Sujet Précédent Sujet Suivant

J'ai téléchargé Nation Zoom! (et n'arrive pas à l'enlever..)

Résolu/Fermé
cece56 - 4 janv. 2014 à 18:12
 Fanfan - 5 janv. 2014 à 14:23
Bonjour à tous,

Comme une bleue j'ai téléchargé un virus en croyant mettre Java à jour.
J'ai passé Malwarebytes qui m'a trouvé les méchants, placés depuis en quarantaine.
Voici le rapport :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.01.03.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19489
célne :: ORDI-DE-CÉLINE [administrateur]

03/01/2014 20:49:12
mbam-log-2014-01-03 (20-49-12).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 409984
Temps écoulé: 1 heure(s), 46 minute(s), 48 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 1
C:\Users\célne\AppData\Roaming\newnext.me\nengine.dll (PUP.Optional.NextLive.A) -> Suppression au redémarrage.

Clé(s) du Registre détectée(s): 2
HKLM\SOFTWARE\DomaIQ (PUP.Optional.DomaIQ.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|NextLive (PUP.Optional.NextLive.A) -> Données: C:\Windows\system32\rundll32.exe "C:\Users\célne\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 3
HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command| (PUP.Optional.NationZoom.A) -> Mauvais: (C:\Program Files\Mozilla Firefox\firefox.exe http://www.nationzoom.com/?type=sc&ts=1388763157&from=tugs&uid=ST3500830AS_9QG5FPWCXXXX9QG5FPWC) Bon: (firefox.exe) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command| (PUP.Optional.NationZoom.A) -> Mauvais: (C:\Program Files\Internet Explorer\iexplore.exe http://www.nationzoom.com/?type=sc&ts=1388763157&from=tugs&uid=ST3500830AS_9QG5FPWCXXXX9QG5FPWC) Bon: (iexplore.exe) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|DefaultScope (PUP.Optional.Qone8) -> Mauvais: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}) Bon: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 2
C:\Users\célne\AppData\Roaming\newnext.me (PUP.Optional.NextLive.A) -> Suppression au redémarrage.
C:\Users\célne\AppData\Roaming\newnext.me\cache (PUP.Optional.NextLive.A) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 4
C:\$Recycle.Bin\S-1-5-21-2038006905-988289224-3872628420-1002\$RR8PJEY.exe (PUP.Optional.BundleInstaller.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\célne\AppData\Roaming\newnext.me\nengine.dll (PUP.Optional.NextLive.A) -> Suppression au redémarrage.
C:\Users\célne\AppData\Roaming\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Mis en quarantaine et supprimé avec succès.
C:\Users\célne\AppData\Roaming\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Mis en quarantaine et supprimé avec succès.

(fin)

Au redémarrage, Malwarebytes me dit que tout est fixé sauf que Nation zoom est toujours là (onglets dans firefox). Je l'ai relancé une 2nde fois en mode sans échec : le scan est propre mais bizarrement le virus est toujours là.

J'ai aussi tenté plusieurs restaurations du système à plusieurs dates en mode sans échec mais j'obtiens des messages d'erreur à chaque fois : "point de restauration endommagé" ou "impossible de restaurer".

Je fais donc appel à vos compétences!

Merci d'avance à qui a une idée..
Céline
A voir également:

5 réponses

Réponse 1 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 631
4 janv. 2014 à 18:13
Salut,


Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=
* Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
* Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=

NOTE : Pour Firefox et Google Chrome - si rien ne va, il y a la possibilité de les désinstaller/réinstaller, voir liens explicatifs ci-dessus.

et enfin et surtout :
=====================
il faut nettoyer les raccourcis (icones) de lancement des navigateurs WEB.
Comme expliqué dans les liens précédents, faire un clic droit sur les icones de raccourcis de lancement des navigateurs puis propriétés.
Dans cible, à la fin, une adresse http a été ajoutée (exemple https://www.malekal.com/fichiers/forum/malavida_22find_7.png ) pour que le site s'ouvre au démarrage du navigateur, supprimer cette adresse http ET SEULEMENT cette adresse http.

1
Réponse 2 / 5
cece56
4 janv. 2014 à 18:41
Réglé! Impeccable il est parti.
Merci beaucoup et bonne soirée!!
Céline
Le rapport au cas où :


# AdwCleaner v3.016 - Rapport créé le 04/01/2014 à 18:30:00
# Mis à jour le 23/12/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : célne - ORDI-DE-CÉLINE
# Exécuté depuis : C:\Users\célne\Desktop\adwcleaner-3.016.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\DriverCure
Dossier Supprimé : C:\ProgramData\Viewpoint
Dossier Supprimé : C:\ProgramData\WPM
Dossier Supprimé : C:\Program Files\MyPC Backup
Dossier Supprimé : C:\Program Files\NCH Software
Dossier Supprimé : C:\Program Files\Trymedia
Dossier Supprimé : C:\Program Files\Viewpoint
Dossier Supprimé : C:\Users\célne\AppData\Local\lollipop
Dossier Supprimé : C:\Users\célne\AppData\Local\Mobogenie
Dossier Supprimé : C:\Users\célne\AppData\LocalLow\pdfforge
Dossier Supprimé : C:\Users\célne\AppData\LocalLow\Search Settings
Dossier Supprimé : C:\Users\célne\AppData\Roaming\DriverCure
Dossier Supprimé : C:\Users\célne\AppData\Roaming\pdfforge
Dossier Supprimé : C:\Users\célne\Documents\Mobogenie
Dossier Supprimé : C:\Program Files\Mozilla Firefox\Extensions\***@***
Fichier Supprimé : C:\Users\CLNE~1\AppData\Local\Temp\Uninstall.exe

***** [ Raccourcis ] *****

Raccourci Désinfecté : C:\Users\Public\Desktop\Internet - Firefox.lnk
Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Services en ligne\eBay.lnk
Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Services en ligne\Internet - Firefox.lnk
Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Services en ligne\Kodak Gallery.lnk
Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Services en ligne\Vacances.lnk
Raccourci Désinfecté : C:\Users\célne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
Raccourci Désinfecté : C:\Users\célne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
Raccourci Désinfecté : C:\Users\célne\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk

***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé Supprimée : HKLM\SOFTWARE\Classes\speedupmypc
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [mobilegeni daemon]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchSettings]
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3EA8D036-C9E7-4721-BCDF-C13D00C4CC39}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3EA8D036-C9E7-4721-BCDF-C13D00C4CC39}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9D5BD211-422C-4164-9298-BB4186A30F31}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
Clé Supprimée : HKCU\Software\NCH Software
Clé Supprimée : HKCU\Software\ParetoLogic
Clé Supprimée : HKCU\Software\Search Settings
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKLM\Software\MetaStream
Clé Supprimée : HKLM\Software\NCH Software
Clé Supprimée : HKLM\Software\pdfforge
Clé Supprimée : HKLM\Software\Search Settings
Clé Supprimée : HKLM\Software\supWPM
Clé Supprimée : HKLM\Software\Trymedia Systems
Clé Supprimée : HKLM\Software\Uniblue
Clé Supprimée : HKLM\Software\Viewpoint
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MyPC Backup
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\00E944CB89111313EAF35A0553F547F9
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\53F55AF3F4049ED3FA6EA6F88E414E24
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\68E4BF4B11615E03C97732FD581AB607
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8CE3DDAB2D152683FBCEB4866BCD2B0F
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AF6CE16AFEA5C9A39B766468A8B35C21
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FB1E44269B58F433A8C8E671E37CFDCF

***** [ Navigateurs ] *****

-\\ Internet Explorer v8.0.6001.19489


-\\ Mozilla Firefox v15.0.1 (fr)

[ Fichier : C:\Users\célne\AppData\Roaming\Mozilla\Firefox\Profiles\2e275trn.default-1352201837461\prefs.js ]

Ligne Supprimée : user_pref("browser.newtab.url", "hxxp://www.nationzoom.com/newtab/?type=nt&ts=1388763157&from=tugs&uid=ST3500830AS_9QG5FPWCXXXX9QG5FPWC");
Ligne Supprimée : user_pref("browser.search.defaultenginename", "nationzoom");
Ligne Supprimée : user_pref("browser.search.selectedEngine", "nationzoom");
Ligne Supprimée : user_pref("extensions.crossrider.bic", "14358c0592d2afec4a48d7c04d7fea87");
Ligne Supprimée : user_pref("plugin.blocklisted.npviewpoint", true);

-\\ Google Chrome v

[ Fichier : C:\Users\célne\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Supprimée : homepage

*************************

AdwCleaner[R0].txt - [8571 octets] - [04/01/2014 18:21:44]
AdwCleaner[S0].txt - [7617 octets] - [04/01/2014 18:30:00]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [7677 octets] ##########
0
Réponse 3 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 631
4 janv. 2014 à 18:42
super,

fais attention aux fausses propositions de mise à jour Java et Flash.



Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

0
Réponse 4 / 5
cece56
5 janv. 2014 à 12:58
Merci pour les conseils!
Au fait, pour info hier je n'ai pas pu télécharger AdwCleaner à partir de ton site (page échec de connexion), je l'ai pris ailleurs.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 631
5 janv. 2014 à 13:17
A priori pas grave :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
Fanfan
5 janv. 2014 à 14:23
Bonjour, j'ai fait exactement la même chose sauf que je ne peux pas télécharger adwcleaner ccar je n'accède pas au site tellement ça tourne dans le vide. D'autre ma quand je veux mettre à jour sur recommandation d'avant, l'ordinateur s'éteint... Pouvez vous m'aider ? Merci d'avance
Françoise
0

Discussions similaires

Comment désactiver le mode sécurisé de la Freebox POP.
Cycy -
munstef676 -

11 réponses
Comment enlever l'audiodescription pour non voyant ?
chantal1234 -
Sim -

52 réponses
[PIX] Commencer chaque poème sur une nouvelle page
ETHAN -
Willzac -

19 réponses
gros zoom sur mon ordinateur, cmt l'enlever??
kdm118 -
Lekikoo44 -

50 réponses
iphone reste bloqué en zoom
nathan -
floflo123 -

142 réponses