Aide pour Toolbar, Virus [Résolu]

Bonsoir,

On va regarder cela ensemble.

Télécharge ZHPDiag sur ton bureau :

= = = = =>>>En cliquant ici <<<= = = = = =

Une fois le téléchargement achevé, clique droit sur ZHPDiag.exe et sélectionne "Exécuter en tant qu'administrateur". Suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Clique droit sur le raccourci ZHPDiag sur ton Bureau et sélectionne "Exécuter en tant qu'administrateur" pour le lancer.

/!\ L'outil a créé 2 icônes ZHPDiag et ZHPFix /!\

Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.

Pour transmettre le rapport clique sur ce lien :
http://www.cjoint.com/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page. Copie ce lien dans ta réponse.

Aide en images pour poster un rapport sur cijoint.

Bonjour,

Je n'arrivais pas à aller sur cijoint, je l'ai mis ici : http://security-domain.be/SecurityUpload/index.php/files/get/T3jU9TjOMl/zhpdiag.txt

Merci pour ton aide

Oui, désolé, c'était cjoin.com et non cijoint.fr.
C'est corrigé.

**************

Télécharge AdwCleaner ( d'Xplode ) sur le Bureau.
http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner

Lance le, clique sur [Suppression]puis patiente le temps du scan.
AdwCleaner va alors supprimer les adwares et autres programmes inutiles / PUPs.
Envoie-moi le rapport qui sera généré.

# AdwCleaner v1.407 - Rapport créé le 28/01/2012 à 23:44:49
# Mis à jour le 18/01/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : maman - PC-DE-MAMAN (Administrateur)
# Exécuté depuis : C:\Users\maman\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Dossier Supprimé : C:\Users\maman\AppData\Roaming\Mozilla\Firefox\Profiles\p7nml837.default\extensions\{C9B68337-E93A-44EA-94DC-CB300EC06444}
Dossier Supprimé : C:\Users\maman\AppData\Roaming\Mozilla\Firefox\Profiles\p7nml837.default\extensions\ffxtlbr@babylon.com
Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\TbCommonUtils.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\TbHelper.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4CE516A7-F7AC-4628-B411-8F886DC5733E}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v9.0.1 (fr)

Profil : p7nml837.default
Fichier : C:\Users\maman\AppData\Roaming\Mozilla\Firefox\Profiles\p7nml837.default\prefs.js

Supprimée : user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.babylon.com/web/{searchTerms}?babsrc=browserse[...]
Supprimée : user_pref("browser.search.order.1", "Search the web (Babylon)");
Supprimée : user_pref("keyword.URL", "hxxp://search.babylon.com/?babsrc=KW_def&AF=17284&q=");
Supprimée : user_pref("weboftrust.search.ask.display", "Ask.com Web Search");

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\maman\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée : "host_referral_list": [ 2, [ "hxxp://a.ligatus.com/", [ "hxxp://d.ligatus.com/", 1.91165434322[...]

*************************

AdwCleaner[S1].txt - [3482 octets] - [28/01/2012 23:44:49]

*************************

Dossier Temporaire : 67 dossier(s) et 64 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [3704 octets] ##########

Parfait.

Ensuite, mets à jour MalwareBytes' Anti Malware et fais une analyse complète du PC.
Poste également le rapport généré.

J'avais déjà fait une analyse un peu plus tôt dans la journée avant de te demander de l'aide, je sais pas si cela peut t'aller..

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.27.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
maman :: PC-DE-MAMAN [administrateur]

28/01/2012 16:27:38
mbam-log-2012-01-28 (16-27-38).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 413858
Temps écoulé: 2 heure(s), 51 minute(s), 50 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Ok,
Cela n'a l'air pas trop mal non ?
Il y avait quelques adwares et adwcleaner a bien fait le boulot :-).

Tu peux désinstaller adwcleaner et ZHPDiag :-).

IL reste un logiciel malveillant je pense, il s'ouvre automatiquement au démarrage : "C:\Program Files\Accelerer PC\PCSpeedUp-Start.bat" "C:\Program Files\Accelerer PC" "C:\Program Files\Accelerer PC\PCSpeedUp.xap" PCSU

Une pub intenpestive pour acheter un faux logiciel..

Depuis la liste des logiciels installés dans le panneau de configuration, supprime Accelerer PC.
Il semble présent dans cette liste et supprimable facilement.

Ensuite, redémarrer le PC.
Copie-colle le texte ci dessous dans le bloc-notes (Démarrer > Toius les programmes > Accessoires > Bloc-Notes.

sc stop PCSUService
sc delete PCSUService

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[PCSpeedUp]=-
O4 - Global Startup: C:\Users\maman\Desktop\Accelerer PC.lnk . (...) --
RMDIR "C:\Program Files\Accelerer PC" /S/Q
DEL "C:\Users\maman\Desktop\Accelerer PC.lnk"

Enregistre le fichier ainsi :
Fichier > Enregistrer sous.
Sélectionne le bureau.
Nom du fichier = Crapoulou.bat
Type de fichier > Tous les fichiers


Double clique sur le fichier Crapoulou.bat.

Une fenêtre noire devrait s'ouvrir et se refermer rapidement.
Redémarre et génère un nouveau rapport ZHP Diag.

Voilà le lien : http://cjoint.com/?BADbNG6Dsvx
Merci

Parfait !
As-tu encore des symptômes de ce logiciel ?
Il semble bel et bien parti !

Non en effet, plus aucune trace de ce logiciel !

Parfait.
Tu peux passer à la suppression des outils utilisés.

Je vois que tu as des logiciels d'échange de fichiers via le P2P (peer-to-peer). Je ne sais pas si tu crack des logiciels et cela ne me regarde pas mais je te conseille de lire ce qui suit quelque soit l'utilisation que tu fasses avec ce logiciel.
En plus d'être illégaux, les cracks sont souvent bourrés d'infection (Bagle, rogues par exemple) et certaines très coriaces (Virut, Mabezat par exemple).
Voici le lien d'une vidéo montrant les effets d'une infection Bagle :
http://www.youtube.com/watch?v=nqLoz4XCY60
Je te conseille de lire cet article concernant le danger des cracks (merci à Malekal) :
http://forum.malekal.com/ftopic893.php

AH bon ? Lesquelles ?

Il s'agit de traces de emule, uTorrent, Limewire, FrostWire et BitTorrent :

[HKCU\Software\BitTorrent]
[HKCU\Software\eMule]
[HKLM\Software\LimeWire]
O43 - CFD: 03/04/2011 - 18:56:18 - [0] ----D- C:\Users\maman\AppData\Roaming\FrostWire
O43 - CFD: 31/07/2010 - 13:04:50 - [23,185] ----D- C:\Users\maman\AppData\Roaming\LimeWire
O43 - CFD: 28/07/2010 - 15:04:14 - [0,005] ----D- C:\Users\maman\AppData\Roaming\uTorrent
O43 - CFD: 01/11/2010 - 15:28:38 - [0,030] ----D- C:\Users\maman\AppData\Local\eMule

Ah d'accord, ca fait un moment que je n'es plus ces logiciels c'est pour ca

Oui.

C'est donc tout bon :-).

C'est bon, j'ai supprimé les outils, je pense que c est tout bon. Merci de ton aide

Parfait.
Bonne soire et bonne continuation.