EdealsPop et autres adwares

Résolu
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
Depuis ce matin mon PC " m'annonce" qu'un problème a fait que "rubySnapshotWYSIWYG.exe" a cessé de fonctionner...
Quelqu'un pour me dire ce qu'est cette appli comment résoudre le problème ?
PS : j'ai beau cliquer sur "fermer le programme", le message réapparait dans la foulée...
Merci
A voir également:

20 réponses

Réponse 1 / 20
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
Voici la procédure à suivre pour les supprimer :

Commence par ceci :

Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


0
Réponse 2 / 20
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Re
pour info j'ai déjà supprimé omiga-plus qui me pourrissait bien la vie...






AdwCleaner v4.101 - Rapport créé le 10/11/2014 à 10:57:28
# Mis à jour le 09/11/2014 par Xplode
# Database : 2014-11-07.1 [Live]
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Fred - PC-DE-QUITO
# Exécuté depuis : C:\Users\Fred\Downloads\adwcleaner_4.101.exe
# Option : Nettoyer

***** [ Services ] *****

[#] Service Supprimé : globalUpdate
[#] Service Supprimé : globalUpdatem
Service Supprimé : IePluginServices
Service Supprimé : UniversalUpdater
[#] Service Supprimé : KMService

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\2308189059
Dossier Supprimé : C:\ProgramData\Browser
Dossier Supprimé : C:\ProgramData\IePluginServices
Dossier Supprimé : C:\ProgramData\NCH Software
Dossier Supprimé : C:\ProgramData\TVWizard
Dossier Supprimé : C:\ProgramData\WindowsMangerProtect
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PepperZip
Dossier Supprimé : C:\Program Files\SupTab
Dossier Supprimé : C:\Program Files\Universal Updater
Dossier Supprimé : C:\Users\Fred\AppData\Local\TVWizard
Dossier Supprimé : C:\Users\Quito\AppData\Local\globalUpdate
Dossier Supprimé : C:\Users\Quito\AppData\Local\TVWizard
Dossier Supprimé : C:\Users\Quito\AppData\Roaming\NCH Software
Fichier Supprimé : C:\Windows\rcore.exe
Fichier Supprimé : C:\Windows\system32\srvany.exe

***** [ Tâches planifiées ] *****

Tâche Supprimée : globalUpdateUpdateTaskMachineCore
Tâche Supprimée : globalUpdateUpdateTaskMachineUA
Tâche Supprimée : LaunchSignup
Tâche Supprimée : 75abe6ad-4252-4865-a9c2-39ff22209293-11
Tâche Supprimée : 75abe6ad-4252-4865-a9c2-39ff22209293-3
Tâche Supprimée : 75abe6ad-4252-4865-a9c2-39ff22209293-4
Tâche Supprimée : 75abe6ad-4252-4865-a9c2-39ff22209293-6
Tâche Supprimée : 75abe6ad-4252-4865-a9c2-39ff22209293-7

***** [ Raccourcis ] *****


***** [ Registre ] *****

Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [faststartff@gmail.com]
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdate.OneClickCtrl.10
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdate.OneClickProcessLauncherMachine
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdate.OneClickProcessLauncherMachine.1.0
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdate.Update3WebControl.4
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoCreateAsync
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoCreateAsync.1.0
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreClass
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreClass.1
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreMachineClass
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.CoreMachineClass.1
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.CredentialDialogMachine
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.CredentialDialogMachine.1.0
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachine
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachine.1.0
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachineFallback
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassMachineFallback.1.0
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassSvc
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.OnDemandCOMClassSvc.1.0
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.ProcessLauncher
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.ProcessLauncher.1.0
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3COMClassService
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3COMClassService.1.0
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachine
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachine.1.0
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachineFallback
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebMachineFallback.1.0
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebSvc
Clé Supprimée : HKLM\SOFTWARE\Classes\globalUpdateUpdate.Update3WebSvc.1.0
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@staging.google.com/globalUpdate Update;version=10
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@staging.google.com/globalUpdate Update;version=4
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginServices
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [CrashMon]
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{02A96331-0CA6-40E2-A87D-C224601985EB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{051E9166-B275-4683-907B-372FAE22BC7C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3278F5CF-48F3-4253-A6BB-004CE84AF492}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3B5702BA-7F4C-4D1A-B026-1E9A01D43978}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5645E0E7-FC12-43BF-A6E4-F9751942B298}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{577975B8-C40E-43E6-B0DE-4C6B44088B52}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5E89ACE9-E16B-499A-87B4-0DBF742404C1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{69F256DF-BA98-45E9-86EA-FC3CFECF9D30}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{6E87FC94-9866-49B9-8E93-5736D6DE3DD7}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7E49F793-B3CD-4BF7-8419-B34B8BD30E61}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{834469E3-CA2B-4F21-A5CA-4F6F4DBCDE87}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8529FAA3-5BFD-43C1-AB35-B53C4B96C6E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{ADBC39BE-3D20-4333-8D99-E91EB1B62474}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CFC47BB5-5FB5-4AD0-8427-6AA04334A3FC}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E06CA7F5-BA34-4FF6-8D24-B1BDC594D91F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E0ADB535-D7B5-4D8B-B15D-578BDD20D76A}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E5A7A645-8318-4895-B85C-EDC606B80DB6}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{F6421EE5-A5BE-4D31-81D5-C16B7BF48E4C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FD8E81D0-F5FE-4CB1-9AEA-1E163D2BAB78}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{968EDCE0-C10A-47BB-B3B6-FDF09F2A417D}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{5645E0E7-FC12-43BF-A6E4-F9751942B298}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5645E0E7-FC12-43BF-A6E4-F9751942B298}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5E89ACE9-E16B-499A-87B4-0DBF742404C1}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}
Clé Supprimée : HKCU\Software\PepperZip
Clé Supprimée : HKLM\SOFTWARE\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C}
Clé Supprimée : HKLM\SOFTWARE\GlobalUpdate
Clé Supprimée : HKLM\SOFTWARE\MyBestOffersToday
Clé Supprimée : HKLM\SOFTWARE\omiga-plusSoftware
Clé Supprimée : HKLM\SOFTWARE\SupDp
Clé Supprimée : HKLM\SOFTWARE\SupTab
Clé Supprimée : HKLM\SOFTWARE\supWindowsMangerProtect
Clé Supprimée : HKLM\SOFTWARE\supWPM
Clé Supprimée : HKLM\SOFTWARE\Tutorials
Clé Supprimée : HKLM\SOFTWARE\Upt
Clé Supprimée : HKLM\SOFTWARE\WinUpd
Clé Supprimée : HKLM\SOFTWARE\RST
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TVWizard
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\TVWizard
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GoogleUpdate.exe

***** [ Navigateurs ] *****

-\\ Internet Explorer v8.0.6001.19569

Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]

-\\ Mozilla Firefox v33.0.3 (x86 fr)

[3tabwg4b.default\prefs.js] - Ligne Supprimée : user_pref("browser.newtab.url", "hxxp://isearch.omiga-plus.com/newtab/?type=nt&ts=1415388520&from=tugs&uid=3219913727_67191_4CFE427D");
[3tabwg4b.default\prefs.js] - Ligne Supprimée : user_pref("browser.search.defaultenginename", "omiga-plus");
[3tabwg4b.default\prefs.js] - Ligne Supprimée : user_pref("browser.search.selectedEngine", "omiga-plus");
[3tabwg4b.default\prefs.js] - Ligne Supprimée : user_pref("browser.startup.homepage", "hxxp://isearch.omiga-plus.com/?type=hp&ts=1415388520&from=tugs&uid=3219913727_67191_4CFE427D");

*************************

AdwCleaner[R0].txt - [5924 octets] - [10/05/2014 11:28:08]
AdwCleaner[R1].txt - [11157 octets] - [10/11/2014 10:54:54]
AdwCleaner[S0].txt - [5673 octets] - [10/05/2014 11:29:47]
AdwCleaner[S1].txt - [10651 octets] - [10/11/2014 10:57:28]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [10712 octets] ##########
0
Réponse 3 / 20
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site pjjoint et donne les deux liens pjjoint de ces rapports afin qu'ils puissent être consultés.

0
Réponse 4 / 20
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Et voilà :
https://pjjoint.malekal.com/files.php?id=20141110_h11q59d9p13
https://pjjoint.malekal.com/files.php?id=20141110_f13m915f15s15

Pour info, je suis sûr de mettre fait véroler le 7/11
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 20
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
y a du boulot :)

Note cette procédure : https://forum.malekal.com/viewtopic.php?t=47404&start=


Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :

R1 b786bdb3c67d; C:\Windows\System32\drivers\b786bdb3c67d.sys [47488 2014-05-24] (NetFilterSDK.com) [File not signed]
R2 NukwvEYpT; C:\ProgramData\HFXLgZVU\NukwvEYpT.exe [2726256 2014-11-07] (Small Island Development)
S2 rcores; C:\Windows\rcore.exe [X]
2014-11-07 20:31 - 2014-11-10 12:15 - 00001338 _____ () C:\Windows\Tasks\YQKAYN.job
2014-11-07 20:31 - 2014-11-07 20:31 - 01977264 _____ (HQ ProV07.11) C:\Users\Quito\AppData\Roaming\YQKAYN.exe
2014-11-07 20:31 - 2014-11-07 20:31 - 00000000 ____D () C:\Program Files\336a9644-5c3e-43fe-911d-03668ffbca3d
2014-11-07 20:30 - 2014-11-07 20:37 - 00000000 ____D () C:\ProgramData\HFXLgZVU
2014-11-07 20:29 - 2014-11-07 20:29 - 00000000 ____D () C:\Program Files\f552dd4c52e3
2014-11-07 20:29 - 2014-11-07 20:29 - 00000000 ____D () C:\Program Files\0ca45c95134d
2014-11-07 20:28 - 2014-11-07 20:29 - 00000000 ____D () C:\Windows\system32\ClipboardMinimalWord
2014-11-10 11:02 - 2014-11-10 18:15 - 00000000 ____D () C:\Users\Fred\AppData\Local\TVWizard
2014-11-10 10:57 - 2014-11-10 10:57 - 00000000 ____D () C:\Users\Fred\AppData\Local\CheckCode
S2 rcores; C:\Windows\rcore.exe [X]

Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

si tu as des erreurs proxys, suis la procédure donnée au départ.

puis :

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.

Coche les lignes PUM.DNS : 31.168.224.100,5.135.12.56


[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 6 / 20
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Voici un début :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 09-11-2014 01
Ran by Fred at 2014-11-10 19:00:30 Run:1
Running from C:\Users\Fred\Desktop
Loaded Profile: Fred (Available profiles: Quito & UpdatusUser & Fred)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
S2 rcores; C:\Windows\rcore.exe [X]

2014-11-07 20:31 - 2014-11-10 12:15 - 00001338 _____ () C:\Windows\Tasks\YQKAYN.job

2014-11-07 20:31 - 2014-11-07 20:31 - 01977264 _____ (HQ ProV07.11) C:\Users\Quito\AppData\Roaming\YQKAYN.exe

2014-11-07 20:31 - 2014-11-07 20:31 - 00000000 ____D () C:\Program Files\336a9644-5c3e-43fe-911d-03668ffbca3d

2014-11-07 20:30 - 2014-11-07 20:37 - 00000000 ____D () C:\ProgramData\HFXLgZVU

2014-11-07 20:29 - 2014-11-07 20:29 - 00000000 ____D () C:\Program Files\f552dd4c52e3

2014-11-07 20:29 - 2014-11-07 20:29 - 00000000 ____D () C:\Program Files\0ca45c95134d

2014-11-07 20:28 - 2014-11-07 20:29 - 00000000 ____D () C:\Windows\system32\ClipboardMinimalWord

2014-11-10 11:02 - 2014-11-10 18:15 - 00000000 ____D () C:\Users\Fred\AppData\Local\TVWizard

2014-11-10 10:57 - 2014-11-10 10:57 - 00000000 ____D () C:\Users\Fred\AppData\Local\CheckCode

S2 rcores; C:\Windows\rcore.exe [X]
*****************

rcores => Service deleted successfully.
C:\Windows\Tasks\YQKAYN.job => Moved successfully.
C:\Users\Quito\AppData\Roaming\YQKAYN.exe => Moved successfully.
C:\Program Files\336a9644-5c3e-43fe-911d-03668ffbca3d => Moved successfully.

"C:\ProgramData\HFXLgZVU" directory move:

Could not move "C:\ProgramData\HFXLgZVU\info.dat" => Scheduled to move on reboot.
Could not move "C:\ProgramData\HFXLgZVU\NukwvEYpT.dat" => Scheduled to move on reboot.
C:\ProgramData\HFXLgZVU\NukwvEYpT.exe => Moved successfully.
C:\ProgramData\HFXLgZVU\NukwvEYpT.exe.config => Moved successfully.
Could not move "C:\ProgramData\HFXLgZVU\dat\AZQlAEl.dll" => Scheduled to move on reboot.
Could not move "C:\ProgramData\HFXLgZVU\dat\ZAeFwCw.exe" => Scheduled to move on reboot.
Could not move "C:\ProgramData\HFXLgZVU\dat\ZAeFwCw.exe.config" => Scheduled to move on reboot.
Could not move "C:\ProgramData\HFXLgZVU" directory. => Scheduled to move on reboot.

C:\Program Files\f552dd4c52e3 => Moved successfully.
C:\Program Files\0ca45c95134d => Moved successfully.
C:\Windows\system32\ClipboardMinimalWord => Moved successfully.
C:\Users\Fred\AppData\Local\TVWizard => Moved successfully.
C:\Users\Fred\AppData\Local\CheckCode => Moved successfully.
rcores => Service not found.

=> Result of Scheduled Files to move (Boot Mode: Normal) (Date&Time: 2014-11-10 19:03:14)<=

C:\ProgramData\HFXLgZVU\info.dat => Is moved successfully.
C:\ProgramData\HFXLgZVU\NukwvEYpT.dat => Is moved successfully.
C:\ProgramData\HFXLgZVU\dat\AZQlAEl.dll => Is moved successfully.
C:\ProgramData\HFXLgZVU\dat\ZAeFwCw.exe => Is moved successfully.
C:\ProgramData\HFXLgZVU\dat\ZAeFwCw.exe.config => Is moved successfully.
C:\ProgramData\HFXLgZVU => Is moved successfully.

==== End of Fixlog ====
0
Réponse 7 / 20
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
OK j 'ai supprimé avec roguekiller ( 2 lignes orange )

Je vois pas bien où cocher les lignes PUM.DNS...
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Ca doit être dans l'onglet Registry, sinon cherche dans quel onglet c'est.
0
Réponse 8 / 20
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
ok j ai trouvé
je dois les supprimer ou tu veux un rapport avant ?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
oui faut les supprimer, comme c'est demandé dans la procédure.
Juste le rapport de suppression.
0
Réponse 9 / 20
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
c'est fait :
RogueKiller V10.0.4.0 [Oct 29 2014] par Adlice Software
email : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site web : https://www.surlatoile.org/RogueKiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Démarré en : Mode normal
Utilisateur : Fred [Administrateur]
Mode : Suppression -- Date : 11/10/2014 19:53:12

¤¤¤ Processus : 2 ¤¤¤
[Suspicious.Path] RubySnapshotWYSIWYG.exe -- C:\Users\Quito\AppData\Local\FAT32IconThumbnail\RubySnapshotWYSIWYG.exe[-] -> Tué(e) [TermProc]
[Suspicious.Path] (SVC) FAT32IconThumbnail.exe -- C:\Users\Quito\AppData\Local\FAT32IconThumbnail\FAT32IconThumbnail.exe[-] -> ERROR [41c]

¤¤¤ Registre : 12 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Skytel : Skytel.exe [7] -> ERROR [0]
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\FAT32IconThumbnail.exe (C:\Users\Quito\AppData\Local\FAT32IconThumbnail\FAT32IconThumbnail.exe) -> Non sélectionné
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NukwvEYpT ("C:\ProgramData\HFXLgZVU\NukwvEYpT.exe") -> Non sélectionné
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FAT32IconThumbnail.exe (C:\Users\Quito\AppData\Local\FAT32IconThumbnail\FAT32IconThumbnail.exe) -> Non sélectionné
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NukwvEYpT ("C:\ProgramData\HFXLgZVU\NukwvEYpT.exe") -> Non sélectionné
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\FAT32IconThumbnail.exe (C:\Users\Quito\AppData\Local\FAT32IconThumbnail\FAT32IconThumbnail.exe) -> Non sélectionné
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NukwvEYpT ("C:\ProgramData\HFXLgZVU\NukwvEYpT.exe") -> Non sélectionné
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4CC50ECC-BE2E-43C6-B809-1D072BF667A3} | NameServer : 31.168.224.100,5.135.12.56 [(Unknown Country?) (XX)] -> Remplacé(e) ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4CC50ECC-BE2E-43C6-B809-1D072BF667A3} | NameServer : 31.168.224.100,5.135.12.56 [(Unknown Country?) (XX)] -> Remplacé(e) ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Tcpip\Parameters\Interfaces\{4CC50ECC-BE2E-43C6-B809-1D072BF667A3} | NameServer : 31.168.224.100,5.135.12.56 [(Unknown Country?) (XX)] -> Remplacé(e) ()
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Non sélectionné
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Non sélectionné

¤¤¤ Tâches : 1 ¤¤¤
[Suspicious.Path] \\YQKAYN -- C:\Users\Quito\AppData\Roaming\YQKAYN.exe (/infocmdline=J6LsXj4dAlilz9rb5X91DrPe8eCiMDFlrzcTAsxYCW1ARaAzoHK3ExE02noAJj3iU1DhBZvfkDNOhCFLMUXQfNQJYMHntVebuym906L3xnwpg3wY8kyZ4OKjob3DzOqmZRrCzkT4W+Fs4E/yDsRiipnRXCBrY8L0T8AadLQdvFF9bhoyCVFUfbePv+6jCYe5BVkmyR69YtRkSn9Prc+H+fMkUtN7k7Zd58KDh6rlDWv2iw10HmIs4PqEzVRGUizuIaewm77+bWWQduAb/47HR+VBDzSX/HshyNqJ6YmheWHdwH3jSRBtaxMmhkT5dEXISwurIj9K2Hs0R1b525zyH4I8IOiw9ImR8rjcFxaTfPtfWO35eRpHedx0u8oMsgTpwgA6O5jEqWcakHcYF7c3CvigIpXdvg4MJP8qBTMwO3lOac39dyYHvu46Wr/AiQWq2hUAT3W8p72SUvBMVUXL1dMii/BtqQxqhQ4RakHT61QfbMjFg+xLyjtbRNcZHT74) -> ERROR [0]

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 2 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost
[C:\Windows\System32\drivers\etc\hosts] ::1 localhost

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: ST350082 0AS SCSI Disk Device +++++
--- User ---
[MBR] 3b33fc0b9e3ecb5a216b8ccfb030a338
[BSP] 4cc67297d91f5181e7a4119484819ea4 : HP MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 25173855 | Size: 340544 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 722610176 | Size: 124102 MB
User = LL1 ... OK
Error reading LL2 MBR! ([1] Fonction incorrecte. )

+++++ PhysicalDrive1: Generic- Compact Flash USB Device +++++
Error reading User MBR! ([15] Le périphérique n'est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n'est pas prise en charge. )

+++++ PhysicalDrive2: Generic- SM/xD-Picture USB Device +++++
Error reading User MBR! ([15] Le périphérique n'est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n'est pas prise en charge. )

+++++ PhysicalDrive3: Generic- SD/MMC USB Device +++++
Error reading User MBR! ([15] Le périphérique n'est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n'est pas prise en charge. )

+++++ PhysicalDrive4: Generic- MS/MS-Pro USB Device +++++
Error reading User MBR! ([15] Le périphérique n'est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n'est pas prise en charge. )


============================================
RKreport_SCN_11102014_192637.log - RKreport_DEL_11102014_192708.log
0
Réponse 10 / 20
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ok refais un scan FRST et donne le rapport via pjjoint.
0
Réponse 11 / 20
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
https://pjjoint.malekal.com/files.php?id=FRST_20141110_g14713d10u8
https://pjjoint.malekal.com/files.php?id=20141110_v10u7n14f7b15
0
Réponse 12 / 20
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Tu as Adware.Pirrit - il est un peu pénible à virer.


Déjà note la procédure pour supprimer les proxys sur Internet Explorer : https://forum.malekal.com/viewtopic.php?t=47404&start=

Affiche les fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

Ensuite télécharge et installe Unlocker.
Lis bien ce qui est écrit sur la page suivante car des programmes parasites te seront proposés, suis les explications ne pas les installer.

https://forum.malekal.com/viewtopic.php?t=49478&start=

Ensuite, lance Unlocker et navigue dans tes dossiers pour supprimer les dossiers suivants
C:\Users\Quito\AppData\Local\FAT32IconThumbnail
C:\Windows\system32\ClipboardMinimalWord
C:\Program Files\IRGurusInteractive
C:\ProgramData\HFXLgZVU

Tu mets effacer à chaque fois.
Surtout aucun redémarrage entre chaque suppression.

Quand tu as fait effacer sur tous les dossiers, redémarre l'ordinateur s'il te dit qu'il faut redémarrer pour que la supression se fasse.

Au redémarrage, si le proxy est active, désactive le.

Refais un scan OTL et donne le rapport.


0
Réponse 13 / 20
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Re

J ai suivi ton tuto, installé et lancé unlocker
Sur les 4 adresses je n'en trouve qu'une ( irgurus, qui est un jeu d'équitation de ma fille) les 3 autres ??
Le problème est que juste après avoir effacé cette ligne ( irgurus) je n'ai plus de connexion internet ( je suis en wifi) et plus de réseau détecté ?
Donc là j utilise mon netbook...qui lui fonctionne très bien en wifi
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Tu peux faire une restauration du système : https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/ ?
0
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Le diagnostic windows dit que pas de carte réseau installée mais dans le gestionnaire de périphérique la carte réseau fonctionne correctement !!
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Ca donne quoi une restauration du système ?
0
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Bon alors après un très long moment sur page violette PACKARD BELL avec F2 BIOS F3 OPEN DRIVE DISC et F8 display boot, je me connecte sur ma session et donc j'ai toujours ruby machin qui s'ouvre, mais pas plus de connexion, windows ne detecte aucun réseau
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
et dans les gestionnaire de périphériques, si tu fais un clic droit puis désinstaller
et que tu redémarres l'ordinateur ?
0
Réponse 14 / 20
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Re
j'ai donc restauré avant le 7/11 date à laquelle ma fille s'est fait vérolé en téléchargeant je sais pas quoi
j'ai désinstallé la carte réseau puis redémarré, et ça fonctionne, j'ai à nouveau une connexion en wifi
rubytruc c'est rubySnapshotWYSIWYG.exe, pas de message d'erreur de windows ce matin...
Donc, est ce que je relance toute la procédure adwcleaner et tout le reste où bien j'en reste là ?
0
Réponse 15 / 20
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
refais un scan FRST voir si tu as encore des trucs : https://forums.commentcamarche.net/forum/affich-31034641-edealspop-et-autres-adwares#3

Les pubs se sont arretées?
0
Réponse 16 / 20
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
https://pjjoint.malekal.com/files.php?id=FRST_20141112_y9l15o8i5q10
https://pjjoint.malekal.com/files.php?id=20141112_i15k10g10l7d10

aucune pub ou navigateur indésirable (omiga-plus s'était imposé à chaque ouverture du navigateur) pour le moment
0
Réponse 17 / 20
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
yep plus rien d'actif.

Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :

2014-11-07 20:30 - 2014-11-11 12:53 - 00000000 ____D () C:\ProgramData\HFXLgZVU
2014-11-07 20:29 - 2014-11-11 12:53 - 00000000 ____D () C:\ProgramData\IePluginServices
2014-11-07 20:29 - 2014-11-11 12:14 - 00000000 ____D () C:\Program Files\SupTab
2014-11-07 20:29 - 2014-11-11 12:14 - 00000000 ____D () C:\Program Files\0ca45c95134d
CHR HKLM\...\Chrome\Extension: [dhjcejipifajofgbcbclmfohjnbflgjd] - C:\Users\Quito\AppData\Local\Temp\ccex.crx []


Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Si FRST ne l'a pas fait, redémarre l'ordinateur.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 18 / 20
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 10-11-2014
Ran by Fred at 2014-11-12 12:47:39 Run:2
Running from C:\Users\Fred\Desktop
Loaded Profile: Fred (Available profiles: Quito & UpdatusUser & Fred)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
2014-11-07 20:30 - 2014-11-11 12:53 - 00000000 ____D () C:\ProgramData\HFXLgZVU
2014-11-07 20:29 - 2014-11-11 12:53 - 00000000 ____D () C:\ProgramData\IePluginServices
2014-11-07 20:29 - 2014-11-11 12:14 - 00000000 ____D () C:\Program Files\SupTab
2014-11-07 20:29 - 2014-11-11 12:14 - 00000000 ____D () C:\Program Files\0ca45c95134d
CHR HKLM\...\Chrome\Extension: [dhjcejipifajofgbcbclmfohjnbflgjd] - C:\Users\Quito\AppData\Local\Temp\ccex.crx []
*****************

C:\ProgramData\HFXLgZVU => Moved successfully.
C:\ProgramData\IePluginServices => Moved successfully.
C:\Program Files\SupTab => Moved successfully.
C:\Program Files\0ca45c95134d => Moved successfully.
"HKLM\SOFTWARE\Google\Chrome\Extensions\dhjcejipifajofgbcbclmfohjnbflgjd" => Key deleted successfully.
"C:\Users\Quito\AppData\Local\Temp\ccex.crx" => File/Directory not found.

==== End of Fixlog ====




c'est fait mais bug : ma page internet s'est fermée et message:
Plugin Container for Firefox a cesser de fonctionner
Cela dit firefox fonctionne
0
Réponse 19 / 20
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Pas grave, je pense que c'est bon,

Si tu veux contrôler ce que ta fille, installe, regarde là : https://forum.malekal.com/viewtopic.php?t=48431&start=

Quelques conseils contre ces programmes parasites :

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


0
Réponse 20 / 20
doodoo53 Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Ok,

merci pour le temps passé et pour les conseils
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Pas de soucis, bon courage :)
0

Discussions similaires

Supprimer Adwares et publicités indésirables sur Mac OS
baissaoui -
baissaoui -

0 réponse
Supprimer Systweak et Adware Bprotect
Lotus -
Lotus -

15 réponses
virus : PUP.Optional et Adware/InstallCore.Gen
virusgen -
virusgen -

14 réponses
infecté par win32 adware-gen et findopolis
karimusse54 -
Malekal_morte- -

9 réponses
virus tr/dropper.gen et adware/crossrider.gen7 gros soucis
taxinico13 -
Malekal_morte- -

12 réponses