Virus dont je n'arrive pas à me débarasser

Fermé
anotherwon - 24 févr. 2014 à 23:38
 anotherwon - 21 avril 2014 à 18:01
Bonjour, j'ai un problème sur mon ordinateur. Récemment on m'a demandé de mettre à jour Adobe Flash Player, sentant l'arnaque j'ai ignoré, et je n'ai pas touché, mais je ne pouvais plus accéder à Youtube et sur mon blog, les gifs ne marchent pas. J'ai donc téléchargé le plug-in Adobe Flash Player sur le site officiel d'Adobe. Ca n'a rien changé, j'ai donc essayé la mise à jour de l'arnaque, quelque chose s'est téléchargé mais Microsoft Security Essentials l'en a empêché en disant qu'il y avait un virus dedans. Sauf que même maintenant j'ai des problèmes, ma souris ne bouge plus parfois, le clic droit est défaillant, c'est LEEEEEEEEENT, ça bloque, je n'ai toujours pas accès à Youtube, et les gifs sur le net ne marchent toujours pas. J'ai téléchargé Avast, tenté les scans rapides et minutieux, mais le minutieux ne dépasse pas la barre des 0%, le rapide me signale qu'il n'y a aucun danger, mais j'ai remarqué quelque chose de bizarre c'est qu'au niveau des Fichiers/Dossiers examinés lors du scan, c'est noté une valeur en dessous de 1 du genre 77753/1 au lieu de l'unité de base de fichiers scannés. J'ai aussi scanné le PC avec MalwareBytes Anti-Malware et supprimé la sélection qu'il m'a refilé (plus de 200 malwares oo'). Et dernier truc bizarre que j'ai remarqué, dans les extensions de mon navigateur (Google Chrome), une extension que j'ai beau désinstallé, se ré-installe et qui se nomme : MInimumMPriAce, j'ai tenté de la supprimer de mes programmes windows mais ils me disent comme quoi elle a déjà été désinstallée ou chais pas.

Voilà je vous ai donné toutes les précisions et les trucs que j'ai remarqué, quelqu'un a une idée de ce que je devrais faire ? Merci d'avance



54 réponses

Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
24 févr. 2014 à 23:39
Bonjour,

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

--> Clique sur "Configurer" puis sur la loupe la plus à droite "Diagnostic avec légitimes".

--> A la fenêtre "Voulez-vous un rapport full options ?", clique sur Oui et patiente le temps du scan.

--> Une fois le scan terminé, un rapport est créé sur le Bureau.

--> Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message.
0
Merci pour ton aide !! (:
Le scan bloque à 42% et l'application ne répond plus.
Je fais quelque chose?
0
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
25 févr. 2014 à 00:10
Attends dix minutes et s'il ne se débloque pas, on utilisera un autre outil de diagnostic.
0
Voici le lien du rapport : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20140225_q10p13w10i10e10
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
25 févr. 2014 à 00:56
--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


Script ZHPFix
SysRestore
C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Preferences
G2 - GCE: Preference [User Data\Default] [booedmolknjekdopkepjjeckmjkdpfgl] Managerr v.0.1 (Activé)
G2 - GCE: Preference [User Data\Default] [ddmnepnbnldklmmlnanljffimllhihgl] UtubieAdRaemOvval v.2.1 (Activé)
G2 - GCE: Preference [User Data\Default] [flpcjncodpafbgdpnkljologafpionhb] Managera v.0.1 (Activé)
O2 - BHO: RobOSSaver [64Bits] - {967F18AE-A234-2135-2DEF-4EC2BFE0B763} Clé orpheline
O2 - BHO: MInimuMPriaCe [64Bits] - {BD1B9F3D-318D-6D38-C9E3-0E2DA74619F1} Clé orpheline
O2 - BHO: UtubieAdRaemOvval [64Bits] - {E4249D60-6064-7B55-52F3-388D347B44EB} Clé orpheline
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
O20 - AppInit_DLLs: . (...) - C:\Program Files (x86)\SearchProtect\SearchProtect\bin\SPVC64Loader.dll (.not file.)
O23 - Service: WinTurbo (b5f358a0) . (...) - c:\progra~3\winturbo\WinTurboSvc.dll (.not file.)
[HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}]
[HKCU\Software\BabSolution]
[HKLM\Software\Tarma Installer]
[HKLM\Software\Wow6432Node\SP Global]
[HKLM\Software\Wow6432Node\SProtector]
[HKLM\Software\Wow6432Node\SearchProtect]
[HKLM\Software\Wow6432Node\Vittalia]
O42 - Logiciel: WinTurbo - (.Zilware.) [HKLM][64Bits] -- {5F189DF5-2D05-472B-9091-84D9848AE48B}{b5f358a0}
O43 - CFD: 27/12/2013 - 11:40:31 - [0] ----D C:\Program Files (x86)\ss helper
O43 - CFD: 25/07/2013 - 06:57:45 - [0] ----D C:\Program Files (x86)\TornTV.com
O43 - CFD: 07/02/2014 - 18:48:06 - [0,030] ----D C:\ProgramData\a70725fc123f8ae2
O43 - CFD: 25/07/2013 - 06:55:44 - [0] ----D C:\ProgramData\Babylon
O43 - CFD: 07/02/2014 - 18:48:01 - [0,009] ----D C:\ProgramData\ddmnepnbnldklmmlnanljffimllhihgl
O43 - CFD: 01/01/2014 - 09:52:25 - [0,007] ----D C:\ProgramData\fkeijkkoegbgbpibobnajcfcbkibchpa
O43 - CFD: 20/11/2013 - 10:41:44 - [1,596] ----D C:\ProgramData\InstallMate
O43 - CFD: 24/02/2014 - 19:52:04 - [0,007] ----D C:\ProgramData\MInimuMPriaCe
O43 - CFD: 24/02/2014 - 19:52:04 - [0,007] ----D C:\ProgramData\RobOSSaver
O43 - CFD: 24/02/2014 - 19:52:07 - [0,783] ----D C:\ProgramData\Tarma Installer
O43 - CFD: 24/02/2014 - 19:52:04 - [0,007] ----D C:\ProgramData\UtubieAdRaemOvval
O43 - CFD: 24/02/2014 - 19:56:01 - [4,020] ----D C:\ProgramData\WinTurbo
O43 - CFD: 25/07/2013 - 07:08:47 - [0,497] ----D C:\Users\Hamza\AppData\Roaming\BabSolution
O43 - CFD: 25/07/2013 - 06:55:43 - [0,002] ----D C:\Users\Hamza\AppData\Roaming\Babylon
O43 - CFD: 16/07/2013 - 19:09:43 - [0,091] ----D C:\Users\Hamza\AppData\Local\SearchProtect
O43 - CFD: 25/07/2013 - 06:54:31 - [0,002] ----D C:\Users\Hamza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com
O61 - LFC: 24/02/2014 - 23:02:24 ---A- . (...) -- C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbkchacbaoledfimdbcahlcnchdgmdlg_0.localstorage [97280]
O61 - LFC: 24/02/2014 - 23:02:24 ---A- . (...) -- C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbkchacbaoledfimdbcahlcnchdgmdlg_0.localstorage-journal [3608]
O61 - LFC: 24/02/2014 - 23:02:24 ---A- . (...) -- C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_ddmnepnbnldklmmlnanljffimllhihgl_0.localstorage [60416]
O61 - LFC: 24/02/2014 - 23:02:24 ---A- . (...) -- C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_ddmnepnbnldklmmlnanljffimllhihgl_0.localstorage-journal [16384]
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("aol_toolbar.default.homepage.check", false);
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("aol_toolbar.default.search.check", false);
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("extensions.BabylonToolbar.prtkDS", 0);
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.previous.keyword.URL", "");
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_DS", "");
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_HP", "");
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.searchguard.enable", "");
O69 - SBI: SearchScopes [HKCU] {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} [DefaultScope] - (Conduit Search) - http://search.conduit.com
O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Delta Search) - http://www1.delta-search.com
SS - | Auto 10/07/1658 0 | (b5f358a0) . (...) - c:\progra~3\winturbo\WinTurboSvc.dll
[HKLM\Software\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]
[HKLM\Software\Wow6432Node\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]
[HKLM\Software\Classes\Prod.cap]
[HKLM\Software\Classes\AppID\secman.DLL]
[HKLM\Software\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}]
[HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}]
[HKLM\Software\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\WebCakeDesktop_RASAPI32]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\WebCakeDesktop_RASMANCS]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]
[HKLM\Software\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}]
[HKLM\Software\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}]
[HKLM\Software\Wow6432Node\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}]
[HKLM\Software\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]
EmptyCLSID
EmptyFlash
EmptyTemp



--> Lance ZHPFix depuis le raccourci situé sur ton Bureau.

--> Clique sur le bouton IMPORTER. Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître.

--> Clique sur GO pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.

--> Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message.
0
Alors je te préviens au cas où on rencontre un problème et que ça peut t'aider, j'ai lancé le nettoyage, au début, une boite de dialogue signalant une erreur m'a signalé que WebTurbo était introuvable ou qqch du genre, bref le nettoyage a commencé, on m'a demandé de confirmer le nettoyage, puis de confirmer le celui de la corbeille.

Oh et le nettoyage a fermé le navigateur et au moment où j'écris ce message j'ai déjà reçu trois messages/boîtes de dialogues où ils me refont le truc du "Votre version de Flash Player est ancienne faut la updater".

Lien du rapport ZHPFix : http://pjjoint.malekal.com/files.php?id=20140225_e13p13o12r12e15
0
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
25 févr. 2014 à 01:14
Ok. Au fait, tu as deux antivirus, Microsoft Security Essentials et Avast, il faut n'en garder qu'un.

Es-tu connecté à un compte Google sur Google Chrome ?
0
Oui, au moment où je te parle je suis connecté sur gmail sur Chrome.
& pour les antivirus, je viens de télécharger une version crackée d'Avast en pensant qu'il serait plus performant que mon Microsoft Security Essentials (nativement installé sur mon Samsung), lequel devrais-je enlever ? :/
0
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
25 févr. 2014 à 01:43
Pas géniale la version crackée, prends la version gratuite. Perso, je préfère Avast que MSE.

Les mauvaises extensions sont sûrement sauvegardées dans ton compte Google.

Supprimer des données synchronisées de votre compte Google

Ensuite, je voudrais un nouveau rapport ZHPDiag.
0
Ok, donc je vais désinstaller les deux puis aller télécharger la version gratuite, je risque pas de choper un truc entre temps ?

Je télécharge Avast et je te fais ensuite le rapport ou avant?
0
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
Modifié par Destrio5 le 25/02/2014 à 01:53
Non, ça devrait aller, je te donne un lien pour éviter de le prendre sur un mauvais site :
http://redir.iavs5x.u.avcdn.net/iavs5x/avast_free_antivirus_setup.exe

Après avoir installé Avast, fais la manip' pour Google Chrome puis passe à ZHPDiag.
0
Voilàà, bon beh déjà j'ai pas encore eu le truc de Flash Player, j'ai installé Avast, merci pour le lien. Et voici celui du rapport ZHPDiag : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20140225_v7z5y13c11c15
0
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
25 févr. 2014 à 13:41
1/

--> Télécharge et lance AdwCleaner (d'Xplode), choisis l'option "Scanner".

--> Une fois le scan terminé, choisis l'option "Nettoyer".

--> Redémarre le PC comme demandé puis poste le rapport. Il est enregistré dans C:\AdwCleaner sous le nom d'AdwCleaner[S0].


2/

--> Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.

--> Ferme toutes les applications en cours.
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Coche la case Addition.txt.
--> Clique sur Scan.
--> Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
--> Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.
0
PS : J'ai fait un scan au démarrage avec Avast, ça m'a mis en quarantaine certains fichiers. Youtube remarche, et les gifs aussi. Je n'ai pas encore eu le message de Flash Player pour l'instant, j'en avais eu juste avant le scan mais là ça va je crois

Rapport AdwCleaner : http://pjjoint.malekal.com/files.php?id=20140225_v15z6q6m10m13

Rapport FRST : http://pjjoint.malekal.com/files.php?id=20140225_n9o8g13i14s10

Rapport Addition : http://pjjoint.malekal.com/files.php?id=20140225_e11i10d135b10
0
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
25 févr. 2014 à 15:35
Que contient le dossier suivant : C:\Users\Hamza\AppData\Roaming\Dialer ?
0
voilà : http://www.hostingpics.net/viewer.php?id=173999screen.png
0
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
25 févr. 2014 à 16:11
Je ne sais pas à quoi cela correspond.

Ouvre le fichier Detail pour voir.
0
voilà : http://www.casimages.com/img.php?i=140225042323975152.png
0
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
25 févr. 2014 à 16:19
C'est en rapport avec le modem, merci ;)

--> Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
--> Copie-colle le texte en gras ci-dessous dans le Bloc-notes :


start
AppInit_DLLs-x32: c:\progra~3\winturbo\winturbo.dll => "c:\progra~3\winturbo\winturbo.dll" File Not Found
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
BHO: RobOSSaver - {967F18AE-A234-2135-2DEF-4EC2BFE0B763} - C:\ProgramData\RobOSSaver\kYbOSBtiq.x64.dll No File
BHO: MInimuMPriaCe - {BD1B9F3D-318D-6D38-C9E3-0E2DA74619F1} - C:\ProgramData\MInimuMPriaCe\0GvK.x64.dll No File
BHO: UtubieAdRaemOvval - {E4249D60-6064-7B55-52F3-388D347B44EB} - C:\ProgramData\UtubieAdRaemOvval\XQCn.x64.dll No File
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
FF DefaultSearchEngine: user_pref("browser.search.defaultenginename", "");
FF SearchEngineOrder.user_pref("browser.search.order.1", "");: user_pref("browser.search.order.1", "");
FF SearchEngineOrder.user_pref("browser.search.order.1,S", "");: user_pref("browser.search.order.1,S", "");
FF SelectedSearchEngine: user_pref("browser.search.selectedEngine", "");
FF Keyword.URL: user_pref("keyword.URL", "");
FF Extension: Torntv 3 - C:\Users\Hamza\AppData\Roaming\Mozilla\Firefox\profiles\extensions\trtv3@trtv.com.xpi [2013-06-30]
CHR Extension: (UtubieAdRaemOvval) - C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Extensions\ddmnepnbnldklmmlnanljffimllhihgl [2014-02-07]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
2014-02-24 19:56 - 2013-12-27 11:40 - 00000000 ____D () C:\ProgramData\WinTurbo
end



--> Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Clique sur Fix. Patiente le temps de la correction.

Note : si l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement, l'outil terminera son travail.

--> Une fois la correction terminée, un rapport Fixlog.txt sera présent sur le Bureau.
--> Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
0
http://pjjoint.malekal.com/files.php?id=20140225_r5h14b15j8x15
0