FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par Mamantoine.
#96084
Bonjour, me voilà aussi victime de cette plaie.

J'ai passé le scann de adwcleaner, et cliquer sur supprimer voici le rapport

AdwCleaner v3.017 - Rapport créé le 27/01/2014 à 06:34:25
# Mis à jour le 12/01/2014 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Leroyste - LEROYSTE-PC
# Exécuté depuis : C:\Users\Leroyste\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UUAIKJWB\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\Partner
Dossier Supprimé : C:\ProgramData\WPM
Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\Program Files (x86)\Mobogenie
Dossier Supprimé : C:\Program Files (x86)\MyPC Backup
Dossier Supprimé : C:\Program Files (x86)\Nosibay
Dossier Supprimé : C:\Program Files (x86)\SupTab
Dossier Supprimé : C:\Users\Leroyste\AppData\Local\genienext
Dossier Supprimé : C:\Users\Leroyste\AppData\Local\Mobogenie
Dossier Supprimé : C:\Users\Leroyste\AppData\Local\Temp\boost_interprocess
Dossier Supprimé : C:\Users\Leroyste\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Users\Leroyste\AppData\Roaming\Nosibay
Dossier Supprimé : C:\Users\Leroyste\Documents\Mobogenie
Dossier Supprimé : C:\Users\Leroyste\Documents\optimizer pro
Dossier Supprimé : C:\Users\Leroyste\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml
Fichier Supprimé : C:\Users\Public\Desktop\eBay.lnk

***** [ Raccourcis ] *****


***** [ Registre ] *****

Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [bubbledock@nosibay.com]
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\WLXQuickTimeShellExt.DLL
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BingBar_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [mobilegeni daemon]
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2391419
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00000001-4FEF-40D3-B3FA-E0531B897F98}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{23AF19F7-1D5B-442C-B14C-3D1081953C94}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{64697678-0000-0010-8000-00AA00389B71}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{23AF19F7-1D5B-442C-B14C-3D1081953C94}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08C06D61-F1F3-4799-86F8-BE1A89362C85}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{23AF19F7-1D5B-442C-B14C-3D1081953C94}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{23AF19F7-1D5B-442C-B14C-3D1081953C94}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{08C06D61-F1F3-4799-86F8-BE1A89362C85}]
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : HKCU\Software\Nosibay
Clé Supprimée : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKLM\Software\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\Software\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\SupTab
Clé Supprimée : HKLM\Software\supWPM

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.16428


-\\ Google Chrome v32.0.1700.76

[ Fichier : C:\Users\Leroyste\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [4823 octets] - [27/01/2014 06:32:28]
AdwCleaner[S0].txt - [4658 octets] - [27/01/2014 06:34:25]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [4718 octets] ##########
Avatar du membre
par Mamantoine
#97377
Bonjour,

J'ai lancé le logiciel ZHP diag

voici la conclusion

\PhysicalDisk0_MBR.bin

~ MBR: Scanned in 00mn 02s



---\\ Scan Additionnel (O88)
Database Version : 13030 - (25/01/2014)
Clés trouvées (Keys found) : 1
Valeurs trouvées (Values found) : 7
Dossiers trouvés (Folders found) : 1
Fichiers trouvés (Files found) : 2

[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32] =Toolbar.Bing
C:\ProgramData\IePluginService =Trojan.SProtector^
[HKLM\Software\Wow6432Node\Wpm] =PUP.WpManager^
[HKLM\Software\Wow6432Node\awesomehpSoftware] =PUP.Awesomehp^
~ Additionnel Scan: 429237 Items scanned in 00mn 27s



---\\ Récapitulatif des détections trouvées sur votre station
~ http://nicolascoolman.webs.com/apps/blo ... -awesomehp =PUP.Awesomehp
~ http://nicolascoolman.webs.com/apps/blo ... -wpmanager =PUP.WpManager
~ http://nicolascoolman.webs.com/apps/blo ... sprotector =Trojan.SProtector
~ MSI: 3 link(s) detected in 00mn 27s

Maintenant, je fais quoi?
Avatar du membre
par Mamantoine
#97449
Re   

Voici le rapport du diagnostic ZHP

http://cjoint.com/data/0ADrCuTWrCc.htm

J'ai essayé de lancer le ZHPfix, et j'ai un message "Avertissement" via une icone qui m'indique le message suivant " exemple" C:\ProgamFiles\MagniPic [HKEY_CURREN_USER\Software\MagniPic] [HKEY_USER\S-1-5-18\Control MagniPic] [HKCU\Software\MagniPic] et si je clique sur ok de cette icone, il ne se passe rien   
Avatar du membre
par 2011N2
#97462
Re,

Évite de scripter avec ZHPFix seul...

Fais ZHPFix avec ces lignes, et cela devrait être OK.

Il est possible que les raccourcis pour ouvrir tes navigateurs soient supprimés ; ce n'est pas grave, il te suffira de les recréer en faisant clic droit = Créer un raccourci.

Gabriel.
Avatar du membre
par Mamantoine
#97514
Bon finalement, en relancant ZHPfix, ça c'est lancer automatiquement
voici le rapport après Nettoyage, pourtant quand je remets la page en route sur Google, denouveau aWesome est là    


Rapport de ZHPFix 2014.1.17.2 par Nicolas Coolman, Update du 17/01/2014
Fichier d'export Registre :
Run by Leroyste at 29/01/2014 17:55:12
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 13s)
Dossier Prefetcher vidé

========== Eléments de donnée du Registre ==========
SUPPRIMÉ: R0 - Main,Start Page = KLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page
SUPPRIMÉ: R0 - Main,Start Page = KLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page
SUPPRIMÉ: R1 Search Page =
SUPPRIMÉ: StartMenuInternet: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://www.awesomehp.com
SUPPRIMÉ: StartMenuInternet: C:\Program Files\Internet Explorer\iexplore.exe http://www.awesomehp.com
SUPPRIMÉ: StartMenuInternet: C:\Program Files (x86)\Safari\Safari.exe" http://www.awesomehp.com

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichiers ==========
SUPPRIMÉ Redémarrage: c:\windows\system32\browserchoice.exe
SUPPRIMÉ: c:\users\leroyste\appdata\local\temp\mywinlocker\filelist.txt
SUPPRIMÉS Temporaires Windows (1) (0 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
6 : Eléments de donnée du Registre
1 : Dossiers
4 : Fichiers
1 : Restauration Système


End of clean in 00mn 20s

========== Chemin de fichier rapport ==========
C:\Users\Leroyste\AppData\Roaming\ZHP\ZHPFix[R1].txt - 29/01/2014 16:22:44 [596]
C:\Users\Leroyste\AppData\Roaming\ZHP\ZHPFix[R2].txt - 29/01/2014 16:59:00 [761]
C:\Users\Leroyste\AppData\Roaming\ZHP\ZHPFix[R3].txt - 29/01/2014 16:59:13 [821]
C:\Users\Leroyste\AppData\Roaming\ZHP\ZHPFix[R4].txt - 29/01/2014 16:59:26 [1007]
C:\Users\Leroyste\AppData\Roaming\ZHP\ZHPFix[R5].txt - 29/01/2014 17:47:12 [4183]
C:\Users\Leroyste\AppData\Roaming\ZHP\ZHPFix[R6].txt - 29/01/2014 17:50:20 [2084]
C:\Users\Leroyste\AppData\Roaming\ZHP\ZHPFix[R7].txt - 29/01/2014 17:51:33 [2118]
C:\Users\Leroyste\AppData\Roaming\ZHP\ZHPFix[R8].txt - 29/01/2014 17:55:25 [2112]
Avatar du membre
par 2011N2
#97551
Re,

C'est propre.

OK pour MBAM.
Et toujours des traces d'awesomehp ?

Gabriel.
Avatar du membre
par Mamantoine
#97578
Gabriel, tu es mon ange   

J'ai supprimé la page internet de l'icône démarrer, et j'ai réinstallé internet avec une nouvelle page, et ça à l'air de fonctionné  

Grand merci. Par contre, je ne comprends pas, oui suis pas fortiche niveau informatique, une antivirus type Norton, ne protège pas de ces bestioles?

En tout cas, grand merci de ton aide  
Avatar du membre
par 2011N2
#97584
Re,

OK, mais ce n'est pas encore tout à fait terminé, après MBAM il nous restera à finaliser.

Si Norton est sensé protéger de ce genre de choses, mais aucun antivirus ne peut tout détecter et tout bloquer, donc il faut être vigilant.

Gabriel.
Avatar du membre
par Mamantoine
#97652
Voici le rapport de MBAM   
Malwarebytes Anti-Malware (Essai) 1.75.0.1300
http://www.malwarebytes.org

Version de la base de données: v2014.01.29.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476

Protection: Activé

29/01/2014 18:16:03
mbam-log-2014-01-29 (18-16-03).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 521303
Temps écoulé: 1 heure(s), 35 minute(s), 29 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Encore merci pour tes conseils, je te fais suivre un autre message car du coup j'ai fait aussi un diagnostic sur mon ordi portable et j'ai quelques soucis si ça ne te dérange pas de m'aider à régler ce problème avant de cloturer le post.
Avatar du membre
par Mamantoine
#97660
Du coup, au vue du carnage sur le PC familiale, j'ai fait le diagnostic avec ZHP, donc voici le rapport

http://cjoint.com/data/0ADul1tJqML.htm

et là mon souci c'est que je n'arrive pas à mettre en script pour la désinfection avec ZHPfix

Est ce que je peux te solliciter pour pouvoir le faire. D'avance grand merci   
Avatar du membre
par 2011N2
#97662
Re,

Pas de souci pour l'autre PC, mais tu ouvriras un nouveau sujet pour pas tout mélanger STP, car effectivement il y a des traces d'infections.

On finalise pour le PC que l'on vient de désinfecter, voici la procédure : http://www.forum-entraide-informatique. ... nalisation
Tiens-moi au courant de ton avancée au fur et à mesure.

Gabriel.
désinstaller sophos

Bonjour je suis nouveau sur le forum. Jeune retrai[…]

404 non trouvé L'URL demandée n'a pa[…]

Healthcare system and drugs

The healthcare system constantly evolves, introduc[…]

Hi everyone, I’m struggling with staying pr[…]