FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[norbert.]

bonjour,

après avoir passé adwcleaner et malwarebyte zhpdiag me dit que j'ai encore des espions

que faut-il faire pour les supprimer et plus que ceux-ci revienne ?

merci de votre aide

norbert

[norbert]

J'ai enregistré le rapport de zhpdiag :
http://cjoint.com/?3Atk2t6Cchl

merci

[lilidurhone]

Hello

• Télécharge sur le bureau RogueKiller
• Quitte tous tes programmes en cours
• Sous Vista/Seven , clique droit - lancer en tant qu'administrateur
• Sinon lance simplement RogueKiller.exe
• Patiente pendant le pre-scan, puis clique sur le bouton "Scan"
• Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

[norbert]

ci-dessous le rapport :
merci

RogueKiller V8.8.2 [Jan 17 2014] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : norbert [Droits d'admin]
Mode : Recherche -- Date : 01/19/2014 11:18:05
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 8 ¤¤¤
[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) - TROUVÉ
[HJ POL][PUM] HKCU\[...]\System : DisableRegistryTools (0) - TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) - TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) - TROUVÉ
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorAdmin (0) - TROUVÉ
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) - TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - TROUVÉ

¤¤¤ Tâches planifiées : 1 ¤¤¤
[V2][SUSP PATH] {FE0AE0C0-CC11-43A7-9EEF-A72020317121} : C:\Users\pascale\Desktop\cstub.exe [x] - TROUVÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 08sr.combineads.info # hosts anti-adware / pups
127.0.0.1 08srvr.combineads.info # hosts anti-adware / pups
127.0.0.1 12srvr.combineads.info # hosts anti-adware / pups
127.0.0.1 2010-fr.com # hosts anti-adware / pups
127.0.0.1 2012-new.biz # hosts anti-adware / pups
127.0.0.1 212link.com # hosts anti-adware / pups
127.0.0.1 2319825.ourtoolbar.com # hosts anti-adware / pups
127.0.0.1 24h00business.com # hosts anti-adware / pups
127.0.0.1 a.adorika.net # hosts anti-adware / pups
127.0.0.1 a.ad-sys.com # hosts anti-adware / pups
127.0.0.1 a.daasafterdusk.com # hosts anti-adware / pups
127.0.0.1 ad.adn360.com # hosts anti-adware / pups
127.0.0.1 adeartss.eu # hosts anti-adware / pups
127.0.0.1 adesoeasy.eu # hosts anti-adware / pups
127.0.0.1 adf.girldatesforfree.net # hosts anti-adware / pups
127.0.0.1 adm.soft365.com # hosts anti-adware / pups
127.0.0.1 adomicileavail.googlepages.com # hosts anti-adware / pups
127.0.0.1 ads7.complexadveising.com # hosts anti-adware / pups
127.0.0.1 ads.adplxmd.com # hosts anti-adware / pups
127.0.0.1 ads.aff.co # hosts anti-adware / pups
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) ST9640423AS +++++
--- User ---
[MBR] 24ed44d9f94f2f08cbc8614dad1024cc
[BSP] 2df4e4393ef6efc24351e5bc0934916b : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 256054 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 576829440 | Size: 328824 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ IDE) ST9640423AS +++++
--- User ---
[MBR] 7fdc0a1e01a7296e6e00c2befd417406
[BSP] 6f44708c8643ab65586d227749b13f78 : Empty MBR Code
Partition table:
0 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 16065 | Size: 610470 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :

[lilidurhone]

Bien

• Quitte tous tes programmes en cours
• Sous Vista/Seven , clique droit - lancer en tant qu'administrateur
• Sinon lance simplement RogueKiller.exe
• Patiente pendant le pre-scan, clique sur "Scan"
• Vérifie que tous les éléments sont cochés puis clique sur "Suppression"
• Poste le rapport RKreport.txt présent sur le bureau.

[norbert]

encore des signaures PUP ?
:-(


RogueKiller V8.8.2 [Jan 17 2014] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : norbert [Droits d'admin]
Mode : Suppression -- Date : 01/19/2014 11:46:08
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 8 ¤¤¤
[HJ POL][PUM] HKCU\[...]\System : DisableTaskMgr (0) - SUPPRIMÉ
[HJ POL][PUM] HKCU\[...]\System : DisableRegistryTools (0) - SUPPRIMÉ
[HJ POL][PUM] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) - REMPLACÉ (2)
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) - REMPLACÉ (1)
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorAdmin (0) - REMPLACÉ (2)
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) - REMPLACÉ (1)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - REMPLACÉ (0)

¤¤¤ Tâches planifiées : 1 ¤¤¤
[V2][SUSP PATH] {FE0AE0C0-CC11-43A7-9EEF-A72020317121} : C:\Users\pascale\Desktop\cstub.exe [x] - SUPPRIMÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 08sr.combineads.info # hosts anti-adware / pups
127.0.0.1 08srvr.combineads.info # hosts anti-adware / pups
127.0.0.1 12srvr.combineads.info # hosts anti-adware / pups
127.0.0.1 2010-fr.com # hosts anti-adware / pups
127.0.0.1 2012-new.biz # hosts anti-adware / pups
127.0.0.1 212link.com # hosts anti-adware / pups
127.0.0.1 2319825.ourtoolbar.com # hosts anti-adware / pups
127.0.0.1 24h00business.com # hosts anti-adware / pups
127.0.0.1 a.adorika.net # hosts anti-adware / pups
127.0.0.1 a.ad-sys.com # hosts anti-adware / pups
127.0.0.1 a.daasafterdusk.com # hosts anti-adware / pups
127.0.0.1 ad.adn360.com # hosts anti-adware / pups
127.0.0.1 adeartss.eu # hosts anti-adware / pups
127.0.0.1 adesoeasy.eu # hosts anti-adware / pups
127.0.0.1 adf.girldatesforfree.net # hosts anti-adware / pups
127.0.0.1 adm.soft365.com # hosts anti-adware / pups
127.0.0.1 adomicileavail.googlepages.com # hosts anti-adware / pups
127.0.0.1 ads7.complexadveising.com # hosts anti-adware / pups
127.0.0.1 ads.adplxmd.com # hosts anti-adware / pups
127.0.0.1 ads.aff.co # hosts anti-adware / pups
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) ST9640423AS +++++
--- User ---
[MBR] 24ed44d9f94f2f08cbc8614dad1024cc
[BSP] 2df4e4393ef6efc24351e5bc0934916b : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 256054 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 576829440 | Size: 328824 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ IDE) ST9640423AS +++++
--- User ---
[MBR] 7fdc0a1e01a7296e6e00c2befd417406
[BSP] 6f44708c8643ab65586d227749b13f78 : Empty MBR Code
Partition table:
0 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 16065 | Size: 610470 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :
RKreport[0]_S_01192014_111805.txt

[lilidurhone]

Refais un zhpdiag

[norbert]

---\\ Récapitulatif des détections trouvées sur votre station
~ http://nicolascoolman.webs.com/apps/blo ... ywebsearch   =Adware.MyWebSearch
~ http://nicolascoolman.webs.com/apps/blo ... are-boxore  =Adware.Boxore
~ http://nicolascoolman.webs.com/apps/blo ... ar-babylon  =PUP.Babylon
~ MSI: 3 link(s) detected in 00mn 16s



~ 1609 Legitimates filtered by white list
End of the scan (542 lines in 01mn 04s)(0)


il me semble que ça n'a pas bougé.....

je prend un risque en continuant avezc ces trucs ?

merci

[norbert]

la session qui débouchée sur ces différents scan : mozila ne prend pas en compte la demande de page par défaut ....
Arrrrrggg

vais peut être mettre tous les ordi à la poubelle et interdire à ma femme de faire de l'internet !

[lilidurhone]

Sans rapport il m'est impossible de savoir

[norbert]

http://cjoint.com/?3AtnrfnLyzS

mes excuses
merci de l'aide

[lilidurhone]

Bon

C'est pas un rapport zhpdiag

[norbert]

http://cjoint.com/?3AtnWRWi9JL
  

[lilidurhone]

Attention script personnalisé à ne pas reproduire sur un autre ordinateur risque de plantage !

* Désactive le temps du nettoyage avast(clic droit sur la boule bleuegestion des agentsdésactiver pour 10 minutes)

* Copies uniquement les lignes indiquées en gras ci-dessous dans le presse papier soit le bloc note(tu surlignes avec la souris puis clic droit copier de Script ZHPFix jusqu'à la fin soit sysrestore)

Script ZHPFix
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
G2 - GCE: Preference [User Data\Default] [pflphaooapbgpeakohlggbpidpppgdff] MySearchDial New Tab v.9.4.1.1 (Désactivé) =Adware.MyWebSearch
[MD5.00000000000000000000000000000000] [APT] [{36313F47-361F-41C4-A9DE-22162C375FA6}] (...) -- C:\Users\norbert\Downloads\imindmap6_windows_6.2.1.exe (.not file.) [0]
O87 - FAEL: "{72065031-1BF3-4F91-B949-0DE7443A32EA}" |In - None - P17 - TRUE | .(...) -- C:\Program Files (x86)\Intel Corporation\Intel Wireless Display\WiDiApp.exe (.not file.)
O87 - FAEL: "TCP Query User{E37493F8-C5FE-44CF-BE19-A6D716132D7A}E:\programmation\qtchat\release\qtchat.exe" |In - Public - P6 - TRUE | .(...) -- E:\programmation\qtchat\release\qtchat.exe (.not file.)
O87 - FAEL: "UDP Query User{44823339-CF28-4006-8630-458A16074A94}E:\programmation\qtchat\release\qtchat.exe" |In - Public - P17 - TRUE | .(...) -- E:\programmation\qtchat\release\qtchat.exe (.not file.)
O87 - FAEL: "{204A6AA5-9247-4962-B215-AE31E13E695F}" |In - None - P17 - TRUE | .(...) -- C:\Program Files (x86)\Microsoft Visual Studio 11.0\Common7\IDE\WDExpress.exe (.not file.)
O87 - FAEL: "TCP Query User{6D0D83BF-46DD-4AD9-ADAF-FEFDCBDD8796}C:\program files\hexchat\hexchat.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\hexchat\hexchat.exe (.not file.)
O87 - FAEL: "UDP Query User{35CE3A0D-04E0-4137-BD84-AA59DAD8ACD3}C:\program files\hexchat\hexchat.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\hexchat\hexchat.exe (.not file.)
O87 - FAEL: "{75F7ED18-0511-4362-A6A1-FD4D619DE3ED}" |In - Public - P17 - TRUE | .(...) -- C:\program files\hexchat\hexchat.exe (.not file.)
O87 - FAEL: "{4DA3135C-FE3A-4327-9163-37CEA0209ED3}" |In - Public - P6 - TRUE | .(...) -- C:\program files\hexchat\hexchat.exe (.not file.)
[HKLM\Software\Google\Chrome\Extensions\pflphaooapbgpeakohlggbpidpppgdff] =Adware.MyWebSearch^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\90C64EA18BA25EE488BF80DCF07F2FFD] =Toolbar.Agent
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32] =Toolbar.Bing
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC] =Adware.Boxore^
C:\Users\norbert\AppData\Local\Google\Chrome\User Data\Default\Extensions\pflphaooapbgpeakohlggbpidpppgdff =Adware.MyWebSearch^
C:\Users\norbert\AppData\Local\Temp\GoogleToolbarInstaller1.log =PUP.Babylon
sysrestore



* Lance ZHPFix (icône seringue)en tant qu'administrateur(si tu es sous Vista/7/8)sinon double clique sur l'icône en forme de seringue puis clique sur OK pour continuer.

* Cliques sur importer(Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".)

* Si tu ne vois pas les lignes clic droit dans l'encadré puis coller

* Clique sur le bouton GO pour lancer le nettoyage, et laisse l'outil travailler.

* Zhpfix te proposera de vider la corbeille si tu le souhaites cliques sur oui si tu ne le souhaites pas cliques sur non

* Redémarre le PC et poste le rapport C:\ZHP\ZHPFixReport.txt

[norbert]

Rapport de ZHPFix 2014.1.17.2 par Nicolas Coolman, Update du 17/01/2014
Fichier d'export Registre :
Run by norbert at 19/01/2014 14:06:08
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 01s)

========== Clés du Registre ==========
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\90C64EA18BA25EE488BF80DCF07F2FFD
SUPPRIMÉ: HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32
SUPPRIMÉ:* HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC

========== Valeurs du Registre ==========
SUPPRIMÉ: {72065031-1BF3-4F91-B949-0DE7443A32EA}
SUPPRIMÉ: TCP Query User{E37493F8-C5FE-44CF-BE19-A6D716132D7A}E:\programmation\qtchat\release\qtchat.exe
SUPPRIMÉ: UDP Query User{44823339-CF28-4006-8630-458A16074A94}E:\programmation\qtchat\release\qtchat.exe
SUPPRIMÉ: {204A6AA5-9247-4962-B215-AE31E13E695F}
SUPPRIMÉ: TCP Query User{6D0D83BF-46DD-4AD9-ADAF-FEFDCBDD8796}C:\program files\hexchat\hexchat.exe
SUPPRIMÉ: UDP Query User{35CE3A0D-04E0-4137-BD84-AA59DAD8ACD3}C:\program files\hexchat\hexchat.exe
SUPPRIMÉ: {75F7ED18-0511-4362-A6A1-FD4D619DE3ED}
SUPPRIMÉ: {4DA3135C-FE3A-4327-9163-37CEA0209ED3}

========== Eléments de donnée du Registre ==========
REMPLACÉ Value NoActiveDesktopChanges : Good (0) - Bad (1)

========== Fichiers ==========
SUPPRIMÉ: c:\users\norbert\appdata\local\google\chrome\user data\default\preferences
SUPPRIMÉ: C:\Users\norbert\AppData\Local\Temp\GoogleToolbarInstaller1.log

========== Tache planifiée ==========
SUPPRIMÉ: {36313F47-361F-41C4-A9DE-22162C375FA6}

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
3 : Clés du Registre
8 : Valeurs du Registre
1 : Eléments de donnée du Registre
2 : Fichiers
1 : Tache planifiée
1 : Restauration Système


End of clean in 00mn 29s

========== Chemin de fichier rapport ==========
C:\Users\norbert\AppData\Roaming\ZHP\ZHPFix[R1].txt - 18/01/2014 19:13:31 [639]
C:\Users\norbert\AppData\Roaming\ZHP\ZHPFix[R2].txt - 18/01/2014 19:13:47 [736]
C:\Users\norbert\AppData\Roaming\ZHP\ZHPFix[R3].txt - 18/01/2014 19:14:01 [801]
C:\Users\norbert\AppData\Roaming\ZHP\ZHPFix[R4].txt - 19/01/2014 14:06:10 [2312]


le zhpdiag ne me donne plus de mlessage inquétant ....
par contre 2 questions résiduelles

= sur la session Pascale
- toujours pas la possibilité de changer la page par défaut de mozilla
- avast attend d'abord une confirmation avant de se mettre en place (sur toute les sessions), ce qui compte tenu des différences des différents utilisateurs me parait un peu risqué ?

et comment faire pour vérouiller un poeu le système ?

merci
norbert

[lilidurhone]

sur la session Pascale
- toujours pas la possibilité de changer la page par défaut de mozilla
Tu as un message d'erreur?


avast attend d'abord une confirmation avant de se mettre en place (sur toute les sessions), ce qui compte tenu des différences des différents utilisateurs me parait un peu risqué ?
Tu peux me fournir une capture d'écran?

comment faire pour vérouiller un poeu le système ?
Verrouiller comment? on peut mettre un mot de passe sur chaque session

[norbert]

Dim 19 Jan 2014 - 14:49 Sujet: zhpdiag me trouve Adware.MyWebSearch,Adware.Boxore,PUP.Babylon

Citation :
sur la session Pascale
- toujours pas la possibilité de changer la page par défaut de mozilla

Tu as un message d'erreur?
Non je clique sur ok, vérifie en ré-ouvrant les options que la page par défaut est bien celle demandée, puis ferme mozilla à la réouverture ce n'est pas la page demandée...

Citation :
avast attend d'abord une confirmation avant de se mettre en place (sur toute les sessions), ce qui compte tenu des différences des différents utilisateurs me parait un peu risqué ?
Tu peux me fournir une capture d'écran?
Malheureusement non : c'est le control de compte utilisateur qui attend une réponse à la demande d'avast de modifier les paramètres et tant que cette question n'a eu un oui, avast ne démarre pas sur la session

Citation :
comment faire pour vérouiller un poeu le système ?
Verrouiller comment? on peut mettre un mot de passe sur chaque session Wink
C'est délà le cas ! ......????

[lilidurhone]

Hello

Pour Firefox regarde ici = https://support.mozilla.org/fr/kb/comme ... ge-accueil

Pour avast c'est peut être normal mais je vais me renseigner

Pour le système session limitée?tu ne peux pas plus verrouiller au risque de ne plus pouvoir ouvrir ton ordinateur

[Dori@n]

Où en-est votre problème ?

Deux solutions,

• Votre problème est résolu, dans ce cas pensez à nous en faire part.
• Votre problème est toujours d'actualité, merci de nous renseigner sur ce qui ne va pas, et donner des nouvelles régulièrement.
  
  
  À bientôt sur FEI !

[Dori@n]

Bonjour,

Nous n'avons plus de nouvelle de l'auteur de ce sujet depuis plus de 10 jours. Nous considérons donc ce problème comme résolu ou abandonné par son auteur. La prochaine fois, merci de nous tenir au courant de l'évolution de votre problème, ou à faire un UP régulièrement !

Ce sujet est verrouillé, si vous souhaitez le reprendre, merci de contacter par message privé un membre de l'équipe de modération du forum.

À bientôt sur FEI !