Comment virer 22Find Résolu/Fermé

Question

Bonjour,

après de multiples tentatives pour supprimer ce virus (par le biais de MBAM, adwcleaner et autres), j'ai finalé téléchargé ZHPDIAG et fait un rapport.

Quelqu'un pourrait-il me guider pour la suite? (je sais qu'il faut poster le rapport, après c'est le brouillard) 

Voici le lien, merci d'avance!

https://www.cjoint.com/?3BkpnkvcXH3

Destrio5 · Answer

Bonjour,

--> Menu Démarrer > Panneau de configuration > Désinstaller un programme. Désinstalle Mobogenie (et Google Toolbar si tu ne t'en sers pas).

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


Script ZHPFix
SysRestore
ShortcutFix
P2 - FPN: [HKLM] [@ei.WeatherBlink.com/Plugin] - (.WeatherBlink - WeatherBlink Installer Plugin Stub for 32-bit Windows.) -- C:\Program Files\WeatherBlinkEI\Installr\1.bin\NPgcEISB.dll      
P2 - FPN: [HKLM] [@UtilityChest_49.com/Plugin] - (...) -- C:\Program Files\UtilityChest_49\bar\1.bin\NP49Stub.dll (.not file.)     
O4 - GS\TaskBar [higgins5]: Mobogenie.lnk . (...)  -- C:\Program Files\Mobogenie\Mobogenie.exe   
O4 - GS\Desktop [higgins5]: Mobogenie.lnk . (...)  -- C:\Program Files\Mobogenie\Mobogenie.exe 
O4 - HKLM\..\Run: [fst_fr_26] Clé orpheline
O4 - HKLM\..\Run: [mobilegeni daemon] . (...) -- C:\Program Files\Mobogenie\DaemonProcess.exe 
O42 - Logiciel: Mobogenie - (.Mobogenie.com.) [HKLM] -- Mobogenie  
[HKCU\Software\AppDataLow\Software\Re_Markable] 
[HKCU\Software\AppDataLow\Software\UtilityChest_49]  
[HKCU\Software\AppDataLow\Software\WeatherBlinkEI]   
[HKCU\Software\AppDataLow\Software\adawarebp]  
[HKCU\Software\UtilityChest_49] 
[HKLM\Software\UtilityChest_49] 
[HKLM\Software\WeatherBlinkEI]      
[HKLM\Software\supWPM] 
O43 - CFD: 09/02/2014 - 21:48:34 - [62,507] ----D C:\Program Files\Mobogenie 
O43 - CFD: 18/09/2013 - 19:54:26 - [0,789] ----D C:\Program Files\WeatherBlinkEI 
O43 - CFD: 09/02/2014 - 20:41:39 - [0] ----D C:\ProgramData\WPM  
O43 - CFD: 18/11/2012 - 17:24:23 - [2,617] ----D C:\Users\higgins5\AppData\Local\CRE   
O43 - CFD: 09/02/2014 - 20:35:27 - [0] ----D C:\Users\higgins5\AppData\Local\genienext 
O43 - CFD: 09/02/2014 - 21:28:34 - [90,470] ----D C:\Users\higgins5\AppData\Local\Mobogenie 
O43 - CFD: 23/07/2012 - 15:06:26 - [0] ----D C:\Users\higgins5\AppData\Local\rencontreshard  
O43 - CFD: 20/12/2013 - 13:56:12 - [0] ----D C:\Users\higgins5\AppData\Local\Software    
O43 - CFD: 08/01/2014 - 10:52:28 - [0,004] ----D C:\Users\higgins5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie  
O61 - LFC: 10/02/2014 - 15:04:05 ---A- . (...) -- C:\Users\higgins5\daemonprocess.txt   [3611]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Mobogenie]   
[HKLM\Software\Microsoft\Tracing\BingBar_RASAPI32] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\38D5CDD0A851B3940A43CC50ABBA251C]   
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AAC05EAA51DC78A41A1DCE3B31038584]  
EmptyCLSID
EmptyFlash
EmptyTemp


--> Lance ZHPFix depuis le raccourci situé sur ton Bureau.

--> Clique sur le bouton IMPORTER. Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître. 

--> Clique sur GO pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.

--> Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message.

viro69 · Answer

Bonsoir, et merci pour cette réponse rapide.

Voici le rapport après nettoyage

https://pjjoint.malekal.com/files.php?id=20140210_13s7t9z77

Destrio5 · Answer

22Find apparaît encore ?

Je voudrais un nouveau rapport ZHPDiag ;)

viro69 · Answer

Apparemment  il a bien été viré.

Le rapport

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140210_c10i11i7m13p9

Destrio5 · Answer

--> Appuie sur les touches Windows et R en même temps pour afficher la fenêtre Exécuter, tape regedit et valide. L'éditeur du registre va s'ouvrir. 
--> A gauche, navigue jusqu'à la clé : 

HKEY_CURRENT_USER\Software\OB

--> Clique droit sur la clé, choisis Exporter et enregistre le fichier à un endroit que tu connais (le Bureau par exemple). 
--> Ferme l'éditeur du registre. 
--> Clique droit sur le fichier que tu as enregistré et choisis Modifier. 
--> Le Bloc-notes s'ouvre avec le contenu de la clé. 
--> Copie-le dans ta réponse.

viro69 · Answer

Il y a plusieurs clés. Je les exporte toutes?

viro69 · Answer

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\OB]
"monitype2"="12/20/13 13:58:12"
"monitype3"="12/20/13 13:58:12"
"monitype6"="12/20/13 13:58:13"
"monitype1"="12/20/13 13:58:14"
"monitype10"="12/20/13 14:7:25"

Destrio5 · Answer

C'est OB qui m'intéresse car je ne la connais pas.

viro69 · Answer

Au second rapport ZHPDiag, je n'ai pas décoché "Derniers fichiers modifiés ou créés sous Windows et System32"".

Ca peut avoir une incidence sur le résultat?

Destrio5 · Answer

Merci pour la clé.

Pourquoi vouloir le décocher ?

Réutilise ZHPFix avec le script suivant :

Script ZHPFix
SysRestore
O43 - CFD: 09/02/2014 - 14:35:12 - [1,929] ----D C:\ProgramData\Lavasoft
O43 - CFD: 09/02/2014 - 21:48:22 - [0,001] ----D C:\Users\higgins5\AppData\Roaming\LavasoftStatistics
[HKLM\Software\Avg]
O43 - CFD: 30/04/2013 - 09:29:37 - [0] ----D C:\Program Files\AVG
O43 - CFD: 30/04/2013 - 09:34:40 - [0,255] ----D C:\ProgramData\AVG2013
O43 - CFD: 30/04/2013 - 09:12:45 - [0] ----D C:\Users\higgins5\AppData\Local\Avg2013
OPT:O4 - GS\TaskBar [higgins5]: Windows Explorer (2).lnk . (.Microsoft Corporation - Explorateur Windows.)  -- C:\windows\explorer.exe   
OPT:O4 - GS\TaskBar [higgins5]: Windows Explorer (3).lnk . (.Microsoft Corporation - Explorateur Windows.)  -- C:\windows\explorer.exe  
OPT:O4 - GS\TaskBar [higgins5]: Windows Explorer (4).lnk . (.Microsoft Corporation - Explorateur Windows.)  -- C:\windows\explorer.exe  
OPT:O4 - GS\TaskBar [higgins5]: Windows Explorer (5).lnk . (.Microsoft Corporation - Explorateur Windows.)  -- C:\windows\explorer.exe 
OPT:O4 - GS\TaskBar [higgins5]: Windows Media Player (2).lnk . (.Microsoft Corporation - Lecteur Windows Media.)  -- C:\Program Files\Windows Media Player\wmplayer.exe    
OPT:O4 - GS\TaskBar [higgins5]: Windows Media Player (3).lnk . (.Microsoft Corporation - Lecteur Windows Media.)  -- C:\Program Files\Windows Media Player\wmplayer.exe   
OPT:O4 - GS\TaskBar [higgins5]: Windows Media Player (4).lnk . (.Microsoft Corporation - Lecteur Windows Media.)  -- C:\Program Files\Windows Media Player\wmplayer.exe  
OPT:O4 - GS\TaskBar [higgins5]: Windows Media Player (5).lnk . (.Microsoft Corporation - Lecteur Windows Media.)  -- C:\Program Files\Windows Media Player\wmplayer.exe  
OPT:O4 - GS\TaskBar [higgins5]: Internet Explorer (2).lnk . (.Microsoft Corporation - Internet Explorer.)  -- C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com   
OPT:O4 - GS\TaskBar [higgins5]: Internet Explorer (3).lnk . (.Microsoft Corporation - Internet Explorer.)  -- C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com   
OPT:O4 - GS\TaskBar [higgins5]: Internet Explorer (4).lnk . (.Microsoft Corporation - Internet Explorer.)  -- C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com    
[HKCU\Software\OB]
EmptyFlash
EmptyTemp

viro69 · Answer

C'est ce qui était demandé dans un des tutos que j'ai trouvé, mais ok je le laisse tel quel.

Donc voici le rapport ZHPDiag après application du dernier script:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140210_b13m11e5m7s8

Destrio5 · Answer

Pour finir :


1/     

---> Télécharge et installe CCleaner.     
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures.     
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.      


2/     

---> Télécharge DelFix sur ton Bureau puis lance-le.     
* Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.     
* Clique sur Exécuter.     
* Poste le rapport.  


==Prévention==     

Mets à jour Adobe Reader (décoche McAfee Security Scan Plus).    

Un dossier sur la prévention et sécurité sur Internet est disponible ici.

viro69 · Answer

Bonjour,

j'ai appliqué tes dernières recommandations, l'ordi à l'air nickel.

Merci encore

Le rapport Delfix:  https://pjjoint.malekal.com/files.php?id=20140211_x10m11y13y13d15

Destrio5 · Answer

Ok pour DelFix.

Bon après-midi ;)

viro69 · Answer

Bonjour,

j'ai de nouveau un souci, cette fois avec Tiger savings

Help please!!

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140222_i1315t12o9c7

Merci d'avance

Destrio5 · Answer

Bonjour,

Et pas qu'avec lui ^^

--> Télécharge et lance  AdwCleaner (d'Xplode), choisis l'option "Scanner".

--> Une fois le scan terminé, choisis l'option "Nettoyer".

--> Redémarre le PC comme demandé puis poste le rapport. Il est enregistré dans C:\AdwCleaner sous le nom d'AdwCleaner[S0].

viro69 · Answer

Bonsoir Destrio5, et merci une fois de plus de répondre présent

Le rapport AdwCleaner:
https://pjjoint.malekal.com/files.php?id=20140222_7i14e7b10h10

Destrio5 · Answer

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

--> Clique sur "Configurer" puis sur la loupe la plus à droite "Diagnostic avec légitimes".

--> A la fenêtre "Voulez-vous un rapport full options ?", clique sur Oui et patiente le temps du scan.

--> Une fois le scan terminé, un rapport est créé sur le Bureau. 

--> Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message.

viro69 · Answer

Le rapport ZHPDiag 

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140222_j9c6y10z8j12

Destrio5 · Answer

--> Menu Démarrer > Panneau de configuration > Désinstaller un programme. Désinstalle McAfee Security Scan Plus.

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


Script ZHPFix
SysRestore
C:\Users\La Famille\AppData\Local\Google\Chrome\User Data\Default\Preferences
G2 - GCE: Preference [User Data\Default] [booedmolknjekdopkepjjeckmjkdpfgl] Managerr v.0.1 (Activé)   
G2 - GCE: Preference [User Data\Default] [fdloijijlkoblmigdofommgnheckmaki] Funmoods v.1.6.0 (Désactivé)
G2 - GCE: Preference [User Data\Default] [flpcjncodpafbgdpnkljologafpionhb] Managera v.0.1 (Activé) 
G2 - GCE: Preference [User Data\Default] [pgafcinpmmpklohkojmllohdhomoefph] BrowserProtect v.1.0 (Désactivé) 
O2 - BHO: MSS+ Identifier [64Bits] - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} . (.McAfee, Inc. - Quick Browser Identifier for MSS+ Tool.) -- C:\Program Files\McAfee Security Scan\3.8.130\McAfeeMSS_IE.dll  
O4 - GS\Desktop [Public]: McAfee Security Scan Plus.lnk . (...)  -- C:\Program Files (x86)\McAfee Security Scan\3.8.130\McUICnt.exe (.not file.)  
O4 - GS\Startup [Public]: McAfee Security Scan Plus.lnk . (.McAfee, Inc. - McAfee Security Scanner Scheduler.)  -- C:\Program Files\McAfee Security Scan\3.8.130\SSScheduler.exe  
O23 - Service: Update FindRight (Update FindRight) . (...) - C:\Program Files (x86)\FindRight\updateFindRight.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [Ad-Aware Update (Weekly)] (...) -- C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (.not file.)   [0]  
[MD5.00000000000000000000000000000000] [APT] [Updater12767.exe] (...) -- C:\Users\La Famille\AppData\Local\Updater12767\Updater12767.exe (.not file.)   [0]   
[MD5.00000000000000000000000000000000] [APT] [{15F2139F-6683-414F-8628-EE06CC200D38}] (...) -- C:\Program Files\DomaIQ Uninstaller\DomaIQUninstall.exe (.not file.)   [0]   
O42 - Logiciel: McAfee Security Scan Plus - (.McAfee, Inc..) [HKLM][64Bits] -- McAfee Security Scan  
O43 - CFD: 24/09/2012 - 01:17:31 - [0,001] ----D C:\ProgramData\McAfee Security Scan 
O43 - CFD: 20/02/2014 - 20:49:56 - [0] ----D C:\Users\La Famille\AppData\Roaming\wp_update
O43 - CFD: 11/05/2013 - 14:26:43 - [0] ----D C:\Users\La Famille\AppData\Local\Software 
O45 - LFCP:[MD5.94FCCFF084322E0972556A98E69ADFA3] - 22/02/2014 - 16:20:49 ---A- - C:\Windows\Prefetch\OPTPROUNINSTALLER.EXE-54FF4579.pf 
O45 - LFCP:[MD5.9579F5F34F5460F935CA50CC9161012B] - 22/02/2014 - 16:30:42 ---A- - C:\Windows\Prefetch\WAJAM_VALIDATE.EXE-9B735432.pf  
O45 - LFCP:[MD5.D41A6F4D2D7DB896385D24AD24C8B3A5] - 22/02/2014 - 16:30:54 ---A- - C:\Windows\Prefetch\FINDRIGHTSETUP.EXE-10AF04A0.pf
O45 - LFCP:[MD5.67B0DC44956DF0CD871C11FCFDBB42FE] - 22/02/2014 - 16:33:16 ---A- - C:\Windows\Prefetch\DOMAIQUNINSTALL.EXE-F7F3F02E.pf 
O53 - SMSR:HKLM\...\startupreg\Optimizer Pro  [Key] . (...) -- C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe (.not file.) 
[MD5.79E6443F01B4B1C3B957AA38DDD564FF] [WIS][11/05/2013] (.Boxore OU. - Software Update Helper.) -- C:\Windows\Installer\880c7.msi   [45056]   
SS - | Demand 06/09/2013 288776 |  (McComponentHostService) . (.McAfee, Inc..) - C:\Program Files\McAfee Security Scan\3.8.130\McCHSvc.exe 
SS - | Auto 10/07/1658 0 |  (Update FindRight) . (...) - C:\Program Files (x86)\FindRight\updateFindRight.exe 
[HKLM\Software\Google\Chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki]  
[HKLM\Software\Google\Chrome\Extensions\pgafcinpmmpklohkojmllohdhomoefph]    
[HKLM\SYSTEM\CurrentControlSet\Services\Update FindRight]   
[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\1C875DDE39636004CA8CDAEC335B4160]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\BA086F2D38A8E1A47912955A68B3AD24]   
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\64A6E60055D801F4BB8AC269354B72B8]   
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]   
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\1EAD96AE2CB1DE84BAA9425A8CCA0817] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BA71D41F6CC0B6247B05D473850A8AEA]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC]   
C:\Users\La Famille\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdloijijlkoblmigdofommgnheckmaki  
C:\Users\La Famille\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgafcinpmmpklohkojmllohdhomoefph  
[HKLM\Software\McAfee.com]
[HKCU\Software\MCAFEE]
[HKLM\Software\Wow6432Node\McAfee.com]
[HKLM\Software\Wow6432Node\mcafeeupdater]
O43 - CFD: 02/04/2012 - 19:29:42 - [0] ----D C:\ProgramData\McAfee
[HKCU\Software\Lavasoft]
[HKLM\Software\Wow6432Node\Lavasoft]
O43 - CFD: 07/02/2014 - 22:55:27 - [0,497] ----D C:\ProgramData\Lavasoft
EmptyFlash
EmptyTemp


--> Lance ZHPFix depuis le raccourci situé sur ton Bureau.

--> Clique sur le bouton IMPORTER. Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître. 

--> Clique sur GO pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.

--> Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message.

viro69 · Answer

Bonjour,

voici le rapport ZHPFix

https://pjjoint.malekal.com/files.php?id=20140224_k6l8b11h10j10

Destrio5 · Answer

Plus de souci ?

Un nouveau rapport ZHPDiag s'il te plaît.

viro69 · Answer

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140224_b9c8f11f14b15

L'ordi plantait pas mal jusqu'au nettoyage avec ZHPFix, il faisait des écrans bleus à répétition; le plantage était apparemment dû à une barrette défectueuse, mais j'ai eu d'autres crash par la suite.

Affaire à suivre

Comment virer 22Find

23 réponses

Discussions similaires