FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
Avatar du membre
par Tonial
#42673
Bonjour,

J'ai quelques soucis pour supprimer le dossier GinyasBrowserCompanion, l'éxecutable tbhcn fait de la résistance!

Comme j'ai pu le voir ici: http://www.forum-entraide-informatique. ... -companion, je ne suis pas le premier dans ce cas. J'ai donc suivi la procédure indiquée et voici le lien du document obtenu via ZHPdiag: http://pjjoint.malekal.com/files.php?id ... 8v10j10t13

Pour information je suis sous windows vista et j'utilise google chrome.

Merci d'avance pour toute information susceptible de m'aider et bonne journée!
par roro04
#42855
Salut !

On va rechercher si des adwares sont présants sur ton PC
  • Télécharges AdwCleaner (de Xplode) sur ton bureau.
  • Lance-le (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
  • Clique sur Suppression
  • Patiente le temps du scan.
  • Poste le rapport qui apparait à la fin.
  • Clique sur Quitter

Ensuite refais un ZHPDiag.

++
Avatar du membre
par Tonial
#42894
Salut Roro!

Alors j'ai suivi tes conseils, voici le scan adwcleaner: http://cjoint.com/?0ClmoHiSMly
et ensuite le ZHPdiag: http://pjjoint.malekal.com/files.php?id ... 14x12e67k5
Entre nous, ça m'étonnerait franchement pas de trouver tout un tas de saletés sur ce pc l'ayant partagé pendant un moment, reste à savoir comment les détecter et m'en débarrasser!

Merci de ta réponse en tout cas
par roro04
#42903
Salut !

On va supprimer quelques lignes manuellement
/!\ Le script proposé ci-dessous n'est valable que pour l'helpé en cours /!\
  • Clique sur l'icône ZHPFix présente sur ton bureau. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
  • Copie le texte en gras ci-dessous.

    [MD5.59727297D6A30FC41E0427FFB1FD72F8] - (.Systweak - Advanced System Protector.) -- C:\Program Files (x86)\Advanced System Protector\AdvancedSystemProtector.exe [6399344] [PID.3892]
    M2 - MFEP: prefs.js [Tonio - 0\bbrs_002@blabbers.com] [] Ginyas Browser Companion v1.0.5 (.Blabbers Communications Ltd.)
    O2 - BHO: (no name) [64Bits] - {9D717F81-9148-4f12-8568-69135F087DB0} Clé orpheline
    [MD5.00000000000000000000000000000000] [APT] [Advanced System Protector] (...) -- C:\Program Files (x86)\RegClean Pro\SystweakASP.exe (.not file.)
    [MD5.59727297D6A30FC41E0427FFB1FD72F8] [APT] [Advanced System Protector_startup] (.Systweak.) -- C:\Program Files (x86)\Advanced System Protector\AdvancedSystemProtector.exe
    O43 - CFD: 14/09/2012 - 12:18:37 - [0] ----D C:\Program Files (x86)\1ClickDownload
    O43 - CFD: 06/03/2013 - 20:10:37 - [18,180] ----D C:\Program Files (x86)\Advanced System Protector
    O43 - CFD: 21/02/2013 - 14:52:11 - [1,168] ----D C:\Program Files (x86)\BrowserCompanion
    O43 - CFD: 12/06/2012 - 13:26:57 - [13,578] ----D C:\Program Files (x86)\Searchqu Toolbar
    O43 - CFD: 21/06/2012 - 12:12:02 - [0] ----D C:\Program Files (x86)\Yontoo
    O43 - CFD: 07/03/2013 - 14:52:00 - [0,563] ----D C:\ProgramData\GinyasBrowserCompanion
    O43 - CFD: 14/09/2012 - 12:00:04 - [0,002] ----D C:\ProgramData\IBUpdaterService
    O51 - MPSK:{eb6f67d0-9b08-11e1-a9ef-806e6f6e6963}\AutoRun\command. (...) -- D:\Run.exe (.not file.)
    O87 - FAEL: "{75A987A5-8067-41CD-B589-C2C792E27AC2}" | In - Private - P6 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files (x86)\Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe
    O87 - FAEL: "{06AE4786-A90D-4BAF-B170-E66E13C455DA}" | In - Private - P17 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files (x86)\Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe
    [HKLM\Software\Classes\AppID\{186E19A3-B909-4F48-B687-BB81EB8BC7CE}]
    [HKLM\Software\Wow6432Node\Classes\AppID\{186E19A3-B909-4F48-B687-BB81EB8BC7CE}]
    [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4F12-8568-69135F087DB0}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\75D5168E5E176C24981B4E5DBD991078]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F754C503375A13344B22388E18DFE87E]
    C:\Program Files (x86)\yontoo
    C:\Program Files (x86)\BrowserCompanion
    C:\Program Files (x86)\Searchqu Toolbar
    C:\ProgramData\IBUpdaterService
    C:\ProgramData\GinyasBrowserCompanion
    O87 - FAEL: "TCP Query User{9B9D6FFB-2C45-40FD-8831-CD61C71BF1FB}C:\users\tonio\downloads\gunblade-fr-dlm.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\tonio\downloads\gunblade-fr-dlm.exe (.not file.)
    O87 - FAEL: "UDP Query User{4A9FBC97-F984-43EE-BDDB-AC1ED27520D5}C:\users\tonio\downloads\gunblade-fr-dlm.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\tonio\downloads\gunblade-fr-dlm.exe (.not file.)
    P2 - FPN: [HKCU] [pandonetworks.com/PandoWebPlugin] - (.Pando Networks - Pando Web Plugin.) -- C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll
    R3 - URLSearchHook: (no name) [64Bits] - {6d94116c-03d4-4c6d-9f0f-6697a376d421} . (...) (No version) -- (.not file.)
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536]
    O23 - Service: (vToolbarUpdater14.2.0) . (.Pas de propriétaire - ToolbarU Application.) - C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe
    [HKCU\Software\AVG Secure Search]
    O43 - CFD: 18/02/2013 - 15:23:53 - [20,949] ----D C:\Program Files (x86)\AVG Secure Search
    O43 - CFD: 12/05/2012 - 02:38:25 - [0,609] ----D C:\Program Files (x86)\Conduit
    O43 - CFD: 01/11/2012 - 23:08:34 - [0,000] ----D C:\Program Files (x86)\OApps
    O43 - CFD: 21/01/2013 - 22:25:45 - [35,397] ----D C:\Program Files (x86)\Common Files\AVG Secure Search
    O43 - CFD: 11/03/2013 - 12:11:00 - [0,797] ----D C:\ProgramData\AVG Secure Search
    O43 - CFD: 14/09/2012 - 12:21:27 - [1,633] ----D C:\ProgramData\Tarma Installer
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
    [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
    [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
    [HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
    C:\Program Files (x86)\AVG Secure Search
    C:\Program Files (x86)\Conduit
    C:\Program Files (x86)\OApps
    C:\Program Files (x86)\Common Files\AVG Secure Search
    C:\ProgramData\AVG Secure Search
    SR - | Auto 968880 | (vToolbarUpdater14.2.0) . (...) - C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe
  • Clique sur l'icone Image (Coller le presse papier)
  • Clique sur Go.
  • Poste le rapport qui s'affiche.

Ensuite refais un ZHPDiag.

Bonne soirée
++
par roro04
#42948
Re,

Du mieux au niveau des symptômes ?

Relance ZHPFix et fixe les lignes en gras ci-dessous :

[HKLM\Software\Wow6432Node\AVG Secure Search]
O43 - CFD: 12/03/2013 - 04:06:41 - [1,098] ----D C:\Program Files (x86)\AVG Secure Search
O43 - CFD: 12/03/2013 - 04:06:44 - [0,692] ----D C:\Program Files (x86)\Common Files\AVG Secure Search
O43 - CFD: 11/03/2013 - 18:42:49 - [0,686] ----D C:\Users\Tonio\AppData\Local\AVG Secure Search
C:\Program Files (x86)\AVG Secure Search
C:\Program Files (x86)\Common Files\AVG Secure Search
C:\Users\Tonio\AppData\Local\AVG Secure Search
[MD5.1FFB2EBE1F95C5E5AEC1512EA686049C] [SPRF][28/10/2012] (...) -- C:\Users\Tonio\AppData\LocalLow\dt.dat [27520]
O43 - CFD: 18/07/2012 - 19:34:10 - [0,465] ----D C:\Program Files (x86)\SSearch
MD5.86F4A155854BF52631354AB8D63578F9] [APT] [{DAB56A61-EFBD-49A0-A544-DD4E49662B25}] (.Macrovision Corporation.) -- C:\Program Files (x86)\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe


--------------------------------------------------------------------------------------------------------------------



Ensuite



On va faire un scan généraliste de ton PC
  • Télécharges Malwarebytes sur ton bureau.
  • Lance le. Laisse les options par défaut lors de l'installation. A la fin, il va se mettre à jour, laisse-le faire.
  • Branche toutes tes sources de données externes à ton PC. (Clés USB...)
  • Rends-toi dans l'onglet Recherche, clique sur Exécuter un examen complet puis clique sur Rechercher.
  • Sélectionnes tes disques durs et disques amovibles puis clique sur Rechercher
  • A la fin du scan, un rapport s'ouvre. Clique sur Fichier puis sur Enregistrer sous. Clique sur Bureau et met le nom Malwarebytes.
  • Si MalwareBytes détecte des infections, clique sur Afficher les résultats, puis sur Supprimer la sélection.
  • Si Malwarebytes te demande de redémarrer ton pc, clique sur Oui.
  • Poste le rapport.

    !!! Ne pas vider la quarantaine de MBAM sans avis !!!

    Tuto pour t'aider Ici
Ensuite

Refais un ZHPDiag.

Bonne journée
++
Avatar du membre
par Tonial
#43097
Effectivement, c'est déjà mieux! Beaucoup moins de pop-up et de conneries du genre.

Je ne sais pas si c'est très utile mais voila déja le lien du rapport de ZHPfix: http://cjoint.com/?CCqqmDTPdds
Je n'ai détecté aucune infection via Malwarebytes, rapport a suivre: http://cjoint.com/?CCqqppuMNmV
Et pour finir le résultat du diagnostic : http://cjoint.com/?CCqqsIMrMsl

A moins que tu trouves quelque chose de suspect dans tout ça, je pense que ca devrait faire l'affaire.
Merci beaucoup pour le coup de main en tout cas!
par roro04
#43122
Salut !

On en a pas fini pour autant.

Passe à nouveau les lignes en gras ci-dessous avec ZHPFix.
O2 - BHO: (no name) [64Bits] - {9D717F81-9148-4f12-8568-69135F087DB0} Clé orpheline
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4F12-8568-69135F087DB0}]
[HKCU\Software\AVG Secure Search]
O87 - FAEL: "TCP Query User{9B9D6FFB-2C45-40FD-8831-CD61C71BF1FB}C:\users\tonio\downloads\gunblade-fr-dlm.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\tonio\downloads\gunblade-fr-dlm.exe (.not file.)
O87 - FAEL: "UDP Query User{4A9FBC97-F984-43EE-BDDB-AC1ED27520D5}C:\users\tonio\downloads\gunblade-fr-dlm.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\tonio\downloads\gunblade-fr-dlm.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{F8370264-C82F-4DA4-A18F-0AFB668C2AF2}] (...) -- C:\Users\Tonio\Downloads\vuze_vuze_4.7.0.0_francais_11926.exe (.not file.)


Désinstalle Spybot qui est obsolète Refais un ZHPDiag
Après on pourra finaliser

Bonne journée
++
par roro04
#43751
Image Bonjour,

Nous n'avons plus de nouvelle de l'auteur de ce sujet depuis plus d'une semaine Nous considérons donc ce problème comme résolu ou abandonné par son auteur. La prochaine fois, merci de nous tenir au courant de l'évolution de votre problème, ou à faire un UP régulièrement !

Ce sujet est verrouillé, si vous souhaitez le reprendre, merci de contacter par message privé un membre de l'équipe de modération du forum.

À bientôt sur FEI !

Bonjour, Est-ce que l'un d'entre vous aurait un &[…]

Gestion des Pare-feu.

Bonjour, J'ai un petit réseau de 3 PC conn[…]

Hi all members

Hello. As far as I know, tomb of the mask is an […]

Configurez la redirection de port sur votre Freebo[…]