FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[2011N2]

Bonjour,

Ok et tu as toujours des soucis ?

Gabriel.

[Sradek]

j'ai refait une analyse complète avec Malwarebytes et voici le rapport : http://cjoint.com/?3KklZDdNKQO

Ensuite, comme je suis bien élevé, ;)j'ai fait un ZHPDiag
Lien supprimé à la demande de l'auteur du sujet.

[2011N2]

Re,

Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.

Gabriel.

[Sradek]

Rapport de ZHPFix 2013.11.4.1 par Nicolas Coolman, Update du 03/11/2013
Fichier d'export Registre :
Run by Luc at 10/11/2013 12:18:44
High Elevated Privileges : OK
Windows XP Home Edition Service Pack 3 (Build 2600)

Corbeille vidée (00mn 03s)

========== Clés du Registre ==========
SUPPRIMÉ: HKLM\Software\Classes\AppID\esrv.EXE

========== Valeurs du Registre ==========
SUPPRIMÉ RunValue: ISW
SUPPRIMÉ RunValue: ctfmon.exe

========== Eléments de donnée du Registre ==========
SUPPRIMÉ: R1 Search Page =
SUPPRIMÉ Pointeurs: cplfile(cpl) Default=%SystemRoot%\System32\control.exe "%1",%*

========== Préférences navigateur ==========
SUPPRIMÉ Mozilla Pref: http://start.mysearchdial.com
ABSENT Mozilla Pref: user_pref("browser.startup.homepage", "http://start.mysearchdial.com/?f=1a=tel ... Bzy0C0AtCt[...]
SUPPRIMÉ Mozilla Pref: user_pref("browser.search.selectedEngine", "Mysearchdial");
SUPPRIMÉ Mozilla Pref: user_pref("browser.search.defaultenginename", "Mysearchdial");

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichiers ==========
SUPPRIMÉ: c:\documents and settings\luc\application data\mozilla\firefox\profiles\a8shp58a.default\searchplugins\mysearchdial.xml
SUPPRIMÉ: c:\windows\prefetch\mysearchdialsrv.exe-2af3ff3e.pf
SUPPRIMÉ: c:\windows\prefetch\plus-hd-3-5.exe-3816eed7.pf
SUPPRIMÉ: c:\windows\prefetch\mysearchdialupdate.exe-2b868f2e.pf
SUPPRIMÉ: c:\windows\prefetch\mysearchdial.exe-01cb24c7.pf
SUPPRIMÉ: c:\windows\prefetch\plus-hd-3.5-chromeinstaller.e-34c70b93.pf
SUPPRIMÉ: c:\windows\prefetch\plus-hd-3.5-firefoxinstaller.-38a66ce8.pf
SUPPRIMÉ: c:\windows\prefetch\plus-hd-3.5-codedownloader.ex-27679efa.pf
SUPPRIMÉ: c:\windows\prefetch\plus-hd-3.5-helper.exe-261f2248.pf
SUPPRIMÉ: c:\windows\prefetch\plus-hd-3.5-bg.exe-02ead3ca.pf
SUPPRIMÉ: c:\windows\prefetch\plus-hd-3.5-enabler.exe-0243ac48.pf
SUPPRIMÉ: c:\windows\prefetch\plus-hd-3-5.exe-35e8b72e.pf
SUPPRIMÉ: c:\windows\prefetch\plus-hd-3.5-enabler.exe-373b10db.pf
SUPPRIMÉ: c:\documents and settings\luc\local settings\application data\mysearchdial-speeddial.crx
SUPPRIMÉS Temporaires Windows (0) (0 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
1 : Clés du Registre
2 : Valeurs du Registre
2 : Eléments de donnée du Registre
1 : Dossiers
16 : Fichiers
4 : Préférences navigateur
1 : Restauration Système


End of clean in 00mn 18s

========== Chemin de fichier rapport ==========
C:\Documents and Settings\Luc\Application Data\ZHP\ZHPFix[R1].txt - 10/11/2013 13:08:22 [10154]
C:\Documents and Settings\Luc\Application Data\ZHP\ZHPFix[R2].txt - 10/11/2013 12:18:48 [2742]

[2011N2]

Re,

Toujours des soucis ?

Gabriel.

[Sradek]

Quand j'ouvre le navigateur, il y a en plus la page de Mysearchdial Search qui apparait...

[2011N2]

Re,

Quel navigateur ?

Gabriel.

[Sradek]

Il s'agit de Chrome...j'ai regardé dans paramètres, extensions mais mysearchdial n'apparait pas...

[2011N2]

Re,

Réinitialise-le comme ceci : http://www.forum-entraide-informatique. ... gle-chrome

Gabriel.

[Sradek]

J'ai un PC complètement bloqué...j'ai refait un MBAM il y a quelques jours
Il est hyper lent et le navigateur se bloque...bizarre

Malwarebytes Anti-Malware 1.75.0.1300
http://www.malwarebytes.org

Version de la base de données: v2013.11.10.01

Windows XP Service Pack 3 x86 NTFS (Mode sans échec)
Internet Explorer 8.0.6001.18702
Luc :: LECAPITAINE [administrateur]

10/11/2013 09:39:15
mbam-log-2013-11-10 (09-39-15).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|H:\|I:\|J:\|L:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 283121
Temps écoulé: 1 heure(s), 16 minute(s), 27 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 8
HKCR\CLSID\{D40753C7-8A59-4C1F-BE88-C300F4624D5B} (PUP.Optional.MySearchDial.A) - Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{C292AD0A-C11F-479B-B8DB-743E72D283B0} (PUP.Optional.MySearchDial.A) - Mis en quarantaine et supprimé avec succès.
HKCR\esrv.mysearchdialESrvc.1 (PUP.Optional.MySearchDial.A) - Mis en quarantaine et supprimé avec succès.
HKCR\esrv.mysearchdialESrvc (PUP.Optional.MySearchDial.A) - Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\CROSSRIDER (PUP.Optional.CrossRider.A) - Mis en quarantaine et supprimé avec succès.
HKCU\Software\Google\Chrome\Extensions\pflphaooapbgpeakohlggbpidpppgdff (PUP.Optional.MySearchDial.A) - Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) - Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Google\Chrome\Extensions\pflphaooapbgpeakohlggbpidpppgdff (PUP.Optional.MySearchDial.A) - Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKCU\Software\Crossrider|Verifier (PUP.Optional.CrossRider.A) - Données: ec593c1984ae6b938a5f6bae3dd1acaf - Mis en quarantaine et supprimé avec succès.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) - Données: 0T1M2Q2W - Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.MySearchDial.A) - Mauvais: (http://start.mysearchdial.com/?f=1a=tel ... 2109076ir=) Bon: (http://www.google.com) - Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.MySearchDial.A) - Mauvais: (http://start.mysearchdial.com/?f=1a=tel ... 2109076ir=) Bon: (http://www.google.com) - Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 3
C:\Documents and Settings\Luc\Application Data\mysearchdial (PUP.Optional.MySearchDial.A) - Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Luc\Application Data\mysearchdial\icons_2.2.8.1247 (PUP.Optional.MySearchDial.A) - Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Luc\Application Data\mysearchdial\UpdateProc (PUP.Optional.MySearchDial.A) - Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 6
C:\Documents and Settings\Luc\Local Settings\Temp\UpdateTask.exe.39636578 (PUP.Optional.MySearchDial.A) - Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Luc\Local Settings\Temp\is42483369\39152442_stp\plus-hd-3-5.exe (PUP.Optional.CrossRider) - Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Luc\Local Settings\Temp\is42483369\39408837_stp\plus-hd-3-5.exe (PUP.Optional.CrossRider) - Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Luc\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_pflphaooapbgpeakohlggbpidpppgdff_0.localstorage (PUP.Optional.FunMoods.A) - Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Luc\Application Data\mysearchdial\icons_2.2.8.1247\62.ico (PUP.Optional.MySearchDial.A) - Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Luc\Application Data\mysearchdial\icons_2.2.8.1247\80.ico (PUP.Optional.MySearchDial.A) - Mis en quarantaine et supprimé avec succès.

(fin)

[2011N2]

Salut,

Tu as l'air réinfecté.
Passe AdwCleaner et poste le rapport : http://www.forum-entraide-informatique. ... -de-xplode

Gabriel.

[Sradek]

# AdwCleaner v3.012 - Rapport créé le 16/11/2013 à 16:07:06
# Mis à jour le 11/11/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Luc - LECAPITAINE
# Exécuté depuis : C:\Documents and Settings\Luc\Mes documents\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Documents and Settings\Luc\Application Data\CheckPoint\ZoneAlarm LTD Toolbar
Dossier Supprimé : C:\Documents and Settings\Betty\Application Data\CheckPoint\ZoneAlarm LTD Toolbar
Fichier Supprimé : C:\Documents and Settings\Luc\Application Data\Mozilla\Firefox\Profiles\a8shp58a.default\user.js

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@checkpoint.com/FFApi
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{212C2C4F-C845-4FBC-9561-C833A13D8DCE}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{3C5D1D57-16C8-473C-A552-37B8D88596FE}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4A115D8A-6A7B-4C72-92B1-2E2D01F36979}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{99DF8440-814E-497F-BDDD-FB93E9E9DF96}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{83CAD530-387D-40FD-82EA-B9E863D92A9B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZoneAlarm LTD Toolbar

***** [ Navigateurs ] *****

-\\ Internet Explorer v8.0.6001.18702

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\SearchUrl [(Default)]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl [(Default)]

-\\ Mozilla Firefox v

[ Fichier : C:\Documents and Settings\Luc\Application Data\Mozilla\Firefox\Profiles\a8shp58a.default\prefs.js ]

Ligne Supprimée : user_pref("browser.startup.homepage", /*"hxxp://start.mysearchdial.com/?f=1a=telemsdcd=2XzuyEtN2Y1L1QzutDtDtD0CyByC0AyCtBzy0C0AtCtCyCtCtN0D0Tzu0CyCyBzytN1L2XzutBtFtBtFzztFtCtByEyBtN1L1Czu2Z1P1I1P1H1[...]
Ligne Supprimée : /*user_pref("browser.search.selectedEngine", "Mysearchdial");*/
Ligne Supprimée : /*user_pref("browser.search.defaultenginename", "Mysearchdial");*/

*************************

AdwCleaner[R0].txt - [2474 octets] - [16/11/2013 15:56:00]
AdwCleaner[S0].txt - [2283 octets] - [16/11/2013 16:07:06]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [2343 octets] ##########

[2011N2]

Re,

Ok, refais un ZHPDiag.

Gabriel.

[Sradek]

Le lien a été créé pour ZHPDiag: Lien supprimé à la demande de l'auteur du sujet.

[2011N2]

Re,

Ok, tu peux juste repasser ces lignes dans ZHPFix :

Script ZHPFix
O69 - SBI: SearchScopes [HKCU] {4CD5BCAF-FE87-482F-8E98-D13BEB5BE6C4} - (Mysearchdial) - http://start.mysearchdial.com
Poste le rapport.

Gabriel.

[Sradek]

Rapport de ZHPFix 2013.11.14.5 par Nicolas Coolman, Update du 14/11/2013
Fichier d'export Registre :
Run by Luc at 16/11/2013 22:43:57
High Elevated Privileges : OK
Windows XP Home Edition Service Pack 3 (Build 2600)

Corbeille vidée (00mn 02s)

========== Clés du Registre ==========
SUPPRIMÉ: SearchScopes :{4CD5BCAF-FE87-482F-8E98-D13BEB5BE6C4}


========== Récapitulatif ==========
1 : Clés du Registre


End of clean in 00mn 04s

========== Chemin de fichier rapport ==========
C:\Documents and Settings\Luc\Application Data\ZHP\ZHPFix[R1].txt - 14/11/2013 13:08:22 [10154]
C:\Documents and Settings\Luc\Application Data\ZHP\ZHPFix[R2].txt - 14/11/2013 12:18:48 [2838]
C:\Documents and Settings\Luc\Application Data\ZHP\ZHPFix[R3].txt - 16/11/2013 22:43:59 [696]

[2011N2]

Re,

Toujours des soucis ?

Gabriel.

[Sradek]

oui c'est toujours aussi lent. Sur internet, ça cherche longtemps, la page a du mal à venir. Quand je clic au lieu d'avoir la flèche je me retrouve avec la main et ça bloque.... Il faut dire que je n'ai pas encore réactualisé chrome.
Je n'avais pas trop le temps de tout lire et la peur de perdre mes favoris.
Et donc il y a toujours mysearchdial qui apparaît à l'ouverture de chrome

Si je passe sur Opéra, cela réglera peut être le problème.

[2011N2]

Hello,

Essaye juste avec Opéra voir si c'est plus fluide.
Comme ça cela permettra de savoir si le souci vient des performances du PC ou bien de Chrome en lui même.

Gabriel.

[Sradek]

j'ai téléchargé Opéra mais il ne veux pas s'installer

Et j'ai surtout le disque dur qui tourne à fond comme l'essorage d'une machine à laver....

J'ai refait un ZHPDiag Le lien a été créé: Lien supprimé à la demande de l'auteur du sujet.

[2011N2]

Bonjour,

Ok, tu peux repasser un coup d'AdwCleaner après l'avoir retéléchargé ? http://www.forum-entraide-informatique. ... -de-xplode

Gabriel.

[Sradek]

Le DD fait un peu moins de bruits...

Le lien a été créé: http://cjoint.com/?3LjhijD1Mkv

[2011N2]

Bonjour,

D'accord, fais moi un nouveau ZHPDiag maintenant STP.

Gabriel.

[Sradek]

Voici le nouveau ZHPDiag Le lien a été créé: Lien supprimé à la demande de l'auteur du sujet.

Et le DD tourne encore à fond en essorage

[2011N2]

Bonsoir,

Ok, c'est propre niveau infections.
On finalise, voici la procédure : http://www.forum-entraide-informatique. ... nalisation
Tiens moi au courant de ton avancée au fur et à mesure.

Gabriel.

[Sradek]

Je veux bien finaliser mais le bruit anormal du disque dur me dit qu'il y a certainement un virus.
Quand il y a absence de virus, on ne l'entend pas.
Je reste donc inquiet car le DD doit pas mal chauffer à tourner comme une machine à laver qui est en phase d'essorage.
Qu'en penses tu ?

[2011N2]

Salut,

Je doute qu'il reste quelque chose niveau infection...
Plus un problème de disque je pense.

Mais pour vérifier plus en profondeur, refais un examen complet sur tous les disques avec MBAM : http://www.forum-entraide-informatique. ... m-tutoriel

Gabriel.

[Sradek]

Quand je regarde le rapport ZHPDiag, il y a ça qui me pose problème

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZoneAlarm Security Toolbar] =Toolbar.ZoneAlarm^
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{438FAE3E-BDEF-44D3-AB8B-0C7C8350DF59}] =Toolbar.ZoneAlarm
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{438FAE3E-BDEF-44D3-AB8B-0C7C8350DF59}] =Toolbar.ZoneAlarm
[HKLM\Software\Classes\CLSID\{438FAE3E-BDEF-44D3-AB8B-0C7C8350DF59}] =Toolbar.ZoneAlarm
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{438FAE3E-BDEF-44D3-AB8B-0C7C8350DF59} =Toolbar.ZoneAlarm^

Qu'en penses tu ?
car lorsque j'ai un virus, le disque dur fait ce bruit et il revient à la normal quand le virus est éradiqué....

[2011N2]

Re,

C'est la toolbar ZoneAlarm ça, rien de méchant...
Si tu veux tu peux le passer dans ZHPFix avec le script suivant :

Script ZHPFix
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZoneAlarm Security Toolbar] =Toolbar.ZoneAlarm^
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{438FAE3E-BDEF-44D3-AB8B-0C7C8350DF59}] =Toolbar.ZoneAlarm
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{438FAE3E-BDEF-44D3-AB8B-0C7C8350DF59}] =Toolbar.ZoneAlarm
[HKLM\Software\Classes\CLSID\{438FAE3E-BDEF-44D3-AB8B-0C7C8350DF59}] =Toolbar.ZoneAlarm
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{438FAE3E-BDEF-44D3-AB8B-0C7C8350DF59} =Toolbar.ZoneAlarm^
Gabriel.

[Sradek]

Merci Gabriel je viens de faire ce nettoyage.
Mais je t'assure que j'ai un virus, le matériel est trop récent pour avoir un problème.
Et lorsque que j'ai un virus le DD tourne à fond, ralenti puis reprend.
Je ne sais pas ce qu'est ce virus mais malwarebytes et ZHPDiag ne détectent rien.
Tu n'aurais pas autre chose pour le détecter ?
Merci et je t'en prie doute avec moi !

[2011N2]

Re,

Fouillons encore si tu veux...

Passe Pre_Scan et poste le rapport hébergé : http://www.forum-entraide-informatique. ... n-tutoriel

Gabriel.

[Sradek]

Merci Gabriel

tu vois on viens de faire ce test et le DD fait un autre bruit...bizarre
comme une aspiration d'une VMC...   

http://cjoint.com/?3Loxfgxld60

[2011N2]

Re,

Rien de méchant encore... Relance Pre_Scan, clique sur Diag, et poste le rapport hébergé.

Bonne soirée

Gabriel.

[Sradek]

Voici le lien : http://cjoint.com/?3LpjIaPZDeN

  

[g3n-h@ckm@n]

bonjour possible de lire celui-ci ? tu l'as fait deux fois

C:\Pre_Scan_14_12_2013_22_28_04.txt

[Sradek]

Le lien a été créé: http://cjoint.com/?3Lpm3BEtwU8

Le lien a été créé: http://cjoint.com/?3Lpm37aGeVI

[g3n-h@ckm@n]

sélectionne ce texte , puis CTRL + C :

Kill::
All

Key::
[HKU\S-1-5-21-1454471165-2052111302-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Toolbar]|[Locked]
[HKU\S-1-5-21-1454471165-2052111302-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Toolbar]|[SaveLinksOrder]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Toolbar]|[Locked]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{51FE1B05-5833-8B3C-077A-4D49EF2BFE50}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[5900:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]|[5800:TCP]
[HKCR\Installer\Products\4EA42A62D9304AC4784BF238120613FF]

MBR::
yes

Clean::
yes

reboot::
yes

Relance Pre_scan puis choisis l’option « Script« L’outil va travailler instantanément
des fenetres noires risquent de clignoter , c’est normal , c’est le programme qui travaille
poste Pre_Script_date_heure.txt qui apparaitra à la racine du disque systeme (généralement c:\) en fin de travail

[Sradek]

Le lien a été créé: http://cjoint.com/?3LylZjuk9cS

Le lien a été créé: http://cjoint.com/?3Lyl0fGGUza

[g3n-h@ckm@n]

hello

quels soucis persistent ?

[Sradek]

Le lien a été créé: Lien supprimé à la demande de l'auteur du sujet.

Tout semble bien allé, je ne l'entends plus ! incroyable ! merci infiniment

Je le mets en résolu !