Cherche us supprimerRésolu/Fermé

Question

Bonjour, 

J'ai un soucis, cherche us est maintenant ma page d'acceuil et je voudrais m'en débarrasser...comment faire?

Voila le lien de mon rapport OLT: http://www.cijoint.fr/cjlink.php?file=cj201102/cijTgoKi4l.txt


Merci par avance

Configuration: Windows XP / Firefox 3.5.16

Xplode · Answer

Bonjour, 

Commence par faire ceci : 

-+-+-+-+-> AD-Remover <-+-+-+-+- 


[x] Télécharge AD-Remover ( de  C_XX ). 

[x] Lance AD-Remover puis choisis l'option " Nettoyer ". 

Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur " 

[x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message 

[x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt 
Xplode - Contributeur sécurité.

Lali_18 · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 08/02/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:32:59 le 10/02/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
christian giraud@LAURA ( ) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\WINDOWS\Downloaded Program Files\Popcaploader.dll
Fichier supprimé: C:\WINDOWS\Downloaded Program Files\Popcaploader.inf
Fichier supprimé: C:\Documents and Settings\christian giraud\Application Data\Mozilla\FireFox\Profiles\5b2k3o7o.default\searchplugins\cherche.xml
Fichier supprimé: C:\Documents and Settings\christian giraud\scriptjava.html
Dossier supprimé: C:\Documents and Settings\christian giraud\Application Data\DesktopIcon
Dossier supprimé: C:\Documents and Settings\christian giraud\Application Data\EoRezo
Dossier supprimé: C:\Program Files\EoRezo
Dossier supprimé: C:\Documents and Settings\christian giraud\Application Data\ItsLabel
Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Kiwee Toolbar2

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\christian giraud\Application Data\Mozilla\FireFox\Profiles\5b2k3o7o.default\Prefs.js --
Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://www.cherche.us/"); 
Ligne supprimée: user_pref("extensions.snipit.askTbInstalled", true); 
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpj... 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
Clé supprimée: HKLM\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé supprimée: HKLM\Software\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Clé supprimée: HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
Clé supprimée: HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Clé supprimée: HKLM\Software\Classes\Interface\{D6094FC6-821F-474C-8D73-C13066CD178D}
Clé supprimée: HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBho
Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBho.1
Clé supprimée: HKLM\Software\ItsLabel
Clé supprimée: HKCU\Software\EoRezo
Clé supprimée: HKCU\Software\ItsLabel
Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.5.16 (fr)] ****

HKLM_MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0 (x)
HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)
Searchplugins\MediaDICO-fr.xml (hxxp://www.dictionnaire-mediadico.com/dictionnaires.asp)
Components\aboutRights.js
Components\aboutRobots.js
Components\aboutCertError.js
Components\aboutPrivateBrowsing.js
Components\aboutSessionRestore.js
Components
sPostUpdateWin.js
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
HKLM_Extensions|{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70} - C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\

-- C:\Documents and Settings\christian giraud\Application Data\Mozilla\FireFox\Profiles\5b2k3o7o.default --
Extensions\barcalculatorc@shree.com.np (Calculator-Bar)
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Extensions\{7a88e876-d715-4503-a7bf-a8eba13ca3f9} (SocialPlus)
Extensions\{bbf8fc30-5280-11db-b0de-0800200c9a66} (HalloFF)
Searchplugins\ustart.xml (?)
Searchplugins\MyStart Search.xml (?)
Prefs.js - browser.download.lastDir, C:\Documents and Settings\christian giraud\Bureau
Prefs.js - browser.search.defaultenginename, MyStart Rechercher
Prefs.js - browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
Prefs.js - browser.search.selectedEngine, Wikipédia (fr)
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.1.16
Prefs.js - privacy.popups.showBrowserMessage, false

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\fk8shqqm.default --
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.0.14

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193} - "google.fr" (hxxp://www.google.fr)
HKCU_Toolbar\ShellBrowser|{0E1230F8-EA50-42A9-983C-D22ABC2EED3B} (x)
HKCU_Toolbar\WebBrowser|{C4069E3A-68F1-403E-B40E-20066696354B} (x)
HKCU_Toolbar\WebBrowser|{EE5D279F-081B-4404-994D-C6B60AAEBA6D} (x)
HKLM_Toolbar|{EE5D279F-081B-4404-994D-C6B60AAEBA6D} (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files\Fichiers communs\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
HKLM_ElevationPolicy\{C8FE2181-CAE7-49EE-9B04-DB7EB4DA544A} - C:\Program Files\Java\jre1.6.0_03\bin\ssvagent.exe (x)
HKLM_Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - "?" (?)
HKLM_Extensions\{d9288080-1baa-4bc4-9cf8-a92d743db949} - "Run IMVU" (C:\Program Files\IMVU\imvu.ico)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{53707962-6F74-2D53-2644-206D7942484F} - "Spybot-S&D IE Protection" (C:\PROGRA~1\SPYBOT~1\SDHelper.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - "EpsonToolBandKicker Class" () (x)

========================================

C:\Program Files\Ad-Remover\Quarantine: 120 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 10/02/2011 (1688 Octet(s)) 

Fin à: 20:34:08, 10/02/2011 
 
============== E.O.F ==============

Xplode · Answer

Re,

Cherche.Us devrait plus t'embêter maintenant.. mais si tu le veux bien on va faire un diagnostic complet du PC ( histoire de voir si t'as pas autre chose.. )

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\ 

[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Parcourir ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

Lali_18 · Answer

Exat plus de cherche us, mille fois merci!!

Voila le lien ZHP:	https://www.cjoint.com/?0ckuUMfxGYI

Xplode · Answer

Bonjour, il reste quelques éléments à supprimer..

-+-+-+-+-> ZHPFix <-+-+-+-+-


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

[x] Copie le texte en gras ci-dessous ( CTRL + C pour copier )


O53 - SMSR:HKLM\...\startupreg\omwas  [Key] . (.Pas de propriétaire - Pas de description.) -- "c:\documents and settings\christian giraud\local settings\application data\omwas.exe 
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://files-mjf.jeuxvideo-flash.com/popcap/popcaploader_v10_fr.cab    
O53 - SMSR:HKLM\...\startupreg\ErrorSafeFree  [Key] . (.Pas de propriétaire - Pas de description.) -- "C:\Program Files\ErrorSafe Free\uers.exe   
O53 - SMSR:HKLM\...\startupreg\Load  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\svchost.exe  
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Acrobat Reader 5.0.lnk . (.Adobe Systems Incorporated.)  -- C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
O51 - MPSK:{0254fc02-e96e-11dd-9a6e-001583c355d4}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\copy.exe (.not file.)
O51 - MPSK:{45eeacf8-3a6b-11de-9ba6-001583c355d4}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\copy.exe (.not file.)
O51 - MPSK:{564a7ab4-ebb5-11dd-9a7a-001583c355d4}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\copy.exe (.not file.)
O51 - MPSK:{5ef4c134-e3fd-11dd-9a5e-001583c355d4}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\copy.exe (.not file.)
O51 - MPSK:{75c2fa16-ec45-11dd-9a7f-001583c355d4}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\copy.exe (.not file.)
O51 - MPSK:{94ed1bb2-19e3-11de-9b30-000b0d0bb124}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\copy.exe (.not file.)
O51 - MPSK:{9b1dd392-e7e2-11dd-9a6b-001583c355d4}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\copy.exe (.not file.)
O51 - MPSK:{a9bba66c-f4a3-11de-9d2c-001583c355d4}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- I:\Toshiba\Launcher\start.exe (.not file.)
O51 - MPSK:{b1afb3f6-e60b-11dd-9a64-001583c355d4}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\copy.exe (.not file.)
O51 - MPSK:{b24d59e6-ed66-11dd-9a85-001583c355d4}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\copy.exe (.not file.)
O51 - MPSK:{eff38708-1885-11de-9b27-001583c355d4}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\.\RECYCLER\RECYCLER\autorun.exe (.not file.)
O51 - MPSK:{f1b60bc3-ea29-11dd-9a70-001583c355d4}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\copy.exe (.not file.)
O4 - HKLM\..\Run: [NokiaMServer] 
O23 - Service:  (navapsvc) 


[x] Lance ZHPFix qui est présent sur ton bureau.

[x] Clique sur le "H" bleu ( Coller les lignes Helper )

[x] Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.

[x] Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok] 

[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

Lali_18 · Answer

https://www.cjoint.com/?0clwcEwiCYY

Xplode · Answer

La désinfection est maintenant terminée, merci de l'avoir suivie jusqu'au bout :) -+-+-+-+-> DelFix <-+-+-+-+- [x] Télécharge DelFix sur ton bureau. [x] Lance le et appuie sur [Suppression] [x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) [x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation]. -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7 -+-+-+-+-> Liens utiles <-+-+-+-+- Ces liens sont en rapport direct avec la sécurité de ton PC. Prends le temps de les lire pour comprendre pourquoi tu as été infecté. - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour? - Les toolbars c'est pas obligatoire

Lali_18 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cij8fvcUjE.txt

Xplode · Answer

Parfait. Je mets ce sujet en résolu.

@+

Lali_18 · Answer

Encore merci!^^
Bonne soirée!

Cherche us supprimer

10 réponses

Newsletters