Malware PirritSuggestor et PirritDesktop
Résolu
rzorzo
Messages postés
24
Date d'inscription
Statut
Membre
Dernière intervention
-
lilidurhone Messages postés 43355 Date d'inscription Statut Contributeur sécurité Dernière intervention -
lilidurhone Messages postés 43355 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Depuis quelques jours je suis victime du Malware PirritSuggestor et PirritDesktop
Je n'arrive pas à m'en sortir.
J'ai vu que d'autres membres ont été victime du même malware et que vous en êtes arrivé à bout.
Pouvez-vous m'aider également.
Merci d'avance
Je n'arrive pas à m'en sortir.
J'ai vu que d'autres membres ont été victime du même malware et que vous en êtes arrivé à bout.
Pouvez-vous m'aider également.
Merci d'avance
A voir également:
- Servicelogin[1].htm
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Supprimer malware - Guide
- Anti malware service executable ram - Forum Antivirus
- Win32:malware-gen ✓ - Forum Virus
- Tor jack malware - Forum Virus
24 réponses
Hello
* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ou https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin
https://www.cjoint.com/13sp/CIvuQfap3YY_zhpdiag.png
* A l'ouverture du logiciel il te sera proposé deux options "rechercher" et "configurer"
* Cliques sur configurer
* Tournevis puis tous
* Clique sur l'icône représentant une loupe + (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Pour héberger le rapport, rends toi sur cjoint.com
* Clique sur choisissez un fichier va chercher le rapport dans ton PC.
* Le rapport est hébergé:
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP
* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir
* Choisis le type de diffusion(je te conseille privée 4 jours il sera détruit)
* Puis cliques sur créer le lien cjoint
* Une fois que tu auras obtenu le lien copies colle dans ta prochaine réponse
* Pour t'aider https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers
* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ou https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin
https://www.cjoint.com/13sp/CIvuQfap3YY_zhpdiag.png
* A l'ouverture du logiciel il te sera proposé deux options "rechercher" et "configurer"
* Cliques sur configurer
* Tournevis puis tous
* Clique sur l'icône représentant une loupe + (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Pour héberger le rapport, rends toi sur cjoint.com
* Clique sur choisissez un fichier va chercher le rapport dans ton PC.
* Le rapport est hébergé:
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP
* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir
* Choisis le type de diffusion(je te conseille privée 4 jours il sera détruit)
* Puis cliques sur créer le lien cjoint
* Une fois que tu auras obtenu le lien copies colle dans ta prochaine réponse
* Pour t'aider https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers
Hello
Tu as aussi un proxy !
Sur ton rapport il y est on va l'enlever
Tu as dû installer des logiciels potentiellement indésirables
Pour éviter ce genre de problème :
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net, Softronic, Tuto4PC, etc modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.
Pour ton information lis ces dossier sur les Programmes Potentiellement Indésirables et Les Barres d'Outils ce n'est pas obligatoires
* Télécharge cet outil simple d'utilisation
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner (de Xplode) sur ton bureau.
* Si problème avec le 1er lien prends le ici https://www.commentcamarche.net/telecharger/securite/2759-adwcleaner/
* Lance le (Sous vista/seven/8 clic droit dessus,et sur exécuter en tant qu'administrateur)si tu es sous xp double cliques dessus
* Cliques sur scanner
* Poste le rapport de recherche C:\Adwcleaner[R]
* Note le rapport de recherche est également sauvegardé sous C:\Adwcleaner[R1]
Si problème il y a il existe toujours une solution
~~~~~~ Cs ~~~~~~
Tu as aussi un proxy !
Sur ton rapport il y est on va l'enlever
Tu as dû installer des logiciels potentiellement indésirables
Pour éviter ce genre de problème :
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net, Softronic, Tuto4PC, etc modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.
Pour ton information lis ces dossier sur les Programmes Potentiellement Indésirables et Les Barres d'Outils ce n'est pas obligatoires
* Télécharge cet outil simple d'utilisation
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner (de Xplode) sur ton bureau.
* Si problème avec le 1er lien prends le ici https://www.commentcamarche.net/telecharger/securite/2759-adwcleaner/
* Lance le (Sous vista/seven/8 clic droit dessus,et sur exécuter en tant qu'administrateur)si tu es sous xp double cliques dessus
* Cliques sur scanner
* Poste le rapport de recherche C:\Adwcleaner[R]
* Note le rapport de recherche est également sauvegardé sous C:\Adwcleaner[R1]
Si problème il y a il existe toujours une solution
~~~~~~ Cs ~~~~~~
Encore un grand merci pour cette aide.
Voici le rapport de l'outil:
# AdwCleaner v3.019 - Report created 17/02/2014 at 22:20:22
# Updated 17/02/2014 by Xplode
# Operating System : Microsoft Windows XP Service Pack 3 (32 bits)
# Username : Roberto - EVOW4000
# Running from : C:\Documents and Settings\Roberto\My Documents\Téléchargements\adwcleaner.exe
# Option : Clean
***** [ Services ] *****
[#] Service Deleted : PirritUpdater
***** [ Files / Folders ] *****
Folder Deleted : C:\Program Files\Mobogenie
Folder Deleted : C:\Program Files\Pirrit
Folder Deleted : C:\WINDOWS\system32\AI_RecycleBin
Folder Deleted : C:\Documents and Settings\NetworkService\Local Settings\Application Data\Pirrit Suggestor
Folder Deleted : C:\Documents and Settings\Roberto\Local Settings\Application Data\genienext
Folder Deleted : C:\Documents and Settings\Roberto\Local Settings\Application Data\Mobogenie
Folder Deleted : C:\Documents and Settings\Roberto\Local Settings\Application Data\Pirrit Suggestor
Folder Deleted : C:\Documents and Settings\Roberto\Application Data\Pirrit
Folder Deleted : C:\Documents and Settings\Roberto\My Documents\Mobogenie
File Deleted : C:\Documents and Settings\Roberto\Application Data\Mozilla\Firefox\Profiles\44k9pztp.default\Extensions\suggestor@suggestor.pirrit.com.xpi
File Deleted : C:\Documents and Settings\Roberto\Application Data\Mozilla\Firefox\Profiles\44k9pztp.default\searchplugins\eseeky-search.xml
***** [ Shortcuts ] *****
***** [ Registry ] *****
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd
Value Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [mobilegeni daemon]
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{D40C654D-7C51-4EB3-95B2-1E23905C2A2D}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{090ACFA1-1580-11D1-8AC0-00C0F00910F9}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{B4E90801-B83C-11D0-8B40-00C0F00AE35A}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D40C654D-7C51-4EB3-95B2-1E23905C2A2D}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D40C654D-7C51-4EB3-95B2-1E23905C2A2D}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D40C654D-7C51-4EB3-95B2-1E23905C2A2D}
Key Deleted : HKCU\Software\Pirrit
Key Deleted : HKLM\Software\Pirrit
***** [ Browsers ] *****
-\\ Internet Explorer v8.0.6001.18702
-\\ Mozilla Firefox v27.0.1 (fr)
[ File : C:\Documents and Settings\Roberto\Application Data\Mozilla\Firefox\Profiles\44k9pztp.default\prefs.js ]
[ File : C:\Documents and Settings\Roberto\Application Data\Mozilla\Firefox\Profiles\gxgy8aas.default-1388320599390\prefs.js ]
*************************
AdwCleaner[R0].txt - [4119 octets] - [17/02/2014 18:23:56]
AdwCleaner[R1].txt - [1088 octets] - [17/02/2014 21:36:15]
AdwCleaner[R2].txt - [3010 octets] - [17/02/2014 22:15:26]
AdwCleaner[S0].txt - [4258 octets] - [17/02/2014 18:27:14]
AdwCleaner[S1].txt - [1150 octets] - [17/02/2014 21:37:35]
AdwCleaner[S2].txt - [2997 octets] - [17/02/2014 22:20:22]
########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [3057 octets] ##########
Malheureusement je vois encore PirritDekstop.exe, PirritService.exe et pdesk.exe dans le gestionnaire de tâche.
Ce foutu virus à la peu dure.
Voici le rapport de l'outil:
# AdwCleaner v3.019 - Report created 17/02/2014 at 22:20:22
# Updated 17/02/2014 by Xplode
# Operating System : Microsoft Windows XP Service Pack 3 (32 bits)
# Username : Roberto - EVOW4000
# Running from : C:\Documents and Settings\Roberto\My Documents\Téléchargements\adwcleaner.exe
# Option : Clean
***** [ Services ] *****
[#] Service Deleted : PirritUpdater
***** [ Files / Folders ] *****
Folder Deleted : C:\Program Files\Mobogenie
Folder Deleted : C:\Program Files\Pirrit
Folder Deleted : C:\WINDOWS\system32\AI_RecycleBin
Folder Deleted : C:\Documents and Settings\NetworkService\Local Settings\Application Data\Pirrit Suggestor
Folder Deleted : C:\Documents and Settings\Roberto\Local Settings\Application Data\genienext
Folder Deleted : C:\Documents and Settings\Roberto\Local Settings\Application Data\Mobogenie
Folder Deleted : C:\Documents and Settings\Roberto\Local Settings\Application Data\Pirrit Suggestor
Folder Deleted : C:\Documents and Settings\Roberto\Application Data\Pirrit
Folder Deleted : C:\Documents and Settings\Roberto\My Documents\Mobogenie
File Deleted : C:\Documents and Settings\Roberto\Application Data\Mozilla\Firefox\Profiles\44k9pztp.default\Extensions\suggestor@suggestor.pirrit.com.xpi
File Deleted : C:\Documents and Settings\Roberto\Application Data\Mozilla\Firefox\Profiles\44k9pztp.default\searchplugins\eseeky-search.xml
***** [ Shortcuts ] *****
***** [ Registry ] *****
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd
Value Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [mobilegeni daemon]
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{D40C654D-7C51-4EB3-95B2-1E23905C2A2D}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{090ACFA1-1580-11D1-8AC0-00C0F00910F9}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{B4E90801-B83C-11D0-8B40-00C0F00AE35A}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D40C654D-7C51-4EB3-95B2-1E23905C2A2D}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D40C654D-7C51-4EB3-95B2-1E23905C2A2D}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D40C654D-7C51-4EB3-95B2-1E23905C2A2D}
Key Deleted : HKCU\Software\Pirrit
Key Deleted : HKLM\Software\Pirrit
***** [ Browsers ] *****
-\\ Internet Explorer v8.0.6001.18702
-\\ Mozilla Firefox v27.0.1 (fr)
[ File : C:\Documents and Settings\Roberto\Application Data\Mozilla\Firefox\Profiles\44k9pztp.default\prefs.js ]
[ File : C:\Documents and Settings\Roberto\Application Data\Mozilla\Firefox\Profiles\gxgy8aas.default-1388320599390\prefs.js ]
*************************
AdwCleaner[R0].txt - [4119 octets] - [17/02/2014 18:23:56]
AdwCleaner[R1].txt - [1088 octets] - [17/02/2014 21:36:15]
AdwCleaner[R2].txt - [3010 octets] - [17/02/2014 22:15:26]
AdwCleaner[S0].txt - [4258 octets] - [17/02/2014 18:27:14]
AdwCleaner[S1].txt - [1150 octets] - [17/02/2014 21:37:35]
AdwCleaner[S2].txt - [2997 octets] - [17/02/2014 22:20:22]
########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [3057 octets] ##########
Malheureusement je vois encore PirritDekstop.exe, PirritService.exe et pdesk.exe dans le gestionnaire de tâche.
Ce foutu virus à la peu dure.
Ok passe Roguekiller
https://www.commentcamarche.net/faq/30719-utiliser-roguekiller
https://www.commentcamarche.net/faq/30719-utiliser-roguekiller
Voici le rapport de RogueKiller:
Il a bien supprimer les deux process.
Operating System : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User : Roberto [Admin rights]
Mode : ProxyFix -- Date : 02/17/2014 23:02:06
| ARK || FAK || MBR |
¤¤¤ Bad processes : 2 ¤¤¤
[SUSP PATH] PirritService.exe -- C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe [7] -> KILLED [TermProc]
[SUSP PATH] PirritDesktop.exe -- C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritDesktop.exe [7] -> KILLED [TermProc]
¤¤¤ Registry Entries : 2 ¤¤¤
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (hxxp=hxxp://127.0.0.1:9880 [Country: , City: ]) -> DELETED
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0)
¤¤¤ Web browsers : 0 ¤¤¤
¤¤¤ Driver : [LOADED] ¤¤¤
¤¤¤ External Hives: ¤¤¤
¤¤¤ Infection : ¤¤¤
Finished : << RKreport[0]_PR_02172014_230206.txt >>
RKreport[0]_D_02172014_230111.txt;RKreport[0]_H_02172014_230204.txt;RKreport[0]_S_02172014_225551.txt
J'ai rebooté mon PC.
Après reboot les deux process sont réapparu.
J'ai donc relancé RogueKiller.
Il a bien supprimer les deux process.
Operating System : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User : Roberto [Admin rights]
Mode : ProxyFix -- Date : 02/17/2014 23:02:06
| ARK || FAK || MBR |
¤¤¤ Bad processes : 2 ¤¤¤
[SUSP PATH] PirritService.exe -- C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe [7] -> KILLED [TermProc]
[SUSP PATH] PirritDesktop.exe -- C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritDesktop.exe [7] -> KILLED [TermProc]
¤¤¤ Registry Entries : 2 ¤¤¤
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (hxxp=hxxp://127.0.0.1:9880 [Country: , City: ]) -> DELETED
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0)
¤¤¤ Web browsers : 0 ¤¤¤
¤¤¤ Driver : [LOADED] ¤¤¤
¤¤¤ External Hives: ¤¤¤
¤¤¤ Infection : ¤¤¤
Finished : << RKreport[0]_PR_02172014_230206.txt >>
RKreport[0]_D_02172014_230111.txt;RKreport[0]_H_02172014_230204.txt;RKreport[0]_S_02172014_225551.txt
J'ai rebooté mon PC.
Après reboot les deux process sont réapparu.
J'ai donc relancé RogueKiller.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Hello
Il a surtout supprimé le proxy :)
Il a surtout supprimé le proxy :)
Bonjour,
Encore un grand merci pour l'assistance, je me demandais si tu prenais le temps de dormir.
En effet le proxy est supprimé, j'imagine que tu parles du proxy du browser, peux-tu me dire à quel endroit je peux voir cette configuration (FireFox et IE).
Si tu veux-bien nous pourrons continuer ce soir après le boulot
Merci encore.
Encore un grand merci pour l'assistance, je me demandais si tu prenais le temps de dormir.
En effet le proxy est supprimé, j'imagine que tu parles du proxy du browser, peux-tu me dire à quel endroit je peux voir cette configuration (FireFox et IE).
Si tu veux-bien nous pourrons continuer ce soir après le boulot
Merci encore.
* Télécharge Junkware Removal Tool à cette adresse (ne clique pas sur télécharger, le téléchargement va débuter automatiquement) : https://www.bleepingcomputer.com/download/junkware-removal-tool/dl/131/
* Enregistre-le sur ton bureau.
* Ferme toutes les applications en cours.
* Ouvre JRT.exe et appuie sur Entrée : si tu es sous Windows Vista, 7 ou 8, ouvre-le en faisant : clic droit => Exécuter en tant qu'administrateur.
* Patiente le temps que l'outil travaille : le bureau va disparaître quelques instants, c'est tout à fait normal.
* À la fin de l'analyse, un rapport nommé JRT.txt va s'ouvrir. Héberge-le comme ceci et poste le lien obtenu dans ta prochaine réponse.
Tutoriel : http://www.forum-entraide-informatique.com/t8260
* Enregistre-le sur ton bureau.
* Ferme toutes les applications en cours.
* Ouvre JRT.exe et appuie sur Entrée : si tu es sous Windows Vista, 7 ou 8, ouvre-le en faisant : clic droit => Exécuter en tant qu'administrateur.
* Patiente le temps que l'outil travaille : le bureau va disparaître quelques instants, c'est tout à fait normal.
* À la fin de l'analyse, un rapport nommé JRT.txt va s'ouvrir. Héberge-le comme ceci et poste le lien obtenu dans ta prochaine réponse.
Tutoriel : http://www.forum-entraide-informatique.com/t8260
Voici le rapport, il semble un peu vide:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.1 (02.04.2014:1)
OS: Microsoft Windows XP x86
Ran by Roberto on mar. 18/02/2014 at 22:31:52,48
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~ Services
~~~ Registry Values
~~~ Registry Keys
~~~ Files
~~~ Folders
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on mar. 18/02/2014 at 22:39:40,64
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.1 (02.04.2014:1)
OS: Microsoft Windows XP x86
Ran by Roberto on mar. 18/02/2014 at 22:31:52,48
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~ Services
~~~ Registry Values
~~~ Registry Keys
~~~ Files
~~~ Folders
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on mar. 18/02/2014 at 22:39:40,64
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
* Copies uniquement les lignes indiquées en gras ci-dessous dans le presse papier soit le bloc note(tu surlignes avec la souris puis clic droit copier de Script ZHPFix jusqu'à la fin soit sysrestore)
Script ZHPFix
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-515967899-1123561945-725345543-1005\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O23 - Service: PirritDesktop (PirritDesktop) . (...) - C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe =>PUP.PirritSuggestor
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\PCRegistryShield_Popup.job [320]
[MD5.00000000000000000000000000000000] [APT] [PCRegistryShield_Popup] (...) -- C:\Program Files\PC Registry Shield\Splash.exe (.not file.) [0] =>Rogue.PCRegistryShield
[HKCU\Software\PCRegistryShieldLanguage]
[HKCU\Software\ViewPassword] =>PUP.ViewPassword
O43 - CFD: 15/02/2014 - 23:54:18 - [0] ----D C:\Program Files\PC Registry Shield =>Rogue.PCRegistryShield
O43 - CFD: 15/02/2014 - 23:34:43 - [0] ----D C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield
O45 - LFCP:[MD5.E92AB21B5056B4D25D3ABDBF0C05FD6A] - 17/02/2014 - 23:17:46 ---A- - C:\WINDOWS\Prefetch\PIRRITDESKTOP.EXE-2F5A9C37.pf
O47 - AAKE:Key Export SP - "C:\Java\eclipse\eclipse.exe" [Enabled] .(...) -- C:\Java\eclipse\eclipse.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe" [Enabled] .(...) -- C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Google\Google Talk\googletalk.exe" [Enabled] .(...) -- C:\Program Files\Google\Google Talk\googletalk.exe (.not file.)
O61 - LFC: 15/02/2014 - 22:02:28 ---A- . (...) -- C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield\PcRegistryShield.exe_Url_bpsxinkggvyaufuidtyurwwbkqjv5sk3\2.4.7.0\user.config [455]
O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\errors [258]
O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\errors_data [57685]
O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\fileerrors [247]
O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\fileerrors_data [1277]
O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\log.txt [74528]
O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\logerror.txt [10214]
O61 - LFC: 15/02/2014 - 22:02:46 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\registry.reg [107732984]
O61 - LFC: 15/02/2014 - 22:02:48 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\registry0.reg [107727138]
O61 - LFC: 15/02/2014 - 22:03:03 ---A- . (.ShieldApps.) -- C:\Documents and Settings\Roberto\My Documents\Téléchargements\PCRegistryShieldSetup.exe [5350912]
O69 - SBI: SearchScopes [HKCU] {A8105727-97B2-4B68-8BA5-57150A17B1B3} - (eseeky) - http://eseeky.com =>Hijacker.Eseeky
SS - | Auto 14/02/2014 52568 | (PirritDesktop) . (...) - C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe =>PUP.PirritSuggestor
sysrestore
* Lance ZHPFix (icône seringue)en tant qu'administrateur(si tu es sous Vista/7/8)sinon double clique sur l'icône en forme de seringue puis clique sur OK pour continuer.
* Cliques sur importer(Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".)
* Si tu ne vois pas les lignes clic droit dans l'encadré puis coller
* Clique sur le bouton GO pour lancer le nettoyage, et laisse l'outil travailler.
* Zhpfix te proposera de vider la corbeille si tu le souhaites cliques sur oui si tu ne le souhaites pas cliques sur non
* Redémarre le PC et poste le rapport C:\ZHP\ZHPFixReport.txt
Script ZHPFix
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-515967899-1123561945-725345543-1005\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O23 - Service: PirritDesktop (PirritDesktop) . (...) - C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe =>PUP.PirritSuggestor
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\PCRegistryShield_Popup.job [320]
[MD5.00000000000000000000000000000000] [APT] [PCRegistryShield_Popup] (...) -- C:\Program Files\PC Registry Shield\Splash.exe (.not file.) [0] =>Rogue.PCRegistryShield
[HKCU\Software\PCRegistryShieldLanguage]
[HKCU\Software\ViewPassword] =>PUP.ViewPassword
O43 - CFD: 15/02/2014 - 23:54:18 - [0] ----D C:\Program Files\PC Registry Shield =>Rogue.PCRegistryShield
O43 - CFD: 15/02/2014 - 23:34:43 - [0] ----D C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield
O45 - LFCP:[MD5.E92AB21B5056B4D25D3ABDBF0C05FD6A] - 17/02/2014 - 23:17:46 ---A- - C:\WINDOWS\Prefetch\PIRRITDESKTOP.EXE-2F5A9C37.pf
O47 - AAKE:Key Export SP - "C:\Java\eclipse\eclipse.exe" [Enabled] .(...) -- C:\Java\eclipse\eclipse.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe" [Enabled] .(...) -- C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Google\Google Talk\googletalk.exe" [Enabled] .(...) -- C:\Program Files\Google\Google Talk\googletalk.exe (.not file.)
O61 - LFC: 15/02/2014 - 22:02:28 ---A- . (...) -- C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield\PcRegistryShield.exe_Url_bpsxinkggvyaufuidtyurwwbkqjv5sk3\2.4.7.0\user.config [455]
O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\errors [258]
O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\errors_data [57685]
O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\fileerrors [247]
O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\fileerrors_data [1277]
O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\log.txt [74528]
O61 - LFC: 15/02/2014 - 22:02:44 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\logerror.txt [10214]
O61 - LFC: 15/02/2014 - 22:02:46 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\registry.reg [107732984]
O61 - LFC: 15/02/2014 - 22:02:48 ---A- . (...) -- C:\Documents and Settings\Roberto\My Documents\PCRegistryShield\registry0.reg [107727138]
O61 - LFC: 15/02/2014 - 22:03:03 ---A- . (.ShieldApps.) -- C:\Documents and Settings\Roberto\My Documents\Téléchargements\PCRegistryShieldSetup.exe [5350912]
O69 - SBI: SearchScopes [HKCU] {A8105727-97B2-4B68-8BA5-57150A17B1B3} - (eseeky) - http://eseeky.com =>Hijacker.Eseeky
SS - | Auto 14/02/2014 52568 | (PirritDesktop) . (...) - C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe =>PUP.PirritSuggestor
sysrestore
* Lance ZHPFix (icône seringue)en tant qu'administrateur(si tu es sous Vista/7/8)sinon double clique sur l'icône en forme de seringue puis clique sur OK pour continuer.
* Cliques sur importer(Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".)
* Si tu ne vois pas les lignes clic droit dans l'encadré puis coller
* Clique sur le bouton GO pour lancer le nettoyage, et laisse l'outil travailler.
* Zhpfix te proposera de vider la corbeille si tu le souhaites cliques sur oui si tu ne le souhaites pas cliques sur non
* Redémarre le PC et poste le rapport C:\ZHP\ZHPFixReport.txt
Bonsoir lilidurhone,
Je viens de suivre les étapes que tu m'as détaillés, CA MARCHE, plus de virus pirritService, pirritDesktop ni viewpassword. UN GRAND MERCI, je te dois une fière chandelle, seul j'y serai jamais arrivé. Merci encore pour ta disponibilité. Toi et tes collègues vous représentez une aide vraiment appréciable pour la communauté. BRAVO!
Un conseil encore, je serai plus prudent à l'avenir mais je ne me souviens pas comment ce virus est arrivé. Alors comment m'en prémunir, y-a-t-il un ou plusieurs anti virus, malware que je pourrais activer?
Voici le rapport que tu m'as demandé:
Rapport de ZHPFix 2014.2.16.5 par Nicolas Coolman, Update du 16/02/2014
Fichier d'export Registre :
Run by Roberto at 19/02/2014 18:39:26
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)
Corbeille vidée (00mn 48s)
========== Clés du Registre ==========
SUPPRIMÉ: Service: PirritDesktop
SUPPRIMÉ: HKCU\Software\PCRegistryShieldLanguage
SUPPRIMÉ: HKCU\Software\ViewPassword
SUPPRIMÉ: SearchScopes :{A8105727-97B2-4B68-8BA5-57150A17B1B3}
========== Valeurs du Registre ==========
SUPPRIMÉ RunValue: ctfmon.exe
SUPPRIMÉ AAKE KeyValue: C:\Java\eclipse\eclipse.exe
SUPPRIMÉ AAKE KeyValue: C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe
SUPPRIMÉ AAKE KeyValue: C:\Program Files\Google\Google Talk\googletalk.exe
========== Dossiers ==========
SUPPRIMÉ: C:\Program Files\PC Registry Shield
SUPPRIMÉ: C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield
========== Fichiers ==========
SUPPRIMÉ Redémarrage: c:\windows\system32\ctfmon.exe
SUPPRIMÉ: c:\documents and settings\roberto\local settings\application data\pirritsuggestor\pirritservice.exe
SUPPRIMÉ: c:\windows\tasks\pcregistryshield_popup.job
SUPPRIMÉ: c:\windows\prefetch\pirritdesktop.exe-2f5a9c37.pf
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\errors
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\errors_data
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\fileerrors
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\fileerrors_data
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\log.txt
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\logerror.txt
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\registry.reg
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\registry0.reg
SUPPRIMÉ: c:\documents and settings\roberto\my documents\téléchargements\pcregistryshieldsetup.exe
========== Tache planifiée ==========
SUPPRIMÉ: PCRegistryShield_Popup
========== Restauration Système ==========
Point de restauration du système créé avec succès
========== Récapitulatif ==========
4 : Clés du Registre
4 : Valeurs du Registre
2 : Dossiers
13 : Fichiers
1 : Tache planifiée
1 : Restauration Système
End of clean in 01mn 03s
========== Chemin de fichier rapport ==========
Je viens de suivre les étapes que tu m'as détaillés, CA MARCHE, plus de virus pirritService, pirritDesktop ni viewpassword. UN GRAND MERCI, je te dois une fière chandelle, seul j'y serai jamais arrivé. Merci encore pour ta disponibilité. Toi et tes collègues vous représentez une aide vraiment appréciable pour la communauté. BRAVO!
Un conseil encore, je serai plus prudent à l'avenir mais je ne me souviens pas comment ce virus est arrivé. Alors comment m'en prémunir, y-a-t-il un ou plusieurs anti virus, malware que je pourrais activer?
Voici le rapport que tu m'as demandé:
Rapport de ZHPFix 2014.2.16.5 par Nicolas Coolman, Update du 16/02/2014
Fichier d'export Registre :
Run by Roberto at 19/02/2014 18:39:26
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)
Corbeille vidée (00mn 48s)
========== Clés du Registre ==========
SUPPRIMÉ: Service: PirritDesktop
SUPPRIMÉ: HKCU\Software\PCRegistryShieldLanguage
SUPPRIMÉ: HKCU\Software\ViewPassword
SUPPRIMÉ: SearchScopes :{A8105727-97B2-4B68-8BA5-57150A17B1B3}
========== Valeurs du Registre ==========
SUPPRIMÉ RunValue: ctfmon.exe
SUPPRIMÉ AAKE KeyValue: C:\Java\eclipse\eclipse.exe
SUPPRIMÉ AAKE KeyValue: C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe
SUPPRIMÉ AAKE KeyValue: C:\Program Files\Google\Google Talk\googletalk.exe
========== Dossiers ==========
SUPPRIMÉ: C:\Program Files\PC Registry Shield
SUPPRIMÉ: C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield
========== Fichiers ==========
SUPPRIMÉ Redémarrage: c:\windows\system32\ctfmon.exe
SUPPRIMÉ: c:\documents and settings\roberto\local settings\application data\pirritsuggestor\pirritservice.exe
SUPPRIMÉ: c:\windows\tasks\pcregistryshield_popup.job
SUPPRIMÉ: c:\windows\prefetch\pirritdesktop.exe-2f5a9c37.pf
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\errors
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\errors_data
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\fileerrors
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\fileerrors_data
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\log.txt
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\logerror.txt
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\registry.reg
SUPPRIMÉ: c:\documents and settings\roberto\my documents\pcregistryshield\registry0.reg
SUPPRIMÉ: c:\documents and settings\roberto\my documents\téléchargements\pcregistryshieldsetup.exe
========== Tache planifiée ==========
SUPPRIMÉ: PCRegistryShield_Popup
========== Restauration Système ==========
Point de restauration du système créé avec succès
========== Récapitulatif ==========
4 : Clés du Registre
4 : Valeurs du Registre
2 : Dossiers
13 : Fichiers
1 : Tache planifiée
1 : Restauration Système
End of clean in 01mn 03s
========== Chemin de fichier rapport ==========
Je crois avoir fait une erreur
Pourrais tu restaurer les lignes suivantes via zhpfix
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-515967899-1123561945-725345543-1005\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
Pourrais tu restaurer les lignes suivantes via zhpfix
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-515967899-1123561945-725345543-1005\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
Prends pas de risque
Restaure d'avant zhpfix (à une date antérieure)
J'ai foiré dans la commande :/
Restaure d'avant zhpfix (à une date antérieure)
J'ai foiré dans la commande :/
Voila c'est fait:
Rapport de ZHPFix 2014.2.16.5 par Nicolas Coolman, Update du 16/02/2014
Fichier d'export Registre :
Run by Roberto at 19/02/2014 20:03:16
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)
Corbeille vidée (00mn 02s)
========== Valeurs du Registre ==========
SUPPRIMÉ RunValue: ctfmon.exe
========== Fichiers ==========
SUPPRIMÉ Redémarrage: c:\windows\system32\ctfmon.exe
========== Restauration Système ==========
Point de restauration du système créé avec succès
========== Récapitulatif ==========
1 : Valeurs du Registre
1 : Fichiers
1 : Restauration Système
End of clean in 00mn 14s
========== Chemin de fichier rapport ==========
C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R1].txt - 19/02/2014 18:40:14 [2591]
C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R2].txt - 19/02/2014 20:03:18 [804]
Rapport de ZHPFix 2014.2.16.5 par Nicolas Coolman, Update du 16/02/2014
Fichier d'export Registre :
Run by Roberto at 19/02/2014 20:03:16
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)
Corbeille vidée (00mn 02s)
========== Valeurs du Registre ==========
SUPPRIMÉ RunValue: ctfmon.exe
========== Fichiers ==========
SUPPRIMÉ Redémarrage: c:\windows\system32\ctfmon.exe
========== Restauration Système ==========
Point de restauration du système créé avec succès
========== Récapitulatif ==========
1 : Valeurs du Registre
1 : Fichiers
1 : Restauration Système
End of clean in 00mn 14s
========== Chemin de fichier rapport ==========
C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R1].txt - 19/02/2014 18:40:14 [2591]
C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R2].txt - 19/02/2014 20:03:18 [804]
C'est bon
Même procédure (mais tu verras pourquoi je t'ai fait restaurer :) )
Script ZHPFix
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-515967899-1123561945-725345543-1005\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O23 - Service: PirritDesktop (PirritDesktop) . (...) - C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe =>PUP.PirritSuggestor
[HKCU\Software\PCRegistryShieldLanguage]
[HKCU\Software\ViewPassword] =>PUP.ViewPassword
O43 - CFD: 19/02/2014 - 20:45:28 - [0] ----D C:\Program Files\PC Registry Shield =>Rogue.PCRegistryShield
O43 - CFD: 19/02/2014 - 20:45:28 - [0] ----D C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield
O43 - CFD: 19/02/2014 - 20:45:46 - [0,004] ----D C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter =>Crapware.SpyHunter
O45 - LFCP:[MD5.CF777EB08BCE68D88AA4B5EDAB451EFD] - 19/02/2014 - 7:43:48 ---A- - C:\WINDOWS\Prefetch\SPYHUNTER-INSTALLER.EXE-08FBC472.pf =>Crapware.SpyHunter
O45 - LFCP:[MD5.921CB472D12547BF7D77B552035EABFA] - 19/02/2014 - 7:45:48 ---A- - C:\WINDOWS\Prefetch\WISECUSTOMCALLA17.EXE-078A1D92.pf =>Crapware.SpyHunter
O45 - LFCP:[MD5.E73F47EBDBFB947D7488A94A587B99C0] - 19/02/2014 - 7:45:53 ---A- - C:\WINDOWS\Prefetch\WISECUSTOMCALLA19.EXE-2DF19827.pf =>Crapware.SpyHunter
O45 - LFCP:[MD5.8D8D2CF4E4807FB1C6C937458B1AB763] - 19/02/2014 - 7:45:55 ---A- - C:\WINDOWS\Prefetch\WISECUSTOMCALLA20.EXE-22596EA9.pf =>Crapware.SpyHunter
O45 - LFCP:[MD5.C043A16206744975C24CED1B50370AD9] - 19/02/2014 - 7:46:32 ---A- - C:\WINDOWS\Prefetch\WISECUSTOMCALLA22.EXE-378CBE1B.pf =>Crapware.SpyHunter
O45 - LFCP:[MD5.C0E236DE4827A779519C9002CCD41733] - 19/02/2014 - 7:47:13 ---A- - C:\WINDOWS\Prefetch\SPYHUNTER4.EXE-07468672.pf =>Crapware.SpyHunter
O47 - AAKE:Key Export SP - "C:\Java\eclipse\eclipse.exe" [Enabled] .(...) -- C:\Java\eclipse\eclipse.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe" [Enabled] .(...) -- C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Google\Google Talk\googletalk.exe" [Enabled] .(...) -- C:\Program Files\Google\Google Talk\googletalk.exe (.not file.)
O61 - LFC: 19/02/2014 - 21:18:38 ---A- . (...) -- C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter\SpyHunter Emergency Startup.lnk [1705] =>Crapware.SpyHunter
O61 - LFC: 19/02/2014 - 21:18:38 ---A- . (...) -- C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter\SpyHunter.lnk [1989] =>Crapware.SpyHunter
O61 - LFC: 19/02/2014 - 21:18:38 ---A- . (...) -- C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter\Uninstall SpyHunter.lnk [727] =>Crapware.SpyHunter
O69 - SBI: SearchScopes [HKCU] {A8105727-97B2-4B68-8BA5-57150A17B1B3} - (eseeky) - http://eseeky.com =>Hijacker.Eseeky
SS - | Auto 14/02/2014 52568 | (PirritDesktop) . (...) - C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe =>PUP.PirritSuggestor
[HKLM\SYSTEM\CurrentControlSet\Services\PirritDesktop] =>PUP.PirritSuggestor^
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{2318C2B1-4965-11d4-9B18-009027A5CD4F} =>Toolbar.Google^
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:swg =>Toolbar.Google^
C:\Program Files\PC Registry Shield =>Rogue.PCRegistryShield^
C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter =>Crapware.SpyHunter^
[HKCU\Software\ViewPassword] =>PUP.ViewPassword^
C:\Windows\Installer\77734.msi =>Toolbar.Google^
C:\Documents and Settings\Roberto\Desktop\SpyHunter.lnk =>Crapware.SpyHunter
sysrestore
Même procédure (mais tu verras pourquoi je t'ai fait restaurer :) )
Script ZHPFix
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-515967899-1123561945-725345543-1005\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O23 - Service: PirritDesktop (PirritDesktop) . (...) - C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe =>PUP.PirritSuggestor
[HKCU\Software\PCRegistryShieldLanguage]
[HKCU\Software\ViewPassword] =>PUP.ViewPassword
O43 - CFD: 19/02/2014 - 20:45:28 - [0] ----D C:\Program Files\PC Registry Shield =>Rogue.PCRegistryShield
O43 - CFD: 19/02/2014 - 20:45:28 - [0] ----D C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield
O43 - CFD: 19/02/2014 - 20:45:46 - [0,004] ----D C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter =>Crapware.SpyHunter
O45 - LFCP:[MD5.CF777EB08BCE68D88AA4B5EDAB451EFD] - 19/02/2014 - 7:43:48 ---A- - C:\WINDOWS\Prefetch\SPYHUNTER-INSTALLER.EXE-08FBC472.pf =>Crapware.SpyHunter
O45 - LFCP:[MD5.921CB472D12547BF7D77B552035EABFA] - 19/02/2014 - 7:45:48 ---A- - C:\WINDOWS\Prefetch\WISECUSTOMCALLA17.EXE-078A1D92.pf =>Crapware.SpyHunter
O45 - LFCP:[MD5.E73F47EBDBFB947D7488A94A587B99C0] - 19/02/2014 - 7:45:53 ---A- - C:\WINDOWS\Prefetch\WISECUSTOMCALLA19.EXE-2DF19827.pf =>Crapware.SpyHunter
O45 - LFCP:[MD5.8D8D2CF4E4807FB1C6C937458B1AB763] - 19/02/2014 - 7:45:55 ---A- - C:\WINDOWS\Prefetch\WISECUSTOMCALLA20.EXE-22596EA9.pf =>Crapware.SpyHunter
O45 - LFCP:[MD5.C043A16206744975C24CED1B50370AD9] - 19/02/2014 - 7:46:32 ---A- - C:\WINDOWS\Prefetch\WISECUSTOMCALLA22.EXE-378CBE1B.pf =>Crapware.SpyHunter
O45 - LFCP:[MD5.C0E236DE4827A779519C9002CCD41733] - 19/02/2014 - 7:47:13 ---A- - C:\WINDOWS\Prefetch\SPYHUNTER4.EXE-07468672.pf =>Crapware.SpyHunter
O47 - AAKE:Key Export SP - "C:\Java\eclipse\eclipse.exe" [Enabled] .(...) -- C:\Java\eclipse\eclipse.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe" [Enabled] .(...) -- C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Google\Google Talk\googletalk.exe" [Enabled] .(...) -- C:\Program Files\Google\Google Talk\googletalk.exe (.not file.)
O61 - LFC: 19/02/2014 - 21:18:38 ---A- . (...) -- C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter\SpyHunter Emergency Startup.lnk [1705] =>Crapware.SpyHunter
O61 - LFC: 19/02/2014 - 21:18:38 ---A- . (...) -- C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter\SpyHunter.lnk [1989] =>Crapware.SpyHunter
O61 - LFC: 19/02/2014 - 21:18:38 ---A- . (...) -- C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter\Uninstall SpyHunter.lnk [727] =>Crapware.SpyHunter
O69 - SBI: SearchScopes [HKCU] {A8105727-97B2-4B68-8BA5-57150A17B1B3} - (eseeky) - http://eseeky.com =>Hijacker.Eseeky
SS - | Auto 14/02/2014 52568 | (PirritDesktop) . (...) - C:\Documents and Settings\Roberto\Local Settings\Application Data\PirritSuggestor\PirritService.exe =>PUP.PirritSuggestor
[HKLM\SYSTEM\CurrentControlSet\Services\PirritDesktop] =>PUP.PirritSuggestor^
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{2318C2B1-4965-11d4-9B18-009027A5CD4F} =>Toolbar.Google^
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:swg =>Toolbar.Google^
C:\Program Files\PC Registry Shield =>Rogue.PCRegistryShield^
C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter =>Crapware.SpyHunter^
[HKCU\Software\ViewPassword] =>PUP.ViewPassword^
C:\Windows\Installer\77734.msi =>Toolbar.Google^
C:\Documents and Settings\Roberto\Desktop\SpyHunter.lnk =>Crapware.SpyHunter
sysrestore
OK c'est fait, le système est à nouveau opérationnel.
Un grand merci, j'ai comparé les script la commande "OPT" ne se trouvait pas devant les deux lignes 04.
Voici le rapport::
Rapport de ZHPFix 2014.2.16.5 par Nicolas Coolman, Update du 16/02/2014
Fichier d'export Registre :
Run by Roberto at 19/02/2014 21:38:37
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)
Corbeille vidée (00mn 02s)
========== Clés du Registre ==========
SUPPRIMÉ: Service: PirritDesktop
SUPPRIMÉ: HKCU\Software\PCRegistryShieldLanguage
SUPPRIMÉ: HKCU\Software\ViewPassword
SUPPRIMÉ: SearchScopes :{A8105727-97B2-4B68-8BA5-57150A17B1B3}
========== Valeurs du Registre ==========
SUPPRIMÉ RunValue: ctfmon.exe
SUPPRIMÉ AAKE KeyValue: C:\Java\eclipse\eclipse.exe
SUPPRIMÉ AAKE KeyValue: C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe
SUPPRIMÉ AAKE KeyValue: C:\Program Files\Google\Google Talk\googletalk.exe
SUPPRIMÉ [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{2318C2B1-4965-11d4-9B18-009027A5CD4F}
SUPPRIMÉ [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:swg
========== Dossiers ==========
SUPPRIMÉ: C:\Program Files\PC Registry Shield
SUPPRIMÉ: C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield
SUPPRIMÉ: C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter
========== Fichiers ==========
SUPPRIMÉ: c:\documents and settings\roberto\local settings\application data\pirritsuggestor\pirritservice.exe
SUPPRIMÉ: c:\windows\prefetch\spyhunter-installer.exe-08fbc472.pf
SUPPRIMÉ: c:\windows\prefetch\wisecustomcalla17.exe-078a1d92.pf
SUPPRIMÉ: c:\windows\prefetch\wisecustomcalla19.exe-2df19827.pf
SUPPRIMÉ: c:\windows\prefetch\wisecustomcalla20.exe-22596ea9.pf
SUPPRIMÉ: c:\windows\prefetch\wisecustomcalla22.exe-378cbe1b.pf
SUPPRIMÉ: c:\windows\prefetch\spyhunter4.exe-07468672.pf
SUPPRIMÉ: C:\Windows\Installer\77734.msi
SUPPRIMÉ: C:\Documents and Settings\Roberto\Desktop\SpyHunter.lnk
========== Restauration Système ==========
Point de restauration du système créé avec succès
========== Récapitulatif ==========
4 : Clés du Registre
6 : Valeurs du Registre
3 : Dossiers
9 : Fichiers
1 : Restauration Système
End of clean in 00mn 14s
========== Chemin de fichier rapport ==========
C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R1].txt - 19/02/2014 18:40:14 [2591]
C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R2].txt - 19/02/2014 20:03:18 [903]
C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R3].txt - 19/02/2014 21:38:39 [2366]
Un grand merci, j'ai comparé les script la commande "OPT" ne se trouvait pas devant les deux lignes 04.
Voici le rapport::
Rapport de ZHPFix 2014.2.16.5 par Nicolas Coolman, Update du 16/02/2014
Fichier d'export Registre :
Run by Roberto at 19/02/2014 21:38:37
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)
Corbeille vidée (00mn 02s)
========== Clés du Registre ==========
SUPPRIMÉ: Service: PirritDesktop
SUPPRIMÉ: HKCU\Software\PCRegistryShieldLanguage
SUPPRIMÉ: HKCU\Software\ViewPassword
SUPPRIMÉ: SearchScopes :{A8105727-97B2-4B68-8BA5-57150A17B1B3}
========== Valeurs du Registre ==========
SUPPRIMÉ RunValue: ctfmon.exe
SUPPRIMÉ AAKE KeyValue: C:\Java\eclipse\eclipse.exe
SUPPRIMÉ AAKE KeyValue: C:\Program Files\Juniper Networks\Secure Application Manager\dsSamProxy.exe
SUPPRIMÉ AAKE KeyValue: C:\Program Files\Google\Google Talk\googletalk.exe
SUPPRIMÉ [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{2318C2B1-4965-11d4-9B18-009027A5CD4F}
SUPPRIMÉ [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:swg
========== Dossiers ==========
SUPPRIMÉ: C:\Program Files\PC Registry Shield
SUPPRIMÉ: C:\Documents and Settings\Roberto\Local Settings\Application Data\PCRegistryShield
SUPPRIMÉ: C:\Documents and Settings\Roberto\Start Menu\Programs\SpyHunter
========== Fichiers ==========
SUPPRIMÉ: c:\documents and settings\roberto\local settings\application data\pirritsuggestor\pirritservice.exe
SUPPRIMÉ: c:\windows\prefetch\spyhunter-installer.exe-08fbc472.pf
SUPPRIMÉ: c:\windows\prefetch\wisecustomcalla17.exe-078a1d92.pf
SUPPRIMÉ: c:\windows\prefetch\wisecustomcalla19.exe-2df19827.pf
SUPPRIMÉ: c:\windows\prefetch\wisecustomcalla20.exe-22596ea9.pf
SUPPRIMÉ: c:\windows\prefetch\wisecustomcalla22.exe-378cbe1b.pf
SUPPRIMÉ: c:\windows\prefetch\spyhunter4.exe-07468672.pf
SUPPRIMÉ: C:\Windows\Installer\77734.msi
SUPPRIMÉ: C:\Documents and Settings\Roberto\Desktop\SpyHunter.lnk
========== Restauration Système ==========
Point de restauration du système créé avec succès
========== Récapitulatif ==========
4 : Clés du Registre
6 : Valeurs du Registre
3 : Dossiers
9 : Fichiers
1 : Restauration Système
End of clean in 00mn 14s
========== Chemin de fichier rapport ==========
C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R1].txt - 19/02/2014 18:40:14 [2591]
C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R2].txt - 19/02/2014 20:03:18 [903]
C:\Documents and Settings\Roberto\Application Data\ZHP\ZHPFix[R3].txt - 19/02/2014 21:38:39 [2366]
:)
¨Tu as vu mon erreur mais j'ai su la réparer :)
Refais un zhpdiag
¨Tu as vu mon erreur mais j'ai su la réparer :)
Refais un zhpdiag
Voici le rapport:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140219_r10y14o13g7l11
A la fin du rapport j'ai vu ceci:
---\\ Récapitulatif des détections trouvées sur votre station
~ http://nicolascoolman.webs.com/apps/blog/show/26609241-crapware-spyhunter =>Crapware.SpyHunter
~ http://nicolascoolman.webs.com/apps/blog/show/35740148-pup-viewpassword =>PUP.ViewPassword
~ MSI: 2 link(s) detected in 00mn 52s
Dois-je m'en préoccuper ?
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140219_r10y14o13g7l11
A la fin du rapport j'ai vu ceci:
---\\ Récapitulatif des détections trouvées sur votre station
~ http://nicolascoolman.webs.com/apps/blog/show/26609241-crapware-spyhunter =>Crapware.SpyHunter
~ http://nicolascoolman.webs.com/apps/blog/show/35740148-pup-viewpassword =>PUP.ViewPassword
~ MSI: 2 link(s) detected in 00mn 52s
Dois-je m'en préoccuper ?
Non :)
Il t'informe juste
Tout est ok
Par contre
MSE pas à jour
Adobe reader aussi
Désinstalles McAfee Security Scan Plus v3.8.141.11
Il t'informe juste
Tout est ok
Par contre
MSE pas à jour
Adobe reader aussi
Désinstalles McAfee Security Scan Plus v3.8.141.11
OK, j'ai désinstallé McAfee Security (mais en principe il devrait me protéger non ?).
Il reste le McAfee SiteAdvisor
Il n'y pas de mise à jour disponble pour l'Adobe reader, ce n'est pas important.
Encore une fois un grand merci, j'espère être débarrassé pour de bon.
Quelles sont test suggestions pour un anti virus ?
Il reste le McAfee SiteAdvisor
Il n'y pas de mise à jour disponble pour l'Adobe reader, ce n'est pas important.
Encore une fois un grand merci, j'espère être débarrassé pour de bon.
Quelles sont test suggestions pour un anti virus ?
Si si
Adobe reader
https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/
Pour MSE
Tu le trouveras ici même :)
Demain le final
Adobe reader
https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/
Pour MSE
Tu le trouveras ici même :)
Demain le final
Merci pour ta réponse, ma machine est de plus en plus lente ce qui explique le délais.
Enfin j'ai réussi à envoyer le rapport de l'outil ZHPDiag.
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140217_i8k10v11w10y6
J'ai télécharger Rsthosts dont voici le rapport:
-|x| RstHosts v2.0 - Rapport créé le 17/02/2014 à 21:20:28
-|x| Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
-|x| Nom d'utilisateur : Roberto - EVOW4000 (Administrateur)
-|x|- Informations -|x|-
Emplacement : C:\WINDOWS\System32\drivers\etc\hosts
Attribut(s) : RASH
Propriétaire : Roberto - EVOW4000
Taille : 89 bytes
Date de création : 04/08/2004 - 13:00:00
Date de modification : 17/02/2014 - 21:20:13
Date de dernier accès : 17/02/2014 - 21:20:13
-|x|- Contenu du fichier -|x|-
# Fichier Hosts créé par RstHosts
127.0.0.1 localhost
::1 localhost
-|x|- E.O.F - C:\RstHosts.txt - 618 bytes -|x|-