Infection de mon système par maucampo (et avec Qone8)

Résolu
Buline -  
rachirachi Messages postés 2 Statut Membre -
Bonjour,

J'ai un problème avec maucampo (et avec Qone8) : je n'arrive pas à me débarasser.
J'avais vu sur une discussion à propos de maucampo qu'il fallait d'abord faire un rapport ZHPDiag de son ordinateur, et donc voici le lien cjoint :
http://cjoint.com/?DEEmjIFVlVv
Pouvez-vous aussi m'aider?
Merci et bonne journée!

20 réponses

  1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    --> Télécharge et lance AdwCleaner (d'Xplode), choisis l'option "Scanner".

    --> Une fois le scan terminé, choisis l'option "Nettoyer".

    --> Redémarre le PC comme demandé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ta réponse. Le rapport est enregistré dans C:\AdwCleaner sous le nom d'AdwCleaner[s?].
    1
  2. Buline
     
    Merci de vous occuper de moi!
    Voici le lien du rapport:
    http://pjjoint.malekal.com/files.php?id=20140530_v6k10s15p10z7

    Il me semble que le nettayage a déjà eu un bon effet :)
    0
  3. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Fais un scan avec Malwarebytes' Anti-Malware, supprime tout ce qu'il trouve et poste le rapport.

    Malwarebytes' Anti-Malware - Tutoriel
    0
  4. Buline
     
    On m'a proposé deux rappport dont voici les liens:
    http://pjjoint.malekal.com/files.php?id=20140530_q5w7y10j15u11
    http://pjjoint.malekal.com/files.php?id=20140530_e7q15n6r9q12
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Je voudrais un nouveau rapport ZHPDiag ;)
    0
  7. Buline
     
    Et voilà!
    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20140530_o14r5b7g10t15
    0
  8. Buline
     
    Pardon, voici le bon lien:
    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20140530_u7v14q15v6t9
    0
  9. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Peux-tu faire scanner le fichier suivant : C:\Windows\System32\Drivers\wdfbiid.sys

    Sur VirusTotal puis me donner le lien qui mène à l'analyse ?
    0
  10. Buline
     
    Voilà:
    https://www.virustotal.com/fr/file/388fb7d941413ccca6dc5c59a85f5a156864d42e98a60d99f50f423b6c801555/analysis/1401526278/
    0
  11. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Merci.

    --> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").

    Script ZHPFix
    SysRestore
    ProxyFix
    [MD5.00000000000000000000000000000000] [APT] [RegistryDr_Popup] (...) -- C:\Program Files\Registry Dr\Splash.exe (.not file.) [0] =>Adware.RegistryDr
    [MD5.00000000000000000000000000000000] [APT] [RegistryDr_Start] (...) -- C:\Program Files\Registry Dr\RegistryDr.exe (.not file.) [0] =>Adware.RegistryDr
    [MD5.00000000000000000000000000000000] [APT] [{FE873811-ECA9-4085-8DE4-B7D209ACCD85}] (...) -- C:\Users\Pauline\AppData\Roaming\qone8\UninstallManager.exe (.not file.) [0]
    O41 - Driver: ({ef8714df-a44b-464c-9034-549a70dc4cd7}w) . (.StdLib - StdLib.) - C:\Windows\System32\drivers\{ef8714df-a44b-464c-9034-549a70dc4cd7}w.sys
    [HKCU\Software\Conduit_Search_Protect]
    O43 - CFD: 26.02.2012 - 10:23:46 - [] ----D C:\ProgramData\100
    O44 - LFC:[MD5.81409EB454378B54DABAF3FBD38A67D2] - 26.05.2014 - 19:56:44 ---A- . (.StdLib - StdLib.) -- C:\Windows\System32\Drivers\{ef8714df-a44b-464c-9034-549a70dc4cd7}w.sys [52920]
    O58 - SDL:26.05.2014 - 19:56:44 ---A- . (.StdLib - StdLib.) -- C:\Windows\System32\Drivers\{ef8714df-a44b-464c-9034-549a70dc4cd7}w.sys [52920]
    O64 - Services: CurCS - 26.05.2014 - C:\Windows\System32\drivers\{ef8714df-a44b-464c-9034-549a70dc4cd7}w.sys ({ef8714df-a44b-464c-9034-549a70dc4cd7}w) .(.StdLib - StdLib.) - LEGACY_{EF8714DF-A44B-464C-9034-549A70DC4CD7}W
    O69 - SBI: SearchScopes [HKCU] {50C7AD11-3106-436A-A1BA-8700F4F9C296} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
    HKLM\SOFTWARE\Microsoft\Tracing\Codec-C_RASAPI32 =>PUP.CodecC
    HKLM\SOFTWARE\Microsoft\Tracing\Codec-C_RASMANCS =>PUP.CodecC
    HKLM\SOFTWARE\Microsoft\Tracing\codecc_extension_RASAPI32 =>PUP.CodecC
    HKLM\SOFTWARE\Microsoft\Tracing\codecc_extension_RASMANCS =>PUP.CodecC
    HKLM\SOFTWARE\Microsoft\Tracing\maucampo_RASAPI32 =>PUP.Maucampo
    HKLM\SOFTWARE\Microsoft\Tracing\maucampo_RASMANCS =>PUP.Maucampo
    HKLM\SOFTWARE\Microsoft\Tracing\Premiumplay Codec-C_RASAPI32 =>PUP.CodecC
    HKLM\SOFTWARE\Microsoft\Tracing\Premiumplay Codec-C_RASMANCS =>PUP.CodecC
    HKLM\SOFTWARE\Microsoft\Tracing\RegistryDr_RASAPI32 =>Adware.RegistryDr
    HKLM\SOFTWARE\Microsoft\Tracing\RegistryDr_RASMANCS =>Adware.RegistryDr
    HKLM\SOFTWARE\Microsoft\Tracing\updatemaucampo_RASAPI32 =>PUP.Maucampo
    HKLM\SOFTWARE\Microsoft\Tracing\updatemaucampo_RASMANCS =>PUP.Maucampo
    HKLM\SOFTWARE\Microsoft\Tracing\utilmaucampo_RASAPI32 =>PUP.Maucampo
    HKLM\SOFTWARE\Microsoft\Tracing\utilmaucampo_RASMANCS =>PUP.Maucampo
    HKLM\SOFTWARE\Microsoft\Tracing\WajamInternetEnhancer_RASAPI32 =>PUP.Wajam
    HKLM\SOFTWARE\Microsoft\Tracing\WajamInternetEnhancer_RASMANCS =>PUP.Wajam
    [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011041135}]
    C:\Program Files\maucampo
    C:\Program Files\Premiumplay Codec-C
    C:\ProgramData\InstallMate
    C:\Users\Pauline\AppData\Local\Premiumplay Codec-C
    [HKCU\Software\RegistryDR]
    [HKCU\Software\RegistryDrLanguage]
    C:\Users\Pauline\Downloads\cacaoweb.exe
    EmptyFlash
    EmptyTemp


    --> Lance ZHPFix depuis le raccourci situé sur ton Bureau.

    --> Clique sur le bouton IMPORTER. Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître.

    --> Clique sur GO et confirme pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

    --> Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message.
    0
  12. Buline
     
    Haha, nan, merci à toi! Moi je ne fais que des copier-coller!

    http://pjjoint.malekal.com/files.php?id=20140531_c8z12s9v15c5
    0
  13. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Pour finir :

    1/

    ---> Télécharge et installe CCleaner.
    * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures.
    * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.

    2/

    ---> Télécharge DelFix sur ton Bureau puis lance-le.
    * Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.
    * Clique sur Exécuter.
    * Poste le rapport.

    ==Prévention==

    Désinstalle Java 7 Update 55 et installe la dernière version :
    https://www.java.com/fr/download/

    "avast! Free Antivirus v6.0.1289.0"

    --> Désinstalle cette vieille version et installe la version 9 :
    http://iavs9x.avg.u.avcdn.net/iavs9x/avast_free_antivirus_setup.exe

    Un dossier sur la prévention et sécurité sur Internet est disponible ici.
    0
  14. Buline
     
    Et voilà le rapport de DelFix:
    http://pjjoint.malekal.com/files.php?id=20140531_h14w15i13l8j5
    0
  15. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Ok pour DelFix.

    Bonne journée ;)
    0
  16. Buline
     
    Juste une petite question avant de te laisser tranquille, est ce que tout ce qu'on a fait est censé m'avoir débarrassé de "Qone8" ? Parce que qu'en j'ouvre chrome, j'ai plein d'onglets Qone8 qui s'ouvrent à chaque fois... J'ai essayé de configurer la page d'accueil chrome etc.. mais rien à faire, ca reste.
    0
  17. Buline
     
    Ok, merci beaucoup pour ton aide et bonne journée!
    0
  18. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Plus de qone8 cette fois ?
    0
  19. rachirachi Messages postés 2 Statut Membre
     
    Moi aussi mon pc est infecté j'ai utilisé AdwCleaner et voici ci-dessous le rapport que j'ai eu:
    0
  20. rachirachi Messages postés 2 Statut Membre
     
    Re... ci-dessous mon rapport...
    # AdwCleaner v3.211 - Rapport créé le 31/05/2014 à 22:22:12
    # Mis à jour le 26/05/2014 par Xplode
    # Système d'exploitation : Windows 8.1 (64 bits)
    # Nom d'utilisateur :
    # Exécuté depuis : C:\Users\\AppData\Local\Microsoft\Windows\INetCache\IE\JVOB0IF4\AdwCleaner-3.211.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    Service Supprimé : IePluginServices
    [#] Service Supprimé : Software_update
    [#] Service Supprimé : Software_update_m

    ***** [ Fichiers / Dossiers ] *****

    Dossier Supprimé : C:\ProgramData\374311380
    Dossier Supprimé : C:\ProgramData\IePluginServices
    Dossier Supprimé : C:\Program Files (x86)\SupTab
    Dossier Supprimé : C:\Users\\AppData\Roaming\qone8
    Dossier Supprimé : C:\Users\\AppData\Roaming\SupTab
    Dossier Supprimé : C:\Users\\Documents\Optimizer Pro
    Dossier Supprimé : C:\Users\AppData\Local\Software
    Dossier Supprimé : C:\Program Files (x86)\Software
    Fichier Supprimé : C:\Users\\AppData\Roaming\aps.uninstall.scan.results
    Fichier Supprimé : C:\Windows\Tasks\SoftwareUpdateTaskMachineCore.job
    Fichier Supprimé : C:\Windows\System32\Tasks\SoftwareUpdateTaskMachineCore
    Fichier Supprimé : C:\Windows\Tasks\SoftwareUpdateTaskMachineUA.job
    Fichier Supprimé : C:\Windows\System32\Tasks\SoftwareUpdateTaskMachineUA

    ***** [ Raccourcis ] *****

    Raccourci Désinfecté : C:\Users\nisrine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
    Raccourci Désinfecté : C:\Users\\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    Raccourci Désinfecté : C:\Users\\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk

    ***** [ Registre ] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass
    Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine
    Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine.1.0
    Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@tools.Software.com/Software Update;version=3
    Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@tools.Software.com/Software Update;version=9
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{968EDCE0-C10A-47BB-B3B6-FDF09F2A417D}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
    Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8}
    Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
    Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
    Clé Supprimée : HKCU\Software\AnyProtect
    Clé Supprimée : HKCU\Software\Boxore
    Clé Supprimée : HKCU\Software\Software
    Clé Supprimée : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
    Clé Supprimée : HKCU\Software\AppDataLow\Software
    Clé Supprimée : HKLM\Software\{1146AC44-2F03-4431-B4FD-889BC837521F}
    Clé Supprimée : HKLM\Software\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
    Clé Supprimée : HKLM\Software\{6791A2F3-FC80-475C-A002-C014AF797E9C}
    Clé Supprimée : HKLM\Software\Boxore
    Clé Supprimée : HKLM\Software\qone8Software
    Clé Supprimée : HKLM\Software\Software
    Clé Supprimée : HKLM\Software\SupTab
    Clé Supprimée : HKLM\Software\Wpm
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\qone8 uninstaller
    Donnée Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\SupTab\SEARCH~1.DLL
    Donnée Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\SupTab\SEARCH~2.DLL

    ***** [ Navigateurs ] *****

    -\\ Internet Explorer v11.0.9600.16384

    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
    Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
    Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
    Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
    Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]

    *************************

    AdwCleaner[R0].txt - [6823 octets] - [31/05/2014 22:21:22]
    AdwCleaner[S0].txt - [5245 octets] - [31/05/2014 22:22:12]

    ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [5305 octets] ##########
    0