Malware PirritSuggestor
Jojo
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Depuis 14/02/2014 je rencontre des symptomes sur Chrome et Firefox symptômes :
- Des mots soulignés en bleu avec un lien renvoyant vers une pub
- le site 1place.org en premier choix de toutes mes recherches google.
J'ai cherché un peu dans les extensions, mais là est le souci, je n'en ai qu'une dans Firefox et Google Chrome : Adblock et rien d'autre.
J'ai réinitialisé comme indiqué, rien n'y fait, j'ai utilisé Malware Bytes, que dalle, j'ai désinstallé et réinstallé Firefox et Chrome, rien à faire.
Mais en farfouillant un peu dans explorer ( navigateur que je n'utilise jamais ) je suis tombé sur une drôle d'extension installée le 14/02/2014, et ce, bien que je n'ai rien téléchargé à cette date.
Cette extension c'est : ieextension.extension importée par "pirrit"
Je peux juste faire clique droit et désactiver, mais aucune option supprimée.
De là, je pense avoir isolé d'où venait le souci : pirrit.
Lorsque je fais ctrl alt suppr et que je vais voir du côté des processus, je trouve PirritDesktop.exe je fais arrêter le processus, et aussitôt, il revient tout seul.
En trifouillant un peu, je suis parvenu à trouver où se trouvait Pirrit dans mon PC, dans AppData/Local/PirritSuggestor
j'étais heureux, je me disais qu'en faisant clique droit supprimé mes soucis seraient terminés mais le message suivant s'affiche :
"Cette action ne peut pas être réalisée car le dossier ou l'un des fichiers est ouvert dans un autre programme.
Fermez le dossier ou le fichier, et réessayez"
J'ai eu beau fermer tous les programmes ouverts et réessayer, rien n'y fait.
Le problèmé vient de Pirrit, mais comment le résoudre ? Aucun logiciel anti malware n'a servi à rien jusque là, je m'en remets à vous.
Depuis 14/02/2014 je rencontre des symptomes sur Chrome et Firefox symptômes :
- Des mots soulignés en bleu avec un lien renvoyant vers une pub
- le site 1place.org en premier choix de toutes mes recherches google.
J'ai cherché un peu dans les extensions, mais là est le souci, je n'en ai qu'une dans Firefox et Google Chrome : Adblock et rien d'autre.
J'ai réinitialisé comme indiqué, rien n'y fait, j'ai utilisé Malware Bytes, que dalle, j'ai désinstallé et réinstallé Firefox et Chrome, rien à faire.
Mais en farfouillant un peu dans explorer ( navigateur que je n'utilise jamais ) je suis tombé sur une drôle d'extension installée le 14/02/2014, et ce, bien que je n'ai rien téléchargé à cette date.
Cette extension c'est : ieextension.extension importée par "pirrit"
Je peux juste faire clique droit et désactiver, mais aucune option supprimée.
De là, je pense avoir isolé d'où venait le souci : pirrit.
Lorsque je fais ctrl alt suppr et que je vais voir du côté des processus, je trouve PirritDesktop.exe je fais arrêter le processus, et aussitôt, il revient tout seul.
En trifouillant un peu, je suis parvenu à trouver où se trouvait Pirrit dans mon PC, dans AppData/Local/PirritSuggestor
j'étais heureux, je me disais qu'en faisant clique droit supprimé mes soucis seraient terminés mais le message suivant s'affiche :
"Cette action ne peut pas être réalisée car le dossier ou l'un des fichiers est ouvert dans un autre programme.
Fermez le dossier ou le fichier, et réessayez"
J'ai eu beau fermer tous les programmes ouverts et réessayer, rien n'y fait.
Le problèmé vient de Pirrit, mais comment le résoudre ? Aucun logiciel anti malware n'a servi à rien jusque là, je m'en remets à vous.
A voir également:
- Malware PirritSuggestor
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Supprimer malware - Guide
- Anti malware service executable ram - Forum Antivirus
- Win32:malware-gen ✓ - Forum Virus
- Tor jack malware - Forum Virus
17 réponses
Bonjour
Pour de plus amples informations, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://toolslib.net
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
en bas de la page ZHP avec un numéro de version.
Une fois le téléchargement achevé,
Double-clique sur l'icône pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »
Dans la fenêtre ZHPDiag qui vient de s'ouvrir, clique sur "Configurer"
Clique sur la loupe en bas à gauche avec le signe plus pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau
Pour transmettre le rapport clique sur ce lien:
http://pjjoint.malekal.com/
Si problème utilise un des suivants
https://forums-fec.be/upload
https://www.cjoint.com/
Regarde sur le bureau
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
@+
Pour de plus amples informations, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://toolslib.net
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
en bas de la page ZHP avec un numéro de version.
Une fois le téléchargement achevé,
Double-clique sur l'icône pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »
Dans la fenêtre ZHPDiag qui vient de s'ouvrir, clique sur "Configurer"
Clique sur la loupe en bas à gauche avec le signe plus pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau
Pour transmettre le rapport clique sur ce lien:
http://pjjoint.malekal.com/
Si problème utilise un des suivants
https://forums-fec.be/upload
https://www.cjoint.com/
Regarde sur le bureau
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
@+
Je vous remercie de votre réponse aussi rapide, j'ai exécuté le scan avec ZHPDiag, voici le compte rendu :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20140215_h13c5b9x6j15
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20140215_h13c5b9x6j15
Re
1) Télécharge Rsthosts de Xplode
Lance le et choisis « restaurer »
cliquer sur "créer un rapport" et le poster
2)Utilisation de l'outil ZHPFix :
* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
Script ZHPFix
ProxyFix
R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com
R0 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com
O43 - CFD: 15/02/2014 - 12:31:18 - [0,005] ----D C:\Users\Jojo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
O43 - CFD: 15/02/2014 - 14:07:35 - [0] ----D C:\Users\Jojo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
O44 - LFC:[MD5.13014E17D8DB6432FAB9BB94E01BDBF2] - 15/02/2014 - 10:45:10 ---A- . (.System Speedup - System Speedup.) -- C:\Windows\System32\roboot64.exe [19544]
O44 - LFC:[MD5.D07138915E1B489BA08D2DBDFF441A60] - 15/02/2014 - 13:03:37 ---A- . (...) -- C:\shldr [285747]
O44 - LFC:[MD5.025926B83A938B5215F3C1DCC882F21C] - 15/02/2014 - 13:03:37 ---A- . (...) -- C:\shldr.mbr [8192]
O44 - LFC:[MD5.4666D335EEB1F89ADC5C4006EDAC1E54] - 15/02/2014 - 13:08:44 ---A- . (...) -- C:\sh4_service.log [30056]
O44 - LFC:[MD5.4D8FA96CB2ECEB26D742BCE1F8F7A42A] - 15/02/2014 - 14:07:36 ---A- . (...) -- C:\spyhunter.log [159216]
O61 - LFC: 15/02/2014 - 16:02:46 ---A- . (...) -- C:\Users\Jojo\Downloads\SpyHunter-Installer.exe [611944]
O64 - Services: CurCS - 07/01/2014 - C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys (esgiguard) .(...) - LEGACY_ESGIGUARD
O69 - SBI: SearchScopes [HKCU] {6A1806CD-94D4-4689-BA73-E35EA1EA9990} [DefaultScope] - (Mysearchdial) - http://start.mysearchdial.com
[MD5.CF718AB47C66EFC1CB719A87CD30F84E] [WIS][30/12/2013] (.Kreapixel - Webplayer.) -- C:\Windows\Installer\9c721b.msi [21504]
SS - | Auto 10/07/1658 0 | (SrvUpdater) . (...) - C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe
SR - | Auto 09/01/2014 1025408 | (SpyHunter 4 Service) . (.Enigma Software Group USA, LLC..) - C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe
[HKLM\SYSTEM\CurrentControlSet\Services\SrvUpdater]
[HKLM\SYSTEM\CurrentControlSet\Services\SpyHunter 4 Service]
[HKLM\Software\Wow6432Node\InstallCore]
[HKCU\Software\InstalledBrowserExtensions\]
[HKLM\Software\Wow6432Node\SoftwareUpdater]
[HKCU\Software\InstalledBrowserExtensions]
[HKLM\Software\Classes\CLSID\{11111111-1111-1111-1111-110511111108}]
[HKLM\Software\Classes\CLSID\{22222222-2222-2222-2222-220522112208}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110511111108}]
[HKLM\Software\Wow6432Node\Classes\CLSID\{22222222-2222-2222-2222-220522112208}]
C:\Users\Jojo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
C:\Users\Jojo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
[HKLM\Software\Wow6432Node\Vittalia]
C:\Windows\Installer\9c721b.msi
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline
O23 - Service: (vToolbarUpdater17.3.0) . (...) - C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.3.0\ToolbarUpdater.exe (.not file.)
O45 - LFCP:[MD5.53AC71321EE566D824D813FE23888380] - 14/02/2014 - 11:49:36 ---A- - C:\Windows\Prefetch\VPROT.EXE-2BBCC12F.pf
SS - | Auto 10/07/1658 0 | (vToolbarUpdater17.3.0) . (...) - C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.3.0\ToolbarUpdater.exe
[HKLM\SYSTEM\CurrentControlSet\Services\vToolbarUpdater17.3.0]
C:\Users\Jojo\AppData\Local\AVG Secure Search
[MD5.7D6C13D5D2A120BFD0776CB3AB2C6B8F] - (.Pas de propriétaire - LockKey.) -- C:\Program Files (x86)\LockKey\LockKey.exe [337776] [PID.3928]
[MD5.33E1F4D1BA2C558BAB72959EB3706C32] - (...) -- C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritDesktop.exe [190808] [PID.4788]
[MD5.8ECE08EF255693EC4B1A335FD80DC509] - (...) -- C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritService.exe [52568] [PID.2032]
M0 - MFSP: prefs.js [Jojo - vrhazefa.default-1392463163482] https://www.egaliteetreconciliation.fr/
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://www.egaliteetreconciliation.fr/
O23 - Service: PirritDesktop (PirritDesktop) . (...) - C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritService.exe
ShortcutFix
EmptyPrefetch
FirewallRAZ
Emptytemp
EmptyCLSID
--------------------------------------------------------------------------------------------
Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7 ou 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
Cliquer sur le bouton Importer. Le contenu du Presse-papier vient se coller dans la zone de saisie de ZHPFix
NB (W8) : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
* Clique sur le bouton GO pour lancer le nettoyage.
-> laisse travailler l'outil et ne touche à rien ...
-> S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !
Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
Ce rapport est copié sur le bureau
( ce rapport est en outre sauvegardé dans ce dossier :
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP\ZHPFix [R1].txt)
@+
1) Télécharge Rsthosts de Xplode
Lance le et choisis « restaurer »
cliquer sur "créer un rapport" et le poster
2)Utilisation de l'outil ZHPFix :
* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
Script ZHPFix
ProxyFix
R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com
R0 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com
O43 - CFD: 15/02/2014 - 12:31:18 - [0,005] ----D C:\Users\Jojo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
O43 - CFD: 15/02/2014 - 14:07:35 - [0] ----D C:\Users\Jojo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
O44 - LFC:[MD5.13014E17D8DB6432FAB9BB94E01BDBF2] - 15/02/2014 - 10:45:10 ---A- . (.System Speedup - System Speedup.) -- C:\Windows\System32\roboot64.exe [19544]
O44 - LFC:[MD5.D07138915E1B489BA08D2DBDFF441A60] - 15/02/2014 - 13:03:37 ---A- . (...) -- C:\shldr [285747]
O44 - LFC:[MD5.025926B83A938B5215F3C1DCC882F21C] - 15/02/2014 - 13:03:37 ---A- . (...) -- C:\shldr.mbr [8192]
O44 - LFC:[MD5.4666D335EEB1F89ADC5C4006EDAC1E54] - 15/02/2014 - 13:08:44 ---A- . (...) -- C:\sh4_service.log [30056]
O44 - LFC:[MD5.4D8FA96CB2ECEB26D742BCE1F8F7A42A] - 15/02/2014 - 14:07:36 ---A- . (...) -- C:\spyhunter.log [159216]
O61 - LFC: 15/02/2014 - 16:02:46 ---A- . (...) -- C:\Users\Jojo\Downloads\SpyHunter-Installer.exe [611944]
O64 - Services: CurCS - 07/01/2014 - C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys (esgiguard) .(...) - LEGACY_ESGIGUARD
O69 - SBI: SearchScopes [HKCU] {6A1806CD-94D4-4689-BA73-E35EA1EA9990} [DefaultScope] - (Mysearchdial) - http://start.mysearchdial.com
[MD5.CF718AB47C66EFC1CB719A87CD30F84E] [WIS][30/12/2013] (.Kreapixel - Webplayer.) -- C:\Windows\Installer\9c721b.msi [21504]
SS - | Auto 10/07/1658 0 | (SrvUpdater) . (...) - C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe
SR - | Auto 09/01/2014 1025408 | (SpyHunter 4 Service) . (.Enigma Software Group USA, LLC..) - C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe
[HKLM\SYSTEM\CurrentControlSet\Services\SrvUpdater]
[HKLM\SYSTEM\CurrentControlSet\Services\SpyHunter 4 Service]
[HKLM\Software\Wow6432Node\InstallCore]
[HKCU\Software\InstalledBrowserExtensions\]
[HKLM\Software\Wow6432Node\SoftwareUpdater]
[HKCU\Software\InstalledBrowserExtensions]
[HKLM\Software\Classes\CLSID\{11111111-1111-1111-1111-110511111108}]
[HKLM\Software\Classes\CLSID\{22222222-2222-2222-2222-220522112208}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110511111108}]
[HKLM\Software\Wow6432Node\Classes\CLSID\{22222222-2222-2222-2222-220522112208}]
C:\Users\Jojo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
C:\Users\Jojo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
[HKLM\Software\Wow6432Node\Vittalia]
C:\Windows\Installer\9c721b.msi
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline
O23 - Service: (vToolbarUpdater17.3.0) . (...) - C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.3.0\ToolbarUpdater.exe (.not file.)
O45 - LFCP:[MD5.53AC71321EE566D824D813FE23888380] - 14/02/2014 - 11:49:36 ---A- - C:\Windows\Prefetch\VPROT.EXE-2BBCC12F.pf
SS - | Auto 10/07/1658 0 | (vToolbarUpdater17.3.0) . (...) - C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.3.0\ToolbarUpdater.exe
[HKLM\SYSTEM\CurrentControlSet\Services\vToolbarUpdater17.3.0]
C:\Users\Jojo\AppData\Local\AVG Secure Search
[MD5.7D6C13D5D2A120BFD0776CB3AB2C6B8F] - (.Pas de propriétaire - LockKey.) -- C:\Program Files (x86)\LockKey\LockKey.exe [337776] [PID.3928]
[MD5.33E1F4D1BA2C558BAB72959EB3706C32] - (...) -- C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritDesktop.exe [190808] [PID.4788]
[MD5.8ECE08EF255693EC4B1A335FD80DC509] - (...) -- C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritService.exe [52568] [PID.2032]
M0 - MFSP: prefs.js [Jojo - vrhazefa.default-1392463163482] https://www.egaliteetreconciliation.fr/
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://www.egaliteetreconciliation.fr/
O23 - Service: PirritDesktop (PirritDesktop) . (...) - C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritService.exe
ShortcutFix
EmptyPrefetch
FirewallRAZ
Emptytemp
EmptyCLSID
--------------------------------------------------------------------------------------------
Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7 ou 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
Cliquer sur le bouton Importer. Le contenu du Presse-papier vient se coller dans la zone de saisie de ZHPFix
NB (W8) : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
* Clique sur le bouton GO pour lancer le nettoyage.
-> laisse travailler l'outil et ne touche à rien ...
-> S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !
Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
Ce rapport est copié sur le bureau
( ce rapport est en outre sauvegardé dans ce dossier :
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP\ZHPFix [R1].txt)
@+
Rapport RstHost :
-|x| RstHosts v2.0 - Rapport créé le 15/02/2014 à 16:17:20
-|x| Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
-|x| Nom d'utilisateur : Jojo - JOJO-PC (Administrateur)
-|x|- Informations -|x|-
Emplacement : C:\Windows\System32\drivers\etc\hosts
Attribut(s) : N
Propriétaire : Administrateurs - BUILTIN
Taille : 89 bytes
Date de création : 14/07/2009 - 03:34:48
Date de modification : 15/02/2014 - 16:17:05
Date de dernier accès : 15/02/2014 - 16:17:05
-|x|- Contenu du fichier -|x|-
# Fichier Hosts créé par RstHosts
127.0.0.1 localhost
::1 localhost
-|x|- E.O.F - C:\RstHosts.txt - 620 bytes -|x|-
En ce qui concerne ZHPFix, c'est en court, j'ai appuyé sur le bouton GO, mais ça semble ne pas avancer beaucoup pour le moment, environ bloqué à 40% de la barre de chargement.
-|x| RstHosts v2.0 - Rapport créé le 15/02/2014 à 16:17:20
-|x| Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
-|x| Nom d'utilisateur : Jojo - JOJO-PC (Administrateur)
-|x|- Informations -|x|-
Emplacement : C:\Windows\System32\drivers\etc\hosts
Attribut(s) : N
Propriétaire : Administrateurs - BUILTIN
Taille : 89 bytes
Date de création : 14/07/2009 - 03:34:48
Date de modification : 15/02/2014 - 16:17:05
Date de dernier accès : 15/02/2014 - 16:17:05
-|x|- Contenu du fichier -|x|-
# Fichier Hosts créé par RstHosts
127.0.0.1 localhost
::1 localhost
-|x|- E.O.F - C:\RstHosts.txt - 620 bytes -|x|-
En ce qui concerne ZHPFix, c'est en court, j'ai appuyé sur le bouton GO, mais ça semble ne pas avancer beaucoup pour le moment, environ bloqué à 40% de la barre de chargement.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voilà une demi heure que j'ai fermé tous mes programmes avant de cliquer sur "GO" et je persiste à observer que le chargement reste inévitablement bloqué à environ 40%.
Re
tu reprend mais comme ceci:
Utilisation de l'outil ZHPFix :
* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
Script ZHPFix
ProxyFix
R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com
R0 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com
O44 - LFC:[MD5.13014E17D8DB6432FAB9BB94E01BDBF2] - 15/02/2014 - 10:45:10 ---A- . (.System Speedup - System Speedup.) -- C:\Windows\System32\roboot64.exe [19544]
O64 - Services: CurCS - 07/01/2014 - C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys (esgiguard) .(...) - LEGACY_ESGIGUARD
O69 - SBI: SearchScopes [HKCU] {6A1806CD-94D4-4689-BA73-E35EA1EA9990} [DefaultScope] - (Mysearchdial) - http://start.mysearchdial.com
[MD5.CF718AB47C66EFC1CB719A87CD30F84E] [WIS][30/12/2013] (.Kreapixel - Webplayer.) -- C:\Windows\Installer\9c721b.msi [21504]
SS - | Auto 10/07/1658 0 | (SrvUpdater) . (...) - C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe
SR - | Auto 09/01/2014 1025408 | (SpyHunter 4 Service) . (.Enigma Software Group USA, LLC..) - C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe
C:\Users\Jojo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
C:\Users\Jojo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
C:\Windows\Installer\9c721b.msi
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline
O23 - Service: (vToolbarUpdater17.3.0) . (...) - C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.3.0\ToolbarUpdater.exe (.not file.)
O45 - LFCP:[MD5.53AC71321EE566D824D813FE23888380] - 14/02/2014 - 11:49:36 ---A- - C:\Windows\Prefetch\VPROT.EXE-2BBCC12F.pf
[MD5.7D6C13D5D2A120BFD0776CB3AB2C6B8F] - (.Pas de propriétaire - LockKey.) -- C:\Program Files (x86)\LockKey\LockKey.exe [337776] [PID.3928]
[MD5.33E1F4D1BA2C558BAB72959EB3706C32] - (...) -- C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritDesktop.exe [190808] [PID.4788]
[MD5.8ECE08EF255693EC4B1A335FD80DC509] - (...) -- C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritService.exe [52568] [PID.2032]
M0 - MFSP: prefs.js [Jojo - vrhazefa.default-1392463163482] http://egaliteetreconciliation.fr
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.egaliteetreconciliation.fr
O23 - Service: PirritDesktop (PirritDesktop) . (...) - C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritService.exe
ShortcutFix
EmptyPrefetch
FirewallRAZ
Emptytemp
EmptyCLSID
--------------------------------------------------------------------------------------------
Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7 ou 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
Cliquer sur le bouton Importer. Le contenu du Presse-papier vient se coller dans la zone de saisie de ZHPFix
NB (W8) : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
* Clique sur le bouton GO pour lancer le nettoyage.
-> laisse travailler l'outil et ne touche à rien ...
-> S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !
Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
Ce rapport est copié sur le bureau
( ce rapport est en outre sauvegardé dans ce dossier :
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP\ZHPFix [R1].txt)
@+
tu reprend mais comme ceci:
Utilisation de l'outil ZHPFix :
* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
Script ZHPFix
ProxyFix
R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com
R0 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com
O44 - LFC:[MD5.13014E17D8DB6432FAB9BB94E01BDBF2] - 15/02/2014 - 10:45:10 ---A- . (.System Speedup - System Speedup.) -- C:\Windows\System32\roboot64.exe [19544]
O64 - Services: CurCS - 07/01/2014 - C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys (esgiguard) .(...) - LEGACY_ESGIGUARD
O69 - SBI: SearchScopes [HKCU] {6A1806CD-94D4-4689-BA73-E35EA1EA9990} [DefaultScope] - (Mysearchdial) - http://start.mysearchdial.com
[MD5.CF718AB47C66EFC1CB719A87CD30F84E] [WIS][30/12/2013] (.Kreapixel - Webplayer.) -- C:\Windows\Installer\9c721b.msi [21504]
SS - | Auto 10/07/1658 0 | (SrvUpdater) . (...) - C:\Program Files (x86)\SoftwareUpdater\UpdaterService.exe
SR - | Auto 09/01/2014 1025408 | (SpyHunter 4 Service) . (.Enigma Software Group USA, LLC..) - C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe
C:\Users\Jojo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
C:\Users\Jojo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
C:\Windows\Installer\9c721b.msi
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline
O23 - Service: (vToolbarUpdater17.3.0) . (...) - C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.3.0\ToolbarUpdater.exe (.not file.)
O45 - LFCP:[MD5.53AC71321EE566D824D813FE23888380] - 14/02/2014 - 11:49:36 ---A- - C:\Windows\Prefetch\VPROT.EXE-2BBCC12F.pf
[MD5.7D6C13D5D2A120BFD0776CB3AB2C6B8F] - (.Pas de propriétaire - LockKey.) -- C:\Program Files (x86)\LockKey\LockKey.exe [337776] [PID.3928]
[MD5.33E1F4D1BA2C558BAB72959EB3706C32] - (...) -- C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritDesktop.exe [190808] [PID.4788]
[MD5.8ECE08EF255693EC4B1A335FD80DC509] - (...) -- C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritService.exe [52568] [PID.2032]
M0 - MFSP: prefs.js [Jojo - vrhazefa.default-1392463163482] http://egaliteetreconciliation.fr
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.egaliteetreconciliation.fr
O23 - Service: PirritDesktop (PirritDesktop) . (...) - C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritService.exe
ShortcutFix
EmptyPrefetch
FirewallRAZ
Emptytemp
EmptyCLSID
--------------------------------------------------------------------------------------------
Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7 ou 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
Cliquer sur le bouton Importer. Le contenu du Presse-papier vient se coller dans la zone de saisie de ZHPFix
NB (W8) : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
* Clique sur le bouton GO pour lancer le nettoyage.
-> laisse travailler l'outil et ne touche à rien ...
-> S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !
Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
Ce rapport est copié sur le bureau
( ce rapport est en outre sauvegardé dans ce dossier :
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP\ZHPFix [R1].txt)
@+
C'est beaucoup mieux comme ça merci, voici le rapport :
Rapport de ZHPFix 2014.2.12.2 par Nicolas Coolman, Update du 12/02/2014
Fichier d'export Registre :
Run by Jojo at 15/02/2014 18:00:04
High Elevated Privileges : OK
Windows Vista Home Premium Edition, 64-bit (Build 6000)
Corbeille vidée (00mn 02s)
Dossier Prefetcher vidé
Réparation des raccourcis navigateur
========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\Program Files (x86)\LockKey\LockKey.exe
SUPPRIMÉ: Memory Process: C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritDesktop.exe
SUPPRIMÉ: Memory Process: C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritService.exe
========== Etat des services ==========
ESGIGUARD Arrêté
========== Clés du Registre ==========
SUPPRIMÉ: Service: vToolbarUpdater17.3.0
SUPPRIMÉ: Service: PirritDesktop
========== Valeurs du Registre ==========
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIMÉ ProxyServer Value
SUPPRIMÉ ProxyEnable Value
SUPPRIMÉ EnableHttp1_1 Value
SUPPRIMÉ ProxyHttp1.1 Value
SUPPRIMÉ ProxyOverride Value
SUPPRIMÉ: Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-In-TCP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIMÉ: FirewallRaz (Public) : {0B83D064-6753-45C7-88C2-740ACFBBAB66}
SUPPRIMÉ: FirewallRaz (Public) : {A980D92D-D612-44B1-9F50-A2C351DCF4ED}
SUPPRIMÉ: FirewallRaz (Private) : {78E52F12-E435-4A23-AC97-82F8068EBD8D}
SUPPRIMÉ: FirewallRaz (Private) : {69DF8E65-3BA4-4C13-A577-986F142B0A25}
SUPPRIMÉ: FirewallRaz (Private) : {E507DF0C-4781-4E9D-925B-45B423BC3A7C}
SUPPRIMÉ: FirewallRaz (Private) : {8426784C-4F61-421B-9957-90E3D9C9F935}
SUPPRIMÉ: FirewallRaz (Public) : {F83AC251-EC10-4FAA-9EC0-C8F959092CEC}
SUPPRIMÉ: FirewallRaz (Public) : {6D9D3764-3E88-413D-92EC-E3ED36AE849D}
SUPPRIMÉ: FirewallRaz (None) : {C77D62FB-ADFA-49B9-B409-73DE27C274FB}
SUPPRIMÉ: FirewallRaz (None) : {CAA163DF-D146-4AE3-A0A3-768A8B1B2026}
========== Eléments de donnée du Registre ==========
SUPPRIMÉ: R0 - Main,Start Page = KLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page
SUPPRIMÉ: R0 - Main,Start Page = KLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page
SUPPRIMÉ: R0 - Main,Start Page = KCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page
========== Préférences navigateur ==========
SUPPRIMÉ Mozilla Pref: http://egaliteetreconciliation.fr
========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
========== Fichiers ==========
SUPPRIMÉ Redémarrage: c:\windows\system32\roboot64.exe
SUPPRIMÉ: c:\windows\prefetch\vprot.exe-2bbcc12f.pf
SUPPRIMÉ:* c:\program files (x86)\lockkey\lockkey.exe
SUPPRIMÉ:** c:\users\jojo\appdata\local\pirritsuggestor\pirritdesktop.exe
SUPPRIMÉ:* c:\users\jojo\appdata\local\pirritsuggestor\pirritservice.exe
SUPPRIMÉS Temporaires Windows (69) (22 293 214 octets)
========== Récapitulatif ==========
3 : Processus mémoire
2 : Clés du Registre
25 : Valeurs du Registre
3 : Eléments de donnée du Registre
1 : Dossiers
6 : Fichiers
1 : Préférences navigateur
1 : Etat des services
End of clean in 00mn 06s
========== Chemin de fichier rapport ==========
C:\Users\Jojo\AppData\Roaming\ZHP\ZHPFix[R1].txt - 15/02/2014 18:00:07 [3473]
Rapport de ZHPFix 2014.2.12.2 par Nicolas Coolman, Update du 12/02/2014
Fichier d'export Registre :
Run by Jojo at 15/02/2014 18:00:04
High Elevated Privileges : OK
Windows Vista Home Premium Edition, 64-bit (Build 6000)
Corbeille vidée (00mn 02s)
Dossier Prefetcher vidé
Réparation des raccourcis navigateur
========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\Program Files (x86)\LockKey\LockKey.exe
SUPPRIMÉ: Memory Process: C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritDesktop.exe
SUPPRIMÉ: Memory Process: C:\Users\Jojo\AppData\Local\PirritSuggestor\PirritService.exe
========== Etat des services ==========
ESGIGUARD Arrêté
========== Clés du Registre ==========
SUPPRIMÉ: Service: vToolbarUpdater17.3.0
SUPPRIMÉ: Service: PirritDesktop
========== Valeurs du Registre ==========
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIMÉ ProxyServer Value
SUPPRIMÉ ProxyEnable Value
SUPPRIMÉ EnableHttp1_1 Value
SUPPRIMÉ ProxyHttp1.1 Value
SUPPRIMÉ ProxyOverride Value
SUPPRIMÉ: Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIMÉ: FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIMÉ: FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-In-TCP
SUPPRIMÉ: FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIMÉ: FirewallRaz (Public) : {0B83D064-6753-45C7-88C2-740ACFBBAB66}
SUPPRIMÉ: FirewallRaz (Public) : {A980D92D-D612-44B1-9F50-A2C351DCF4ED}
SUPPRIMÉ: FirewallRaz (Private) : {78E52F12-E435-4A23-AC97-82F8068EBD8D}
SUPPRIMÉ: FirewallRaz (Private) : {69DF8E65-3BA4-4C13-A577-986F142B0A25}
SUPPRIMÉ: FirewallRaz (Private) : {E507DF0C-4781-4E9D-925B-45B423BC3A7C}
SUPPRIMÉ: FirewallRaz (Private) : {8426784C-4F61-421B-9957-90E3D9C9F935}
SUPPRIMÉ: FirewallRaz (Public) : {F83AC251-EC10-4FAA-9EC0-C8F959092CEC}
SUPPRIMÉ: FirewallRaz (Public) : {6D9D3764-3E88-413D-92EC-E3ED36AE849D}
SUPPRIMÉ: FirewallRaz (None) : {C77D62FB-ADFA-49B9-B409-73DE27C274FB}
SUPPRIMÉ: FirewallRaz (None) : {CAA163DF-D146-4AE3-A0A3-768A8B1B2026}
========== Eléments de donnée du Registre ==========
SUPPRIMÉ: R0 - Main,Start Page = KLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page
SUPPRIMÉ: R0 - Main,Start Page = KLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page
SUPPRIMÉ: R0 - Main,Start Page = KCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page
========== Préférences navigateur ==========
SUPPRIMÉ Mozilla Pref: http://egaliteetreconciliation.fr
========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
========== Fichiers ==========
SUPPRIMÉ Redémarrage: c:\windows\system32\roboot64.exe
SUPPRIMÉ: c:\windows\prefetch\vprot.exe-2bbcc12f.pf
SUPPRIMÉ:* c:\program files (x86)\lockkey\lockkey.exe
SUPPRIMÉ:** c:\users\jojo\appdata\local\pirritsuggestor\pirritdesktop.exe
SUPPRIMÉ:* c:\users\jojo\appdata\local\pirritsuggestor\pirritservice.exe
SUPPRIMÉS Temporaires Windows (69) (22 293 214 octets)
========== Récapitulatif ==========
3 : Processus mémoire
2 : Clés du Registre
25 : Valeurs du Registre
3 : Eléments de donnée du Registre
1 : Dossiers
6 : Fichiers
1 : Préférences navigateur
1 : Etat des services
End of clean in 00mn 06s
========== Chemin de fichier rapport ==========
C:\Users\Jojo\AppData\Roaming\ZHP\ZHPFix[R1].txt - 15/02/2014 18:00:07 [3473]
Je navigue un peu partout pour constaté si la correction s'est généralisée.
Il semblerait que tout fonctionne parfaitement maintenant.
Un grand merci pour votre suivi et votre patience, cela m'a épargné bien des peines.
Il semblerait que tout fonctionne parfaitement maintenant.
Un grand merci pour votre suivi et votre patience, cela m'a épargné bien des peines.
Re
On nettoie et finalise
1) Tu vides la quarantaine de Malwaresbytes
2) Télécharge DelFix de Xplode
Lance le.
Tu as 5 choix :
Réactiver l'UAC
Supprimer les outils de désinfection (cocher par défaut)
Effectuer une sauvegarde du registre
Purger la restauration de système
Réinitialisation des paramètres usine
Tu coches ceux qui sont en gras
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
@+
On nettoie et finalise
1) Tu vides la quarantaine de Malwaresbytes
2) Télécharge DelFix de Xplode
Lance le.
Tu as 5 choix :
Réactiver l'UAC
Supprimer les outils de désinfection (cocher par défaut)
Effectuer une sauvegarde du registre
Purger la restauration de système
Réinitialisation des paramètres usine
Tu coches ceux qui sont en gras
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
@+
A Jojo solution pour PirritSuggestor :
Victime aussi de cette saleté, tu as fait le plus difficile : le localiser, la suite n'est pas très difficile quand on a la marche à suivre :
1) activer le compte Administrateur si ce n'est pas déjà fait
2) si ce n'est pas fait : ouvrir une console en ouvrant " Invite de commandes " en tant qu'Administrateur sinon ça ne fonctionnera pas
Une fois fait, taper la commande suivante :
net user administrateur /active:yes
Fermer la console, le compte Administrateur est actif au prochain boot
3) Re-booter la machine en mode sans échec ... c'est l'astuce
4) Ensuite il n'y a plus qu'à effacer cette vermine.
5) Re-booter en mode normal et c'est le pied ! plus de souci.
PS : pour désactiver le compte Administrateur, c'est la même commande mais avec NO à la place de YES.
Bon courage Jojo
jed76
Victime aussi de cette saleté, tu as fait le plus difficile : le localiser, la suite n'est pas très difficile quand on a la marche à suivre :
1) activer le compte Administrateur si ce n'est pas déjà fait
2) si ce n'est pas fait : ouvrir une console en ouvrant " Invite de commandes " en tant qu'Administrateur sinon ça ne fonctionnera pas
Une fois fait, taper la commande suivante :
net user administrateur /active:yes
Fermer la console, le compte Administrateur est actif au prochain boot
3) Re-booter la machine en mode sans échec ... c'est l'astuce
4) Ensuite il n'y a plus qu'à effacer cette vermine.
5) Re-booter en mode normal et c'est le pied ! plus de souci.
PS : pour désactiver le compte Administrateur, c'est la même commande mais avec NO à la place de YES.
Bon courage Jojo
jed76
