Sujet Précédent Sujet Suivant

Comment supprimer un WebCake

insurance13 -  
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour,

J'aimerais me débarasser d'un WebCake, je crois avoir fait pire que mieux en essayant de le désinstaller manuellement dans le panneau de configuration.

Quelqu'un pourrait-il m'indiquer la procédure à suivre ?

(je me suis fait voler mes détails de carte de crédit et 300 euros depuis Singapour, est-il possible que ce spyware y soit pour quelque chose?)
Merci d'avance!

4 réponses

Réponse 1 / 4
g3n-h@ckm@n Messages postés 14350 Statut Membre 948
 
salut

Télécharge et enregistre (lien direct) ADWCleaner sur ton bureau :

attends que la fenetre de confirmation de telechargement arrive

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

==

▶ Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

▶ Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
▶ Double cliquez sur UsbFix.exe. (pour les utilisateurs de windows Vista , windows 7 , windows 8 , clique droit => executer en tant qu'administrateur"

▶ Cliquez sur Suppression.
▶ Laissez travailler l'outil.

▶ À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

▶ Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
Tutoriel vidéo

==

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

==

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
HKLM\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir C:\ /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT

▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
0
insurance13
 
# AdwCleaner v2.306 - Rapport créé le 24/07/2013 à 23:30:47
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Pauline - PAULINE-HP
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Pauline\Downloads\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\Users\Pauline\AppData\LocalLow\Mysearchdial
Dossier Supprimé : C:\Users\Pauline\AppData\Roaming\cacaoweb
Dossier Supprimé : C:\Users\Pauline\AppData\Roaming\Mozilla\Firefox\Profiles\guwt50l7.default\extensions\***@***
Fichier Supprimé : C:\Users\Pauline\AppData\Local\mysearchdial.crx
Fichier Supprimé : C:\Users\Pauline\AppData\Roaming\Mozilla\Firefox\Profiles\guwt50l7.default\searchplugins\Mysearchdial.xml
Fichier Supprimé : C:\Users\Pauline\Desktop\cacaoweb.exe
Fichier Supprimé : C:\Users\Public\Desktop\eBay.lnk

***** [Registre] *****

Clé Supprimée : HKCU\Software\1ClickDownload
Clé Supprimée : HKCU\Software\AppDataLow\Software\Crossrider
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517}
Clé Supprimée : HKCU\Software\mysearchdial
Clé Supprimée : HKCU\Software\mysearchdial.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B7FCA997-D0FB-4FE0-8AFD-255E89CF9671}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{D43B3890-80C7-4010-A95D-1E77B5924DC3}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.mysearchdialESrvc
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.mysearchdialESrvc.1
Clé Supprimée : HKLM\Software\Classes\Installer\Features\90C64EA18BA25EE488BF80DCF07F2FFD
Clé Supprimée : HKLM\Software\Classes\Installer\Products\90C64EA18BA25EE488BF80DCF07F2FFD
Clé Supprimée : HKLM\Software\InstallCore
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\WebCakeDesktop_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\WebCakeDesktop_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DF84E609-C3A4-49CB-A160-61767DAF8899}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{DF84E609-C3A4-49CB-A160-61767DAF8899}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{219046AE-358F-4CF1-B1FD-2B4DE83642A8}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{B7FCA997-D0FB-4FE0-8AFD-255E89CF9671}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{D43B3890-80C7-4010-A95D-1E77B5924DC3}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1AE46C09-2AB8-4EE5-88FB-08CD0FF7F2DF}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B7FCA997-D0FB-4FE0-8AFD-255E89CF9671}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{D43B3890-80C7-4010-A95D-1E77B5924DC3}
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16496

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://start.mysearchdial.com/?f=1&a=coolmsd&cd=2XzuyEtN2Y1L1Qzu0CtDtCzzzzyDyDzzyCzz0D0B0EyCyD0AtN0D0Tzu0CyDtCtDtN1L2XzutBtFtBtFtCtFyDyByEtN1L1Czu1R1F1F1I1H1B1Q&cr=739374823&ir= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://start.mysearchdial.com/?f=2&a=coolmsd&cd=2XzuyEtN2Y1L1Qzu0CtDtCzzzzyDyDzzyCzz0D0B0EyCyD0AtN0D0Tzu0CyDtCtDtN1L2XzutBtFtBtFtCtFyDyByEtN1L1Czu1R1F1F1I1H1B1Q&cr=739374823&ir= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://start.mysearchdial.com/?f=1&a=coolmsd&cd=2XzuyEtN2Y1L1Qzu0CtDtCzzzzyDyDzzyCzz0D0B0EyCyD0AtN0D0Tzu0CyDtCtDtN1L2XzutBtFtBtFtCtFyDyByEtN1L1Czu1R1F1F1I1H1B1Q&cr=739374823&ir= --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main - Start Page] = hxxp://start.mysearchdial.com/?f=1&a=coolmsd&cd=2XzuyEtN2Y1L1Qzu0CtDtCzzzzyDyDzzyCzz0D0B0EyCyD0AtN0D0Tzu0CyDtCtDtN1L2XzutBtFtBtFtCtFyDyByEtN1L1Czu1R1F1F1I1H1B1Q&cr=739374823&ir= --> hxxp://www.google.com

-\\ Mozilla Firefox v22.0 (fr)

Fichier : C:\Users\Pauline\AppData\Roaming\Mozilla\Firefox\Profiles\guwt50l7.default\prefs.js

C:\Users\Pauline\AppData\Roaming\Mozilla\Firefox\Profiles\guwt50l7.default\user.js ... Supprimé !

Supprimée : user_pref("browser.search.defaultenginename", "Mysearchdial");
Supprimée : user_pref("browser.search.order.1", "Mysearchdial");
Supprimée : user_pref("extensions.mysearchdial.aflt", "coolmsd");
Supprimée : user_pref("extensions.mysearchdial.appId", "{CA5CAA63-B27C-4963-9BEC-CB16A36D56F8}");
Supprimée : user_pref("extensions.mysearchdial.cntry", "FR");
Supprimée : user_pref("extensions.mysearchdial.dfltLng", "");
Supprimée : user_pref("extensions.mysearchdial.dfltSrch", true);
Supprimée : user_pref("extensions.mysearchdial.dnsErr", true);
Supprimée : user_pref("extensions.mysearchdial.dpkLst", "3654782829,1334533236,1121012847,231756876,1895130307,6[...]
Supprimée : user_pref("extensions.mysearchdial.excTlbr", false);
Supprimée : user_pref("extensions.mysearchdial.hdrMd5", "4AF25865EFF7616CD25231E13C086A51");
Supprimée : user_pref("extensions.mysearchdial.hmpg", true);
Supprimée : user_pref("extensions.mysearchdial.hmpgUrl", "hxxp://start.mysearchdial.com/?f=1&a=coolmsd&cd=2XzuyE[...]
Supprimée : user_pref("extensions.mysearchdial.id", "C018855868DBE65A");
Supprimée : user_pref("extensions.mysearchdial.instlDay", "15849");
Supprimée : user_pref("extensions.mysearchdial.instlRef", "");
Supprimée : user_pref("extensions.mysearchdial.lastB", "hxxp://start.mysearchdial.com/?f=1&a=coolmsd&cd=2XzuyEtN[...]
Supprimée : user_pref("extensions.mysearchdial.lastVrsnTs", "14:30:14");
Supprimée : user_pref("extensions.mysearchdial.newTabUrl", "hxxp://start.mysearchdial.com/?f=2&a=coolmsd&cd=2Xzu[...]
Supprimée : user_pref("extensions.mysearchdial.pnu_base", "{\"newVrsn\":\"14\",\"lastVrsn\":\"14\",\"vrsnLoad\":[...]
Supprimée : user_pref("extensions.mysearchdial.prdct", "mysearchdial");
Supprimée : user_pref("extensions.mysearchdial.prtnrId", "mysearchdial");
Supprimée : user_pref("extensions.mysearchdial.sg", "none");
Supprimée : user_pref("extensions.mysearchdial.srchPrvdr", "Mysearchdial");
Supprimée : user_pref("extensions.mysearchdial.tlbrId", "base");
Supprimée : user_pref("extensions.mysearchdial.tlbrSrchUrl", "hxxp://start.mysearchdial.com/?f=3&a=coolmsd&cd=2X[...]
Supprimée : user_pref("extensions.mysearchdial.vrsn", "");
Supprimée : user_pref("extensions.mysearchdial.vrsni", "");
Supprimée : user_pref("extensions.mysearchdial_i.hmpg", true);
Supprimée : user_pref("extensions.mysearchdial_i.newTab", false);
Supprimée : user_pref("extensions.mysearchdial_i.smplGrp", "none");
Supprimée : user_pref("extensions.mysearchdial_i.vrsnTs", "14:30:14");

*************************

AdwCleaner[S1].txt - [7941 octets] - [24/07/2013 23:30:47]

########## EOF - C:\AdwCleaner[S1].txt - [8001 octets] ##########
0
Réponse 2 / 4
g3n-h@ckm@n Messages postés 14350 Statut Membre 948
 
ok fais tout dans l'ordre , la suite demain je suis crevé je vais dormir

je lirai tous les rapports à mon reveil et te donnerai la suite
0
insurance13
 
Hier soir je n'ai pas réussi à faire USBFIxe (qui est resté bloqué à 20%) je réessaye ce soir. Merci en tout cas !
0
insurance13
 
Je viens d'ailleurs de réessayer et ça bloque toujours à 20%, est-ce que USBFixe est une étape indispensable ? Enfin, je continuerai ce soir, d'avance merci pour les réponses !
0
Réponse 3 / 4
g3n-h@ckm@n Messages postés 14350 Statut Membre 948
 
oui

desactive tes protections pour l utilisation des outils
0
insurance13
 
C'est ce que j'ai fait et pour la 3ème fois, le scan se bloque à 20% (même si j'attends 30, 40min)...
0
Réponse 4 / 4
g3n-h@ckm@n Messages postés 14350 Statut Membre 948
 
et en mode sans echec ?
0

Discussions similaires

Supprimer compte facebook sans mail
Joris77 -
Mollygwen -

24 réponses