n10.adshostnet.com et proxys qui ne s'enlèvent pasRésolu/Fermé

Question

Bonjour,

C'est vraiment un truc immonde que ce n10.adshotsnet.

J'utilise Explorer. Chaque fois que je consulte une nouvelle page Web, c'est une pub générée par le n10.adshotsnet qui apparaît. Faut enlever la pub puis cliquer ne nouveau sur la page désirée pour pouvoir la consulter. 

J'ai donc tenté d'enlever le truc en suivant votre procédure de désinfection des adwares.

Première constatation, impossible d'enlever le Serveur proxy. Quand je décoche Serveur proxy, il semble que le serveur proxy redevient coché automatiquement dès que j'ai cliqué sur OK  (du moins c'est ce que je constate quand je clique de nouveau sur Paramètres réseau).

Je suis arrivé à télécharger AdwCleaner, ce qui a donné les résultats suivants:
 https://pjjoint.malekal.com/files.php?id=20141027_z13j5y6i115

J'ai refait un nouveau scan AdwCleaner : https://pjjoint.malekal.com/files.php?id=20141027_c15h6b9k9f11

J'ai fait un scan avec Malwarebytes

J'ai réinitialisé les navigateurs.

J'ai fait un scan OTL: https://pjjoint.malekal.com/files.php?id=OTL_20141027_n12t13s14m11t6

Les fenêtres intempestives apparaissent toujours.

Merci à l'avance pour votre aide.

Utilisateur anonyme · Answer

bonjour, Télécharge et enregistre Zhpcleaner sur ton bureau : https://nicolascoolman.eu [*] Fais un clique droit dessus, lance le en tant qu'administrateur ! [*] Accepte le contrat de licence d'utilisation finale (CLUF), [*] Clique sur "réparation" [*] Clique sur rapport (normalement le rapport s'affiche) [*] Enregistre le rapport sur ton bureau [*] Héberge son rapport de modification qui se trouve sur le Bureau : https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum Note : - Cet outil ne nécessite pas d'installation ! - Le rapport se trouve également dans ce répertoire "%AppData%".

greggig · Answer

Bonsoir et merci pour l'aide proposée.

Voici le lien demandé: https://www.cjoint.com/?DJCa4xYUFp4

La première chose qu'on m'a demandé avant que commence le scan c'est si j'avais installé le proxy 127.0.0.1:13763. J'ai répondu non.

Merci encore.

Utilisateur anonyme · Answer

ok,

*  Télécharge et enregistre ZHPDiag sur ton bureau : 

https://nicolascoolman.eu

ou :

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/



* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

=> L'icône est sous forme de parchemin. 

* Clique sur « complet » 

* Laisse travailler l'outil, même s'il semble bloqué ! 

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur :
https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum  


tuto zhpdiag : 

https://nicolascoolman.eu

greggig · Answer

C'est fait: https://www.cjoint.com/?DJCnjpxqasF 

Merci.

Utilisateur anonyme · Answer

désinstalle McAfee Security Scan Plus



* /!\ Avertissement /!\, 
* ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage ! 

* Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue. 

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur » 

Clique sur « importer » 

Tu vas voir apparaitre un message d'avertissement, clique sur Ok. 


* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix : 
--------------------------------------------------------- 

Script Zhpfix
[HKCU\Software\MCAFEE]
O43 - CFD: 2014-03-13 - 19:52:06 - [] ----D C:\ProgramData\McAfee
O3 - Toolbar: (no name) - [HKLM]{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} Clé orpheline    
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>;*origin.com;*ea.com;*akamaihd.net
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:18560
[HKLM\Software\RST]
[HKLM\Software\Wow6432Node\Pirrit Solutions]
[HKLM\Software\Wow6432Node\RST]
[HKLM\Software\Wow6432Node\SI-App]
C:\Users\Utilisateur\AppData\Local\Temp\GoogleToolbarInstaller1.log
C:\Users\Utilisateur\AppData\Local\Temp\GoogleToolbarInstaller2.log
Proxyfix
EmptyPrefetch
ShortcutFix 
Emptytemp 
EmptyClsid 




---------------------------------------------------------- 
- Clique sur le bouton « GO » pour lancer le nettoyage, 
- confirme le nettoyage 
- Héberge le rapport ZHPFIX.txt sur 
https://www.cjoint.com/

puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. 




Tuto en bas de cette page : 
https://nicolascoolman.eu

greggig · Answer

Voici le lien: https://www.cjoint.com/?DJCqJvhqDeQ

Les fenêtres intempestives apparaissent toujours. Mais je n'ai pas redémarré l'ordi encore. Je vais le faire tout de suite après cet envoi.

Utilisateur anonyme · Answer

redémarre pour voir !

greggig · Answer

Malheureusement, le problème est encore là. Pire encore, il me nargue en me proposant comme pub "l'analyse gratuite de Windows 7".

Utilisateur anonyme · Answer

ces pub sont comment ?

quand tu ouvres ton navigateur, ça s'ouvre sur une nouvelle page ou c'est intégrée à la page que tu visionnes ?

greggig · Answer

Je prends comme exemple ce qui vient de se produire:
J'ouvre Explorer, qui se rend directement sur la page de Google.com

Je tape Comment ça marche? pour me rendre sur ce site. Jusque-là, pas de problème.

Je clique sur le lien menant à cette série de messages. Un nouvel écran apparaît aussitôt avec l'adresse n10.adshotnet.com, suivi aussitôt de la pub. 

Je constate que la fenêtre intempestive apparaît lorsque je navigue à l'intérieur d'un site.

Utilisateur anonyme · Answer

ok, on va essayer de réinitialiser ta DNS ! Vas dans le menu démarre, puis exécuter, à l'invite de commande, taper : netsh int ip reset all puis entrée puis cette commande: netsh winsock reset entrée Puis redémarrer le pc essaie pour voir ! Note : si la pub est intégrée à la page de navigation, c'est un peu normal, par contre, si tu as de nouveau un détournement, fais le moi savoir ! O.o°* ???Respire à fond, Rédiges ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

greggig · Answer

Pas de changement.

Par contre, j'ai noté ceci:

Une première fenêtre s'ouvre pendant moins d'une seconde (service.best_download.org/ads/poprig.php)

Puis une deuxième, la fameuse N10.adshost.net, suivi par la pub.

Ces fenêtres s'ouvrent lorsqu'un clique un lien à l'intérieur d'un site. Pas quand on passe d'un site à l'autre.

Utilisateur anonyme · Answer

ces pub, tu les as sur tous les sites ou seulement ceux que tu visites ?

greggig · Answer

Si je passe d'un site à l'autre, elles n'apparaissent pas. C'est en naviguant à l'intérieur d'un même site que ça se complique. Par exemple, je consulte la météo. Page d'accueil, pas de problème. Je clique sur Ma région, un popup s'ouvre.

Utilisateur anonyme · Answer

ceci est intégré au site et on ne peut rien, pour Firefox, tu peux installer Adbloc pour les bloquer !

 
à lire avant de lancer l'installation de MBAM :

Attention, à l'installation décoche la case « activer l'essai gratuit de Malawarybyte anti malware »
 
ceci correspond à une version d'essai qui ne dure que 15 jours en fonctionnant comme un antivirus, donc risque de conflit avec ton antivirus existant sur le pc !



Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

ou :

https://fr.malwarebytes.com/mwb-download/
ou :

https://fr.malwarebytes.com/mwb-download/?gclid=CPqbs6_Trb0CFcfKtAodJFoANw
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Si tu l'as déjà sur ton pc, il est inutile de le retélécharger, mais il est conseillé de désinstaller ton ancienne version (1,75) pour installer la dernière ! 
	


/!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.

Dans l'onglet paramètres, choisis la langue souhaitée
 
. Dans l'onglet « tableau de bord, vérifie bien que ta version soit à jour 

. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminée

Dans l'onglet "examen", coche la case "Examen personnalisé",  puis examiner maintenant, 

Sélectionne "recherche de rootkit", puis la partition ou le disque sur le quel est installé Windows (C: par exemple)

puis sur "lancer l'examen"

. Le scan démarre.

il va durer un certain temps, donc laisse le faire.
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen terminé avec succès.

Normalement, les infections trouvées sont déplacées automatiquement dans la quarantaine.

Clique sur voir le journal détaillé,
Puis exporter, enregistre son rapport en format .txt sur ton bureau,

Héberge-le sur Cjoint et copie et colle son lien sur ton prochain message.

greggig · Answer

Voici le rapport: https://www.cjoint.com/?DJEdPL7qo98

Il n'a trouvé qu'un truc mineur.

adshostnet est encore plus envahissant qu'avant. 

Ailleurs sur le Web, on propose d'enlever les dossiers malveillants dans le Gestionnaire de tâches de Windows, onglet processus. J'ai regardé la liste de mes processus et j'en ai trouvé un douteux, mais comme je ne suis pas spécialiste, je ne l'ai pas enlevé. Son nom est:

CompilerCopyDefault, créé le 15 octobre, pas de copyright. En voici le chemin:
C:user/utilisateur/AppData/Local/FunctionGam

Devrais-je enlever ce truc?

Aussi, en faisant "msconfig", onglet "services", il y a deux trucs d'origine "inconnue"..

DatabaseDeckFinder
FunctionGammaRaw.exe

je ne sais pas si ces infos peuvent aider. Le truc semble bien caché.

Merci de votre persistance.

greggig · Answer

J'y pense. Demain je vais faire une restauration du système à une date antérieure après avoir fait quelques sauvegardes.

Utilisateur anonyme · Answer

j'ai déjà vu ces programmes, mais je pensais que c'était ceux que tu utilisais !

je les ai croisé sur un rapport de Zhpdiag !

ils se lancent au démarrage du pc !

si tu ne les connais pas, il est possible de les virer : 

il me faudrait un nouveau rapport de Zhpdiag !

greggig · Answer

Bonjour Nicolas,

Le voici:

https://www.cjoint.com/?DJEoM0rmdaL

Utilisateur anonyme · Answer

le proxy est de retours !

*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 


/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

/!\Utilisateur de Vista, W7 et W8 : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

greggig · Answer

Voici le rapport, puis en prenant le chemin pour te répondre, aucune fenêtre intempestive n'est apparue.

ComboFix 14-10-29.01 - Utilisateur 2014-10-30  13:57:45.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.1.1036.18.6019.4546 [GMT -4:00]
Lancé depuis: c:\users\Utilisateur\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {641105E6-77ED-3F35-A304-765193BCB75F}
SP: Microsoft Security Essentials *Disabled/Updated* {DF70E402-51D7-30BB-99B4-4D23E83BFDE2}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\SysWow64\DEBUG.log
c:\windows	mp
c:\windows	mp\dd_vcredistMSI3D15.txt
c:\windows	mp\dd_vcredistMSI7B93.txt
c:\windows	mp\dd_vcredistUI3D15.txt
c:\windows	mp\dd_vcredistUI7B93.txt
c:\windows	mp\fonts\fontdb
c:\windows	mp\qtsingleapp-koboex-7d5-1-lockfile
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2014-09-28 au 2014-10-30  ))))))))))))))))))))))))))))))))))))
.
.
2014-10-30 18:02 . 2014-10-30 18:02	--------	d-----w-	c:\users\Default\AppData\Local	emp
2014-10-29 17:18 . 2014-10-14 19:59	11627712	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{C070E98A-42B8-4F06-885E-862F2ED690A7}\mpengine.dll
2014-10-28 17:12 . 2014-10-14 19:59	11627712	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2014-10-27 03:01 . 2014-10-27 03:01	512	----a-w-	C:\PhysicalMBR.bin
2014-10-27 02:03 . 2014-10-27 02:03	--------	d-----w-	c:\users\Utilisateur\AppData\Local\CheckCode
2014-10-27 00:10 . 2014-10-30 00:01	129752	----a-w-	c:\windows\system32\drivers\MBAMSwissArmy.sys
2014-10-27 00:09 . 2014-10-27 00:09	--------	d-----w-	c:\program files (x86)\Malwarebytes Anti-Malware
2014-10-27 00:09 . 2014-10-27 00:09	--------	d-----w-	c:\programdata\Malwarebytes
2014-10-27 00:09 . 2014-10-01 15:11	63704	----a-w-	c:\windows\system32\drivers\mwac.sys
2014-10-27 00:09 . 2014-10-01 15:11	93400	----a-w-	c:\windows\system32\drivers\mbamchameleon.sys
2014-10-27 00:09 . 2014-10-01 15:11	25816	----a-w-	c:\windows\system32\drivers\mbam.sys
2014-10-26 23:35 . 2014-10-27 01:58	--------	d-----w-	C:\AdwCleaner
2014-10-26 13:01 . 2014-10-30 13:28	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2014-10-26 12:58 . 2014-10-30 13:26	--------	d-----w-	c:\users\Utilisateur\AppData\Roaming\ZHP
2014-10-26 12:58 . 2014-10-28 11:57	--------	d-----w-	c:\program files (x86)\ZHPDiag
2014-10-15 15:30 . 2014-10-15 15:30	--------	d-----w-	c:\windows\SysWow64\DatabaseDockFinder
2014-10-15 15:30 . 2014-10-18 12:17	--------	d-----w-	c:\users\Utilisateur\AppData\Local\FunctionGammaRaw
2014-10-15 09:51 . 2014-08-19 03:08	63488	----a-w-	c:\windows\system32\setbcdlocale.dll
2014-10-15 09:50 . 2014-09-18 02:00	3241472	----a-w-	c:\windows\system32\msi.dll
2014-10-15 09:50 . 2014-09-18 01:32	2363904	----a-w-	c:\windows\SysWow64\msi.dll
2014-10-15 09:50 . 2014-09-04 05:23	424448	----a-w-	c:\windows\system32astls.dll
2014-10-15 09:50 . 2014-09-04 05:04	372736	----a-w-	c:\windows\SysWow64astls.dll
2014-10-01 15:09 . 2014-09-16 15:30	1188440	------w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{3AA90D5A-8B16-46EA-8A97-6CD2D2734D73}\gapaengine.dll
2014-10-01 13:12 . 2014-09-25 02:08	371712	----a-w-	c:\windows\system32\qdvd.dll
2014-10-01 13:12 . 2014-09-25 01:40	519680	----a-w-	c:\windows\SysWow64\qdvd.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-10-16 12:28 . 2014-03-06 01:02	71344	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2014-10-16 12:28 . 2014-03-06 01:02	701104	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2014-10-16 12:01 . 2014-03-02 19:43	103265616	----a-w-	c:\windows\system32\MRT.exe
2014-09-22 06:42 . 2010-11-21 03:27	278152	------w-	c:\windows\system32\MpSigStub.exe
2014-09-16 15:30 . 2014-05-14 11:44	1188440	------w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2014-09-09 22:11 . 2014-09-23 17:21	2048	----a-w-	c:\windows\system32	zres.dll
2014-09-09 21:47 . 2014-09-23 17:21	2048	----a-w-	c:\windows\SysWow64	zres.dll
2014-08-23 02:07 . 2014-08-28 12:40	404480	----a-w-	c:\windows\system32\gdi32.dll
2014-08-23 01:45 . 2014-08-28 12:40	311808	----a-w-	c:\windows\SysWow64\gdi32.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09	131248	----a-w-	c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09	131248	----a-w-	c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09	131248	----a-w-	c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09	131248	----a-w-	c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellSystemDetect"="c:\users\Utilisateur\AppData\Local\Apps\2.0\C7BOT9MG.W16\OXVP1XL5.V5L\dell..tion_0f612f649c4a10af_0005.0005_9914611622934cec\DellSystemDetect.exe" [2014-03-02 253952]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"USB3MON"="c:\program files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [2013-02-23 292088]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2014-08-21 959176]
"RemoteControl10"="c:\program files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe" [2010-02-03 87336]
"BDRegion"="c:\program files (x86)\Cyberlink\Shared files\brs.exe" [2010-03-13 75048]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe;c:\windows\SYSNATIVE\IEEtwCollector.exe [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys;c:\windows\SYSNATIVE\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [x]
R3 RTL8168;Realtek 8168 NT Driver;c:\windows\system32\DRIVERS\Rt630x64.sys;c:\windows\SYSNATIVE\DRIVERS\Rt630x64.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys;c:\windows\SYSNATIVE\drivers	susbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe;c:\windows\SYSNATIVE\Wat\WatAdminSvc.exe [x]
S0 iusb3hcs;Pilote de commutateur de contrôleur d'hôte Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3hcs.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hcs.sys [x]
S2 {1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC};Power Control [2014/03/02 14:33];c:\program files (x86)\CyberLink\PowerDVD10\NavFilter\000.fcl;c:\program files (x86)\CyberLink\PowerDVD10\NavFilter\000.fcl [x]
S2 AtherosSvc;AtherosSvc;c:\program files (x86)\Dell Wireless\Bluetooth Suite\adminservice.exe;c:\program files (x86)\Dell Wireless\Bluetooth Suite\adminservice.exe [x]
S2 DatabaseDockFinder;DatabaseDockFinder;c:\windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe;c:\windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe [x]
S2 FunctionGammaRaw.exe;FunctionGammaRaw.exe;c:\users\Utilisateur\AppData\Local\FunctionGammaRaw\FunctionGammaRaw.exe;c:\users\Utilisateur\AppData\Local\FunctionGammaRaw\FunctionGammaRaw.exe [x]
S2 ZAtheros Wlan Agent;ZAtheros Wlan Agent;c:\program files (x86)\Dell Wireless\Ath_WlanAgent.exe;c:\program files (x86)\Dell Wireless\Ath_WlanAgent.exe [x]
S3 AthBTPort;Atheros Virtual Bluetooth Class;c:\windows\system32\DRIVERS\btath_flt.sys;c:\windows\SYSNATIVE\DRIVERS\btath_flt.sys [x]
S3 BTATH_A2DP;Bluetooth A2DP Audio Driver;c:\windows\system32\drivers\btath_a2dp.sys;c:\windows\SYSNATIVE\drivers\btath_a2dp.sys [x]
S3 btath_avdt;Atheros Bluetooth AVDT Service;c:\windows\system32\drivers\btath_avdt.sys;c:\windows\SYSNATIVE\drivers\btath_avdt.sys [x]
S3 BTATH_BUS;Atheros Bluetooth Bus;c:\windows\system32\DRIVERS\btath_bus.sys;c:\windows\SYSNATIVE\DRIVERS\btath_bus.sys [x]
S3 BTATH_HCRP;Bluetooth HCRP Server driver;c:\windows\system32\DRIVERS\btath_hcrp.sys;c:\windows\SYSNATIVE\DRIVERS\btath_hcrp.sys [x]
S3 BTATH_LWFLT;Bluetooth LWFLT Device;c:\windows\system32\DRIVERS\btath_lwflt.sys;c:\windows\SYSNATIVE\DRIVERS\btath_lwflt.sys [x]
S3 BTATH_RCP;Bluetooth AVRCP Device;c:\windows\system32\DRIVERS\btath_rcp.sys;c:\windows\SYSNATIVE\DRIVERS\btath_rcp.sys [x]
S3 BtFilter;BtFilter;c:\windows\system32\DRIVERS\btfilter.sys;c:\windows\SYSNATIVE\DRIVERS\btfilter.sys [x]
S3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys;c:\windows\SYSNATIVE\DRIVERS\IntcDAud.sys [x]
S3 iusb3hub;Pilote de concentrateur Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3hub.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hub.sys [x]
S3 iusb3xhc;Pilote du contrôleur d'hôte extensible Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3xhc.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3xhc.sys [x]
S3 RSUSBVSTOR;RtsUVStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUVStor.sys;c:\windows\SYSNATIVE\Drivers\RtsUVStor.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-10-29 18:03	1089352	----a-w-	c:\program files (x86)\Google\Chrome\Application\38.0.2125.111\Installer\chrmstp.exe
.
Contenu du dossier 'Tâches planifiées'
.
2014-10-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-03-06 12:28]
.
2014-10-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2014-03-02 17:34]
.
2014-10-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2014-03-02 17:34]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09	164016	----a-w-	c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09	164016	----a-w-	c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09	164016	----a-w-	c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09	164016	----a-w-	c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtherosBtStack"="c:\program files (x86)\Dell Wireless\Bluetooth Suite\btvstack.exe" [2013-02-06 1023104]
"AthBtTray"="c:\program files (x86)\Dell Wireless\Bluetooth Suite\athbttray.exe" [2013-02-06 801920]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2012-10-15 171040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2012-10-15 399392]
"Persistence"="c:\windows\system32\igfxpers.exe" [2012-10-15 441888]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2014-03-11 1271072]
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>;*origin.com;*ea.com;*akamaihd.net
uInternet Settings,ProxyServer = http=127.0.0.1:25504
Trusted Zone: dell.com
TCP: DhcpNameServer = 192.168.0.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
Toolbar-Locked - (no file)
ShellIconOverlayIdentifiers-{472083B0-C522-11CF-8763-00608CC02F24} - (no file)
AddRemove-{DEC235ED-58A4-4517-A278-C41E8DAEAB3B} - c:\program files (x86)\InstallShield Installation Information\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}\Setup.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}]
"ImagePath"="\??\c:\program files (x86)\CyberLink\PowerDVD10\NavFilter\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\system32\Macromed\Flash\FlashUtil64_15_0_0_189_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\Windows\system32\Macromed\Flash\FlashUtil64_15_0_0_189_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_15_0_0_189_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_15_0_0_189_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_15_0_0_189.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.15"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_15_0_0_189.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_15_0_0_189.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_15_0_0_189.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2014-10-30  14:04:21
ComboFix-quarantined-files.txt  2014-10-30 18:04
.
Avant-CF: 451 060 379 648 octets libres
Après-CF: 451 416 403 968 octets libres
.
- - End Of File - - B68AD00357563E449960566C29481889
A36C5E4F47E84449FF07ED3517B43A31

Utilisateur anonyme · Answer

super,

redémarre le pc et remts moi un nouveau rapport de Zhpdiag pour voir si le proxy a été viré !

greggig · Answer

La saloperie est revenue après avoir redémarré l'ordi. 

Le dernier rapport: https://www.cjoint.com/?DJEuNmsjy9q

Je vais tenter une restauration du système à une date antérieure.

Utilisateur anonyme · Answer

si tu trouves un programme nommé akamai hd, tu le désinstalles, 

c'est lui le responsable de tout ça !

greggig · Answer

J'ai refait un scan avec Robofix. Les fenêtres n'apparaissent pas, mais aussitôt que je redémarre le système, ça recommence.

J'ai passé en revue l'authenticité de tous les processus dans le gestionnaire des tâches, à l'aide de l'onglet "propriétés", ce qui m'a permis de découvrir trois suspects en place depuis le 13 octobre 2014.

CompilerCopyDefault
DatabaseDockFinder
FunctionGammaRaw.exe

Quand je tente de désactiver les processus, ils reviennent en place aussitôt. Puis quand je tente d'effacer tout fichier sur lequel leurs noms apparaissent, j'ai un message disant que je ne peux supprimer certains d'entre eux: 

Exemples
FunctionGammaRaw
C:\Utilisateurs\Utilisateur\AppData|Local

Raison indiquée: Cette action ne peut jêtre réalisée car le dossier ou l'un des fichiers est ouvert dans un autre programme. Fermez le dossier ou le fichier et réessayez.

Quand j'essaie de supprimer l'application, ce message. Cette action ne peut pas être réalisée car le fichier est ouvert dans la FunctionGammaRaw.exe

Tous les autres fichiers avec ce nom que j'ai réussi à supprimer reviennent dès que j'ai rebooté.

C'est comme si le truc s'était logé à un endroit qui l'actionne dès qu'on part le système d'exploitation.

Utilisateur anonyme · Answer

ok,

on va essayer de les virer avec un outil :


ouvre internet explorer, 

vas dans outils, option internet, connexion, puis paramètres réseau !

décoche la case de Proxy !

vérifie bien que la case de détection automatique des paramètres réseau soit cochée et rien d'autre !




*	/!\AVERTISSEMENT :
ce script n'est à utiliser que pour ce pc infecté et sur ce topic, il n'est valable pour aucun autre pc.


/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
	
Télécharge OtmoveIT (de Old_Timer) sur ton Bureau 

http://general-changelog-team.fr/fr/outils/67-otm


* Double-clique sur OTMoveIt.exe pour le lancer. 
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de OtmoveIT, « exécuter en tant qu'Administrateur »

* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move. 


:processes 
explorer.exe 
FunctionGammaRaw.exe
:services 
FunctionGammaRaw.exe
:reg
[-HKLM\Software\Upt]
[-HKLM\Software\Wow6432Node\Upt]
[-HKLM\Software\Wow6432Node\SI-App]
:files 
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw
:Commands 
[emptytemp] 
[purity] 
[start explorer] 
[Reboot] 

# clique sur MoveIt! pour lancer la suppression. 

# Le résultat apparaitra dans le cadre "Results". 

# Clique sur Exit pour fermer. 

# Poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

# Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

greggig · Answer

Il est là le problème. 

J'ai beau cocher la détection automatique des paramètres de connexion et de décocher les cases du serveur proxy, quand j'appuie sur ok et que je clique de nouveau sur Paramètres réseau, la détection automatique est décochée et les paramètres proxys sont cochés.

Utilisateur anonyme · Answer

passe au script déjà, on verra pour le proxy !

je en sais pas ou tu as chopé ce truc, mais on va avoir du mal à s'en défaire !

greggig · Answer

https://www.cjoint.com/?DJFnhwY618y 
Voilà pour le rapport. 

Après le redémarrage, j'avais le message disant que le serveur proxy ne répondait plus. J'ai pu enfin décocher les proxys tout content. Mais dès que ma page de départ est réapparue, les pubs sont revenues et c'est de nouveau impossible de décocher les proxys. C'est comme si le truc se remettait en place dès qu'on fait un reboot.

Nouveauté: Quand je clique sur un nouvel onglet pour obtenir une nouvelle page Web, c'est une fausse page Bing qui apparaît.

Utilisateur anonyme · Answer

humm !

étrange !

est ce que tu peux réessayer de m'envoyer ton rapport ?

ce n'est pas le bon fichier sur Cjoint !

greggig · Answer

Je le mets directement ici. 
Le problème est toujours présent. C'est comme s'il y avait quelque chose qui fait qu'à chaque fois que je redémarre le système, les composantes du Malware sont recréées.

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process FunctionGammaRaw.exe killed successfully!
========== SERVICES/DRIVERS ==========
Service FunctionGammaRaw.exe stopped successfully!
Service FunctionGammaRaw.exe deleted successfully!
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Upt\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Upt\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\SI-App\ deleted successfully.
========== FILES ==========
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\service\FunctionGammaRaw.exe-(PID-2040)-3361353 folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\service folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\desktop\CompilerCopyDefault.exe-(PID-3160)-3360573 folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\desktop\CompilerCopyDefault.exe-(PID-1868)-11940612 folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\desktop folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: Utilisateur
->Temp folder emptied: 19194 bytes
->Temporary Internet Files folder emptied: 308801384 bytes
->Flash cache emptied: 1986 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 19940 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36932 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50668 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 295,00 mb
 
 
OTM by OldTimer - Version 3.1.21.0 log created on 10312014_075400

Files moved on Reboot...
C:\Users\Utilisateur\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Utilisateur\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

Registry entries deleted on Reboot...

Utilisateur anonyme · Answer

remets moi un nouveau rapport de Zhpdiag après un redémarrage pour voir !

greggig · Answer

Voici le rapport: https://www.cjoint.com/?DJFvpmKkWes 

En passant, j'ai refait un scan sur moveit et le rapport disait que le FunctionGammaRaw n'était plus présent. 

Mais ça ne change rien à la présence de cette peste collé à l'ordi. C'est en fait le laptop de ma copine, qui l'utilise pratiquement seulement pour son travail et qui navigue 100 fois moins que moi sur Internet. C'est pour dire...

Utilisateur anonyme · Answer

il y a des nouveaux programmes sur le rapport !

eDealPop
MotionRemote
ClipboardDesktopGamma

 

on va les virer !



* /!\ Avertissement /!\, 
* ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage ! 

* Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue. 

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur » 

Clique sur « importer » 

Tu vas voir apparaitre un message d'avertissement, clique sur Ok. 

* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix : 
--------------------------------------------------------- 

Script Zhpfix
[MD5.0CD18A9B522AA5342B2DA479293541F1] - (...) -- C:\Program Files (x86)\eDealPop\eDealPop.exe   [7168] [PID.3048]
[MD5.DB5F50612D3A928200927B9FE72F6E5E] - (...) -- C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MBRScrollingUtility.exe   [366592] [PID.3464]
[MD5.84C299DB01EFBD675CEECFE10B148C9A] - (...) -- C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MotionRemoteWord.exe   [158720] [PID.2012]
[MD5.8793F40F334723B0DC967C43D0413FD9] - (...) -- C:\Windows\SysWOW64\ClipboardDesktopGamma\ClipboardDesktopGamma.exe   [68096] [PID.1384]
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local> ;*origin.com;*ea.com;*akamaihd.net
O4 - HKLM\..\Wow6432Node\Run: [eDealPop] . (...) -- C:\Program Files (x86)\eDealPop\eDealPop.exe
O23 - Service: ClipboardDesktopGamma (ClipboardDesktopGamma) . (...) - C:\Windows\SysWOW64\ClipboardDesktopGamma\ClipboardDesktopGamma.exe
O23 - Service: MotionRemoteWord.exe (MotionRemoteWord.exe) . (...) - C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MotionRemoteWord.exe
O42 - Logiciel: eDealPop version 1.0 - (.eDealPop.) [HKLM][64Bits] -- eDealPop_is1
[HKLM\Software\Upt]
[HKLM\Software\Wow6432Node\Upt]
O43 - CFD: 2014-10-31 - 07:58:28 - [] ----D C:\Program Files (x86)\eDealPop
O43 - CFD: 2014-10-31 - 15:05:30 - [] ----D C:\Users\Utilisateur\AppData\Local\MotionRemoteWord
SR - | Auto 2014-10-13 68096 |  (ClipboardDesktopGamma) . (...) - C:\Windows\SysWOW64\ClipboardDesktopGamma\ClipboardDesktopGamma.exe
SR - | Auto 2014-10-13 158720 |  (MotionRemoteWord.exe) . (...) - C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MotionRemoteWord.exe
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:33466
[HKLM\Software\RST]
[HKLM\Software\SI-App]
[HKLM\Software\WinUpd]
[HKLM\Software\Wow6432Node\RST]
[HKLM\Software\Wow6432Node\SI-App]
[HKLM\Software\Wow6432Node\WinUpd]
C:\Users\Utilisateur\AppData\Local\PirritSuggestor
O2 - BHO: Google Toolbar Helper [64Bits] - {AA58ED58-01DD-4d91-8333-CF10577473F7} . (.Google Inc. - Google Toolbar.) -- C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Google Toolbar - [HKLM]{2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Google Inc. - Google Toolbar.) -- C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM][64Bits] -- {18455581-E099-4BA8-BC6B-F34B2F06600C}
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM][64Bits] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F}
[MD5.00000000000000000000000000000000] [APT] [{79DA57D4-9EC4-4E82-BF77-8E43B86748DF}] (...) -- E:\DW1703_DW1705_W8_A00_Setup-0WD12_ZPE.exe (.not file.)   [0]   
[MD5.8793F40F334723B0DC967C43D0413FD9] - (...) -- C:\Windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe   [68096] [PID.1612]
O23 - Service: DatabaseDockFinder (DatabaseDockFinder) . (...) - C:\Windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe
SR - | Auto 2014-10-13 68096 |  (DatabaseDockFinder) . (...) - C:\Windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe
Emptyflash
Proxyfix
EmptyPrefetch
ShortcutFix 
Emptytemp 
EmptyClsid 




---------------------------------------------------------- 
- Clique sur le bouton « GO » pour lancer le nettoyage, 
- confirme le nettoyage 
- Héberge le rapport ZHPFIX.txt sur 
https://www.cjoint.com/

puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. 




Tuto en bas de cette page : 
https://nicolascoolman.eu

greggig · Answer

Le rapport: https://www.cjoint.com/?DKbb2ESc8TA

La saloperie est toujours présente. J'ai l'impression que c'est Alien à l'intérieur de l'ordi. Et ce qui me flanque la trouille en ce jour d'Halloween, c'est la fausse page Bing qui apparaît quand j'ouvre une nouvelle fenêtre sur Explorer, car les sites "fréquents" qu'elle propose sont ceux-là même où je vais le plus souvent.

Ça me dépasse. Quelle horreur. Merci d'ailleurs de t'acharner sur mon cas.

greggig · Answer

Les 3 trucs bizarres dans les processus sont disparus, remplacés par deux autres:

MBRScrollingUtility
MotionRemoteWord

Et c'est encore impossible de garder non cochés les proxys. La source du problème?

Utilisateur anonyme · Answer

est ce que tu trouves ces programmes dans la liste des programmes installés sur le pc ?

greggig · Answer

Oui.
MBRScrollingUtility.exe
Chemin: c:\Utilisateurs\Utilisateur\AppData\Local\MotionRemoteWord\desktop
Contenu: un fichier PF; un fichier DMP; une application (datée du 13 oct)

MotionRemoteWord.exe
Chemin: c:\Utilisateurs\Utilisateur\AppData\Local\MotionRemoteWord\desktop
contenu: application (datée du 13 oct)

Aussi:

AppHang_MotionRemoteWord suivi d'un paquet de chiffres
Chemin: c:\ProgramData\Microsoft\Windows\WER\ReportArchive
contenu: tous des dossiers de fichiers

Utilisateur anonyme · Answer

ok,

on essaie un dernier outil !


 
 *	[*] Télécharger et enregistre RogueKiller (by tigzy) sur le bureau 
Pour la version 32 bit, ici ? 
http://www.adlice.com/softs/roguekiller/RogueKiller.exe

Pour la version 64 bit, ici ?
http://www.adlice.com/softs/roguekiller/RogueKillerX64.exe   

[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Utilisateur de W7 et W8, clique droit sur l'outil, puis le lancer en tant qu'administrateur.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. 
Attends la fin de scan
Clique sur le bouton rapport et copie et colle la totalité de son contenu sur ton prochain message

Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.

Son site officiel :
https://www.adlice.com/fr/roguekiller/

greggig · Answer

Voici le rapport: https://www.cjoint.com/?DKbpUHUJ5oQ

Malheureusement, aucun changement. J'ai pas fait de redémarrage encore toutefois. Si je ne donne pas de nouvelles dans les 5 prochaines minutes, c'est que la saloperie est toujours présente.

Utilisateur anonyme · Answer

regarde dans l'onglet processus et registre, sélectionne tout,

lance la suppression !

poste son rapport pour voir !

greggig · Answer

Le rapport après suppression:  https://www.cjoint.com/?DKbqO7fbNsm 

Alien est toujours là

Utilisateur anonyme · Answer

je t'ai demandé de tout sélectionner !

 ¤¤¤ Registre : 16 ¤¤¤
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MotionRemoteWord.exe (C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MotionRemoteWord.exe) -> Non sélectionné
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MotionRemoteWord.exe (C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MotionRemoteWord.exe) -> Non sélectionné
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MotionRemoteWord.exe (C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MotionRemoteWord.exe) -> Non sélectionné
[PUM.Proxy] (X64) HKEY_USERS\S-1-5-21-2247863983-592646077-3589756027-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1  -> Non sélectionné
[PUM.Proxy] (X86) HKEY_USERS\S-1-5-21-2247863983-592646077-3589756027-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1  -> Non sélectionné
[PUM.Proxy] (X64) HKEY_USERS\S-1-5-21-2247863983-592646077-3589756027-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:12945  -> Non sélectionné
[PUM.Proxy] (X86) HKEY_USERS\S-1-5-21-2247863983-592646077-3589756027-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:12945  -> Non sélectionné
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{31687F78-712B-4BC5-B422-0749A74D786C} | DhcpNameServer : 24.200.243.189 24.201.245.77 [CANADA (CA)]  -> Non sélectionné
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{31687F78-712B-4BC5-B422-0749A74D786C} | DhcpNameServer : 24.200.243.189 24.201.245.77 [CANADA (CA)]  -> Non sélectionné
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{31687F78-712B-4BC5-B422-0749A74D786C} | DhcpNameServer : 24.200.243.189 24.201.245.77 [CANADA (CA)]  -> Non sélectionné
[PUM.Policies] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0  -> Non sélectionné
[PUM.Policies] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0  -> Non sélectionné
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Non sélectionné
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> Non sélectionné
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Non sélectionné
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> Non sélectionné

greggig · Answer

Je croyais l'avoir fait. Je recommence

greggig · Answer

Le rapport : https://www.cjoint.com/?DKbrC4P1CzP 

Je n'avais pas vu qu'il fallait cocher tout à l'heure.

Alien encore présent, mais pas rebooté encore

greggig · Answer

J'ai rebooté et je reçois le msg que le serveur proxy ne répond pas (c'est de bon augure). Il me dit de vérifier mes paramètres de proxys 127.0.0.1:28156

J'attends tes indications avant d'aller plus loin

Utilisateur anonyme · Answer

*	Rends-toi sur cette page :
https://www.virustotal.com/gui/
*	Clique sur "choisir un fichier"
*	Vas sur ton disque chercher ce fichier à cet emplacement :

C:\Windows\system32\mfc100u.dll 



un rapport va s'élaborer ligne à ligne 
attends un peu, il doit comprendre la taille du fichier envoyé 
une fois le rapport complet, copie et colle le lien du rapport sur ton prochain message.

greggig · Answer

Est-ce le numéro du rapport? 7a4cfbce1eb48d4f8988212c2e338d7781b9894ef0f525e871c22bb730a74f3e

Il dit que le fichier est totalement inoffensif.

Par contre:
ALIEN A DISPARU depuis le dernier redémarrage. Et je suis arrivé à décocher le serveur proxy sans qu'il revienne de lui même.

Utilisateur anonyme · Answer

ok,

redémarre le pc

repasse un nouveau rapport de Zhpdiag pour voir !

passe par Cjoint pour me transmettre le rapport

greggig · Answer

Le rapport de Zhpdiag: https://www.cjoint.com/?DKbtxuvtNTr

J'ai fait un nouveau démarrage

-Côté proxy, seule la case "Détecter automatiquement les paramètres de connexion" est cochée :))

-Aucune fenêtre intempestive n'est apparue en naviguant pour écrire ce message :))

Se serait-on débarrassé d'Alian???? :)))))))

Utilisateur anonyme · Answer

pas tout à fait ! il y a toujours le proxy ! Télécharge et enregistre Zhpcleaner sur ton bureau : https://nicolascoolman.eu [*] Fais un clique droit dessus, lance le en tant qu'administrateur ! [*] Accepte le contrat de licence d'utilisation finale (CLUF), [*] Clique sur "réparation" [*] Clique sur rapport (normalement le rapport s'affiche) [*] Enregistre le rapport sur ton bureau [*] Héberge son rapport de modification qui se trouve sur le Bureau : https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum Note : - Cet outil ne nécessite pas d'installation ! - Le rapport se trouve également dans ce répertoire "%AppData%".

greggig · Answer

Rapport: https://www.cjoint.com/?DKbul36mCpd

Utilisateur anonyme · Answer

relance ZhpCleaner, clique sur réparer,

poste son rapport pour voir !

greggig · Answer

rapport : https://www.cjoint.com/?DKbuGhGwmCh

Utilisateur anonyme · Answer

ç'a l'air propre,

redémarre et file moi un nouveau rapport de Zhpdiag pour voir, 

qu'on en finisse  :-)

greggig · Answer

Rapport: https://www.cjoint.com/?DKbu1nS5e90

Utilisateur anonyme · Answer

on l'a eu  :-)


juste un truc à virer et normalement, on pourra finaliser la chose :


suis ces 3 étapes jusqu'au bout :

1/




* /!\ Avertissement /!\, 
* ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage ! 

* Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue. 

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur » 

Clique sur « importer » 

Tu vas voir apparaitre un message d'avertissement, clique sur Ok. 

* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix : 
--------------------------------------------------------- 

Script Zhpfix
O43 - CFD: 2014-10-26 - 22:03:13 - [0] ----D C:\Users\Utilisateur\AppData\Local\CheckCode    
O43 - CFD: 2014-10-31 - 15:05:30 - [] ----D C:\Users\Utilisateur\AppData\Local\MotionRemoteWord
EmptyPrefetch
ShortcutFix 
Emptytemp 
EmptyClsid 




---------------------------------------------------------- 
- Clique sur le bouton « GO » pour lancer le nettoyage, 
- confirme le nettoyage 
- Héberge le rapport ZHPFIX.txt sur 
https://www.cjoint.com/

puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. 




Tuto en bas de cette page : 
https://nicolascoolman.eu
 




2/


Télécharge Delfix sur ton bureau : 

https://toolslib.net/downloads/viewdownload/2-delfix/

ou 

https://www.commentcamarche.net/telecharger/securite/7111-delfix/ 


Coche les cases suivantes : 
=> Réactive l'Uac (juste pour Vista, Seven et W8) 
=> Supprimer les outils de désinfection (coché par défaut) 
=> Purger la restauration système
 


* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression. 
* Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau 
* Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport 
** le rapport est stocké à cet emplacement : C:\DelFix.txt 
Attention : Le rapport est unique et est supprimé à chaque fois que l'on ré-exécute une ou plusieurs options de DelFix.

Note :
Delfix ne désinstalle pas MBAM, à toi de voir si tu souhaites le conserver ou désinstaller.



3/



	* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

greggig · Answer

J'ai le rapport Delfix https://www.cjoint.com/?DKbvPpvacZI

Mais se pourrait-il que Delfix ait effacé mon rapport Zhp.fix fait avant?

greggig · Answer

Mon antivirus n'a rien trouvé d'anormal.

Comme Delfix a effacé mon rapport ZHPfix, je peux reprendre l'importation si tu le juges utile.

Chose certaine, ça regarde bien.

Utilisateur anonyme · Answer

c'était juste pour virer le logiciel !

as tu autres soucis ?

greggig · Answer

Disons que ça regarde très bien.

On va s'en servir quelques heures demain pour voir si tout tient bien et je te fais part du résultat par la suite.

Utilisateur anonyme · Answer

alors ?

greggig · Answer

Alors j'ai le grand plaisir de constater qu'on s'est débarrassé d'Alien. Un énorme merci à toi de t'être occupé de mon cas qui, je pense, n'était pas simple. J'espère qu'il te permettra de trouver une solution rapide pour les autres qui seront infectés, car il me semble que de plus en plus de gens chopent le truc qui a l'air de s'incruster dans un endroit difficile à enlever. 

Je crois qu'on peut maintenant dire que mon cas est résolu. 

Merci encore. Je vais faire une contribution à cette oeuvre charitable qu'est XHPDiag :)))

Utilisateur anonyme · Answer

super,

mais il y a eu quand même 4 outils fr pour en arriver à bout de ce truc :

- Zhpcleaner et Zhpdiag (outil Fr de même auteur : Nicolas Coolman)
https://nicolascoolman.eu

- ADWCleaner de Xplode 
https://toolslib.net/downloads/viewdownload/1-adwcleaner/

- Roguekiller de Tigzy 
https://www.adlice.com/fr/

pour la contribution, tu verras en fonction de ...


sache qu'on point de restauration a été créé à la fin du nettoyage, mais ce point n'est pas éternel !

vérifie que la restauration système soit activée !


sur ce, bon surf  ;-)

greggig · Answer

Oui. J'avais tenté de faire une restauration pendant la semaine, mais je ne pouvais pas aller avant le 16 octobre et mon infection a eu lieu le 13. Le point de restauration actuel remonte à hier et s'appelle "désinfection du système"

Utilisateur anonyme · Answer

:-)

N10.adshostnet.com et proxys qui ne s'enlèvent pas

66 réponses

Discussions similaires

Newsletters