Sujet Précédent Sujet Suivant

Variante de win32/adware.CiDhelpapplication

Résolu/Fermé
bad21760 - 30 juil. 2010 à 02:37
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 5 août 2010 à 14:29
Bonjour,

mon antivirus a détecté des attaques par une variante de win32/adware.CiDhelpapplication
comment m'en débarasser

A voir également:

13 réponses

Réponse 1 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
30 juil. 2010 à 14:45
non j'attends toujours la suite demandée
2
bad21760
31 juil. 2010 à 22:14
bunjour
je n'arrive pas a transmettre les rapports rsit
comment faire
merci infiniment
0
bad21760
1 août 2010 à 10:25
bonjour
voici enfin le lien qui conduit au rapport rsit
je m'excuse de ce retard je ne savais pas comment faire
j'espere votre indulgence merci
http://www.cijoint.fr/cjlink.php?file=cj201008/cijIJLpssq.txt
0
bad21760
1 août 2010 à 22:45
bon soir
dois-je refaire le scan rsit?
j'attends vos coseils
merci infiniment
0
Réponse 2 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
30 juil. 2010 à 09:20
slt colle un rapport de recherche avec le logiciel AD REMOVER
1
Réponse 3 / 13
bad21760
30 juil. 2010 à 10:53
bonjour
ci-joint rapport merci
======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 01:51:12 le 30/07/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
baderja@HOME-BADERJA ( )

============== ACTION(S) ==============


0,Dossier supprimé: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
0,Dossier supprimé: C:\Program Files\Ask.com
0,Dossier supprimé: C:\Documents and Settings\baderja\Local Settings\Application Data\AskToolbar
0,Dossier supprimé: C:\Documents and Settings\baderja\Local Settings\Application Data\Conduit
0,Dossier supprimé: C:\Program Files\Conduit
3,Fichier supprimé: C:\WINDOWS\Installer\823c2f9.msi

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT1269415
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2535305
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\Ask.com
0,Clé supprimée: HKCU\Software\AskToolbar
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
0,Clé supprimée: HKCU\Software\AppDataLow\AskHomePage
0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{DA95E878-B181-4366-A433-6145592707A8}

0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 21 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 30/07/2010 (994 Octet(s))

Fin à: 01:54:05, 30/07/2010

============== E.O.F ==============
0
Réponse 4 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
30 juil. 2010 à 11:13
ok colle maintenant un rapport de suppression avec et dis nous si tes problèmes persistent


puis voir si tu n'as rien d'autre :

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit
0
bad21760
1 août 2010 à 14:00
bonjour
je m'excuse du retard
j'implore votre indulgence merci
voivi les liens pour lrs rapports rsit
j'attends vos coseils
http://www.cijoint.fr/cjlink.php?file=cj201008/cijPbJauwQ.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
bud8222 Messages postés 1 Date d'inscription vendredi 30 juillet 2010 Statut Membre Dernière intervention 30 juillet 2010
30 juil. 2010 à 14:20
bonjour
avez vous vu les rapports rsit
merci
0
Réponse 6 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 2/08/2010 à 09:39
tu utilise ces barres de recherche: ?
OfferBoxBHO

et
Download Energy Toolbar

et
key digitv Toolbar

_________________

tu as rien trouvé de mieux que de remettre une barre néfaste le 30/7/10 ... =>SweetIM

remets un rapport de nettoyage avec ad remover ...


___________________

ton antivirus c''est quoi ? ESET/nod 32 ??
0
bad21760
2 août 2010 à 10:17
bonjour
mon anti virus est eset smart security version 3.0.684.0
voici le lien vers le rapport AD/R
MERCI INFINIMENT
http://www.cijoint.fr/cjlink.php?file=cj201008/cijfTCda6Q.txt
0
Réponse 7 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
2 août 2010 à 10:19
ok remets un rapport RSIT tout neuf et dis si encore des soucis avec ton pc
0
bad21760
2 août 2010 à 10:43
bonjour
voici le lien vers rapport rsit
http://www.cijoint.fr/cjlink.php?file=cj201008/cijX613FDH.txt
http://www.cijoint.fr/cjlink.php?file=cj201008/cijZWjBBZM.txt
mon PC marche mieux ce jour
merci
0
Réponse 8 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
2 août 2010 à 10:54
tu ne m'as pas répondu pour les barres de recherche?

tu ne m'as pas dis si tu as encore des problèmes?

ensuite


télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
(de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.


:processes
explorer.exe
:files
C:\Program Files\SweetIM
C:\Documents and Settings\All Users\Application Data\SweetIM
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SweetIM"=-
:commands
[purity]
[emptytemp]
[start explorer]


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
0
bad21760
2 août 2010 à 11:19
bonjour
oui j'utilise key digitv Toolbar
Download Energy Toolbar a disparude la page d'accueil
OfferBox existe a C/programmes files
PC marche tres bien maintenant grace avous
merci
ci-après rapprt OTM

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\Program Files\SweetIM\Messenger\resources\images folder moved successfully.
C:\Program Files\SweetIM\Messenger\resources folder moved successfully.
C:\Program Files\SweetIM\Messenger folder moved successfully.
C:\Program Files\SweetIM folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SweetIM\Messenger\update folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SweetIM\Messenger\logs folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SweetIM\Messenger\data\contentdb folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SweetIM\Messenger\data folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SweetIM\Messenger\conf\users\se-cf-ef@live.fr folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SweetIM\Messenger\conf\users\ouma@girl.com folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SweetIM\Messenger\conf\users\ouma-girl@live.fr folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SweetIM\Messenger\conf\users\crazy_sow_i_o_o@hotmail.fr folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SweetIM\Messenger\conf\users\baderja@hotmail.fr folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SweetIM\Messenger\conf\users folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SweetIM\Messenger\conf folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SweetIM\Messenger folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SweetIM folder moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SweetIM deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: baderja
->Temp folder emptied: 43460726 bytes
->Temporary Internet Files folder emptied: 47570209 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 5252 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 187463 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2351795 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 64714274 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 2842763 bytes

Total Files Cleaned = 154,00 mb


OTM by OldTimer - Version 3.1.15.0 log created on 08022010_100012

Files moved on Reboot...
C:\Documents and Settings\baderja\Local Settings\Temporary Internet Files\Content.IE5\XLWK24WK\c53de3f1-7056-41a5-ad81-1995554947be[1].htm moved successfully.
C:\Documents and Settings\baderja\Local Settings\Temporary Internet Files\Content.IE5\XLWK24WK\InboxLight[1].htm moved successfully.
C:\Documents and Settings\baderja\Local Settings\Temporary Internet Files\Content.IE5\XLWK24WK\Messenger[1].htm moved successfully.
C:\Documents and Settings\baderja\Local Settings\Temporary Internet Files\Content.IE5\JYWAG2DV\default[1].htm moved successfully.
C:\Documents and Settings\baderja\Local Settings\Temporary Internet Files\Content.IE5\J5LDP42N\ebticker[2].htm moved successfully.
C:\Documents and Settings\baderja\Local Settings\Temporary Internet Files\Content.IE5\J5LDP42N\LocalStorage[1].htm moved successfully.
C:\Documents and Settings\baderja\Local Settings\Temporary Internet Files\Content.IE5\8M95ITCR\ebticker[4].htm moved successfully.
C:\Documents and Settings\baderja\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

Registry entries deleted on Reboot...
0
Réponse 9 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
2 août 2010 à 14:51
refais OTM et mets ceci dedans et colle le rapport obtenu



:files
C:\Program Files\OfferBox
C:\Program Files\Download_Energy
C:\Documents and Settings\baderja\Application Data\OfferBox
C:\Program Files\OfferBox
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9c961ae2-9075-45a8-b020-75f0c8461305}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ad708c09-d51b-45b3-9d28-4eba2681febf}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{ad708c09-d51b-45b3-9d28-4eba2681febf}-
0
bad21760
2 août 2010 à 19:28
bonsoir
désolé
j'ai refait l'OTM seulement je n'ai pas supprime l'ancien rapport, j'ai essayé de refaire l'opération maii ll'OTM se plante les fichiers étant déja supprimés
je me sens tellement stupide
voila en partie ce qui apparit dans les résultats:
:C:\Program Files\OfferBox not found
C:\Program Files\Download_Energy not found
C:\Documents and Settings\baderja\Application Data\OfferBox not found
C:\Program Files\OfferBox not found

Que faire?
0
Réponse 10 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
3 août 2010 à 10:36
ok lance tools cleaner

et vire ce qui est trouvé

ensuite vérifie avec un antivirus en ligne ou nod32 que tu as que tout est ok

si une infection est trouvée colle nous le rapport
0
bad21760
3 août 2010 à 22:13
bonsoir
online scan a détecté des virus
en voici le résultat
Risk Summary
9 High Level
10 Medium Level
21 Low Level
0 Tracking Cookies
Total Threats
40


The results of the scan relfect the threats detected by the online malware scanner and may not identify all malware present on the PC.

mes réponses tardives sont causés par des problemes de connexion
le pc est devenu très lent
merci infiniment pour votre patience
0
Réponse 11 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
4 août 2010 à 10:03
il faudrait le rapport pour voir les fichiers infectés
0
bad21760
4 août 2010 à 13:39
bonjour
après plusieurs scans et analyses les rapports sont négatifs
quel soulagemnt
un grand et chaleureux merci
0
Réponse 12 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
4 août 2010 à 15:14
ok pour finir désactive puis réactive ta restauration

comme ceci:

https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista


voilà c'est bon pour toi
0
bad21760
5 août 2010 à 12:13
bonjour
merci
je vous suis infiniment reconnaissant
a+
0
Réponse 13 / 13
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 août 2010 à 14:29
Bonne suite !
0

Discussions similaires

Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses