NEFFY ?!!Résolu/Fermé

Question

Bonjour, en essayant de trouvé un problème du au lancement du jeux Rappelz qui se lance plus ...j'ai voulu le désinstallé après ça suis allé voir le dossier du jeux pour le supprimé voila fait j'ai vérifier si tout étais partis et je suis tombé sur NEFFY je l'avais remarqué avent déjà mais je ne savais pas à quoi il servait donc préférais pas le toucher et j'ai remarqué que il étais lier a Rappelz et Street Gear deux jeux de Gpotato dont je joue maintenant j'ai voulu en savoir plus sur ce logiciel sur internet et j'apprends que se serais un virus ou un trojan donc ça ma panique déjà donc je voudrai savoir si c'est bien un virus et comment le retiré de mon pc sans pour autant l'activé complètement au cas où ce serais bien un virus et crame mon pc :/ x)... Aider moi S.V.P. !!


Configuration: Windows 7 / Firefox 4.0

gen-hackman · Accepted Answer

bonjour spybot est à eviter merci


&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Kira-Darkness · Answer

Bon ^^ avant d'aller plus loin tu a essayer Spyboot ou encore malware-byte anti-malware ?

Ensuite est-ce que tu a déjà lancer un scan avec ton anti-virus histoire de voir si il ne sait pas lui même le supprimer dans le meilleure des cas, ou l'isoler histoire qu'il ne crame pas ton pc ^^

Mans94 · Answer

Ouii rien il n'a pas etais repéré mais voila le probleme est resolu qq m'a aidé et voila sinon merci d'avoir repondu aussi vite MERCI MILLE FOIS a+++

Utilisateur anonyme · Answer

Salut Mans94.

Cool, pour "ton problème résolu"

Mais peux-tu expliquer comment tu as fais pour l'éradiquer? 

Ca permettre aux autres personnes ayant le même problème, de voir ta solution :)


Mais bon, sache que même si tu ne vois plus de "NEFFY", il se peut qu'il a changé de place, de nom et qu'il reste encore des traces.


Bref, suis quand même la procédure écrite par Gen-Hackman (salut toi ;) ).

Le connaissant bien, s'il a mis une procédure à suivre, ce n'est pas sans raison :)


Mieux vaut prévenir que guérir :)


SInon, tant pis, cela est à tes risques et périls (enfin, pour ton pc)



Bonne journée à tous

Mans94 · Answer

Oui vous avez raison je vais suivre la solution de Hackman pour le retiré je l'ai juste désinstallé comme tout les autres programmes mais maintenant que j'y pense vous avez pas tort il pourrait bien être toujours la donc je vais posté le rapport et suivre Hackman 
:) Merci

gen-hackman · Answer

salut ok à lire le rapport

Mans94 · Answer

Voici le rapport attendu :)

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:00:16 le 22/04/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium  Service Pack 1 (X64) 
Manu@MAYINGIPEDRO (Acer Aspire M5810) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Users\Manu\AppData\Roaming\Mozilla\FireFox\Profiles\bhlqw86b.default\searchplugins\askcom.xml
Dossier supprimé: C:\Users\Manu\AppData\Roaming\Mozilla\FireFox\Profiles\bhlqw86b.default\conduit
Dossier supprimé: C:\Users\Manu\AppData\Roaming\Mozilla\FireFox\Profiles\bhlqw86b.default\ConduitEngine
Dossier supprimé: C:\Users\Manu\AppData\Roaming\Mozilla\FireFox\Profiles\bhlqw86b.default\extensions\engine@conduit.com
Fichier supprimé: C:\Users\Manu\AppData\Roaming\Mozilla\FireFox\Profiles\bhlqw86b.default\searchplugins\conduit.xml
Dossier supprimé: C:\Users\Manu\AppData\LocalLow\Conduit
Dossier supprimé: C:\Users\Manu\AppData\Roaming\OpenCandy
Dossier supprimé: C:\Users\Manu\AppData\Local\OpenCandy
Dossier supprimé: C:\Users\Manu\AppData\LocalLow\PriceGong
Dossier supprimé: C:\ProgramData\Trymedia

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Manu\AppData\Roaming\Mozilla\FireFox\Profiles\bhlqw86b.default\Prefs.js --
/!\ Impossible d'ouvrir le fichier, nettoyage interrompu /!\
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\PriceGong
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9E51F77E-2810-4A4B-BEE5-25762FBF6869}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [4.0 (fr)] ****

HKLM_MozillaPlugins\@nvidia.com/3DVision (x)
HKLM_MozillaPlugins\@nvidia.com/3DVisionStreaming (x)
Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)
HKLM_Extensions|{3112ca9c-de6d-4884-a869-9855de68056c} - C:\ProgramData\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}
HKLM_Extensions|{B7082FAA-CB62-4872-9106-E42DD88EDE45} - C:\Program Files (x86)\McAfee\SiteAdvisor

-- C:\Users\Manu\AppData\Roaming\Mozilla\FireFox\Profiles\bhlqw86b.default --
Extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} (uTorrentBar_FR Community Toolbar)
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} (Softonic-Eng7 Community Toolbar)
Prefs.js - browser.download.lastDir, C:\Users\Manu\Pictures
Prefs.js - browser.search.defaultenginename, Ask.com
Prefs.js - browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2851639&SearchSource=3&q={searchTerms}
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, about:home
Prefs.js - browser.startup.homepage_override.buildID, 20110318052756
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0
Prefs.js - privacy.popups.showBrowserMessage, false

-- C:\Users\Invité\AppData\Roaming\Mozilla\FireFox\Profiles\mlojyepw.default --
Prefs.js - browser.startup.homepage_override.buildID, 20110318052756
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0

-- C:\Users\MAYINGI PEDRO MIGUEL\AppData\Roaming\Mozilla\FireFox\Profiles\ybmk1pmw.default --
Prefs.js - browser.search.defaultenginename, Google
Prefs.js - browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.15
Prefs.js - browser.search.defaultenginename, Yahoo
Prefs.js - browser.search.selectedEngine, Yahoo
Prefs.js - keyword.URL, hxxp://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=685749&p=

========================================

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - "McAfee SiteAdvisor Toolbar" (c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll)
HKCU_URLSearchHooks|{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} (x)
HKCU_Toolbar\WebBrowser|{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} (x)
HKLM_Toolbar|{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} (c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll)
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)
HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} ("C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll") (x)
HKLM_ElevationPolicy\3736643e-5321-4bd9-8c00-57b2ceaee676 - C:\Program Files (x86)\Softonic-Eng7\Softonic-Eng7ToolbarHelper.exe (x)
HKLM_ElevationPolicy\b832af27-e7d5-41ee-85da-8c08856e47d4 - C:\Program Files (x86)\Softonic-Eng7\Softonic-Eng7ToolbarHelper.exe (x)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{A2D14993-7315-4f91-AD76-20605495ED6C} - C:\Program Files (x86)\ESTsoft\ALUpdate\ALUpExt.exe (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files (x86)\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
HKLM_ElevationPolicy\{aa851425-0109-43f3-9ed2-7b7090125861} - C:\Program Files (x86)\Microsoft\BingBar\BingBar.exe (Microsoft Corporation.)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_ElevationPolicy\{DAABE21E-DB8C-49b8-9511-9E6547ECBC5F} - c:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe (McAfee, Inc.)
HKLM_ElevationPolicy\{F2632B95-A2AD-4283-B49A-34D4802BA647} - C:\Program Files (x86)\ESTsoft\ALUpdate\ALUpdate.exe (x)
BHO\{27B4851A-3207-45A2-B947-BE8AFE6163AB} - "McAfee Phishing Filter" (c:\progra~2\mcafee\msk\mskapbho.dll)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)
BHO\{B164E929-A1B6-4A06-B104-2CD0E90A88FF} - "McAfee SiteAdvisor BHO" (c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll)
BHO\{d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "Bing Bar Helper" ("C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll") (x)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 148 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 22/04/2011 19:00:30 (7591 Octet(s)) 

Fin à: 19:01:16, 22/04/2011 
 
============== E.O.F ==============

gen-hackman · Answer

ben dis donc tes navigateurs sont pourris

desinstalle softonic
utorrentToolbar
Bing Bar

===========================================

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

gen-hackman · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:Services
Bonjour Service

:OTL
IE - HKU\S-1-5-21-705714413-1703736018-53748511-1001\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultengine: "Ask.com"      
FF - prefs.js..browser.search.defaultenginename: "Ask.com"      
FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar_FR Customized Web Search"      
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2851639&SearchSource=3&q={searchTerms}" 
FF - prefs.js..browser.search.order.1: "Ask.com"      
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}:6.0.16 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17  
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}:6.0.19      
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20  
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-705714413-1703736018-53748511-1001\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
O4 - HKU\S-1-5-19\..\RunOnce: [mctadmin]  File not found
O4 - HKU\S-1-5-20\..\RunOnce: [mctadmin]  File not found
O4 - HKU\S-1-5-21-705714413-1703736018-53748511-1005\..\RunOnce: [mctadmin]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) 
O18 - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Reg Error: Key error. File not found
O33 - MountPoints2\{abb1c191-5ac1-11e0-a9ae-00016c70abdb}\Shell - "" = AutoRun      
O33 - MountPoints2\{abb1c191-5ac1-11e0-a9ae-00016c70abdb}\Shell\AutoRun\command - ""  
O33 - MountPoints2\F\Shell - "" = AutoRun      
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\Autorun.exe 


:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"PlayMovie"=-

:Files
C:\a133fae83c327f7a9187      
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA      
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:6C5EC3CD      
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:4D066AD2      
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:93DE1838      
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:5D7E5A8F      
@Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:1D32EC29      
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:ABE89FFE      
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:E3C56885      
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:E1F04E8D      
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:0B9176C0      
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:4CF61E54      
@Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:D1B5B4F1      



:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

gen-hackman · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

gen-hackman · Answer

re

à le lire :)

gen-hackman · Answer

Télécharge SEAF.exe de C_XX 


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) . 

*Une fenêtre va s'ouvrir . 

*Tape NEFFY 

 dans cette fenêtre  

confirme la recherche "aussi" dans le registre et [Entrée]. 

*Patiente pendant la recherche. 

*Une fenêtre avec un log.txt va s'afficher. 

*Copie/colle ce rapport dans ta prochaine réponse. 
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

gen-hackman · Answer

plus aucune trace apparement ^^

gen-hackman · Answer

il etait cracké MOH machin là ?

NEFFY ?!!

14 réponses

Newsletters