Rockyfroggy
Fermé
Gfalk
Messages postés
5
Date d'inscription
vendredi 9 janvier 2015
Statut
Membre
Dernière intervention
22 août 2015
-
23 mai 2015 à 08:17
Utilisateur anonyme - 24 mai 2015 à 11:38
Utilisateur anonyme - 24 mai 2015 à 11:38
14 réponses
Utilisateur anonyme
23 mai 2015 à 08:21
23 mai 2015 à 08:21
Bonjour,
tu le vois ou ton truc ?
sur une page ?
quel navigateur ?
tu le vois ou ton truc ?
sur une page ?
quel navigateur ?
Gfalk
Messages postés
5
Date d'inscription
vendredi 9 janvier 2015
Statut
Membre
Dernière intervention
22 août 2015
2
23 mai 2015 à 08:41
23 mai 2015 à 08:41
Bonjour,
J'utilise Chrome et ce truc s'invite souvent sur un clic à l'intérieur d'une page de n'importe quoi, ma banque, la ffgolf, la boutique du timbre La Poste, portail Orange....etc, ça ouvre une nouvelle fenêtre en reprenant l'identité du site sur lequel j'étais....
De nombreuses personnes se plaignent d'avoir été escroquées de 1 € d'abord, puis 89 € sur leur carte bancaire
Merci
Gfalk
J'utilise Chrome et ce truc s'invite souvent sur un clic à l'intérieur d'une page de n'importe quoi, ma banque, la ffgolf, la boutique du timbre La Poste, portail Orange....etc, ça ouvre une nouvelle fenêtre en reprenant l'identité du site sur lequel j'étais....
De nombreuses personnes se plaignent d'avoir été escroquées de 1 € d'abord, puis 89 € sur leur carte bancaire
Merci
Gfalk
Utilisateur anonyme
23 mai 2015 à 08:52
23 mai 2015 à 08:52
ok,
préviens ta banque au cas ou !
ce machin est surement un plugin malveillant !
* Télécharge et enregistre ZHPDiag sur ton bureau :
https://nicolascoolman.eu
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
/!\Utilisateur de Vista, Seven et W8 :
=> L'icône est sous forme de parchemin.
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers
, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
tuto zhpdiag :
https://nicolascoolman.eu
Note : Zhpdiag est détecté à tors par certains antivirus et SmartScreen de Windows, désactive les pour passer l'outil s'il y a une détection !
préviens ta banque au cas ou !
ce machin est surement un plugin malveillant !
* Télécharge et enregistre ZHPDiag sur ton bureau :
https://nicolascoolman.eu
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
- Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
/!\Utilisateur de Vista, Seven et W8 :
- Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
=> L'icône est sous forme de parchemin.
- Clique sur « complet »
- Laisse travailler l'outil, même s'il semble bloqué !
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
- Héberge le rapport ZHPDiag.txt sur :
https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers
, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
tuto zhpdiag :
https://nicolascoolman.eu
Note : Zhpdiag est détecté à tors par certains antivirus et SmartScreen de Windows, désactive les pour passer l'outil s'il y a une détection !
Ok, merci
J'ai deja passé tout ce que j'avais à portée de main, Malwarebytes, spybot, adwcleaner...etc pour le moment, je ne vois rien revenir....mais je vais faire ce scan et charger le rapport comme indiqué.
Merci encore !!
J'ai deja passé tout ce que j'avais à portée de main, Malwarebytes, spybot, adwcleaner...etc pour le moment, je ne vois rien revenir....mais je vais faire ce scan et charger le rapport comme indiqué.
Merci encore !!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
23 mai 2015 à 13:43
23 mai 2015 à 13:43
désinstalle McAfee Security Scan Plus et Spybot !
vire eMule du démarrage du pc, il se lance même quand tu ne le vois pas !
Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue.
/!\Utilisateur de Vista, Seven et W8 :
Clique sur « importer »
Tu vas voir apparaitre un message d'avertissement, clique sur Ok.
---------------------------------------------------------
Script Zhpfix
G2 - EXT: C:\Documents and Settings\Guy\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\adgncicbhbjfpijkdmbijninnhnmiblj [DocHub - View, Edit, Sign PDFs]
G2 - EXT: C:\Documents and Settings\Guy\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\amjcoehkcacocffpmhnefgoeanepjfkf [Facebook Video Downloader]
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 146.148.40.145:80
[HKCR\CLSID\{F3EE3BEE-0101-466D-8DC8-F94517A042F4}] (NMBAppPluginMediaBrowserVideo Class)
[HKLM\Software\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}]
[HKLM\Software\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}]
[HKLM\Software\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}]
[HKLM\Software\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]
[HKLM\Software\Classes\AppID\secman.DLL]
Proxyfix
EmptyPrefetch
ShortcutFix
Emptytemp
EmptyClsid
----------------------------------------------------------
- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Héberge le rapport ZHPFIX.txt sur
https://www.cjoint.com/
puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Tuto en bas de cette page :
https://nicolascoolman.eu
vire eMule du démarrage du pc, il se lance même quand tu ne le vois pas !
- /!\ Avertissement /!\,
- ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !
/!\Utilisateur de Vista, Seven et W8 :
- Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »
Clique sur « importer »
Tu vas voir apparaitre un message d'avertissement, clique sur Ok.
- * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix :
---------------------------------------------------------
Script Zhpfix
G2 - EXT: C:\Documents and Settings\Guy\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\adgncicbhbjfpijkdmbijninnhnmiblj [DocHub - View, Edit, Sign PDFs]
G2 - EXT: C:\Documents and Settings\Guy\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\amjcoehkcacocffpmhnefgoeanepjfkf [Facebook Video Downloader]
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 146.148.40.145:80
[HKCR\CLSID\{F3EE3BEE-0101-466D-8DC8-F94517A042F4}] (NMBAppPluginMediaBrowserVideo Class)
[HKLM\Software\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}]
[HKLM\Software\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}]
[HKLM\Software\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}]
[HKLM\Software\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]
[HKLM\Software\Classes\AppID\secman.DLL]
Proxyfix
EmptyPrefetch
ShortcutFix
Emptytemp
EmptyClsid
----------------------------------------------------------
- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Héberge le rapport ZHPFIX.txt sur
https://www.cjoint.com/
puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Tuto en bas de cette page :
https://nicolascoolman.eu
Merci,
C'est fait, voila le compte rendu :
http://cjoint.com/?0ExoFTgjO7f
Gfalk
ps : pas trouve emule ni dans "mes programmes", groupe démarrage
ni par msconfig...programmes au boot
çà doit être les restes d'une vieille installation
C'est fait, voila le compte rendu :
http://cjoint.com/?0ExoFTgjO7f
Gfalk
ps : pas trouve emule ni dans "mes programmes", groupe démarrage
ni par msconfig...programmes au boot
çà doit être les restes d'une vieille installation
Utilisateur anonyme
23 mai 2015 à 16:38
23 mai 2015 à 16:38
ok,
redémarre le pc et remets moi un nouveau rapport complet de Zhpdiag, je le vire du démarrage!
redémarre le pc et remets moi un nouveau rapport complet de Zhpdiag, je le vire du démarrage!
Apparemment ce truc est basé en Allemagne ?? :
Détermination de l'itinéraire vers rockyfroggy.com [144.76.221.162]
avec un maximum de 30 sauts :
1 1 ms <1 ms <1 ms www.routerlogin.com [192.168.1.1]
2 * 872 ms 971 ms net1lac-net1.bsdij256.Dijon.francetelecom.net [193.253.171.252]
3 1252 ms 1290 ms 1298 ms 10.125.195.14
4 * 1553 ms 1261 ms xe-3-3-0-0.ncdij202.Dijon.francetelecom.net [193.253.91.238]
5 1330 ms 1399 ms 1465 ms ae42-0.nistr102.Strasbourg.francetelecom.net [193.252.160.118]
6 * 1251 ms 1284 ms 81.253.184.190
7 1456 ms 1569 ms 1687 ms ae-11.r04.parsfr01.fr.bb.gin.ntt.net [129.250.66.17]
8 1484 ms 1532 ms 1678 ms ae-8.r23.londen03.uk.bb.gin.ntt.net [129.250.6.206]
9 1388 ms 1455 ms 1566 ms ae-0.r22.londen03.uk.bb.gin.ntt.net [129.250.4.85]
10 * 1505 ms 1563 ms ae-3.r21.frnkge03.de.bb.gin.ntt.net [129.250.3.138]
11 1612 ms 1205 ms 842 ms ae-2.r03.frnkge03.de.bb.gin.ntt.net [129.250.6.217]
12 1282 ms 1363 ms 1412 ms hetzner-0.r03.frnkge03.de.ce.gin.ntt.net [213.198.72.230]
13 1505 ms 1675 ms 1667 ms core4.hetzner.de [213.239.245.2]
14 1397 ms 1314 ms 1457 ms core22.hetzner.de [213.239.245.17]
15 1117 ms 1199 ms 1075 ms juniper2.rz20.hetzner.de [213.239.245.158]
16 1306 ms 1602 ms 1405 ms hos-tr3.ex3k9.rz20.hetzner.de [213.239.248.202]
17 * 1716 ms * hera.purple123.com [144.76.221.162]
18 1447 ms 1519 ms 1556 ms hera.purple123.com [144.76.221.162]
Itinéraire déterminé.
et les retraits CB se font en Angleterre !!!!
ONLINE PAYMENT GB LONDON
Heureusement, j'ai E-carte bleue et un banquier réactif
Je rêve de pouvoir les em....er à mon tour
Détermination de l'itinéraire vers rockyfroggy.com [144.76.221.162]
avec un maximum de 30 sauts :
1 1 ms <1 ms <1 ms www.routerlogin.com [192.168.1.1]
2 * 872 ms 971 ms net1lac-net1.bsdij256.Dijon.francetelecom.net [193.253.171.252]
3 1252 ms 1290 ms 1298 ms 10.125.195.14
4 * 1553 ms 1261 ms xe-3-3-0-0.ncdij202.Dijon.francetelecom.net [193.253.91.238]
5 1330 ms 1399 ms 1465 ms ae42-0.nistr102.Strasbourg.francetelecom.net [193.252.160.118]
6 * 1251 ms 1284 ms 81.253.184.190
7 1456 ms 1569 ms 1687 ms ae-11.r04.parsfr01.fr.bb.gin.ntt.net [129.250.66.17]
8 1484 ms 1532 ms 1678 ms ae-8.r23.londen03.uk.bb.gin.ntt.net [129.250.6.206]
9 1388 ms 1455 ms 1566 ms ae-0.r22.londen03.uk.bb.gin.ntt.net [129.250.4.85]
10 * 1505 ms 1563 ms ae-3.r21.frnkge03.de.bb.gin.ntt.net [129.250.3.138]
11 1612 ms 1205 ms 842 ms ae-2.r03.frnkge03.de.bb.gin.ntt.net [129.250.6.217]
12 1282 ms 1363 ms 1412 ms hetzner-0.r03.frnkge03.de.ce.gin.ntt.net [213.198.72.230]
13 1505 ms 1675 ms 1667 ms core4.hetzner.de [213.239.245.2]
14 1397 ms 1314 ms 1457 ms core22.hetzner.de [213.239.245.17]
15 1117 ms 1199 ms 1075 ms juniper2.rz20.hetzner.de [213.239.245.158]
16 1306 ms 1602 ms 1405 ms hos-tr3.ex3k9.rz20.hetzner.de [213.239.248.202]
17 * 1716 ms * hera.purple123.com [144.76.221.162]
18 1447 ms 1519 ms 1556 ms hera.purple123.com [144.76.221.162]
Itinéraire déterminé.
et les retraits CB se font en Angleterre !!!!
ONLINE PAYMENT GB LONDON
Heureusement, j'ai E-carte bleue et un banquier réactif
Je rêve de pouvoir les em....er à mon tour
Utilisateur anonyme
23 mai 2015 à 16:46
23 mai 2015 à 16:46
vu le routage, il passe par plusieurs passerelle !
on va s'en débarrasser, mais il faut suivre ceci :
https://forums.commentcamarche.net/forum/affich-32010420-rockyfroggy#8
je parie qu'il s'agit d'un plugin de navigateur !
on va s'en débarrasser, mais il faut suivre ceci :
https://forums.commentcamarche.net/forum/affich-32010420-rockyfroggy#8
je parie qu'il s'agit d'un plugin de navigateur !
Utilisateur anonyme
23 mai 2015 à 18:09
23 mai 2015 à 18:09
- /!\ Avertissement /!\,
- ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !
/!\Utilisateur de Vista, Seven et W8 :
- Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »
Clique sur « importer »
Tu vas voir apparaitre un message d'avertissement, clique sur Ok.
- * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix :
---------------------------------------------------------
Script Zhpfix
[MD5.79D8AE065E95732E4060F571A8DD949D] [SPRF][05/04/2007] (.Pas de propriétaire - update MFC Application.) -- C:\Program Files\update.exe
O43 - CFD: 21/04/2015 - 15:29:20 - [] ----D C:\Program Files\Spybot - Search & Destroy 2
O43 - CFD: 23/05/2015 - 07:40:57 - [] ----D C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - GS\Program [eMule_Secure]: Assistance à distance.lnk . (.Microsoft Corporation - Assistance à distance Microsoft.) -- C:\WINDOWS\system32\rcimlby.exe
O4 - GS\Program [eMule_Secure]: Lecteur Windows Media.lnk . (.Microsoft Corporation - Windows Media Player.) -- C:\Program Files\Windows Media Player\wmplayer.exe
G2 - EXT: C:\Documents and Settings\Guy\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\adgncicbhbjfpijkdmbijninnhnmiblj [DocHub - View, Edit, Sign PDFs]
[MD5.4383ACEA417E424C5139A78A8FE9A38A] [SPRF][02/03/2007] (.Pas de propriétaire - gwflash MFC Application.) -- C:\Program Files\gwf32.exe [240448]
[MD5.D0FF633AF13C61E67F527B99AC2966ED] [SPRF][14/02/2008] (.Pas de propriétaire - gwflash MFC Application.) -- C:\Program Files\gwflash.exe [231944]
[MD5.3CE1456CE9D67C59CCF6E7D9D3C0A2A3] [SPRF][23/11/2006] (.Pas de propriétaire - BIOS_Run MFC Application.) -- C:\Program Files\BIOS_Run.exe [207680]
[MD5.3551E9E7BBF87C4C7FDAEB92A6AE73BC] [SPRF][21/08/2007] (...) -- C:\Program Files\MarkFunDrv.dll [125504]
[MD5.42A8F70C194D09611202C78AC99FF42F] [SPRF][04/04/2007] (.Pas de propriétaire - UpdateUtility MFC Application.) -- C:\Program Files\updateutility.exe [207680]
EmptyPrefetch
ShortcutFix
Emptytemp
EmptyClsid
----------------------------------------------------------
- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Héberge le rapport ZHPFIX.txt sur
https://www.cjoint.com/
puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Tuto en bas de cette page :
https://nicolascoolman.eu
Bonjour !
Voila, c'est fait, le rapport, le voici :
http://cjoint.com/?3EylEMW58vh
Je n'ai pas vu réapparaître les fenêtres de Rockyfroggy ..
Merci pour tout !
Résolu, je pense
Voila, c'est fait, le rapport, le voici :
http://cjoint.com/?3EylEMW58vh
Je n'ai pas vu réapparaître les fenêtres de Rockyfroggy ..
Merci pour tout !
Résolu, je pense
Utilisateur anonyme
24 mai 2015 à 11:38
24 mai 2015 à 11:38
bonjour,
pas si vite, puisqu'on a nettoyé à petites doses ton pc, on ira jusqu'au bout :
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
ou :
https://fr.malwarebytes.com/mwb-download/
ou :
https://fr.malwarebytes.com/mwb-download/?gclid=CPqbs6_Trb0CFcfKtAodJFoANw
ou ici :
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Si tu l'as déjà sur ton pc, il est inutile de le retélécharger !
/!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet paramètres, choisis la langue souhaitée
. Dans l'onglet « tableau de bord, vérifie bien que ta version soit à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminée
Dans l'onglet "examen", coche la case "Examen personnalisé" et sélectionne ton disque sur le quel est installé Windows, puis examiner maintenant,
Sélectionne "recherche de rootkit", puis la partition ou le disque sur le quel est installé Windows (C: par exemple)
puis sur "lancer l'examen"
. Le scan démarre.
il va durer un certain temps, donc laisse le faire.
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen terminé avec succès.
Normalement, les infections trouvées sont déplacées automatiquement dans la quarantaine.
Clique sur voir le journal détaillé,
Puis exporter, enregistre son rapport en format .txt sur ton bureau,
Héberge-le sur Cjoint et copie et colle son lien sur ton prochain message.
pas si vite, puisqu'on a nettoyé à petites doses ton pc, on ira jusqu'au bout :
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
ou :
https://fr.malwarebytes.com/mwb-download/
ou :
https://fr.malwarebytes.com/mwb-download/?gclid=CPqbs6_Trb0CFcfKtAodJFoANw
ou ici :
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Si tu l'as déjà sur ton pc, il est inutile de le retélécharger !
/!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet paramètres, choisis la langue souhaitée
. Dans l'onglet « tableau de bord, vérifie bien que ta version soit à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminée
Dans l'onglet "examen", coche la case "Examen personnalisé" et sélectionne ton disque sur le quel est installé Windows, puis examiner maintenant,
Sélectionne "recherche de rootkit", puis la partition ou le disque sur le quel est installé Windows (C: par exemple)
puis sur "lancer l'examen"
. Le scan démarre.
il va durer un certain temps, donc laisse le faire.
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen terminé avec succès.
Normalement, les infections trouvées sont déplacées automatiquement dans la quarantaine.
Clique sur voir le journal détaillé,
Puis exporter, enregistre son rapport en format .txt sur ton bureau,
Héberge-le sur Cjoint et copie et colle son lien sur ton prochain message.