Page 1 sur 1

[Résolu] Desinfection

Posté : lun. 5 mars 2012 21:39
par herve66
bonjour apres avoir ete infecte par le virus gema j reussit a le supprimer par l aide internaute sur different forum .je les suprimer avec malwarebytes anti malwere ; j aie controler qu il a ete suprimer par le logisiel roquekiller et en faisant un scan avec roguekiller il ma trouver 2 entre de registre newstartpanel et je me demande s il faut que je les supprime ou pas ? je poste le raport de roque killer .


RogueKiller V7.2.1 [29/02/2012] par Tigzy
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: herve [Droits d'admin]
Mode: Recherche -- Date: 05/03/2012 20:41:52

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK1655GSX +++++
--- User ---
[MBR] 82fdf94c7e43198c618be808211dd5e0
[BSP] 246d47d24ba7f0a83d9acc3f598358bb : Windows Vista/7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 140354 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 287854592 | Size: 11970 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 312369152 | Size: 102 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :
RKreport[1].txt

merci d avance pour votre reponse .ordi hp netbook

Re: [Résolu] Desinfection

Posté : lun. 5 mars 2012 21:44
par 2011N2
Salut



En attendant qu'un helper te prenne en charge, tu peux si tu veux aller faire un tour dans le forum Présentation : http://www.forum-entraide-informatique. ... esentation

Merci et bonne désinfection

Gabriel.

Re: [Résolu] Desinfection

Posté : lun. 5 mars 2012 22:01
par loumax
Bonjour

1) Relance RogueKiller et clique sur suppression, poste le rapport dans ta prochaine réponse.

2) Peux-tu utiliser ce logiciel de diagnostic :

• Télécharge ZHPDiag (de Nicolas Coolman)
• Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit -- Exécuter en temps qu'administrateur)
• Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Re: [Résolu] Desinfection

Posté : mar. 6 mars 2012 20:03
par herve66
salut vient de faire nouveau scan puis suppression par roguekiller poste le rapport

RogueKiller V7.2.1 [29/02/2012] par Tigzy
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: herve [Droits d'admin]
Mode: Suppression -- Date: 06/03/2012 19:54:20

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK1655GSX +++++
--- User ---
[MBR] 82fdf94c7e43198c618be808211dd5e0
[BSP] 246d47d24ba7f0a83d9acc3f598358bb : Windows Vista/7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 140354 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 287854592 | Size: 11970 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 312369152 | Size: 102 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt


question pourquoi utliser ZHPdiag si mon ordi et clean et pourquoi le poster sur pjjoint.malekal.com

Re: [Résolu] Desinfection

Posté : mar. 6 mars 2012 21:18
par herve66
voici le lien apres l examen par ZHPDiag http://pjjoint.malekal.com/files.php?id ... e11f13p9k7

Re: [Résolu] Desinfection

Posté : mar. 6 mars 2012 22:32
par loumax
Bonsoir

Ton ordinateur est infecté par des logiciels publicitaires... Pour éviter ce genre de problème :
- Ne télécharge pas n'importe quel programme gratuit sans te renseigner dessus
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects, préfère les sites connus ou le téléchargement directement sur le site de l'éditeur.
- Lis attentivement lorsque tu installes un programme gratuit, et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !
En savoir plus sur les barres d'outils

Il faudra penser à faire de la place en désinstallant des logiciels que tu n'utilise plus ou peu :
Total RAM: 987 MB (13% free)
***************** 1 *********************

Utilise cet outil de désinfection spécifique aux logiciels publicitaires :

• Télécharge AdwCleaner (de Xplode) sur ton Bureau.
• Lance le, clique sur Suppression puis patiente le temps du scan.
• Une fois le scan terminé, un rapport s'ouvrira : poste le dans ta prochaine réponse.


***************** 2 *********************

• Télécharge AD-Remover (de C_XX) sur ton Bureau(autre lien).
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
• Double-clique sur l'icône AD-Remover
• Au menu principal, clique sur "Nettoyer"
• Confirme le lancement de l'analyse et laisse l'outil travailler
• Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report.log )

***************** 3 *********************

*Refais une analyse ZHPDiag pour contrôle (pense à héberger le rapport sur pjjoint).

Re: [Résolu] Desinfection

Posté : mer. 7 mars 2012 18:57
par herve66
voici l examen apres suppression par adwcleaner
# AdwCleaner v1.501 - Rapport créé le 07/03/2012 à 13:37:11
# Mis à jour le 04/03/2012 par Xplode
# Système d'exploitation : Windows 7 Starter Service Pack 1 (32 bits)
# Nom d'utilisateur : herve - HERVE-PC
# Exécuté depuis : C:\Users\herve\Downloads\Programs\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\herve\AppData\Roaming\GetRightToGo
Dossier Supprimé : C:\Users\herve\AppData\Local\Conduit
Dossier Supprimé : C:\Users\herve\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Program Files\01NET.com
Dossier Supprimé : C:\Program Files\AutocompletePro
Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Program Files\Mozilla Firefox\Extensions\quickstores@quickstores.de
Dossier Supprimé : C:\Windows\assembly\GAC_MSIL\QuickStoresToolbar
Dossier Supprimé : C:\Users\herve\AppData\Roaming\Mozilla\Firefox\Profiles\wl8z4igr.default\ConduitCommon
Dossier Supprimé : C:\Users\herve\AppData\Roaming\Mozilla\Firefox\Profiles\wl8z4igr.default\extensions\{8e5025c2-8ea3-430d-80b8-a14151068a6d}
Fichier Supprimé : C:\Users\herve\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url

***** [H. Navipromo] *****


***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3128284
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\01NET.com
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Software
Clé Supprimée : HKLM\SOFTWARE\Classes\SuggestMeYes.SuggestMeYesBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\SuggestMeYes.SuggestMeYesBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\AutocompletePro.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{442F13BC-2031-42D5-9520-437F65271153}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{151867D5-7359-40AF-8764-66E58D06283C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8E5025C2-8EA3-430D-80B8-A14151068A6D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C9AE652B-8C99-4AC2-B556-8B501182874E}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{01BCB858-2F62-4F06-A8F4-48F927C15333}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8e5025c2-8ea3-430d-80b8-a14151068a6d}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{151867d5-7359-40af-8764-66e58d06283c}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\01NET.com Toolbar
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AutocompletePro3_is1
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{8e5025c2-8ea3-430d-80b8-a14151068a6d}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{8e5025c2-8ea3-430d-80b8-a14151068a6d}]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [support@predictad.com]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v8.0.1 (fr)

Profil : wl8z4igr.default
Fichier : C:\Users\herve\AppData\Roaming\Mozilla\Firefox\Profiles\wl8z4igr.default\prefs.js

Supprimée : user_pref("CT3128284..clientLogIsEnabled", false);
Supprimée : user_pref("CT3128284..clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.as[...]
Supprimée : user_pref("CT3128284..uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Re[...]
Supprimée : user_pref("CT3128284.ALLOW_SHOWING_HIDDEN_TOOLBAR", false);
Supprimée : user_pref("CT3128284.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Supprimée : user_pref("CT3128284.BrowserCompStateIsOpen_7557343849057390611", true);
Supprimée : user_pref("CT3128284.BrowserCompStateIsOpen_7691123528394612996", true);
Supprimée : user_pref("CT3128284.CTID", "CT3128284");
Supprimée : user_pref("CT3128284.CurrentServerDate", "7-3-2012");
Supprimée : user_pref("CT3128284.DSInstall", false);
Supprimée : user_pref("CT3128284.DialogsAlignMode", "LTR");
Supprimée : user_pref("CT3128284.DialogsGetterLastCheckTime", "Tue Mar 06 2012 13:54:38 GMT+0100");
Supprimée : user_pref("CT3128284.DownloadReferralCookieData", "");
Supprimée : user_pref("CT3128284.EMailNotifierPollDate", "Wed Mar 07 2012 13:32:03 GMT+0100");
Supprimée : user_pref("CT3128284.FirstServerDate", "6-3-2012");
Supprimée : user_pref("CT3128284.FirstTime", true);
Supprimée : user_pref("CT3128284.FirstTimeFF3", true);
Supprimée : user_pref("CT3128284.FixPageNotFoundErrors", true);
Supprimée : user_pref("CT3128284.GroupingServerCheckInterval", 1440);
Supprimée : user_pref("CT3128284.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Supprimée : user_pref("CT3128284.HPInstall", false);
Supprimée : user_pref("CT3128284.HasUserGlobalKeys", true);
Supprimée : user_pref("CT3128284.HomePageProtectorEnabled", false);
Supprimée : user_pref("CT3128284.HomepageBeforeUnload", "hxxp://fr.start3.mozilla.com/firefox?client=firefox-ar[...]
Supprimée : user_pref("CT3128284.Initialize", true);
Supprimée : user_pref("CT3128284.InitializeCommonPrefs", true);
Supprimée : user_pref("CT3128284.InstallationAndCookieDataSentCount", 3);
Supprimée : user_pref("CT3128284.InstallationId", "ct3128284_01net.com.exe");
Supprimée : user_pref("CT3128284.InstallationType", "ConduitXPEIntegration");
Supprimée : user_pref("CT3128284.InstalledDate", "Tue Mar 06 2012 13:54:39 GMT+0100");
Supprimée : user_pref("CT3128284.InvalidateCache", false);
Supprimée : user_pref("CT3128284.IsAlertDBUpdated", true);
Supprimée : user_pref("CT3128284.IsGrouping", false);
Supprimée : user_pref("CT3128284.IsInitSetupIni", true);
Supprimée : user_pref("CT3128284.IsMulticommunity", false);
Supprimée : user_pref("CT3128284.IsOpenThankYouPage", false);
Supprimée : user_pref("CT3128284.IsOpenUninstallPage", true);
Supprimée : user_pref("CT3128284.LanguagePackLastCheckTime", "Tue Mar 06 2012 13:54:41 GMT+0100");
Supprimée : user_pref("CT3128284.LanguagePackReloadIntervalMM", 1440);
Supprimée : user_pref("CT3128284.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Supprimée : user_pref("CT3128284.LastLogin_3.10.0.1", "Wed Mar 07 2012 13:27:03 GMT+0100");
Supprimée : user_pref("CT3128284.LatestVersion", "3.10.0.1");
Supprimée : user_pref("CT3128284.Locale", "fr");
Supprimée : user_pref("CT3128284.MCDetectTooltipHeight", "83");
Supprimée : user_pref("CT3128284.MCDetectTooltipShow", false);
Supprimée : user_pref("CT3128284.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Supprimée : user_pref("CT3128284.MCDetectTooltipWidth", "295");
Supprimée : user_pref("CT3128284.MyStuffEnabledAtInstallation", true);
Supprimée : user_pref("CT3128284.OriginalFirstVersion", "3.10.0.1");
Supprimée : user_pref("CT3128284.RadioIsPodcast", false);
Supprimée : user_pref("CT3128284.RadioLastCheckTime", "Tue Mar 06 2012 13:54:40 GMT+0100");
Supprimée : user_pref("CT3128284.RadioLastUpdateIPServer", "0");
Supprimée : user_pref("CT3128284.RadioLastUpdateServer", "129639550715900000");
Supprimée : user_pref("CT3128284.RadioMediaID", "21983718");
Supprimée : user_pref("CT3128284.RadioMediaType", "Media Player");
Supprimée : user_pref("CT3128284.RadioMenuSelectedID", "EBRadioMenu_CT312828421983718");
Supprimée : user_pref("CT3128284.RadioShrinked", "shrinked");
Supprimée : user_pref("CT3128284.RadioShrinkedFromSetup", true);
Supprimée : user_pref("CT3128284.RadioStationName", "RMC");
Supprimée : user_pref("CT3128284.RadioStationURL", "hxxp://vipicecast.yacast.net/rmc");
Supprimée : user_pref("CT3128284.SHRINK_TOOLBAR", 0);
Supprimée : user_pref("CT3128284.SearchCaption", "01NET.com Customized Web Search");
Supprimée : user_pref("CT3128284.SearchEngineBeforeUnload", "Ask.com");
Supprimée : user_pref("CT3128284.SearchFromAddressBarIsInit", true);
Supprimée : user_pref("CT3128284.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT312[...]
Supprimée : user_pref("CT3128284.SearchInNewTabEnabled", true);
Supprimée : user_pref("CT3128284.SearchInNewTabIntervalMM", 1440);
Supprimée : user_pref("CT3128284.SearchInNewTabLastCheckTime", "Tue Mar 06 2012 13:54:43 GMT+0100");
Supprimée : user_pref("CT3128284.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Supprimée : user_pref("CT3128284.SearchProtectorEnabled", false);
Supprimée : user_pref("CT3128284.SearchProtectorToolbarDisabled", false);
Supprimée : user_pref("CT3128284.SendProtectorDataViaLogin", true);
Supprimée : user_pref("CT3128284.ServiceMapLastCheckTime", "Tue Mar 06 2012 13:54:37 GMT+0100");
Supprimée : user_pref("CT3128284.SettingsLastCheckTime", "Wed Mar 07 2012 13:27:00 GMT+0100");
Supprimée : user_pref("CT3128284.SettingsLastUpdate", "1330596355");
Supprimée : user_pref("CT3128284.TBHomePageUrl", "hxxp://search.conduit.com/?ctid=CT3128284SearchSource=13");
Supprimée : user_pref("CT3128284.ThirdPartyComponentsInterval", 504);
Supprimée : user_pref("CT3128284.ThirdPartyComponentsLastCheck", "Tue Mar 06 2012 13:54:37 GMT+0100");
Supprimée : user_pref("CT3128284.ThirdPartyComponentsLastUpdate", "1255344667");
Supprimée : user_pref("CT3128284.ToolbarShrinkedFromSetup", true);
Supprimée : user_pref("CT3128284.TrusteLinkUrl", "hxxp://trust.conduit.com/CT3128284");
Supprimée : user_pref("CT3128284.TrustedApiDomains", "conduit.com,conduit-hosting.com,conduit-services.com,clien[...]
Supprimée : user_pref("CT3128284.UserID", "UN43733275627516743");
Supprimée : user_pref("CT3128284.ValidationData_Search", 0);
Supprimée : user_pref("CT3128284.ValidationData_Toolbar", 2);
Supprimée : user_pref("CT3128284.WeatherNetwork", "");
Supprimée : user_pref("CT3128284.WeatherPollDate", "Wed Mar 07 2012 13:27:04 GMT+0100");
Supprimée : user_pref("CT3128284.WeatherUnit", "C");
Supprimée : user_pref("CT3128284.alertChannelId", "1524266");
Supprimée : user_pref("CT3128284.approveUntrustedApps", false);
Supprimée : user_pref("CT3128284.autoDisableScopes", -1);
Supprimée : user_pref("CT3128284.backendstorage.3128284a129638404769606799000000paramsgk0", "7B22757064617465526[...]
Supprimée : user_pref("CT3128284.backendstorage.rss_pub_config", "7B2273657474696E6773223A7B2269636F6E223A226874[...]
Supprimée : user_pref("CT3128284.backendstorage.rssapp3128284a129638404769606799000000cat0", "253542253742253232[...]
Supprimée : user_pref("CT3128284.backendstorage.rssapp3128284a129638404769606799000000cat1", "253542253742253232[...]
Supprimée : user_pref("CT3128284.backendstorage.rssapp3128284a129638404769606799000000embeddedversion", "322E342[...]
Supprimée : user_pref("CT3128284.backendstorage.rssapp3128284a129638404769606799000000feedsobj", "25374225323263[...]
Supprimée : user_pref("CT3128284.backendstorage.rssapp3128284a129638404769606799000000lastreporttime", "31333331[...]
Supprimée : user_pref("CT3128284.backendstorage.rssapp3128284a129638404769606799000000newfeeds", "6E657746656564[...]
Supprimée : user_pref("CT3128284.backendstorage.rssapp3128284a129638404769606799000000readitemsarr", "2537422532[...]
Supprimée : user_pref("CT3128284.backendstorage.twitter_v1.8.0_twitter_app_open_t_f", "66616C7365");
Supprimée : user_pref("CT3128284.components.129638405277731807", false);
Supprimée : user_pref("CT3128284.generalConfigFromLogin", "{\"ApiMaxAlerts\":\"12\",\"SocialDomains\":\"social.c[...]
Supprimée : user_pref("CT3128284.globalFirstTimeInfoLastCheckTime", "Tue Mar 06 2012 13:54:39 GMT+0100");
Supprimée : user_pref("CT3128284.homepageProtectorEnableByLogin", true);
Supprimée : user_pref("CT3128284.initDone", true);
Supprimée : user_pref("CT3128284.isAppTrackingManagerOn", true);
Supprimée : user_pref("CT3128284.isFirstRadioInstallation", false);
Supprimée : user_pref("CT3128284.myStuffEnabled", true);
Supprimée : user_pref("CT3128284.myStuffPublihserMinWidth", 400);
Supprimée : user_pref("CT3128284.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERMSearchSourceOr[...]
Supprimée : user_pref("CT3128284.myStuffServiceIntervalMM", 1440);
Supprimée : user_pref("CT3128284.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Supprimée : user_pref("CT3128284.navigateToUrlOnSearch", false);
Supprimée : user_pref("CT3128284.revertSettingsEnabled", true);
Supprimée : user_pref("CT3128284.searchProtectorDialogDelayInSec", 10);
Supprimée : user_pref("CT3128284.searchProtectorEnableByLogin", true);
Supprimée : user_pref("CT3128284.testingCtid", "");
Supprimée : user_pref("CT3128284.toolbarAppMetaDataLastCheckTime", "Tue Mar 06 2012 13:54:38 GMT+0100");
Supprimée : user_pref("CT3128284.toolbarContextMenuLastCheckTime", "Tue Mar 06 2012 13:54:42 GMT+0100");
Supprimée : user_pref("CT3128284.usagesFlag", 2);
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://Settings.toolbar.search.conduit.com/root/CT3128284/CT3128284[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/1524266/1519569/FR", "\"0\"[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT3128284", [...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenAppslo[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherAppsloc[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedAppslo[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbarlocal[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.10[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT3128284",[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=fr", "\"04c[...]
Supprimée : user_pref("CommunityToolbar.LatestLibsPath", "file:///C:\\Users\\herve\\AppData\\Roaming\\Mozilla\\F[...]
Supprimée : user_pref("CommunityToolbar.LatestToolbarVersionInstalled", "3.10.0.1");
Supprimée : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "");
Supprimée : user_pref("CommunityToolbar.ToolbarsList", "CT3128284");
Supprimée : user_pref("CommunityToolbar.ToolbarsList2", "CT3128284");
Supprimée : user_pref("CommunityToolbar.ToolbarsList4", "CT3128284");
Supprimée : user_pref("CommunityToolbar.globalUserId", "ba82706c-a838-48ce-93c1-fa9a8b57044b");
Supprimée : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Supprimée : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Supprimée : user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT3128284");
Supprimée : user_pref("CommunityToolbar.notifications.alertDialogsGetterLastCheckTime", "Tue Mar 06 2012 13:54:4[...]
Supprimée : user_pref("CommunityToolbar.notifications.alertInfoInterval", 1440);
Supprimée : user_pref("CommunityToolbar.notifications.alertInfoLastCheckTime", "Tue Mar 06 2012 14:54:50 GMT+010[...]
Supprimée : user_pref("CommunityToolbar.notifications.clientsServerUrl", "hxxp://alert.client.conduit.com");
Supprimée : user_pref("CommunityToolbar.notifications.locale", "en");
Supprimée : user_pref("CommunityToolbar.notifications.loginIntervalMin", 1440);
Supprimée : user_pref("CommunityToolbar.notifications.loginLastCheckTime", "Tue Mar 06 2012 13:54:37 GMT+0100");
Supprimée : user_pref("CommunityToolbar.notifications.loginLastUpdateTime", "1313487611");
Supprimée : user_pref("CommunityToolbar.notifications.messageShowTimeSec", 20);
Supprimée : user_pref("CommunityToolbar.notifications.servicesServerUrl", "hxxp://alert.services.conduit.com");
Supprimée : user_pref("CommunityToolbar.notifications.showTrayIcon", false);
Supprimée : user_pref("CommunityToolbar.notifications.userCloseIntervalMin", 300);
Supprimée : user_pref("CommunityToolbar.notifications.userId", "b0d70279-ed19-441e-a2fc-49d6eb69a724");
Supprimée : user_pref("CommunityToolbar.originalHomepage", "hxxp://fr.start3.mozilla.com/firefox?client=firefox-[...]
Supprimée : user_pref("CommunityToolbar.originalSearchEngine", "Ask.com");
Supprimée : user_pref("browser.search.selectedEngine", "Ask.com");
Supprimée : user_pref("extensions.foxlingo.addit.defaultAddons", "{ \"software\": {\"20\": {\"id\": \"20\",\"tit[...]
Supprimée : user_pref("extensions.quickstores@quickstores.de.install-event-fired", true);

*************************

AdwCleaner[R1].txt - [17467 octets] - [07/03/2012 13:35:50]
AdwCleaner[R2].txt - [17528 octets] - [07/03/2012 13:36:56]
AdwCleaner[S1].txt - [17659 octets] - [07/03/2012 13:37:11]

########## EOF - C:\AdwCleaner[S1].txt - [17788 octets] ##########

Re: [Résolu] Desinfection

Posté : mer. 7 mars 2012 19:18
par herve66
voici le rapport de AD REMOVER
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.sosvirus.net

C:\Program Files\Ad-Remover\main.exe (CLEAN [3]) - Lancé à 19:11:43 le 07/03/2012, Mode normal

Microsoft Windows 7 Édition Starter Service Pack 1 (X86)
herve@HERVE-PC (Hewlett-Packard HP Mini 210-1000)

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [8.0.1 (fr)] ****

HKLM_MozillaPlugins\Adobe Reader (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)
HKCU_Extensions|mozilla_cc@internetdownloadmanager.com - C:\Users\herve\AppData\Roaming\IDM\idmmzcc5

-- C:\Users\herve\AppData\Roaming\Mozilla\FireFox\Profiles\wl8z4igr.default --
Prefs.js - browser.download.lastDir, C:\\Users\\herve\\Downloads
Prefs.js - browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-arls=org.mozilla:fr:official
Prefs.js - browser.startup.homepage_override.buildID, 20111120135848
Prefs.js - browser.startup.homepage_override.mstone, rv:8.0.1

========================================

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=i ... ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=iear=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=iear=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=iear=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_URLSearchHooks|{8e5025c2-8ea3-430d-80b8-a14151068a6d} (x)
HKCU_Toolbar\WebBrowser|{8E5025C2-8EA3-430D-80B8-A14151068A6D} (x)
HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} ("C:\Program Files\Microsoft\BingBar\BingExt.dll") (x)
HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll)
HKCU_ElevationPolicy\{1902485B-CE75-42C1-BA2D-57E660793D9A} - C:\Program Files\Internet Download Manager\IEMonitor.exe (Tonec Inc.)
HKCU_ElevationPolicy\{E0DACC63-037F-46EE-AC02-E4C7B0FBFEB4} - C:\Program Files\Internet Download Manager\IDMan.exe (Tonec Inc.)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)
HKLM_ElevationPolicy\{08FF730A-494F-4cba-AA0B-E4F1D44715F9} - C:\Program Files\Norton Internet Security\Engine\17.9.0.12\symerr.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{8F03995C-0FA1-4C0F-A7C8-409D50646C8A} - C:\Program Files\01NET.com\01NET.comToolbarHelper.exe (x)
HKLM_ElevationPolicy\{aa851425-0109-43f3-9ed2-7b7090125861} - C:\Program Files\Microsoft\BingBar\BingBar.exe (Microsoft Corporation.)
HKLM_ElevationPolicy\{E0DACC63-037F-46EE-AC02-E4C7B0FBFEB4} - C:\Program Files\Internet Download Manager\IDMan.exe (Tonec Inc.)
HKLM_ElevationPolicy\{FE28BDB1-83EE-4B60-9C24-926EDEA32471} - C:\Users\herve\AppData\Local\Conduit\CT3128284\01NET.comAutoUpdateHelper.exe (x)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
BHO\{0055C089-8582-441B-A0BF-17B458C2A3A8} - "IDM integration (IDMIEHlprObj Class)" (C:\Program Files\Internet Download Manager\IDMIECC.dll)
BHO\{bf00e119-21a3-4fd1-b178-3b8537e75c92} - "IeMonitorBho Class" (C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll)
BHO\{d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "Bing Bar Helper" ("C:\Program Files\Microsoft\BingBar\BingExt.dll") (x)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 07/03/2012 14:12:23 (4624 Octet(s))
C:\Ad-Report-CLEAN[2].txt - 07/03/2012 19:00:30 (4603 Octet(s))
C:\Ad-Report-CLEAN[3].txt - 07/03/2012 19:11:55 (4465 Octet(s))
C:\Ad-Report-SCAN[1].txt - 07/03/2012 13:58:10 (4296 Octet(s))

Fin à: 19:14:26, 07/03/2012

============== E.O.F ==============

Re: [Résolu] Desinfection

Posté : mer. 7 mars 2012 19:36
par herve66
et enfin voici le rapport apres desinfection . rapport apres analise par ZHPDiag
http://pjjoint.malekal.com/files.php?id ... 15k12q5v14

Re: [Résolu] Desinfection

Posté : mer. 7 mars 2012 21:32
par loumax
Bonsoir

Ce script va cibler certains éléments à supprimer :

R3 - URLSearchHook: (no name) - {8e5025c2-8ea3-430d-80b8-a14151068a6d} . (...) (No version) -- (.not file.)
O4 - Global Startup: C:\Users\herve\Desktop\Aller sur MSN.fr.lnk - Clé orpheline
O4 - Global Startup: C:\Users\herve\Desktop\Microsoft® LifeCam VX-2000 - Raccourci.lnk - Clé orpheline
O43 - CFD: 05/03/2012 - 20:30:06 - [0] ----D- C:\ProgramData\gema
O43 - CFD: 05/03/2012 - 20:30:06 - [0] ----D- C:\Users\herve\AppData\Roaming\gema
O43 - CFD: 24/10/2011 - 17:25:16 - [45,266] ----D- C:\ProgramData\{D3B41B92-9BC2-43EB-916A-4FA9E8191837}
O51 - MPSK:{a3cc289b-fa7e-11e0-a491-0ceee6f875d0}\AutoRun\command. (...) -- F:\Setup.exe (.not file.)   
[MD5.4ECA7FA7EDD47EC53DB99DB3F44184CC] [SPRF][05/03/2012] (...) -- C:\Users\herve\AppData\Local\Temp\mor.exe  [172032]
[MD5.B9B46B61C7DFAC4C0ED47B102AAEA142] [SPRF][07/03/2012] (...) -- C:\Users\herve\AppData\Local\Temp\Uninst.bat  [468]
EmptyFlash
EmptyTemp
FirewallRAZ

• Sélectionne le script en entier et copie le (Edition -- Copier)
• Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
• Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
• Clique sur le bouton « GO » pour lancer le nettoyage,
• Copie/colle la totalité du rapport dans ta prochaine réponse

Re: [Résolu] Desinfection

Posté : jeu. 8 mars 2012 12:08
par herve66
voici le rapport après désinfection des ligne que tu ma dit de supprimer par ZHPFIX .question pourquoi j avais encore le programme gema sur l ordinateur alors que je penser lavoir éliminer par roque killer et qu il ne m apparais pas dans les différent scan fait par roque killer et malwerbyte anti malwere?
Rapport de ZHPFix 1.12.3380 par Nicolas Coolman, Update du 05/02/2011
Fichier d'export Registre :
Run by herve at 08/03/2012 11:58:35
Windows 7 Starter Edition, 32-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\herve\AppData\Local\Temp\mor.exe

========== Clé(s) du Registre ==========
SUPPRIME CLSID MPSK: {a3cc289b-fa7e-11e0-a491-0ceee6f875d0}

========== Valeur(s) du Registre ==========
ABSENT URLSearchHook: {8e5025c2-8ea3-430d-80b8-a14151068a6d}
SUPPRIME URLSearchHook: {8e5025c2-8ea3-430d-80b8-a14151068a6d}

========== Dossier(s) ==========
SUPPRIME Folder: C:\ProgramData\gema
SUPPRIME Folder: C:\Users\herve\AppData\Roaming\gema
SUPPRIME Folder: C:\ProgramData\{D3B41B92-9BC2-43EB-916A-4FA9E8191837}

========== Fichier(s) ==========
SUPPRIME File: c:\users\herve\desktop\aller sur msn.fr.lnk
SUPPRIME Reboot c:\users\herve\desktop\microsoft® lifecam vx-2000 - raccourci.lnk
SUPPRIME File*: c:\users\herve\appdata\local\temp\mor.exe
SUPPRIME File: C:\Users\herve\AppData\Local\Temp\Uninst.bat


========== Récapitulatif ==========
1 : Processus mémoire
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
3 : Dossier(s)
4 : Fichier(s)


End of clean in 00mn 06s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 08/03/2012 11:58:35 [1434]

Re: [Résolu] Desinfection

Posté : jeu. 8 mars 2012 13:32
par loumax
Bonjour

voici le rapport après désinfection des ligne que tu ma dit de supprimer par ZHPFIX .question pourquoi j avais encore le programme gema sur l ordinateur alors que je penser lavoir éliminer par roque killer et qu il ne m apparais pas dans les différent scan fait par roque killer et malwerbyte anti malwere?
Il arrive que certains outils ne suppriment pas entièrement une infection et laisse des restes (d'où l’intérêt des diagnostiques) , dans ce cas gema étant un malware récent, RogueKiller à été programmé dans un premier temps pour traiter l'essentiel de l'infection (processus, clés etc...), mais on peut compter sur notre ami Tigzy pour règler cela dans une prochaine mise à jour


Relance ZHPDiag pour une analyse de contrôle, stp (pense à héberger le rapport sur pjjoint).

Re: [Résolu] Desinfection

Posté : jeu. 8 mars 2012 18:49
par herve66
bonsoir voici le rapport de ZHPdiag
http://pjjoint.malekal.com/files.php?id ... p9d14p15h9

Re: [Résolu] Desinfection

Posté : jeu. 8 mars 2012 19:22
par loumax
Tu t'es trompé de rapport, c'est le même que le premier

As-tu fait redémarrer le PC après le passage de ZHPFix ?
Si non, fais un redémarrage.

En attendant le rapport ZHPDiag, on va avancer :

Mises à jour

-Installe la dernière version de Firefox et pour sécuriser un peu plus ce navigateur, installe ces deux extensions :
-Adblock plus
-Wot

-Vérifier si tu dispose de la dernière version d'Adobe Reader 10.1.2 ICI
Avant installation : panneau de configuration -- programmes et fonctionnalités -- cliques sur "Adobe Reader" et sur "supprimer"
Lorsque la désinstallation sera terminée installe la dernière version.

-Vérifie ta version de Java ICI, et suivre les indications.
(désinstaller toutes les anciennes versions, avant d'installer la nouvelle)

*Lire ceci : L'importance de maintenir à jour son PC

Re: [Résolu] Desinfection

Posté : jeu. 8 mars 2012 19:34
par herve66
desoler voici le dernier rapport de zhpdiag
http://pjjoint.malekal.com/files.php?id ... c12z13s8h5
oui j la dernier version de firefox et je vait l installer les 2 extention que tu me parle et verifier mes mise a jour de adobe et java

Re: [Résolu] Desinfection

Posté : jeu. 8 mars 2012 21:45
par loumax
Ce script va cibler certains éléments à supprimer :

• Ouvre ce lien, sélectionne le script en entier et copie le (Edition -- Copier)
• Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
• Clique sur l’icône représentant la lettre H (« coller les lignes Helper »)
• Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
• Clique sur le bouton « GO » pour lancer le nettoyage,
• Copie/colle la totalité du rapport dans ta prochaine réponse

Poste le rapport ZHPFix, on finalisera demain

Re: [Résolu] Desinfection

Posté : ven. 9 mars 2012 12:20
par herve66
bonjour voici le rapport apres suppression
http://pjjoint.malekal.com/files.php?id ... s5n12e7t12

Re: [Résolu] Desinfection

Posté : ven. 9 mars 2012 18:01
par loumax
Bonjour

Comment fonctionne le PC ?

Peux-tu faire une dernière analyse ZHPDiag pour contrôle (héberge le rapport sur pjjoint)

Re: [Résolu] Desinfection

Posté : ven. 9 mars 2012 19:52
par herve66
bonsoir l ordinateur s ouvre plus vite les programme aussi .voici le rapport
http://pjjoint.malekal.com/files.php?id ... v15z5w9j11
merci pour des précieux renseignement .si je te répond pas les jour suivant c que je part en week end prolonger et n aurait pas accee a internet .si il y d autre manip a faire après le scan que je t ais envoyer poste la démarche comme d habitude et des que je revient je fait les manip .s il n il a plus rien a faire sur l ordinateur je te remercie encore de tous tes conseils.

Re: [Résolu] Desinfection

Posté : ven. 9 mars 2012 20:15
par loumax
Re

si je te répond pas les jour suivant c que je part en week end prolonger et n aurait pas accee a internet.Pas de problèmes

1) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau -- Lance le et clique sur Suppression -- quand il aura terminé, clique sur Désinstallation.

2) Optimisation :

* Lance Ccleaner (présent sur ton PC). Clique sur Nettoyeur -- Analyse -- Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. Enfin, Registre -- corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

* Télécharge Defraggler. Installe le puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".

3) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel.

4) Logiciels de protection :
Garde toujours un antivirus (Microsoft security essentials dans ton cas), en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps (sans oublier d'effectuer la mise à jour avant analyse).

5) Prévention :
Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet

6) Précautions :
Fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.

Bonne lecture et bon courage, n'hésite pas à poser des questions en cas de besoin