -- Date : 07/02/2013 20:30:37 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : Mal.Hosts ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 download-winmx-free.com --> Potentially malicious! 127.0.0.1 www.download-winmx-free.com --> Potentially malicious! 127.0.0.1 www.facebook.com.img335.tk --> Potentially malicious! 127.0.0.1 free-winmx-downloads.com --> Potentially malicious! 127.0.0.1 www.free-winmx-downloads.com --> Potentially malicious! 127.0.0.1 www.google.dospop.com --> Potentially malicious! 127.0.0.1 www.mp3winmx.com --> Potentially malicious! 127.0.0.1 mp3winmx.com --> Potentially malicious! 127.0.0.1 winmx.click-new-download.com --> Potentially malicious! 127.0.0.1 www.winmx.click-new-download.com --> Potentially malicious! 127.0.0.1 www.winmx-d0wnload.com --> Potentially malicious! 127.0.0.1 winmx-d0wnload.com --> Potentially malicious! 127.0.0.1 www.winmxfrance.com --> Potentially malicious! 127.0.0.1 winmxfrance.com --> Potentially malicious! 127.0.0.1 winmx-freebie.com --> Potentially malicious! 127.0.0.1 www.winmx-freebie.com --> Potentially malicious! 127.0.0.1 www.winmx-music-download.com --> Potentially malicious! 127.0.0.1 winmx-music-download.com --> Potentially malicious! 127.0.0.1 winmx-usa.com --> Potentially malicious! 127.0.0.1 www.winmx-usa.com --> Potentially malicious! 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD7500BPVT-22HXZT1 +++++ --- User --- [MBR] 6f2691fed9c2e21726a42b523d5ac601 [BSP] 6be750a827dd9b3b79fe84b87e8a1807 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15000 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 30722048 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30926848 | Size: 700302 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_07022013_203037.txt >> RKreport[0]_D_07022013_202846.txt;RKreport[0]_S_07022013_084258.txt

mariepl · Answer

rapport de host haz Remontees : hxxp://www.adlice.com/forum/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : MASTER [Droits d'admin] Mode : HOSTS RAZ -- Date : 07/02/2013 20:33:20 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : Mal.Hosts ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 download-winmx-free.com --> Potentially malicious! 127.0.0.1 www.download-winmx-free.com --> Potentially malicious! 127.0.0.1 www.facebook.com.img335.tk --> Potentially malicious! 127.0.0.1 free-winmx-downloads.com --> Potentially malicious! 127.0.0.1 www.free-winmx-downloads.com --> Potentially malicious! 127.0.0.1 www.google.dospop.com --> Potentially malicious! 127.0.0.1 www.mp3winmx.com --> Potentially malicious! 127.0.0.1 mp3winmx.com --> Potentially malicious! 127.0.0.1 winmx.click-new-download.com --> Potentially malicious! 127.0.0.1 www.winmx.click-new-download.com --> Potentially malicious! 127.0.0.1 www.winmx-d0wnload.com --> Potentially malicious! 127.0.0.1 winmx-d0wnload.com --> Potentially malicious! 127.0.0.1 www.winmxfrance.com --> Potentially malicious! 127.0.0.1 winmxfrance.com --> Potentially malicious! 127.0.0.1 winmx-freebie.com --> Potentially malicious! 127.0.0.1 www.winmx-freebie.com --> Potentially malicious! 127.0.0.1 www.winmx-music-download.com --> Potentially malicious! 127.0.0.1 winmx-music-download.com --> Potentially malicious! 127.0.0.1 winmx-usa.com --> Potentially malicious! 127.0.0.1 www.winmx-usa.com --> Potentially malicious! 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ Nouveau fichier HOSTS: ¤¤¤ Termine : << RKreport[0]_H_07022013_203320.txt >> RKreport[0]_D_07022013_202846.txt;RKreport[0]_D_07022013_203100.txt;RKreport[0]_S_07022013_084258.txt RKreport[0]_S_07022013_203037.txt;RKreport[0]_S_07022013_203244.txt

Utilisateur anonyme · Answer

Re

refais voir une recherche ? le rapport de suppression n'indique rien....

mariepl · Answer

J'ai lancer un nouveau scan, RogueKiller ne détecte rien

Utilisateur anonyme · Answer

Salut

très bien.

Rrefais un OTL en analyse rapide, poste le rapport correspondant. Si tout va bien, on finalise.

mariepl · Answer

Hello,

voila le résultat du scan OTL

https://forums-fec.be/upload/www/?a=d&i=4332896790

Utilisateur anonyme · Answer

Re 

je pense que l'AV bloque le modif du fichier hosts.

DÉSACTIVE KASPERSKY 

puis télécharge RSTHosts disponible sur cette page :

http://general-changelog-team.fr/fr/downloads/view.download/10

lis les informations données sur ladite page.

Une fois la page lu et comprise et une fois le logiciel lancé, clique sur "Restaurer". 

Redémarre la machine, puis clique sur "créer un rapport".

Poste le rapport correspondant.

@+
 
Aider les autres, c'est bien... Mais quand on ne sait pas s'y prendre, on s'abstient!

mariepl · Answer

Salut;

Voila le lien fec pour le rapport demandé.

https://forums-fec.be/upload/www/?a=d&i=4895246770

Bien cordialement.

@+

Utilisateur anonyme · Answer

Hello

très bien.

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :

:OTL
CHR - plugin: Conduit Chrome Plugin (Enabled) = C:\Users\MASTER\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib\2.3.15.10_0\plugins/ConduitChromeApiPlugin.dll   
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
[2013/06/29 18:23:55 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins      
[2013/06/29 18:23:55 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions 

&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.

Après,, on finalise.

Des problèmes persistent ?

@+

mariepl · Answer

Bonjour,
voici le rapport

https://forums-fec.be/upload/www/?a=d&i=7507173526

et sinon tout va bien, pas de problème particuliers.

Utilisateur anonyme · Answer

OK, on finalise :

passe un coup de DelFix, coche toutes les cases.



Puis :

&#9654 Télécharge PureRa

&#9654 Une fois télécharger :
- sur XP, double clique ;
- sur Vista/7/8, clique droit, "Exécuter en tant qu'administrateur"

&#9654 Clique sur "Next"

&#9654 Clique sur "Check All"

&#9654 Décoche les deux cases "Windows Update Installation Files" et "WMI Logs"

&#9654 AIDE EN IMAGE 
 
&#9654 Poste le rapport C:\PureRa.txt.

@+

mariepl · Answer

Voila le rapport

https://forums-fec.be/upload/www/?a=d&i=6644478086

Utilisateur anonyme · Answer

Re

le final : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

(ne refais pas Delfix)

mariepl · Answer

Re,

c'est bon j'ai fait tout ce qui était indiquer!

Utilisateur anonyme · Answer

Re

excellent !

Bon surf :)

mariepl · Answer

Parfait, merci beaucoup pour le temps que tu m'as accordé :)

Utilisateur anonyme · Answer

:)

Boxore

43 réponses

Discussions similaires