infecté par BuyNsave Fermé

Question

Bonjour , il y a BuyNsave qui se met dans mes extensions google et pas poyen de le supprimer , que faire ,merci

Malekal_morte- · Answer

Salut,

Tu as installé des adwares et programmes parasites sur ton PC.
Voici la procédure à suivre pour les supprimer :

Commence par ceci :

Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.  
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  

 
 
puis :


Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site pjjoint et donne les deux liens pjjoint de ces rapports afin qu'ils puissent être consultés.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

raffa3 · Answer

AdwCleaner v4.102 - Rapport créé le 25/11/2014 à 11:31:56
# Mis à jour le 23/11/2014 par Xplode
# Database : 2014-11-24.1 [Live]
# Système d'exploitation : Windows 8.1 Pro  (64 bits)
# Nom d'utilisateur : alessio - MASSIMO
# Exécuté depuis : C:\Users\alessio\Downloads\adwcleaner_4.102 (1).exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8}
Clé Supprimée : HKCU\Software\Tutorials
Clé Supprimée : HKCU\Software\Vittalia
Clé Supprimée : HKLM\SOFTWARE\Tutorials

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17416


-\ Google Chrome v39.0.2171.65


*************************

AdwCleaner[R0].txt - [9745 octets] - [24/11/2014 19:18:09]
AdwCleaner[R1].txt - [6695 octets] - [24/11/2014 19:50:26]
AdwCleaner[R2].txt - [8924 octets] - [24/11/2014 20:55:42]
AdwCleaner[R3].txt - [1440 octets] - [25/11/2014 11:30:11]
AdwCleaner[S0].txt - [8105 octets] - [24/11/2014 19:20:53]
AdwCleaner[S1].txt - [5459 octets] - [24/11/2014 19:52:31]
AdwCleaner[S2].txt - [2915 octets] - [24/11/2014 20:57:17]
AdwCleaner[S3].txt - [1270 octets] - [25/11/2014 11:31:56]

########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [1330 octets] ##########

raffa3 · Answer

pjjoint , ne veut pas donner le lien , il dis page web inaccessible , pourtant ma connexion est bonne ?

raffa3 · Answer

https://www.cjoint.com/?DKzmkBro8zu

Malekal_morte- · Answer

Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. 
Copie/colle dedans ce qui suit : 


BHO: Microsoft SkyDrive Pro Browser Helper -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> C:\Program Files\Microsoft Office\Office15\GROOVEEX.DLL (Microsoft Corporation)
BHO-x32: BuyNsave -> {9b389066-a435-4c89-bd68-a1c5bcf09a0c} -> C:\Program Files (x86)\BuyNsave\6ZRloF8CxFonSF.dll No File
CHR Extension: (BuyNsave) - C:\ProgramData
ajlogimegclobhpddgmiebeihlblbnl\ [2014-11-24]
2014-11-24 19:32 - 2014-11-24 19:32 - 00000000 ____D () C:\ProgramData
ajlogimegclobhpddgmiebeihlblbnl

Place toi sur le bureau. 
Dans le champs en bas, nom du fichier mets : fixlist.txt 
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau. 

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire). 
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

raffa3 · Answer

le rapport ne se met pas sur le bureau , je suis sous windows 8.1

raffa3 · Answer

j'ai mis un lien avec une photo du bureau , car frst est sur le bureau , j'enregistre le bloc note qui lui se met dans one  drive ,je le récupère et l'envoie sur le bureau ,Mais le bloc note est en raccourci !! et quand je clique sur fix , j'ai no fixlist :
le lien ===http://cjoint.com/?DKzrbyic1My

raffa3 · Answer

https://www.cjoint.com/?DKzrbyic1My

raffa3 · Answer

oui mais il ne veut pas se mettre sur le bureau ? sauf en racourci

raffa3 · Answer

comment faire , il n y a pas une autre manière ! ou quelqu'un peut  prendre le Control de mon pc !.mrci

raffa3 · Answer

ok fait

raffa3 · Answer

voila il est sur le bureau , je le fait glisser dans frst

raffa3 · Answer

j'ai essayé , sa marque tjrs no found , je pense que sa serait plus rapide que l on prenne ls commande du pc a distance !

raffa3 · Answer

bonjour , y aurait t il moyen de prendre le contrôle du pc distance

raffa3 · Answer

bonjour , j'ai reformaté encore une fois , en excécutant roguekillers ,il m'envoie sur une page , 
adlice software ?? pq ,merci , l'infection n'est plus dans les extentions mais a chaque coup de rogue il me trouve des trucs a supprimé !

raffa3 · Answer

ok

raffa3 · Answer

rapport de roguekillers:
RogueKiller V10.0.8.0 (x64) [Nov 20 2014] par Adlice Software
email : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site web : https://www.adlice.com/fr/roguekiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows 8.1 (6.3.9200 ) 64 bits version
Démarré en  : Mode normal
Utilisateur : alessio [Administrateur]
Mode : Scan -- Date : 11/28/2014  09:02:47

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 4 ¤¤¤
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 109.88.203.3 62.197.111.140 [(Unknown Country?) (XX)][BELGIUM (BE)]  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 109.88.203.3 62.197.111.140 [(Unknown Country?) (XX)][BELGIUM (BE)]  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E210EF0F-F372-4C19-BF41-92BBDE4DFCF4} | DhcpNameServer : 109.88.203.3 62.197.111.140 [(Unknown Country?) (XX)][BELGIUM (BE)]  -> Trouvé(e)
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{E210EF0F-F372-4C19-BF41-92BBDE4DFCF4} | DhcpNameServer : 109.88.203.3 62.197.111.140 [(Unknown Country?) (XX)][BELGIUM (BE)]  -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 2 (Driver: Chargé) ¤¤¤
[IAT:Addr] (explorer.exe @ SHELL32.dll) api-ms-win-core-libraryloader-l1-2-0.dll - LoadStringW : Unknown @ 0x2ad5fc0
[IAT:Addr] (explorer.exe @ SHELL32.dll) api-ms-win-core-delayload-l1-1-1.dll - ResolveDelayLoadedAPI : Unknown @ 0x2ad5000

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD5000LPVT-22G33T0 +++++
--- User ---
[MBR] 3288b68fcbefee2654368cb28cbdd1c8
[BSP] 9a47df7a95a848f4fecdf0b277576ae6 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 350 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 718848 | Size: 476588 MB
User = LL1 ... OK
User = LL2 ... OK


============================================
RKreport_DEL_11272014_180648.log - RKreport_DEL_11272014_181849.log - RKreport_DEL_11272014_181856.log - RKreport_DEL_11272014_204647.log
RKreport_DEL_11282014_082047.log - RKreport_SCN_11272014_180522.log - RKreport_SCN_11272014_181241.log - RKreport_SCN_11272014_204459.log
RKreport_SCN_11282014_080758.log

raffa3 · Answer

sans rien faire si je relance rogue il me trouve encore des truc !

raffa3 · Answer

je peut faire un scan avec quel progr pour le poster , et voir si enfin le pc est sain ?

Infecté par BuyNsave

19 réponses

Discussions similaires