Trovi.com + nettoyage...

Résolu
gnognotte31 Messages postés 51 Statut Membre -  
gnognotte31 Messages postés 51 Statut Membre -
Bonjour,

Depuis peu, je suis visiblement infecté par trovi.com : par défaut, je me retrouve sur firefox sur la page "www.trovi.com/?gd=&ctid=CT3330189&octid=EB_ORIGINAL_CTID&ISID=M23EEA55F-73C7-46FE-95AB-31A6B7AE83F0&SearchSource=69&CUI=&SSPV=&Lay=1&UM=8&UP=SP99CB4F09-0C79-4052-849D-ABBA1F1E5570"

Mais pas que ça : depuis hier, un message d'erreur au démarrage (loadlibrary "c:\documents etc.... \Axbnworks\loader_u.dll" a échoué - le module spécifié est introuvable), plus un process (au moins...) qui ne me parle pas : "pdvddxsrv.exe".

J'ai fait un coup de malwarebite, mais ça n'a rien changé.

Quelqu'un pourrait-il m'aider ?

Merci d'avance, et à bientôt

Gnotte

14 réponses

  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, fais se qui suit , merci

    1) passes adwcleaner

    Désactive ton antivirus le temps du téléchargement et de l'utilisation.

    - Télécharge AdwCleaner (d'Xplode) sur ton bureau.

    - Lance le, clique sur Scanner puis patiente le temps du scan.

    - Une fois le scan fini, clique sur Nettoyer. Le PC sera redémarré automatiquement et le rapport apparaître à la fin du redémarrage : poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S??].txt

    Un tutoriel sur AdwCleaner est disponible ici : http://www.forum-entraide-informatique.com/support/adwcleaner-tutoriel-t875.html

    Canned speech issu de FEI : https://www.forum-entraide-informatique.com/

    2) passes adsfix

    Désactive ton antivirus le temps du téléchargement et de l'utilisation.

    Télécharge AdsFix sur ton bureau.

    https://www.sosvirus.net/telecharger/adsfix/

    Note : Enregistrer votre travail avant de continuer !

    Lance AdsFix

    Pour un pc assez infecté , il peut mettre plusieurs secondes à se charger

    Inscrit ton pays

    Vas sur options et cliques sur débloquer la suppression

    Clique sur Nettoyer

    Note : Patiente le temps du scan

    Laisse travailler l'outil même s'il te parait bloqué, des fois plus de 2 heures pour faire le nettoyage

    Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"

    Héberge le rapport C:\AdsFix_date_heure.txt sur https://www.cjoint.com/ puis donne le lien obtenu.

    3) donnes des nouvelles de ton pc et postes un zhpdiag en cliquant sur COMPLET

    On va faire un diagnostic de ton PC pour plus de renseignements ==>

    - Télécharge ZHPDiag sur ton bureau : https://nicolascoolman.eu
    - Laisse-toi guider lors de l'installation.
    - Ouvre ZHPDiag (icône parchemin) puis clique sur COMPLET.
    - puis patiente le temps du scan.
    - Héberge le rapport ZHPDiag.txt présent sur ton bureau sur le site ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse :
    https://www.cjoint.com/

    0
  2. gnognotte31 Messages postés 51 Statut Membre
     
    Bonjour et merci.

    Plus bas, le rapport de adwcleaner.

    Pour adsfix, j'ai peut-être un souci : antivirus désactivé, je télécharge adsfix.exe sur le bureau. Quand je l'exécute, il me fait la mise à jour, puis, j'ai le process adsfix.exe à 50%, sans qu'aucune fenêtre n'apparaisse. C'est normal ?

    Merci !

    Gnotte

    # AdwCleaner v4.110 - Rapport créé le 16/02/2015 à 23:01:38
    # Mis à jour le 05/02/2015 par Xplode
    # Base de données : 2015-02-14.2 [Serveur]
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (x86)
    # Nom d'utilisateur : Tonio - NOUS2
    # Exécuté depuis : F:\Utilitaires\Desinfectant\adwcleaner_4.110.exe
    # Option : Nettoyer
            • [ Services ] *****
            • [ Fichiers / Dossiers ] *****


    Dossier Supprimé : C:\Documents and Settings\Kevin\Application Data\Search Settings
    Dossier Supprimé : C:\Documents and Settings\Tonio\Local Settings\Application Data\PackageAware
            • [ Tâches planifiées ] *****
            • [ Raccourcis ] *****


    Raccourci Désinfecté : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\Outils système\Tâches planifiées.LNK
            • [ Registre ] *****


    Clé Supprimée : HKLM\SOFTWARE\dt soft\daemon tools toolbar
    Clé Supprimée : HKLM\SOFTWARE\Uniblue
    Clé Supprimée : HKLM\SOFTWARE\ORBTR
    Clé Supprimée : HKLM\SOFTWARE\SPPDCOM
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A0B139A7-E8D5-49E8-A7BF-12421E652208}
            • [ Navigateurs ] *****


    -\\ Internet Explorer v8.0.6001.18702

    -\\ Mozilla Firefox v35.0.1 (x86 en-US)

    [2pz78hdp.default-1419190104750\prefs.js] - Ligne Supprimée : user_pref("browser.newtab.url", "hxxp://www.trovi.com/?gd=&ctid=CT3330189&octid=EB_ORIGINAL_CTID&ISID=M23EEA55F-73C7-46FE-95AB-31A6B7AE83F0&SearchSource=69&CUI=&SSPV=&Lay=1&UM=8&UP=SP99CB4F09-0C79-405[...]
    [2pz78hdp.default-1419190104750\prefs.js] - Ligne Supprimée : user_pref("browser.search.selectedEngine", "Trovi");

    AdwCleaner[R0].txt - [1633 octets] - [16/02/2015 22:58:44]
    AdwCleaner[S0].txt - [1726 octets] - [16/02/2015 23:01:38]

    ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1786 octets] ##########
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, je vois cela dans le début du adwcleaner
       Exécuté depuis : F:\Utilitaires\Desinfectant\adwcleaner_4.110.exe 


      il est demandé de mettre sur le bureau car les outils sont programmer pour être lancé depuis le bureau pas dans un autre dossier, donc si tu as mis adsfix au même endroit tu fais un clique droit dessus puis couper et tu vas sur ton bureau et tu fais cliques droit et coller !! et tu le relances, merci ou tu le retélécharge en le mettant bien sur le bureau !!
      0
      1. gnognotte31 Messages postés 51 Statut Membre > jacques.gache Messages postés 34829 Statut Contributeur sécurité
         
        bonjour

        merci pour votre retour. OK, j'ai patachonné sur adwcleaner, en effet, et je le relance de ce pas depuis le bureau. :-)

        Pour adsfix, en revanche, je l'avais bien mis sur le bureau. Je le relancerai après adwcleaner, je vous tiendrai au courant des résultats.

        Merci encore

        Gnotte
        0
    2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      ok ! si problème avec adsfix essais de le passer en mode sans échec !!
      0
      1. gnognotte31 Messages postés 51 Statut Membre > jacques.gache Messages postés 34829 Statut Contributeur sécurité
         
        Même en mode sans échec, j'ai le souci avec adsfix : il se lance, mais ensuite, le process tourne en prenant 50% des ressources, mais aucune fenêtre ne s'ouvre...

        Plus bas, le rapport adwcleaner.

        Dois-je lancer le zhpdiag malgré tout ?

        # AdwCleaner v4.110 - Rapport créé le 17/02/2015 à 20:49:33
        # Mis à jour le 05/02/2015 par Xplode
        # Base de données : 2015-02-14.2 [Serveur]
        # Système d'exploitation : Microsoft Windows XP Service Pack 3 (x86)
        # Nom d'utilisateur : Tonio - NOUS2
        # Exécuté depuis : C:\Documents and Settings\Tonio\Bureau\adwcleaner_4.110.exe
        # Option : Nettoyer
                • [ Services ] *****
                • [ Fichiers / Dossiers ] *****
                • [ Tâches planifiées ] *****
                • [ Raccourcis ] *****
                • [ Registre ] *****
                • [ Navigateurs ] *****


        -\\ Internet Explorer v8.0.6001.18702


        -\\ Mozilla Firefox v35.0.1 (x86 en-US)


        AdwCleaner[R0].txt - [1633 octets] - [16/02/2015 22:58:44]
        AdwCleaner[R1].txt - [929 octets] - [17/02/2015 20:41:09]
        AdwCleaner[S0].txt - [1867 octets] - [16/02/2015 23:01:38]
        AdwCleaner[S1].txt - [853 octets] - [17/02/2015 20:49:33]

        ########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [912 octets] ##########
        0
  3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bon postes le zhpdiag on verra les restes !!
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, tu fais zhpfix comme expliqué
    tu postes le rapports et tu nous dira comment va le pc et ton problème

    tu prends le temps de lire la procédure avant de lancer , merci

    . Copie les lignes suivantes en GRAS


    Script ZHPFix
    SysRestore
    ShortcutFix
    ProxyFix
    FirewallRAZ
    EmptyCLSID
    EmptyTemp
    EmptyFlash
    [MD5.7DCE7A74764EB7C67D21A32BC579453D] - (.Oracle Corporation - Java Update Checker.) -- C:\Program Files\Fichiers communs\Java\Java Update\jucheck.exe [507264] [PID.4648]
    O42 - Logiciel: FileHippo.com Update Checker - (...) [HKLM] -- filehippo.com
    O43 - CFD: 24/06/2014 - 07:27:00 - [] ----D C:\Documents and Settings\All Users\Application Data\McAfee
    O43 - CFD: 16/02/2009 - 23:20:59 - [] ----D C:\Documents and Settings\All Users\Application Data\Norton
    O43 - CFD: 19/12/2012 - 22:54:12 - [0] ----D C:\Documents and Settings\All Users\Application Data\NortonInstaller
    O43 - CFD: 12/08/2011 - 23:44:41 - [] ----D C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    O43 - CFD: 12/08/2011 - 23:51:51 - [] ----D C:\Program Files\Spybot - Search & Destroy
    O43 - CFD: 10/05/2014 - 21:54:49 - [] ----D C:\Program Files\Trend Micro
    O47 - AAKE:Key Export SP - "C:\Documents and Settings\Tonio\Local Settings\Temp\utt3A1.tmp.exe" [Enabled] .(...) -- C:\Documents and Settings\Tonio\Local Settings\Temp\utt3A1.tmp.exe (.not file.)
    O58 - SDL:23/07/2007 - 15:43:42 ---A- . (.Roxio - Device Driver Manager.) -- C:\WINDOWS\system32\Drivers\DRVNDDM.SYS [52000]
    O64 - Services: CurCS - 23/07/2007 - C:\WINDOWS\system32\Drivers\DRVNDDM.sys (DRVNDDM) .(.Roxio - Device Driver Manager.) - LEGACY_DRVNDDM
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\filehippo.com]
    [HKLM\Software\McAfee.com]
    [HKLM\Software\TrendMicro]
    C:\Program Files\Fichiers communs\Java\Java Update\jucheck.exe



    - Cliquer sur le raccourci ZHPFix sur le Bureau.

    - Cliquer sur le bouton "IMPORTER" pour coller le contenu du Presse-Papier de Windows.

    - Vérifier que toutes les lignes du script sont présentes,

    - Cliquer sur le bouton "GO" pour démarrer le nettoyage des lignes du script.

    - Une confirmation de nettoyage des lignes est demandée à l'utilisateur,

    - Une confirmation du nettoyage de la corbeille est demandée à l'utilisateur,

    . Copie/colle la totalité du rapport dans ta prochaine réponse si trop long postes par le biais de cjoint , merci

    tu le trouveras sur ton bureau et dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

    tuto officiel zhpdiag & zhpfix
    0
  6. gnognotte31 Messages postés 51 Statut Membre
     
    C'est fait, voilà le résultat

    Rapport de ZHPFix 2015.2.17.3 par Nicolas Coolman, Update du 17/02/2015
    Fichier d'export Registre :
    Run by Tonio at 17/02/2015 21:51:50
    High Elevated Privileges : OK
    Windows XP Professional Service Pack 3 (Build 2600)

    Corbeille vidée (00mn 06s)
    Réparation des raccourcis navigateur

    ========== Logiciels ==========
    ABSENT Uninstall Process: c:\program files\filehippo.com\uninstall.exe

    ========== Processus mémoire ==========
    SUPPRIMÉ: Memory Process: C:\Program Files\Fichiers communs\Java\Java Update\jucheck.exe

    ========== Etat des services ==========
    DRVNDDM Arrêté

    ========== Clés du Registre ==========
    SUPPRIMÉ Logiciel Key: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\filehippo.com]
    SUPPRIMÉ: Service LEGACY_DRVNDDM
    SUPPRIMÉ: HKLM\Software\McAfee.com
    SUPPRIMÉ: HKLM\Software\TrendMicro

    ========== Valeurs du Registre ==========
    ProxyFix : Configuration proxy supprimée avec succès
    SUPPRIMÉ ProxyServer Value
    SUPPRIMÉ ProxyEnable Value
    SUPPRIMÉ EnableHttp1_1 Value
    SUPPRIMÉ ProxyHttp1.1 Value
    SUPPRIMÉ ProxyOverride Value
    SUPPRIMÉ: FirewallRaz (SP) : C:\Program Files\eMule\emule.exe
    SUPPRIMÉ: FirewallRaz (SP) : C:\Program Files\DAP\DAP.exe
    SUPPRIMÉ: FirewallRaz (SP) : C:\Documents and Settings\Tonio\Local Settings\Temp\utt3A1.tmp.exe
    Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

    ========== Dossiers ==========
    Aucun dossiers CLSID Local utilisateur vide
    SUPPRIMÉS Temporaires Windows (31)
    SUPPRIMÉS Flash Cookies (129)
    SUPPRIMÉ: C:\Documents and Settings\All Users\Application Data\McAfee
    SUPPRIMÉ: C:\Documents and Settings\All Users\Application Data\Norton
    SUPPRIMÉ: C:\Documents and Settings\All Users\Application Data\NortonInstaller
    SUPPRIMÉ: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    SUPPRIMÉ: C:\Program Files\Spybot - Search & Destroy
    SUPPRIMÉ: C:\Program Files\Trend Micro

    ========== Fichiers ==========
    SUPPRIMÉS Temporaires Windows (283) (204 709 503 octets)
    SUPPRIMÉS Flash Cookies (39) (4 354 octets)
    SUPPRIMÉ: c:\windows\system32\drivers\drvnddm.sys
    SUPPRIMÉ:* c:\program files\fichiers communs\java\java update\jucheck.exe

    ========== Restauration Système ==========
    Point de restauration du système créé avec succès

    ========== Récapitulatif ==========
    1 : Processus mémoire
    4 : Clés du Registre
    10 : Valeurs du Registre
    9 : Dossiers
    4 : Fichiers
    1 : Logiciels
    1 : Etat des services
    1 : Restauration Système

    End of clean in 00mn 22s

    ========== Chemin de fichier rapport ==========
    C:\Documents and Settings\Tonio\Application Data\ZHP\ZHPFix[R1].txt - 17/02/2015 21:51:57 [2570]
    0
  7. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, comment va le pc et ton problème??

    postes un nouveau zhpdiag en COMPLET pour contrôle et si plus de problèmes on finalise le nettoyage !
    0
  8. gnognotte31 Messages postés 51 Statut Membre
     
    Bonjour

    Plus de trovi.com, bon début.

    Reste le message d'erreur au démarrage (loadlibrary "c:\documents etc.... \Axbnworks\loader_u.dll" a échoué - le module spécifié est introuvable).

    Je relance zhpdiag complet, je poste le résultat dans quelques minutes

    Merci !

    Gnotte
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      pour ton message au démarrage passes ccleaner dans les 2 modes nettoyeur et registre jusqu'il ne trouve plus rien
      0
  9. gnognotte31 Messages postés 51 Statut Membre
     
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      fait le nettoyage avec ccleaner et tu me dira si c'est bon
      0
  10. gnognotte31 Messages postés 51 Statut Membre
     
    Nettoyage fait avec ccleaner (mise à jour de la version faite ce matin), et j'ai toujours le message au démarrage... :-(
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      tu refais un zhpfix avec les lignes donnés et puis après un redémarrage tu nous diras

      Script ZHPFix
      O4 - HKCU\..\Run: [Axbnworks] :\Documents and Settings\Tonio\Local Settings\Application Data\Axbnworks\loader_u.dll (.not file.)
      O4 - HKUS\S-1-5-21-1360727794-854726018-4241226470-1005\..\Run: [Axbnworks] :\Documents and Settings\Tonio\Local Settings\Application Data\Axbnworks\loader_u.dll (.not file.)
      O61 - LFC: 15/02/2015 - 10:34:42 ---A- . (...) -- C:\Documents and Settings\Tonio\Local Settings\Application Data\Umgxmedia\loader_u.dll [11776]
      0
  11. gnognotte31 Messages postés 51 Statut Membre
     
    C'est bon, je n'ai plus le message au démarrage, merci !
    0
  12. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, ok tu fais se qui suit et tu pourras mettre en résolu au niveau de ton premier message !!

    1)passes delfix

    télécharge delfix ( merci xplode)

    compatible avec Windows XP, Vista, 7, 8 versions 32 & 64 bits.

    lances delfix :

    coches Suppression des outils de désinfection (cocher par défaut)

    et coches Purger la restauration système

    ne pas oublier de cliquer sur "executer"

    une fois fait tu cliques droit sur un espace vide de ton bureau

    et puis nouveau document texte

    tu l'ouvre et tu fais clique droit dedans et copier

    normalement tu devrait avoir le rapport de delfix tu me le postes

    par le biais d'un hébergeur !!

    http://pjjoint.malekal.com/

    PS: sinon il est à la racine de ton DD système

    2) vois pour mettre à jour java

    désinstalles tous se qui est java de sur ton pc, et puis fais la détection en ligne et installes la version proposé https://www.java.com/fr/download/uninstalltool.jsp

    ATTENTION décoches à l'installation de java la proposition de la toolbar !!! ou autre si proposé
    0
  13. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    ok et pense à mettre en résolu !!

    0
    1. gnognotte31 Messages postés 51 Statut Membre
       
      C'est fait. Merci beaucoup !
      0