FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par 2011N2
#3734
Salut et

On va essayer de résoudre ton problème ensemble. Voici quelques régles ==

-Ici, les helpers sont volontaires, et nous avons également une vie de famille, du travail, comme tout le monde. En conséquences, sois patient en attendant tes réponses de la part du helper.

-Suis la procédure jusqu'au bout, sinon ça ne servira à rien.

-Ne panique pas, n'hésite pas à poser des questions si tu as des doutes, car c'est beaucoup mieux que de planter ton PC si tu ne sais pas quoi faire.

-Avant d'effectuer des manipulations, lis la procédure jusqu'au bout, afin de ne pas faire d'erreur.

-Si tu es sous Vista/7, éxécute un programme toujours en faisant un clic droit puis == Éxécuter en tant qu'administrateur

-Si tu crack (Emule, BiTorrent, etc...) arrête tout de suite, c'est une source d'infection,
et la désinfection sera donc inutile.

-N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre).

Si tu es prêt, c'est partit ==

Télécharge ToolbarShooter (de 2011N2) sur ton bureau (Si le programme est bloqué, ignore l'alerte et éxécute le programme).
Double-clique sur l'icône présente sur ton bureau.
Appuye sur 1 (Recherche) puis == Entrée.
Patiente lors du scan.
À la fin, un rapport s'ouvre, copie/colle son contenu dans la prochaine réponse sur ton forum.
Le rapport est aussi sauvergardé sous C:\

Merci,

Gabriel.
Avatar du membre
par fuchtre
#3735
ho merci sais du rapide
voila le resultat de spbot destroy
car avec avast rien trouvé

babylon. toolbar 40 éléments AdwareCspy

toolbar.facemood 66 élément PUPSC


quand je met corrigé les problème il arrive pas a le faire
Avatar du membre
par 2011N2
#3736
Salut,

Désactive Avast lors de la désinfection

Spybot est dépassé depuis longtemps, fais ToolbarShooter, comme indiqué plus haut

Merci,

Gabriel.
Avatar du membre
par fuchtre
#3745
voici le résultat
Outil développé par 2011N2
Contact : lot12@hotmail.fr
Site : http://www.forum-entraide-informatique.com/
Mis à jour le : 01/09/2011 par 2011N2

Début du scan de recherche : 14:23:33
Nom du PC : FUCHTER-PC

Système d'exploitation : Windows 7 Home Premium
Mémoire RAM : 4'095
Internet Explorer : 9.0.8112.16421
Mozilla Firefox : 6.0.1 (fr)
Mozilla Firefox : version 5
Mozilla Firefox : version 6

############################# Toolbars néfastes détéctées #############################


Présent : HKLM\Software\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}
Présent : HKLM\Software\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}
Présent : HKLM\Software\WOW6432Node\facemoods.com
Présent : HKLM\Software\WOW6432Node\Classes\Interface\{F7EC6286-297C-4981-9DCC-FD7F57BC24C9}
Présent : HKLM\Software\WOW6432Node\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Présent : HKLM\Software\WOW6432Node\Classes\CLSID\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}
Présent : HKLM\Software\WOW6432Node\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}
Présent : HKLM\Software\WOW6432Node\Classes\Interface\{C1C2FC43-F042-4F17-AEDB-C5ABF3B42E4B}
Présent : HKLM\Software\WOW6432Node\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Présent : HKLM\Software\WOW6432Node\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}
Présent : HKLM\Software\WOW6432Node\Classes\Interface\{79B13431-CCAC-4097-8889-D0289E5E924F}
Présent : HKLM\Software\WOW6432Node\Classes\Interface\{74C012C4-00FB-4F04-9AFB-4AD5449D2018}
Présent : HKLM\Software\WOW6432Node\Classes\Interface\{6A934270-717F-4BC3-BA59-BC9BED47A8D2}
Présent : HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}
Présent : HKLM\Software\WOW6432Node\Classes\CLSID\{64182481-4F71-486b-A045-B233BD0DA8FC}
Présent : HKLM\Software\WOW6432Node\Classes\Interface\{6365AC7B-9920-4D8B-AF5D-3BDFEAC340A8}
Présent : HKLM\Software\WOW6432Node\Classes\Interface\{542FA950-C57A-4E17-B3E1-D935DFE15DEE}
Présent : HKLM\Software\WOW6432Node\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}
Présent : HKLM\Software\WOW6432Node\Classes\Interface\{5B035F86-41B5-40F1-AAAD-3D219F30244E}


Présent : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486b-A045-B233BD0DA8FC}
Présent : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{64182481-4F71-486b-A045-B233BD0DA8FC}
Présent : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}
Présent : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}


Présent : HKCR\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}


Présent : C:\ProgramData\Babylon
Présent : C:\Users\fuchter\AppData\Roaming\Babylon
Présent : C:\Users\fuchter\AppData\Local\Babylon
Présent : C:\Users\fuchter\AppData\Roaming\FissaSearch
Présent : C:\ProgramData\Babylon
Présent : C:\Users\fuchter\AppData\Roaming\Babylon
Présent : C:\Users\fuchter\AppData\Local\Babylon
Présent : C:\ProgramData\Babylon
Présent : C:\Users\fuchter\AppData\Roaming\Babylon
Présent : C:\Users\fuchter\AppData\Local\Babylon
Présent : C:\Users\fuchter\AppData\Roaming\Babylon
Présent : C:\ProgramData\Babylon


==========================================================================================

Fin du scan de recherche de ToolbarShooter à 14:24:41 par FUCHTER-PC.
Avatar du membre
par 2011N2
#3746
Double-clique sur l'icône Toolbar Shooter présente sur ton bureau.
Appuye sur 2 (Suppression) puis == Entrée.
Patiente lors du scan.
À la fin, un rapport s'ouvre, copie/colle son contenu dans la prochaine réponse sur ton forum.
Le rapport est aussi sauvergardé sous C:\

Merci,

Gabriel.
Avatar du membre
par fuchtre
#3747
voila
=========== Informations ===========

Mis à jour le : 27/08/2011 par 2011N2
Rapport de suppression de ToolbarShooter par 2011N2
Contact : lot12@hotmail.fr
Site : http://www.forum-entraide-informatique.com/
Début du nettoyage : 14:45:46
################################## Toolbars néfastes supprimées ################################


Supprimé !! HKLM\Software\Classes\AppID\SoftwareUpdate.exe


Supprimé !! HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486b-A045-B233BD0DA8FC}
Supprimé !! HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{64182481-4F71-486b-A045-B233BD0DA8FC}
Supprimé !! HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}
Supprimé !! HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}


Supprimé !! HKCR\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}


Supprimé !! "C:\ProgramData\Babylon"
Supprimé !! "C:\Users\fuchter\AppData\Roaming\Babylon"
Supprimé !! "C:\Users\fuchter\AppData\Local\Babylon"
Supprimé !! "C:\Users\fuchter\AppData\Roaming\FissaSearch"
Avatar du membre
par 2011N2
#3748
Ok.

ATTENTION ! Plusieurs heures de scan sont probables !

Télécharge Malwarebytes' Anti-Malware : https://www.sosvirus.net/telecharger/malwarebytes-anti-malware/

Si problème essaie avec celui-ci : http://www.commentcamarche.net/download ... lwarebytes


. Enregistre-le sur ton bureau.
. Double clique sur le fichier téléchargé pour lancer le processus d'installation.
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour. Image
Fais le plusieurs fois jusqu'à ce qu'il te dise que tu as la dernière version de base de données.


. Une fois la mise à jour terminée :
. Rends-toi dans l'onglet "Recherche"
. Sélectionne Exécuter un Examen complet. Image
. Sélectionne Tous les disques si proposé.
. Clique sur Rechercher.
. Le scan démarre. Patiente.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement ou autre. Clique sur "Afficher les résultats" pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats.
. Sélectionnes tout (ou laisse coché) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Redemarre le pc si il le fait pas lui même.
. Une fois redémarré double-clique sur Malwarebytes' AntiMalware.
. Rends toi dans l'onglet "rapport/log". Image
. Tu cliques dessus pour l'afficher une fois affiché.
. Tu cliques sur Edition en haut du boc notes,et puis sur Sélectionner tout. Image
. Tu recliques sur Edition et puis sur Copier et tu reviens sur le forum et dans ta réponse, colle le rapport.


Si tu as besoin d'aide regarde ce tutoriel :

http://www.malekal.com/2010/11/12/tutor ... i-malware/


Si tu as des questions, n'hésite pas à me les poser !

Merci,

Gabriel.
Avatar du membre
par fuchtre
#3751
voila le résultat de malwarebytes
Malwarebytes' Anti-Malware 1.51.1.1800
http://www.malwarebytes.org

Version de la base de données: 7636

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

02.09.2011 15:46:29
mbam-log-2011-09-02 (15-46-29).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 370754
Temps écoulé: 40 minute(s), 47 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\fuchter\downloads\vlc_setup1.1.4.exe (Trojan.Dropper) - Quarantined and deleted successfully.
Avatar du membre
par fuchtre
#3752
voila le rapport
Malwarebytes' Anti-Malware 1.51.1.1800
http://www.malwarebytes.org

Version de la base de données: 7636

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

02.09.2011 15:46:29
mbam-log-2011-09-02 (15-46-29).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 370754
Temps écoulé: 40 minute(s), 47 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\fuchter\downloads\vlc_setup1.1.4.exe (Trojan.Dropper) - Quarantined and deleted successfully.
par roro04
#3756
Salut,

Pour avancer 2011n2, oui, tu l'a supprimé cet élément. Ne supprime pas le rapport.

Reposte un ZHPDiag.

++
Avatar du membre
par fuchtre
#3757
hello merci
je refait une analyse avec ZHPDiag. je l enregistre sur le bureau et quand je veux le mettre sur cjoint impossible de le trouvé incroyable
Avatar du membre
par fuchtre
#3764
des que je clique sur la disquette pour enregistrer je mets dans le bureau mais voila que quand je veux l héberger sur un site comme cjoint je le trouve pas dans le bureau et le vois pas non plus
Avatar du membre
par Invité
#3766
Bonsoir créer un dossier dans sur ton bureaux pour y mettre le rapport ex: dossier désinfection, colle le rapport ZHPDiag demander et va sur : http://www.cijoint.fr/
la tu va dans le dossier sur ton bureaux si vraiment tu ne le trouve pas c'est qu'il y a un problème avec le service.
Avatar du membre
par 2011N2
#3768
Re,

Déjà désinstalle Spybot

Copier les lignes "helpers" dans le presse papier (celles dans le fichier texte) : http://dl.dropbox.com/u/32869654/Pour%20fuchtre.txt


Ouvrir ZHPfix, icone seringue (Vista et 7 : "Exécuter en tant qu'administrateur").
Coller les lignes helpers. Pour ce, cliquer sur la balise document, à droite de l'appareil photo. Ou alors sur le H. Image
Faire Ok. Image
Cliquer sur "Tous". Image
Cliquer sur "Nettoyer". Image
Copier le rapport, et coller-le dans la prochaine réponse sur le forum.


Si tu as des questions, n'hésite pas à me les poser !

Merci,

Gabriel.
Avatar du membre
par 2011N2
#3772
oui, tu fais Ctrl + C de toutes les lignes, tu cliques sur le H dans ZHPfix, puis sur GO.

Ne t'inquiète pas si le bureau disparaît momentannément

@+

Gabriel.
Avatar du membre
par fuchtre
#3776
et le programme Malwarebytes' Anti-Malware il tourne tout seul ?
je dois faire une annalyse souvent ?
la j ai avast comme antivirus sa devrais jouer ?
merci encore
Avatar du membre
par fuchtre
#3778
j ai fait 2 foix le truc j ai cliquer fermé avant de faire copier coller pour toi oups
Rapport de ZHPFix 1.12.3360 par Nicolas Coolman, Update du 29/08/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-03.09.2011-00-41-43.txt
Run by fuchter at 03.09.2011 00:41:43
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: facemoods

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Spointer
ABSENT Key: HKLM\Software\Babylon
SUPPRIME Key: SearchScopes :{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}
SUPPRIME Key**: HKLM\Software\WOW6432Node\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}
SUPPRIME Key**: HKLM\Software\WOW6432Node\Classes\AppID\{442f13bc-2031-42d5-9520-437f65271153}
SUPPRIME Key**: HKLM\Software\WOW6432Node\Classes\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}
SUPPRIME Key: HKLM\Software\WOW6432Node\Google\Chrome\Extensions\defdhglnppeioeflggkmglipcecffkhk
ABSENT Key: CLSID BHO: {64182481-4F71-486b-A045-B233BD0DA8FC}
ABSENT Key: HKLM\Software\facemoods.com
SUPPRIME Key**: HKLM\Software\WOW6432Node\Classes\Interface\{542FA950-C57A-4E17-B3E1-D935DFE15DEE}
SUPPRIME Key**: HKLM\Software\WOW6432Node\Classes\Interface\{5B035F86-41B5-40F1-AAAD-3D219F30244E}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\Interface\{6365AC7B-9920-4D8B-AF5D-3BDFEAC340A8}
SUPPRIME Key**: HKLM\Software\WOW6432Node\Classes\CLSID\{64182481-4F71-486b-A045-B233BD0DA8FC}
SUPPRIME Key: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}
SUPPRIME Key**: HKLM\Software\WOW6432Node\Classes\Interface\{6A934270-717F-4BC3-BA59-BC9BED47A8D2}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\Interface\{74C012C4-00FB-4F04-9AFB-4AD5449D2018}
SUPPRIME Key**: HKLM\Software\WOW6432Node\Classes\Interface\{79B13431-CCAC-4097-8889-D0289E5E924F}
SUPPRIME Key**: HKLM\Software\WOW6432Node\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}
SUPPRIME Key**: HKLM\Software\WOW6432Node\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
SUPPRIME Key**: HKLM\Software\WOW6432Node\Classes\Interface\{C1C2FC43-F042-4F17-AEDB-C5ABF3B42E4B}
SUPPRIME Key**: HKLM\Software\WOW6432Node\Classes\CLSID\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
SUPPRIME Key**: HKLM\Software\WOW6432Node\Classes\Interface\{F7EC6286-297C-4981-9DCC-FD7F57BC24C9}
SUPPRIME Key: HKLM\Software\WOW6432Node\facemoods.com

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: facemoods
SUPPRIME {E7B231DC-BF2B-44D6-8294-3C2F6A38F1CF}
SUPPRIME {F27222ED-A1A3-430A-884D-9ACAC5F0E002}

========== Elément(s) de donnée du Registre ==========
REMPLACE Value NoActiveDesktopChanges : Good (0) - Bad (1)

========== Dossier(s) ==========
SUPPRIME Reboot Folder**: C:\Users\fuchter\AppData\Roaming\moovida-1
SUPPRIME Folder: C:\Users\fuchter\AppData\Local\moovida Air
SUPPRIME Folder: C:\Program Files (x86)\Fluendo
SUPPRIME Temporaires Windows: : 324
SUPPRIME Flash Cookies: 50

========== Fichier(s) ==========
ABSENT Folder/File: c:\users\fuchter\appdata\local\moovida air
ABSENT File: c:\program files (x86)\facemoods.com
ABSENT Folder/File: c:\users\fuchter\appdata\roaming\mozilla\firefox\profiles\cnvz89a1.default\user.js (.not file.)
SUPPRIME Temporaires Windows: : 76
SUPPRIME Flash Cookies: 19

========== Restauration Système ==========
Point de restauration non crée


========== Récapitulatif ==========
26 : Clé(s) du Registre
3 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
5 : Dossier(s)
5 : Fichier(s)
1 : Logiciel(s)
1 : Restauration Système


End of the scan in 00mn 13s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 03.09.2011 00:41:43 [3980]
Avatar du membre
par 2011N2
#3806
Re,

On demandait si tu étais en suisse par rapport aux adresses IP présentes dans les rapports, on pensait que c'était des détournements illégitimes

Copier les lignes "helpers" dans le presse papier (celles dans le fichier texte) : http://dl.dropbox.com/u/32869654/Pour%20fuchtre2.txt


Ouvrir ZHPfix, icone seringue (Vista et 7 : "Exécuter en tant qu'administrateur").
Coller les lignes helpers. Pour ce, cliquer sur la balise document, à droite de l'appareil photo. Ou alors sur le H. Image
Faire Ok. Image
Cliquer sur "Tous". Image
Cliquer sur "Nettoyer". Image
Copier le rapport, et coller-le dans la prochaine réponse sur le forum.


Si tu as des questions, n'hésite pas à me les poser !

@+

Gabriel.
Willy

Hi there! I’ve always been passionate about […]

Merci pour la réponse ;) Pour verifier […]

Hello Ça me semble complexe, avez vous e[…]