Virus dont je n'arrive pas à me débarasser
anotherwon -
Voilà je vous ai donné toutes les précisions et les trucs que j'ai remarqué, quelqu'un a une idée de ce que je devrais faire ? Merci d'avance
54 réponses
- 1
- 2
- 3
Des symptômes malveillants sur Windows 7 affectent Chrome après une mise à jour jugée frauduleuse d'Adobe Flash Player, avec des extensions réinstallées et des pages YouTube ou GIFs qui s'affichent difficilement. Des scans antivirus et anti-malware révèlent de nombreuses menaces et des composants indésirables, et des outils dédiés permettent d'identifier des éléments tels que WinTurbo, Babylon et modules intrusifs, nécessitant leur suppression. Des solutions proposées incluent la désinstallation puis la réinstallation de Chrome, l'exécution d'outils de nettoyage comme AdwCleaner et ZHPFix, et le retrait des extensions indésirables. En cas de succès, signes de rétablissement apparaissent et YouTube ainsi que les GIFs reprennent leur fonctionnement, mais des avertissements liés à Flash peuvent persister tant que le système reste infesté.
-
Bonjour,
--> Télécharge ZHPDiag (de Nicolas Coolman).
--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).
--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
--> Clique sur "Configurer" puis sur la loupe la plus à droite "Diagnostic avec légitimes".
--> A la fenêtre "Voulez-vous un rapport full options ?", clique sur Oui et patiente le temps du scan.
--> Une fois le scan terminé, un rapport est créé sur le Bureau.
--> Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message. -
Merci pour ton aide !! (:
Le scan bloque à 42% et l'application ne répond plus.
Je fais quelque chose? -
Attends dix minutes et s'il ne se débloque pas, on utilisera un autre outil de diagnostic.
-
Voici le lien du rapport : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20140225_q10p13w10i10e10
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").
Script ZHPFix
SysRestore
C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Preferences
G2 - GCE: Preference [User Data\Default] [booedmolknjekdopkepjjeckmjkdpfgl] Managerr v.0.1 (Activé)
G2 - GCE: Preference [User Data\Default] [ddmnepnbnldklmmlnanljffimllhihgl] UtubieAdRaemOvval v.2.1 (Activé)
G2 - GCE: Preference [User Data\Default] [flpcjncodpafbgdpnkljologafpionhb] Managera v.0.1 (Activé)
O2 - BHO: RobOSSaver [64Bits] - {967F18AE-A234-2135-2DEF-4EC2BFE0B763} Clé orpheline
O2 - BHO: MInimuMPriaCe [64Bits] - {BD1B9F3D-318D-6D38-C9E3-0E2DA74619F1} Clé orpheline
O2 - BHO: UtubieAdRaemOvval [64Bits] - {E4249D60-6064-7B55-52F3-388D347B44EB} Clé orpheline
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
O20 - AppInit_DLLs: . (...) - C:\Program Files (x86)\SearchProtect\SearchProtect\bin\SPVC64Loader.dll (.not file.)
O23 - Service: WinTurbo (b5f358a0) . (...) - c:\progra~3\winturbo\WinTurboSvc.dll (.not file.)
[HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}]
[HKCU\Software\BabSolution]
[HKLM\Software\Tarma Installer]
[HKLM\Software\Wow6432Node\SP Global]
[HKLM\Software\Wow6432Node\SProtector]
[HKLM\Software\Wow6432Node\SearchProtect]
[HKLM\Software\Wow6432Node\Vittalia]
O42 - Logiciel: WinTurbo - (.Zilware.) [HKLM][64Bits] -- {5F189DF5-2D05-472B-9091-84D9848AE48B}{b5f358a0}
O43 - CFD: 27/12/2013 - 11:40:31 - [0] ----D C:\Program Files (x86)\ss helper
O43 - CFD: 25/07/2013 - 06:57:45 - [0] ----D C:\Program Files (x86)\TornTV.com
O43 - CFD: 07/02/2014 - 18:48:06 - [0,030] ----D C:\ProgramData\a70725fc123f8ae2
O43 - CFD: 25/07/2013 - 06:55:44 - [0] ----D C:\ProgramData\Babylon
O43 - CFD: 07/02/2014 - 18:48:01 - [0,009] ----D C:\ProgramData\ddmnepnbnldklmmlnanljffimllhihgl
O43 - CFD: 01/01/2014 - 09:52:25 - [0,007] ----D C:\ProgramData\fkeijkkoegbgbpibobnajcfcbkibchpa
O43 - CFD: 20/11/2013 - 10:41:44 - [1,596] ----D C:\ProgramData\InstallMate
O43 - CFD: 24/02/2014 - 19:52:04 - [0,007] ----D C:\ProgramData\MInimuMPriaCe
O43 - CFD: 24/02/2014 - 19:52:04 - [0,007] ----D C:\ProgramData\RobOSSaver
O43 - CFD: 24/02/2014 - 19:52:07 - [0,783] ----D C:\ProgramData\Tarma Installer
O43 - CFD: 24/02/2014 - 19:52:04 - [0,007] ----D C:\ProgramData\UtubieAdRaemOvval
O43 - CFD: 24/02/2014 - 19:56:01 - [4,020] ----D C:\ProgramData\WinTurbo
O43 - CFD: 25/07/2013 - 07:08:47 - [0,497] ----D C:\Users\Hamza\AppData\Roaming\BabSolution
O43 - CFD: 25/07/2013 - 06:55:43 - [0,002] ----D C:\Users\Hamza\AppData\Roaming\Babylon
O43 - CFD: 16/07/2013 - 19:09:43 - [0,091] ----D C:\Users\Hamza\AppData\Local\SearchProtect
O43 - CFD: 25/07/2013 - 06:54:31 - [0,002] ----D C:\Users\Hamza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com
O61 - LFC: 24/02/2014 - 23:02:24 ---A- . (...) -- C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbkchacbaoledfimdbcahlcnchdgmdlg_0.localstorage [97280]
O61 - LFC: 24/02/2014 - 23:02:24 ---A- . (...) -- C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbkchacbaoledfimdbcahlcnchdgmdlg_0.localstorage-journal [3608]
O61 - LFC: 24/02/2014 - 23:02:24 ---A- . (...) -- C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_ddmnepnbnldklmmlnanljffimllhihgl_0.localstorage [60416]
O61 - LFC: 24/02/2014 - 23:02:24 ---A- . (...) -- C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_ddmnepnbnldklmmlnanljffimllhihgl_0.localstorage-journal [16384]
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("aol_toolbar.default.homepage.check", false);
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("aol_toolbar.default.search.check", false);
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("extensions.BabylonToolbar.prtkDS", 0);
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.previous.keyword.URL", "");
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_DS", "");
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_HP", "");
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.searchguard.enable", "");
O69 - SBI: SearchScopes [HKCU] {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} [DefaultScope] - (Conduit Search) - http://search.conduit.com
O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Delta Search) - http://www1.delta-search.com
SS - | Auto 10/07/1658 0 | (b5f358a0) . (...) - c:\progra~3\winturbo\WinTurboSvc.dll
[HKLM\Software\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]
[HKLM\Software\Wow6432Node\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]
[HKLM\Software\Classes\Prod.cap]
[HKLM\Software\Classes\AppID\secman.DLL]
[HKLM\Software\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}]
[HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}]
[HKLM\Software\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\WebCakeDesktop_RASAPI32]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\WebCakeDesktop_RASMANCS]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]
[HKLM\Software\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}]
[HKLM\Software\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}]
[HKLM\Software\Wow6432Node\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}]
[HKLM\Software\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]
EmptyCLSID
EmptyFlash
EmptyTemp
--> Lance ZHPFix depuis le raccourci situé sur ton Bureau.
--> Clique sur le bouton IMPORTER. Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître.
--> Clique sur GO pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.
--> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.
--> Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message. -
Alors je te préviens au cas où on rencontre un problème et que ça peut t'aider, j'ai lancé le nettoyage, au début, une boite de dialogue signalant une erreur m'a signalé que WebTurbo était introuvable ou qqch du genre, bref le nettoyage a commencé, on m'a demandé de confirmer le nettoyage, puis de confirmer le celui de la corbeille.
Oh et le nettoyage a fermé le navigateur et au moment où j'écris ce message j'ai déjà reçu trois messages/boîtes de dialogues où ils me refont le truc du "Votre version de Flash Player est ancienne faut la updater".
Lien du rapport ZHPFix : http://pjjoint.malekal.com/files.php?id=20140225_e13p13o12r12e15 -
Ok. Au fait, tu as deux antivirus, Microsoft Security Essentials et Avast, il faut n'en garder qu'un.
Es-tu connecté à un compte Google sur Google Chrome ? -
Oui, au moment où je te parle je suis connecté sur gmail sur Chrome.
& pour les antivirus, je viens de télécharger une version crackée d'Avast en pensant qu'il serait plus performant que mon Microsoft Security Essentials (nativement installé sur mon Samsung), lequel devrais-je enlever ? :/ -
Pas géniale la version crackée, prends la version gratuite. Perso, je préfère Avast que MSE.
Les mauvaises extensions sont sûrement sauvegardées dans ton compte Google.
Supprimer des données synchronisées de votre compte Google
Ensuite, je voudrais un nouveau rapport ZHPDiag. -
Ok, donc je vais désinstaller les deux puis aller télécharger la version gratuite, je risque pas de choper un truc entre temps ?
Je télécharge Avast et je te fais ensuite le rapport ou avant? -
Non, ça devrait aller, je te donne un lien pour éviter de le prendre sur un mauvais site :
http://redir.iavs5x.u.avcdn.net/iavs5x/avast_free_antivirus_setup.exe
Après avoir installé Avast, fais la manip' pour Google Chrome puis passe à ZHPDiag. -
Voilàà, bon beh déjà j'ai pas encore eu le truc de Flash Player, j'ai installé Avast, merci pour le lien. Et voici celui du rapport ZHPDiag : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20140225_v7z5y13c11c15
-
1/
--> Télécharge et lance AdwCleaner (d'Xplode), choisis l'option "Scanner".
--> Une fois le scan terminé, choisis l'option "Nettoyer".
--> Redémarre le PC comme demandé puis poste le rapport. Il est enregistré dans C:\AdwCleaner sous le nom d'AdwCleaner[S0].
2/
--> Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.
--> Ferme toutes les applications en cours.
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Coche la case Addition.txt.
--> Clique sur Scan.
--> Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
--> Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse. -
PS : J'ai fait un scan au démarrage avec Avast, ça m'a mis en quarantaine certains fichiers. Youtube remarche, et les gifs aussi. Je n'ai pas encore eu le message de Flash Player pour l'instant, j'en avais eu juste avant le scan mais là ça va je crois
Rapport AdwCleaner : http://pjjoint.malekal.com/files.php?id=20140225_v15z6q6m10m13
Rapport FRST : http://pjjoint.malekal.com/files.php?id=20140225_n9o8g13i14s10
Rapport Addition : http://pjjoint.malekal.com/files.php?id=20140225_e11i10d135b10 -
Que contient le dossier suivant : C:\Users\Hamza\AppData\Roaming\Dialer ?
-
-
Je ne sais pas à quoi cela correspond.
Ouvre le fichier Detail pour voir. -
-
C'est en rapport avec le modem, merci ;)
--> Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
--> Copie-colle le texte en gras ci-dessous dans le Bloc-notes :
start
AppInit_DLLs-x32: c:\progra~3\winturbo\winturbo.dll => "c:\progra~3\winturbo\winturbo.dll" File Not Found
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
BHO: RobOSSaver - {967F18AE-A234-2135-2DEF-4EC2BFE0B763} - C:\ProgramData\RobOSSaver\kYbOSBtiq.x64.dll No File
BHO: MInimuMPriaCe - {BD1B9F3D-318D-6D38-C9E3-0E2DA74619F1} - C:\ProgramData\MInimuMPriaCe\0GvK.x64.dll No File
BHO: UtubieAdRaemOvval - {E4249D60-6064-7B55-52F3-388D347B44EB} - C:\ProgramData\UtubieAdRaemOvval\XQCn.x64.dll No File
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
FF DefaultSearchEngine: user_pref("browser.search.defaultenginename", "");
FF SearchEngineOrder.user_pref("browser.search.order.1", "");: user_pref("browser.search.order.1", "");
FF SearchEngineOrder.user_pref("browser.search.order.1,S", "");: user_pref("browser.search.order.1,S", "");
FF SelectedSearchEngine: user_pref("browser.search.selectedEngine", "");
FF Keyword.URL: user_pref("keyword.URL", "");
FF Extension: Torntv 3 - C:\Users\Hamza\AppData\Roaming\Mozilla\Firefox\profiles\extensions\trtv3@trtv.com.xpi [2013-06-30]
CHR Extension: (UtubieAdRaemOvval) - C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Extensions\ddmnepnbnldklmmlnanljffimllhihgl [2014-02-07]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
2014-02-24 19:56 - 2013-12-27 11:40 - 00000000 ____D () C:\ProgramData\WinTurbo
end
--> Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Clique sur Fix. Patiente le temps de la correction.
Note : si l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement, l'outil terminera son travail.
--> Une fois la correction terminée, un rapport Fixlog.txt sera présent sur le Bureau.
--> Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse. -
- 1
- 2
- 3