Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
  


  


  2 Trojans (dont Incredibar) reviennent sans arret. RESOLU

 

LOGICIELS : mousquet SECURITE : mimibxl, slaig13, tomividad, 1 utilisateur anonyme et 199 utilisateurs inconnus
Ajouter une réponse

 Mot :  Pseudo :  
Vider la liste des messages à citer  
 Page :
1
Auteur
 Sujet :

2 Trojans (dont Incredibar) reviennent sans arret. RESOLU

Prévenir les modérateurs en cas d'abus 
n°560039
casdal122
Posté le 10-10-2012 à 19:28:02  answer
Prévenir les modérateurs en cas d'abus
 

Bonjour à tous ,

 Je sollicite votre aide car cela devient pénible. J'utilise maintenant et depuis peu adwcleaner et cet outil est formidable. Cependant 2 Trojans reviennent sans cesse (voir rapport ci-dessous). J'ajoute qu'en parallèle, je me sers aussi de Malwarebytes, Spybot et Ccleaner (aucun d'eux ne parvient à solutionner mon problème).

 Voici mon rapport adwcleaner :

 # AdwCleaner v2.003 - Rapport créé le 10/10/2012 à 18:50:53
 # Mis à jour le 23/09/2012 par Xplode
 # Système d'exploitation : Windows 7 Ultimate  (64 bits)
 # Nom d'utilisateur : ***
 # Mode de démarrage : Normal
 # Exécuté depuis : D:\adwcleaner.exe
 # Option [Recherche]

 ***** [Services] *****

 ***** [Fichiers / Dossiers] *****

 ***** [Registre] *****

 Clé Présente : HKCU\Software\Microsoft\Window​s\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
 Clé Présente : HKCU\Software\Microsoft\Window​s\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
 Clé Présente : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
 Clé Présente : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com

 ***** [Navigateurs] *****

 -\\ Internet Explorer v8.0.7600.16385

 [OK] Le registre ne contient aucune entrée illégitime.

 -\\ Mozilla Firefox v15.0.1 (fr)

 Nom du profil : default
 Fichier : C:\Users\***\AppData\Roaming\M​ozilla\Firefox\Profiles\y9bqbl​di.default\prefs.js

 Présente : user_pref("extensions.skipscre​en.hostMatchStr", "hxxp://www.4shared.com/(get|audio|file|document|dir[...]

 -\\ Google Chrome v22.0.1229.92

 Fichier : C:\Users\***\AppData\Local\Goo​gle\Chrome\User Data\Default\Preferences

 [OK] Le fichier ne contient aucune entrée illégitime.

 *************************

 AdwCleaner[S1].txt - [17727 octets] - [03/10/2012 20:07:41]
 AdwCleaner[R4].txt - [1213 octets] - [04/10/2012 12:53:24]
 AdwCleaner[S2].txt - [1276 octets] - [04/10/2012 12:54:36]
 AdwCleaner[R5].txt - [1333 octets] - [04/10/2012 13:50:10]
 AdwCleaner[R6].txt - [1833 octets] - [10/10/2012 18:47:38]
 AdwCleaner[R7].txt - [1764 octets] - [10/10/2012 18:50:53]

 ########## EOF - C:\AdwCleaner[R7].txt - [1824 octets] ##########


 Merci d'avance de votre aide...   ;)

n°560040
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 10-10-2012 à 19:48:53  answer
Prévenir les modérateurs en cas d'abus
 

Salut

 Supprime AdwCleaner qui est normalement sur le bureau.

 Supprime, aussi, tous les fichiers texte tels que :

 C:\AdwCleaner[S1].txt <--
 C:\AdwCleaner[R4].txt <--
 C:\AdwCleaner[S2].txt <--
 etc ...

 Puis, installe la dernière version de AdwCleaner :

 http://general-changelog-team. [...] adwcleaner

 et enregistre-la sur le bureau.

 Puis choisis l'option "Suppression".

 Poste le rapport.

n°560041
casdal122
Posté le 10-10-2012 à 22:15:05  answer
Prévenir les modérateurs en cas d'abus
 

Salut Kmisol,
 Merci d'avoir répondu si vite.
 J'ai fais ce que tu m'as dit... donc voici le rapport :


 # AdwCleaner v2.004 - Rapport créé le 10/10/2012 à 22:07:02
 # Mis à jour le 06/10/2012 par Xplode
 # Système d'exploitation : Windows 7 Ultimate  (64 bits)
 # Nom d'utilisateur : ***
 # Mode de démarrage : Normal
 # Exécuté depuis : C:\Users\***\Desktop\adwcleane​r.exe
 # Option [Suppression]


 ***** [Services] *****


 ***** [Fichiers / Dossiers] *****


 ***** [Registre] *****

 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
 Clé Supprimée : HKCU\Software\Microsoft\Intern​et Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
 Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Micr​osoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Intern​et Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

 ***** [Navigateurs] *****

 -\\ Internet Explorer v8.0.7600.16385

 [OK] Le registre ne contient aucune entrée illégitime.

 -\\ Mozilla Firefox v15.0.1 (fr)

 Nom du profil : default
 Fichier : C:\Users\***\AppData\Roaming\M​ozilla\Firefox\Profiles\y9bqbl​di.default\prefs.js

 Supprimée : user_pref("extensions.skipscre​en.hostMatchStr", "hxxp://www.4shared.com/(get|audio|file|document|dir[...]

 -\\ Google Chrome v22.0.1229.92

 Fichier : C:\Users\***\AppData\Local\Goo​gle\Chrome\User Data\Default\Preferences

 [OK] Le fichier ne contient aucune entrée illégitime.

 *************************

 AdwCleaner[S3].txt - [1840 octets] - [10/10/2012 22:07:02]

 ########## EOF - C:\AdwCleaner[S3].txt - [1900 octets] ##########

n°560042
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 10-10-2012 à 22:36:27  answer
Prévenir les modérateurs en cas d'abus
 

...

 Ok.

 Fais ce qui suit, dans l'ordre (merci de respecter cet ordre) :

 1/ Télécharge AD-R (de Cyrildu17 / C_XX) sur ton Bureau.

 !! Déconnecte-toi du net et ferme toutes applications en cours !!

 Double-clique sur le programme d'installation ; laisse-le s’installer par défaut (C:\Program files).

 Double-clique sur l'icône AD-Remover située sur ton Bureau.
 (Pour Vista et Win 7 : clique droit > "Exécuter en tant qu'administrateur" )

 Au menu principal, choisis l'option " Nettoyer ".

 L’outil débute le nettoyage … Laisse-le travailler !

 Le scan achevé, une fenêtre va s’afficher.
 Poste (copie-colle) le rapport qui apparaît à la fin.

 (tu trouveras aussi le rapport sous C:\Ad-report(date).log)

 Note : "Process.exe", une composante de l'outil peut être détecté par certains antivirus comme une infection ; donc, ne pas en tenir compte. Il s'agit d'un faux positif.

 -----
 2/ Télécharge ZHPDiag (de N. Coolman) sur le bureau.

 Double-clique sur le fichier téléchargé ; puis, installe-le avec les paramètres par défaut (n'oublie pas de cocher "Créer une icône sur le bureau" ).

 (pour Vista/Win 7, clique droit sur le fichier et choisis "Exécuter en tant qu’administrateur" )

 Lance ZHPDiag en double cliquant sur le raccourci "ZHPDiag" présent sur le bureau.

 Clique sur la Loupe (Lancer le diagnostic) en haut et à gauche et … laisse l’outil scanner.

 Une fois le scan achevé, clique sur la Disquette (Sauvegarder le fichier) et …  enregistre le rapport sur le bureau.

 PS : le rapport se trouve, aussi, sauvegardé à la base du disque dur, dans le dossier « ZHP » (C:\ZHP\ZHPDiag.txt)

 Comme le rapport est long, rends-toi sur ce site : http://cjoint.com/
 puis, clique sur "Parcourir" et sélectionne ce fichier (ZHPDiag.txt) ; un lien va être créé.

 Copie/colle ce lien dans ta prochaine réponse.

 Aide en images

n°560043
casdal122
Posté le 10-10-2012 à 23:02:30  answer
Prévenir les modérateurs en cas d'abus
 

Voilà...
 Je vais maintenant commencer l'étape N° 2

 ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

 Mis à jour par TeamXscript le 12/04/11
 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
 Site web: http://www.teamxscript.org

 C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:49:49 le 10/10/2012, Mode normal

 Microsoft Windows 7 Édition Intégrale   (X64)
 Apotre@JESUSCH-CL8PI0N (MICRO-STAR INTERNATIONAL CO.,LTD MS-7345)
 
 ============== ACTION(S) ==============



 (!) -- Fichiers temporaires supprimés.


 -- Fichier ouvert: C:\Users\***\AppData\Roaming\M​ozilla\FireFox\Profiles\y9bqbl​di.default\Prefs.js --
 Ligne supprimée: user_pref("extensions.enabledI​tems", "{b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.6.5,{CAFEEFAC-0016-00...
 -- Fichier Fermé --
 

 Clé supprimée: HKLM\Software\Classes\CLSID\{C​E10648F-6152-465F-B5A1-4704139​10344}
 Clé supprimée: HKLM\Software\Microsoft\Window​s\CurrentVersion\Ext\PreApprov​ed\{CE10648F-6152-465F-B5A1-47​0413910344}


 ============== SCAN ADDITIONNEL ==============

 **** Mozilla Firefox Version [15.0.1 (fr)] ****

 HKLM_MozillaPlugins\@nvidia.co​m/3DVision (x)
 HKLM_MozillaPlugins\@nvidia.co​m/3DVisionStreaming (x)
 Searchplugins\bing.xml (    hxxp://www.bing.com/search)
 Searchplugins\search.xml (hxxp://blekko.com/ws/?source=​c3348dd4&amp;tbp=rbox&amp;tool​barid=blekkotb_031&amp;u=51113​65E3B0EE2B420B42D50487DF454&am​p;q={searchTerms} /)
 Components\browsercomps.dll (Mozilla Foundation)
 HKLM_Extensions|fmdownloader@g​mail.com - C:\Program Files (x86)\Freemake\Freemake Video Downloader\BrowserPlugin\Firef​ox\

 -- C:\Users\***\AppData\Roaming\M​ozilla\FireFox\Profiles\y9bqbl​di.default --
 Extensions\doudehou@gmail.com (StatusbarEx)
 Prefs.js - browser.download.dir, J:\\Documentaires
 Prefs.js - browser.download.lastDir, D:\\Fichiers\\Voiture 208
 Prefs.js - browser.search.selectedEngine,​ Google
 Prefs.js - browser.startup.homepage, hxxp://www.google.com/intl/fr/​
 Prefs.js - browser.startup.homepage_overr​ide.buildID, 20120905151427
 Prefs.js - browser.startup.homepage_overr​ide.mstone, 15.0.1
 Prefs.js - keyword.URL, hxxp://www.google.com/search?b​tnI=I%27m+Feeling+Lucky&ie=UTF​-8&oe=UTF-8&q=
 Prefs.js - privacy.popups.showBrowserMess​age, false

 ==============================​==========

 **** Google Chrome Version [22.0.1229.92] ****

 Extension\bpegkgagfojjbcpkihig​fmkojdmmimdf (C:\Program Files (x86)\Freemake\Freemake Video Downloader\BrowserPlugin\Chrom​e\Freemake.Plugin.Chrome.crx) (?)

 -- C:\Users\***\AppData\Local\Goo​gle\Chrome\User Data\Default --
 Preferences - homepage: hxxp://www.google.com/intl/fr/​
 Preferences - homepage_is_newtabpage: true
 Preferences - urls_to_restore_on_startup:  hxxp://www.google.fr/
 Preferences - default_search_provider: "Google" (Activé: true) (?)
 Preferences - homepage: hxxp://www.google.com/intl/fr/​
 Preferences - homepage_is_newtabpage: true
 Plugin - Shockwave Flash (Activé: true) (C:\Users\***\AppData\Local\Go​ogle\Chrome\Application\21.0.1​180.89\PepperFlash\pepflashpla​yer.dll)
 Plugin - Remoting Viewer (Activé: true) (internal-remoting-viewer) (x)
 Plugin - "Remoting Viewer" (Activé: true)
 Plugin - Native Client (Activé: true) (C:\Users\***\AppData\Local\Go​ogle\Chrome\Application\22.0.1​229.79\ppGoogleNaClPluginChrom​e.dll)
 Plugin - "Native Client" (Activé: true)
 Plugin - "Freemake np-plugin for google chrome" (Activé: true)
 Plugin - "Java" (Activé: true)
 Plugin - DivX VOD Helper Plug-in (Activé: true) (C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll)
 Plugin - "DivX VOD Helper Plug-in" (Activé: true)
 Plugin - "Silverlight" (Activé: true)
 Plugin - NVIDIA 3D Vision (Activé: true) (C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll)
 Plugin - NVIDIA 3D VISION (Activé: true) (C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll)
 Plugin - "NVIDIA 3D" (Activé: true)
 Plugin - Veetle TV Player (Activé: true) (C:\Program Files (x86)\Veetle\Player\npvlc.dll)​
 Plugin - "Veetle TV Player" (Activé: true)
 Plugin - Veetle TV Core (Activé: true) (C:\Program Files (x86)\Veetle\plugins\npVeetle.​dll)
 Plugin - "Veetle TV Core" (Activé: true)
 Preferences - urls_to_restore_on_startup:  hxxp://www.google.fr/

 ==============================​==========

 **** Internet Explorer Version [8.0.7600.16385] ****

 HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi​/redir.dll?prd=ie&pver=6&ar=ms​nhome
 HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi​/redir.dll?prd=ie&ar=iesearch
 HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink​/?linkid=54896
 HKCU_Main|Start Page - hxxp://fr.msn.com/
 HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink​/?LinkId=54896
 HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi​/redir.dll?prd=ie&ar=iesearch
 HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.​htm
 HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi​/redir.dll?prd=ie&ar=iesearch
 HKLM_Main|Start Page - hxxp://fr.msn.com/
 HKCU_ElevationPolicy\{6052BF20​-EA23-4A04-B3C1-A20EFE01A95A} - C:\Program Files (x86)\Veetle\Player\vtl_hfs.ex​e (?)
 HKCU_ElevationPolicy\{680FA47E​-AB59-46BE-B594-7358726E108B} - C:\Program Files (x86)\Veetle\Player\player.exe​ (?)
 HKCU_ElevationPolicy\{E8BC6C2B​-DD90-4397-96EB-2AAF0E48ABE6} - C:\Program Files (x86)\Veetle\Player\vtl_hfax.e​xe (?)
 HKLM_ElevationPolicy\{07d873dc​-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
 HKLM_ElevationPolicy\{0a402d70​-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocob​j.exe (x)
 HKLM_ElevationPolicy\{20120906​-D194-4455-BAE6-4A44B9A0410B} - C:\Program Files (x86)\blekkotb_031\dtuser.exe (x)
 HKLM_ElevationPolicy\{3B9A6E32​-36C9-4946-B78C-3F58E3785EC1} - C:\Program Files (x86)\Java\jre7\bin\unpack200.​exe (Oracle Corporation)
 HKLM_ElevationPolicy\{4250488A​-CB24-0893-C066-B1AEA57BCFF2} - C:\Program Files (x86)\Orbitdownloader\orbitdm.​exe (x)
 HKLM_ElevationPolicy\{44D1B085​-E495-4b5f-9EE6-34795C46E7E7} - C:\Program Files (x86)\Java\jre7\bin\jp2launche​r.exe (Oracle Corporation)
 HKLM_ElevationPolicy\{5852F5ED​-8BF4-11D4-A245-0080C6F74284} - C:\Program Files (x86)\Java\jre7\bin\javaws.exe​ (Oracle Corporation)
 HKLM_ElevationPolicy\{6052BF20​-EA23-4A04-B3C1-A20EFE01A95A} - C:\Program Files (x86)\Veetle\Player\vtl_hfs.ex​e (?)
 HKLM_ElevationPolicy\{680FA47E​-AB59-46BE-B594-7358726E108B} - C:\Program Files (x86)\Veetle\Player\player.exe​ (?)
 HKLM_ElevationPolicy\{70f641fd​-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
 HKLM_ElevationPolicy\{B43A0C1E​-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.e​xe (x)
 HKLM_ElevationPolicy\{C8FE2181​-CAE7-49EE-9B04-DB7EB4DA544A} - C:\Program Files (x86)\Java\jre7\bin\ssvagent.e​xe (Oracle Corporation)
 HKLM_ElevationPolicy\{D802E3EF​-2513-4661-972E-BAD737EFBA88} - C:\Program Files (x86)\DivX\DivX OVS Helper\OVSHelperBroker.exe (DivX, LLC.)
 HKLM_ElevationPolicy\{E8BC6C2B​-DD90-4397-96EB-2AAF0E48ABE6} - C:\Program Files (x86)\Veetle\Player\vtl_hfax.e​xe (?)
 HKLM_ElevationPolicy\{EAE3302F​-BC3E-47CB-B4E8-A2FB2D0780AE} - C:\Program Files (x86)\WINDOW~2\Datamngr\ToolBa​r\dtUser.exe (x)

 ==============================​==========

 C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
 C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

 C:\Ad-Report-CLEAN[1].txt - 10/10/2012 22:50:11 (7294 Octet(s))

 Fin à: 22:50:56, 10/10/2012
 
 ============== E.O.F ==============

n°560044
casdal122
Posté le 10-10-2012 à 23:13:17  answer
Prévenir les modérateurs en cas d'abus
 

L'étape N° 2 est faites.

 Voici : http://cjoint.com/?3JkxmuUwQ8G

n°560045
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 10-10-2012 à 23:49:14  answer
Prévenir les modérateurs en cas d'abus
 

...

 Lance ZHPFix via le raccourci sur ton Bureau (sous Vista/Windows 7, lance-le par un clic-droit dessus > Exécuter en temps qu'administrateur).

 Ou télécharge-le sur ton Bureau à cette adresse

 Sélectionne et clique droit puis, copie toutes les lignes suivantes, en gras (il est très important de sélectionner toutes ces lignes en partant de la 1ère lettre et/ou chiffre jusqu'à la dernière lettre) :
 
 O2 - BHO: (no name) [64Bits] - {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3} Clé orpheline
 O2 - BHO: (no name) [64Bits] - {761497BB-D6F0-462C-B6EB-D4DAF​1D92D43} Clé orpheline
 O2 - BHO: (no name) [64Bits] - {9030D464-4C02-4ABF-8ECC-51647​60863C6} Clé orpheline
 O2 - BHO: (no name) [64Bits] - {DBC80044-A445-435b-BC74-9C25C​1C588A9} Clé orpheline
 O4 - HKLM\..\Wow6432Node\Run: [Freecorder FLV Service] C:\Program Files (x86)\Freecorder\FLVSrvc.exe (.not file.)
 O4 - HKLM\..\policies\Explorer\Run:​ [50257] C:\ProgramData\LOCALS~1\Temp\m​sbadukzd.exe (.not file.)
 O4 - Global Startup: C:\Users\Apotre\AppData\Roamin​g\Microsoft\Internet Explorer\Quick Launch\eBay.lnk . (...)  -- C:\Users\Apotre\AppData\Roamin​g\Desktopicon\eBayShortcuts.ex​e (.not file.)
 O20 - AppInit_DLLs: . (...) - C:\Program Files (x86)\WINDOW~2\Datamngr\x64\da​tamngr.dll (.not file.)
 [MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files (x86)\Ask.com\UpdateTask.exe (.not file.)
 [MD5.00000000000000000000000000000000] [APT] [{017AB008-81A9-45F9-B290-F3C3C74728B7}] (...) -- F:\setup.exe (.not file.)
 [MD5.00000000000000000000000000000000] [APT] [{11592ADF-D1EA-477C-BB16-5C77FFD075E9}] (...) -- D:\Download\LogitechHarmonyRem​ote7.7.0-WIN-x86.exe (.not file.)
 [MD5.00000000000000000000000000000000] [APT] [{17207248-0A6E-4A6A-A7BC-C895B0B89352}] (...) -- D:\Creative ES-1373 Sound Driver\es1373_9x\SBSETUP.exe (.not file.)
 [MD5.00000000000000000000000000000000] [APT] [{777E8347-4B95-4ADC-9AEF-69B851DB8419}] (...) -- D:\epson324702eu.exe (.not file.)
 [MD5.00000000000000000000000000000000] [APT] [{C37EBF43-AD0E-4AD3-B40B-A0B80F86C14A}] (...) -- D:\xvid-codec_xvid_codec_1.2.2​_stable_anglais_12459.exe (.not file.)
 [MD5.00000000000000000000000000000000] [APT] [{D5C75CA5-05F7-4257-9D02-6585A65B0BE6}] (...) -- D:\epson324780eu.exe (.not file.)
 [HKLM\Software\Wow6432Node\McAfee.com]
 [HKLM\Software\Wow6432Node\Symantec]
 [HKLM\Software\Wow6432Node\Uniblue]
 O43 - CFD: 07/10/2010 - 02:30:01 - [0] ----D C:\ProgramData\McAfee
 O43 - CFD: 08/05/2012 - 02:44:14 - [0] ----D C:\ProgramData\Uniblue
 [HKLM\Software\Wow6432Node\Classes\CLSID\{ea551c00-2ae5-11d3-8592-00a0c98e9ea4}]   =>Toolbar.Agent
 [HKLM\Software\CrazyLoader]   =>Adware.SPointer
 C:\Users\Apotre\AppData\Local\​Crazyloader Air   =>Adware.SPointer
 C:\Windows\System32\Tasks\Sche​duled Update for Ask Toolbar   =>Toolbar.AskTBar

 Emptytemp
 EmptyFlash
 FirewallRAZ
 

 Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).

 Les lignes se collent automatiquement dans ZHPFix ; sinon, coll-les.

 Clique sur "GO" pour lancer le nettoyage.

 Poste le rapport ZHPFix, stp.

 Tuto : http://www.premiumorange.com/z [...] hpfix.html


n°560046
casdal122
Posté le 10-10-2012 à 23:58:24  answer
Prévenir les modérateurs en cas d'abus
 

Excuse mon inexpérience mais je ne vois pas l'icone représentant la lettre H.
 Voici une capture écran de ce que j'ai :
 http://cjoint.com/?3Jkx4oxHuIk

n°560047
casdal122
Posté le 11-10-2012 à 00:03:30  answer
Prévenir les modérateurs en cas d'abus
 

Il n'y a pas de bouton "GO" non plus.

n°560048
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 11-10-2012 à 00:05:00  answer
Prévenir les modérateurs en cas d'abus
 

....

 Apparemment, les lignes sont déjà collées dans ZHPFix.

 Tu n'as plus qu'à lancer le nettoyage en cliquant sur "GO".

n°560049
casdal122
Posté le 11-10-2012 à 00:12:07  answer
Prévenir les modérateurs en cas d'abus
 

"Go" est symbolisé par la Lettre "A" (Nettoyeur de Tools) ?
 Parce que je ne vois pas de "Go".

n°560050
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 11-10-2012 à 00:21:20  answer
Prévenir les modérateurs en cas d'abus
 

...

 Il faut que tu cliques ur l'icone du milieu ; celui ou il est indiqué (quand tu survoles avec la souris) "Coller le presse-papier"

 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement celles-ci) sont dans la fenêtre (important) !

 Là, tu verras l'icone "GO" appararaître au bas de l'outil, à gauche.

n°560051
casdal122
Posté le 11-10-2012 à 00:25:48  answer
Prévenir les modérateurs en cas d'abus
 

Voici le rapport de ZHPFix :

 Rapport de ZHPFix 1.3.04 par Nicolas Coolman, Update du 30/09/2012
 Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-11-10​-2012-00-23-52.txt
 Run by Apotre at 11/10/2012 00:23:45
 Windows 7 Ultimate Edition, 64-bit  (Build 7600)
 Web site : http://nicolascoolman.skyrock.com/



 ========== Clé(s) du Registre ==========
 SUPPRIME Key: CLSID BHO: {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3}
 SUPPRIME Key: CLSID BHO: {761497BB-D6F0-462C-B6EB-D4DAF​1D92D43}
 SUPPRIME Key: CLSID BHO: {9030D464-4C02-4ABF-8ECC-51647​60863C6}
 SUPPRIME Key: CLSID BHO: {DBC80044-A445-435b-BC74-9C25C​1C588A9}
 SUPPRIME Key: HKLM\Software\Wow6432Node\McAf​ee.com
 SUPPRIME Key: HKLM\Software\Wow6432Node\Syma​ntec
 SUPPRIME Key: HKLM\Software\Wow6432Node\Unib​lue
 SUPPRIME Key: HKLM\Software\Wow6432Node\Clas​ses\CLSID\{ea551c00-2ae5-11d3-​8592-00a0c98e9ea4}
 SUPPRIME Key*: HKLM\Software\CrazyLoader

 ========== Valeur(s) du Registre ==========
 SUPPRIME RunValue: Freecorder FLV Service
 ABSENT RunValue: 50257
 SUPPRIME FirewallRaz (Public) : {2CC1ECC4-53DB-4D26-8EB6-D2AC8​5840C21}
 SUPPRIME FirewallRaz (Public) : {26B527F5-21FB-42E5-A59E-39153​62F0DA9}
 SUPPRIME FirewallRaz (Public) : {4DCED564-BCC4-4B36-978F-58CAA​1B3B64D}
 SUPPRIME FirewallRaz (Public) : {5B594729-DBBD-4CAB-A75C-774C3​7A46087}
 SUPPRIME FirewallRaz (Private) : {E0E2A459-060B-4920-9C8B-5054B​FDECFDC}
 SUPPRIME FirewallRaz (Private) : {8081023A-A5F8-47A8-A35F-90D21​E9A61E9}

 ========== Elément(s) de donnée du Registre ==========
 SUPPRIME AppInit: \Program Files (x86)\WINDOW~2\Datamngr\x64\da​tamngr.dll

 ========== Dossier(s) ==========
 SUPPRIME Folder: C:\ProgramData\McAfee
 SUPPRIME Folder: C:\ProgramData\Uniblue
 SUPPRIME Folder: c:\users\apotre\appdata\local\​crazyloader air
 SUPPRIME Temporaires Windows:
 SUPPRIME Flash Cookies:

 ========== Fichier(s) ==========
 ABSENT File: c:\program files (x86)\freecorder\flvsrvc.exe
 ABSENT File: c:\programdata\locals~1\temp\m​sbadukzd.exe
 SUPPRIME File: c:\users\apotre\appdata\roamin​g\microsoft\internet explorer\quick launch\ebay.lnk
 ABSENT File: c:\users\apotre\appdata\roamin​g\desktopicon\ebayshortcuts.ex​e
 ABSENT File: \program files (x86)\window~2\datamngr\x64\da​tamngr.dll
 ABSENT Folder/File: c:\windows\system32\tasks\sche​duled update for ask toolbar
 SUPPRIME Temporaires Windows:
 SUPPRIME Flash Cookies:

 ========== Tache planifiée ==========
 SUPPRIME Task: Scheduled Update for Ask Toolbar
 SUPPRIME Task: {017AB008-81A9-45F9-B290-F3C3C​74728B7}
 SUPPRIME Task: {11592ADF-D1EA-477C-BB16-5C77F​FD075E9}
 SUPPRIME Task: {17207248-0A6E-4A6A-A7BC-C895B​0B89352}
 SUPPRIME Task: {777E8347-4B95-4ADC-9AEF-69B85​1DB8419}
 SUPPRIME Task: {C37EBF43-AD0E-4AD3-B40B-A0B80​F86C14A}
 SUPPRIME Task: {D5C75CA5-05F7-4257-9D02-6585A​65B0BE6}


 ========== Récapitulatif ==========
 9 : Clé(s) du Registre
 8 : Valeur(s) du Registre
 1 : Elément(s) de donnée du Registre
 5 : Dossier(s)
 8 : Fichier(s)
 7 : Tache planifiée


 End of clean in 00mn 14s

 ========== Chemin de fichier rapport ==========
 C:\ZHP\ZHPFix[R1].txt - 11/10/2012 00:23:52 [2963]

n°560052
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 11-10-2012 à 00:40:06  answer
Prévenir les modérateurs en cas d'abus
 

...

 Ok.

 Dans l'ordre :

 1. Supprime AdwCleaner comme indiqué dans mon premier message.

 Supprime, aussi, tous les fichiers texte comme indiqué dans mon (premier) message.

 -----
 2. Réinstalle AdwCleaner comme indiqué.

 Lance un scan et choisis l'option "Suppression".

 Puis, poste le rapport.

 -----
 3. Lance Malwarebytes et mets-le à jour (important).

 Puis, exécute un scan "complet".

 Une fois le scan achevé, si MalwareByte's a détecté des infections, clique sur Afficher les résultats, puis sur Supprimer la sélection.

 -----
 Bonne nuit  :sleep: ...

n°560053
casdal122
Posté le 11-10-2012 à 01:08:04  answer
Prévenir les modérateurs en cas d'abus
 

# AdwCleaner v2.004 - Rapport créé le 11/10/2012 à 00:58:09
 # Mis à jour le 06/10/2012 par Xplode
 # Système d'exploitation : Windows 7 Ultimate  (64 bits)
 # Nom d'utilisateur : ***
 # Mode de démarrage : Normal
 # Exécuté depuis : C:\Users\***\Desktop\adwcleane​r.exe
 # Option [Suppression]


 ***** [Services] *****


 ***** [Fichiers / Dossiers] *****


 ***** [Registre] *****


 ***** [Navigateurs] *****

 -\\ Internet Explorer v8.0.7600.16385

 [OK] Le registre ne contient aucune entrée illégitime.

 -\\ Mozilla Firefox v15.0.1 (fr)

 Nom du profil : default
 Fichier : C:\Users\***\AppData\Roaming\M​ozilla\Firefox\Profiles\y9bqbl​di.default\prefs.js

 Supprimée : user_pref("extensions.skipscre​en.hostMatchStr", "hxxp://www.4shared.com/(get|audio|file|document|dir[...]

 -\\ Google Chrome v22.0.1229.92

 Fichier : C:\Users\***\AppData\Local\Goo​gle\Chrome\User Data\Default\Preferences

 [OK] Le fichier ne contient aucune entrée illégitime.

 *************************

 AdwCleaner[R8].txt - [1159 octets] - [11/10/2012 00:57:33]
 AdwCleaner[S4].txt - [1093 octets] - [11/10/2012 00:58:09]

 ########## EOF - C:\AdwCleaner[S4].txt - [1153 octets] ##########

n°560054
casdal122
Posté le 11-10-2012 à 01:47:16  answer
Prévenir les modérateurs en cas d'abus
 

Malwarebytes Anti-Malware 1.65.0.1400
 www.malwarebytes.org

 Version de la base de données: v2012.10.10.10

 Windows 7 x64 NTFS
 Internet Explorer 8.0.7600.16385
 Apotre :: *** [administrateur]

 11/10/2012 01:10:45
 mbam-log-2012-10-11 (01-10-45).txt

 Type d'examen: Examen complet (C:\|D:\|I:\|J:\|)
 Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
 Options d'examen désactivées: P2P
 Elément(s) analysé(s): 351986
 Temps écoulé: 34 minute(s), 34 seconde(s)

 Processus mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Module(s) mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Clé(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre détectée(s): 1
 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|50257 (Trojan.Agent) -> Données: C:\ProgramData\LOCALS~1\Temp\m​sbadukzd.exe -> Suppression au redémarrage.

 Elément(s) de données du Registre détecté(s): 0
 (Aucun élément nuisible détecté)

 Dossier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 Fichier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 (fin)

n°560055
casdal122
Posté le 11-10-2012 à 01:57:58  answer
Prévenir les modérateurs en cas d'abus
 

J'ai procédé à un 2ème session de Malwarebytes Anti-Malware et le Trojan est toujours là.

 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|50257 (Trojan.Agent)

n°560056
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 11-10-2012 à 09:07:30  answer
Prévenir les modérateurs en cas d'abus
 

Hello !

 Redémarre le PC en mode sans echec
 -> méthode F8 (ou F5/F11 sur certains PC) de préférence

 Puis, lance MBAM pour un scan ...

 Sauvegarde le rapport.

 Redémarre le PC en mode normal.

 Poste le rapport.


n°560057
casdal122
Posté le 11-10-2012 à 10:07:32  answer
Prévenir les modérateurs en cas d'abus
 

Hello Kmisol,
 Voici :

 Malwarebytes Anti-Malware 1.65.0.1400
 www.malwarebytes.org

 Version de la base de données: v2012.10.10.10

 Windows 7 x64 NTFS (Mode sans échec)
 Internet Explorer 8.0.7600.16385
 *** [administrateur]

 11/10/2012 09:41:35
 mbam-log-2012-10-11 (09-41-35).txt

 Type d'examen: Examen complet (C:\|D:\|I:\|J:\|)
 Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
 Options d'examen désactivées: P2P
 Elément(s) analysé(s): 350881
 Temps écoulé: 18 minute(s), 50 seconde(s)

 Processus mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Module(s) mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Clé(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre détectée(s): 1
 HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|50257 (Trojan.Agent) -> Données: C:\ProgramData\LOCALS~1\Temp\m​sbadukzd.exe -> Suppression au redémarrage.

 Elément(s) de données du Registre détecté(s): 0
 (Aucun élément nuisible détecté)

 Dossier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 Fichier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 (fin)

n°560058
casdal122
Posté le 11-10-2012 à 13:48:04  answer
Prévenir les modérateurs en cas d'abus
 

J'en ai profité pour refaire un MBAM en mode normal et il est toujours là le bougre. Il persiste :)

n°560059
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 11-10-2012 à 19:22:28  answer
Prévenir les modérateurs en cas d'abus
 

Hello !

 Tu avais redémarré le PC comme demandé par MBAM ?

 -----
 Sinon, via Démarrer > Exécuter ... tape regedit dans la fenêtre et valide par OK ou Entrée.

 Tu vas découvrir l'éditeur du registre et son arborescence ...

 Remonte les clés en cliquant successivement sur les + jusqu' à ... 50257

 



HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer\Run|50257




 Tu cliques droit dessus et tu supprimes le fichier en gras, ci-dessus.

 Ensuite, tu relanceras un scan MBAM pour voir ce qu'il en est.

n°560060
casdal122
Posté le 11-10-2012 à 19:34:16  answer
Prévenir les modérateurs en cas d'abus
 

Il n'y est pas lorsque je cherche en manuel et lorsque je colle le lien sur "Executer" eh bien Windows ne le trouve pas non plus.
 On a faire à du lourd je crois.

n°560061
casdal122
Posté le 11-10-2012 à 19:44:58  answer
Prévenir les modérateurs en cas d'abus
 

Autant pour moi, je t'ai écrit une bêtise. Je l'ai finalement trouvé en manuel mais je ne peux pas le supprimer. J'ai essayer de faire la même chose en mode sans échecs et pareil Windows ne m'autorise pas à le supprimer.

n°560062
casdal122
Posté le 12-10-2012 à 17:29:55  answer
Prévenir les modérateurs en cas d'abus
 

J'ai trouvé la solution comme un grand : RogueKiller

 Merci à Kmisol pour sa patience.

n°560063
kmisol
Imagine ...
Profil : Equipe sécurité
Posté le 12-10-2012 à 18:08:55  answer
Prévenir les modérateurs en cas d'abus
 

Hello !

 



J'ai trouvé la solution comme un grand : RogueKiller
 




 C'est vrai ... j'aurais pu y penser plus tôt  :/  

 -----

 Page :
1

Aller à :
Ajouter une réponse
  


  


  2 Trojans (dont Incredibar) reviennent sans arret. RESOLU

 

Sujets relatifs
panneau pub [résolu]Suppression de Incredibar
arret autorite nt\systemvirus de type trojans [resolu]
comment utiliser Malwarebyte pour éliminer des trojans ?détection de trojans
Résolu. au secours mon pc est infecté au quotidien par des virus et trojansinfections trojans et rogue antivirus2010
Suspiçion de trojans et fenêtre intempestive[résolu]Des trojans bloquent le mode sans echec
pc trop lent, avast détecte trojansPC qui rame à cause de virus ou trojans
Pub qui reviennent 
Plus de sujets relatifs à : 2 Trojans (dont Incredibar) reviennent sans arret. RESOLU

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
bip bien pénible 0 10-10-2012 à 18:28:50
panneau pub [résolu] 22 23-10-2012 à 01:06:04
problemes avec les connexions entrantes 2 17-10-2012 à 20:07:29
impossible de supprimer http://www.searchnu.com/406 2 06-12-2012 à 15:59:31
Pc infecté par Trojan win32.downloader resolu 58 09-11-2012 à 17:20:23

Recevez toute
l’actu du forum !