Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

Ukash virus

 

pépère. SECURITE : lenoirc, 2 utilisateurs anonymes et 78 utilisateurs inconnus
Ajouter une réponse
 

 
Page photos
 
 Mot :  Pseudo :  
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

Ukash virus

Prévenir les modérateurs en cas d'abus 
maxp39
  1. Posté le 30/12/2012 à 21:22:29  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonsoir,

 j'ai été infecté par le virus Ukash (soit disant émis par le ministère de l'intérieur) et me demandant 100€ sous 48h.
 Pour vous parler, je suis obligé de le faire via le mode "sans échec".
 Que puis-je faire ?

 J'ai téléchargé roguekiller dont voici le rapport ... j'espère que vous pourrez m'aider, par avance merci.



 RogueKiller V8.4.1 [Dec 28 2012] par Tigzy
 mail : tigzyRK<at>gmail<dot>com
 Remontees : http://www.sur-la-toile.com/di [...] ntees.html
 Site Web : http://www.sur-la-toile.com/RogueKiller/
 Blog : http://tigzyrk.blogspot.com/

 Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
 Demarrage : Mode sans echec avec prise en charge reseau
 Utilisateur : Guy [Droits d'admin]
 Mode : Recherche -- Date : 30/12/2012 20:13:27

 ¤¤¤ Processus malicieux : 0 ¤¤¤

 ¤¤¤ Entrees de registre : 10 ¤¤¤
 [RUN][SUSP PATH] HKLM\[...]\Wow6432Node\Run : Nuance PDF Reader-reminder ("C:\Program Files (x86)\Nuance\PDF Reader\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\PDF Reader\Ereg\Ereg.ini" ) -> TROUVÉ
 [STARTUP][Rans.Gendarm] runctf.lnk @Guy : C:\Windows\System32\rundll32.e​xe|C:\Users\Guy\wgsdgsdgdsgsd.​dll,H1N1 -> TROUVÉ
 [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
 [HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
 [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
 [HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ
 [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595F​E6B30EE} (1) -> TROUVÉ
 [HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595f​e6b30ee} (1) -> TROUVÉ
 [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595f​e6b30ee} (1) -> TROUVÉ
 [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002​B30309D} (1) -> TROUVÉ

 ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 ¤¤¤ Driver : [NON CHARGE] ¤¤¤

 ¤¤¤ Infection : Rans.Gendarm ¤¤¤

 ¤¤¤ Fichier HOSTS: ¤¤¤
 --> C:\Windows\system32\drivers\et​c\hosts



 ¤¤¤ MBR Verif: ¤¤¤

 +++++ PhysicalDrive0: ST9500325AS +++++
 --- User ---
 [MBR] 36b33c83d5b8ed32d958a92bb18982​0a
 [BSP] 32684af898f092ee7d03a8d2e7af37​43 : Windows 7/8 MBR Code
 Partition table:
 0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 64 | Size: 22000 Mo
 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 45056064 | Size: 122569 Mo
 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 296078203 | Size: 332370 Mo
 User = LL1 ... OK!
 User = LL2 ... OK!

 Termine : << RKreport[1]_S_30122012_201327.txt >>
 RKreport[1]_S_30122012_201327.txt


Imagine ...
Profil : Equipe sécurité
kmisol
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 30/12/2012 à 22:49:20  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Hello !

 (re)Lance RogueKiller.exe.
 
 Attends la fin du "Prescan" ... et clique sur l'onglet Suppression.

 Une fois le scan achevé, le rapport devrait s'afficher.

 Poste-le.

(Publicité)
maxp39
  1. Posté le 31/12/2012 à 00:03:38  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
RogueKiller V8.4.1 [Dec 28 2012] par Tigzy
 mail : tigzyRK<at>gmail<dot>com
 Remontees : http://www.sur-la-toile.com/di [...] ntees.html
 Site Web : http://www.sur-la-toile.com/RogueKiller/
 Blog : http://tigzyrk.blogspot.com/

 Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
 Demarrage : Mode normal
 Utilisateur : Guy [Droits d'admin]
 Mode : Suppression -- Date : 30/12/2012 23:00:20

 ¤¤¤ Processus malicieux : 3 ¤¤¤
 [DLL][Rans.Gendarm] rundll32.exe -- C:\Windows\System32\rundll32.e​xe : C:\Users\Guy\wgsdgsdgdsgsd.dll -> TUÉ [TermProc]
 [DLL][Rans.Gendarm] rundll32.exe -- C:\Windows\SysWOW64\rundll32.e​xe : C:\Users\Guy\wgsdgsdgdsgsd.dll -> TUÉ [TermProc]
 [DLL] rundll32.exe -- C:\Windows\SysWOW64\rundll32.e​xe : C:\Users\Guy\wgsdgsdgdsgsd.dll -> TUÉ [TermProc]

 ¤¤¤ Entrees de registre : 8 ¤¤¤
 [RUN][SUSP PATH] HKLM\[...]\Wow6432Node\Run : Nuance PDF Reader-reminder ("C:\Program Files (x86)\Nuance\PDF Reader\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\PDF Reader\Ereg\Ereg.ini" ) -> SUPPRIMÉ
 [STARTUP][Rans.Gendarm] runctf.lnk @Guy : C:\Windows\System32\rundll32.e​xe|C:\Users\Guy\wgsdgsdgdsgsd.​dll,H1N1 -> SUPPRIMÉ
 [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
 [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
 [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595F​E6B30EE} (1) -> REMPLACÉ (0)
 [HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595f​e6b30ee} (1) -> REMPLACÉ (0)
 [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595f​e6b30ee} (1) -> REMPLACÉ (0)
 [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002​B30309D} (1) -> REMPLACÉ (0)

 ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 ¤¤¤ Driver : [NON CHARGE] ¤¤¤

 ¤¤¤ Infection : Rans.Gendarm ¤¤¤

 ¤¤¤ Fichier HOSTS: ¤¤¤
 --> C:\Windows\system32\drivers\et​c\hosts



 ¤¤¤ MBR Verif: ¤¤¤

 +++++ PhysicalDrive0: ST9500325AS +++++
 --- User ---
 [MBR] 36b33c83d5b8ed32d958a92bb18982​0a
 [BSP] 32684af898f092ee7d03a8d2e7af37​43 : Windows 7/8 MBR Code
 Partition table:
 0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 64 | Size: 22000 Mo
 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 45056064 | Size: 122569 Mo
 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 296078203 | Size: 332370 Mo
 User = LL1 ... OK!
 User = LL2 ... OK!

 +++++ PhysicalDrive1: JMCR SD/MMC SCSI Disk Device +++++
 --- User ---
 [MBR] 9fa20c71bf8a0c8dc2f19acb7d68bb​2b
 [BSP] df4f83c1f72e36823a12b0dfc76173​13 : MBR Code unknown
 Partition table:
 0 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 99 | Size: 119 Mo
 User = LL1 ... OK!
 Error reading LL2 MBR!

 Termine : << RKreport[3]_D_30122012_230020.txt >>
 RKreport[1]_S_30122012_201327.txt ; RKreport[2]_S_30122012_225959.txt ; RKreport[3]_D_30122012_230020.txt

Imagine ...
Profil : Equipe sécurité
kmisol
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 31/12/2012 à 00:51:59  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
...

 Ok.

 Télécharge ZHPDiag (de N. Coolman) sur le bureau.

 Double-clique sur le fichier téléchargé ; puis, installe-le avec les paramètres par défaut (n'oublie pas de cocher "Créer une icône sur le bureau" ).

 (pour Vista/Win 7, clique droit sur le fichier et choisis "Exécuter en tant qu’administrateur" )

 Lance ZHPDiag en double cliquant sur le raccourci "ZHPDiag" présent sur le bureau.

 



Si le bouton UAC apparaît dans le panel supérieur, cela signifie que ton UAC est activée. Or, l'activation de l'UAC gène l'analyse de ZHPDiag sur certains modules (O18, O23, O42, etc).
 Aussi, pour faciliter un scan complet de l'outil, tu dois, au préalable, cliquer sur ce bouton.
 Ce qui aura pour conséquence de relancer ZHPDiag avec une désactivation temporaire de l'UAC.
 




 Clique sur la Loupe (Lancer le diagnostic) en haut et à gauche et … laisse l’outil scanner.

 Une fois le scan achevé, clique sur la Disquette (Sauvegarder le fichier) et …  enregistre le rapport sur le bureau.

 PS : le rapport se trouve, aussi, sauvegardé à la base du disque dur, dans le dossier « ZHP » (C:\ZHP\ZHPDiag.txt)

 Comme le rapport est long, rends-toi sur ce site : http://cjoint.com/
 puis, clique sur "Parcourir" et sélectionne ce fichier (ZHPDiag.txt) ; un lien va être créé.

 Copie/colle ce lien dans ta prochaine réponse.

 Aide en images

maxp39
  1. Posté le 31/12/2012 à 02:04:24  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
(Publicité)
Imagine ...
Profil : Equipe sécurité
kmisol
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 31/12/2012 à 13:39:42  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Hello Guy !

 Ok.

 D'autres infections sont associées à Ukash ...

 Aussi, fais ce qui suit, dans l'ordre (merci de respecter l'ordre) :

 1/ Télécharge AdwCleaner (by Xplode) et enregistre-le sur le bureau.

 Puis, clique sur l'icône AdwCleaner qui est sur le bureau.

 Choisis l'option "Suppression".

 Patiente le temps du scan ...

 Une fois le scan achevé, le rapport s'affiche.

 Poste-le (copie-colle) dans ta prochaine réponse.

 -----
 2/ Télécharge AD-R (de Cyrildu17 / C_XX) sur ton Bureau.

 !! Déconnecte-toi du net et ferme toutes applications en cours !!

 Double-clique sur le programme d'installation ; laisse-le s’installer par défaut (C:\Program files).

 Double-clique sur l'icône AD-Remover située sur ton Bureau.
 (Pour Vista et Win 7 : clique droit > "Exécuter en tant qu'administrateur" )

 Au menu principal, choisis l'option "Nettoyer".

 L’outil débute le nettoyage … Laisse-le travailler !

 Le scan achevé, une fenêtre va s’afficher.
 Poste (copie-colle) le rapport qui apparaît à la fin.

 (tu trouveras aussi le rapport sous C:\Ad-report(date).log)

 Note : "Process.exe", une composante de l'outil peut être détectée par certains antivirus comme une infection ; donc, ne pas en tenir compte. Il s'agit d'un faux positif.

 -----
 3/ Télécharge, installe et mets à jour Malwarebytes Anti-malware.

 Puis, exécute un scan complet.

 Une fois le scan achevé, si MalwareByte's a détecté des infections, clique sur Afficher les résultats, puis sur Supprimer la sélection.

 Poste le rapport.

 http://blogsimages.skynet.be/i​mages_v2/002/568/049/20071127/​dyn004_original_490_396_gif_25​68049_c5ff0ac0f92d437a047a3659​8ad7899b.gif

maxp39
  1. Posté le 01/01/2013 à 05:28:36  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Rapport adw cleanner

 # AdwCleaner v2.104 - Rapport créé le 31/12/2012 à 15:55:11
 # Mis à jour le 29/12/2012 par Xplode
 # Système d'exploitation : Windows 7 Home Premium  (64 bits)
 # Nom d'utilisateur : Guy - GUY-PC
 # Mode de démarrage : Normal
 # Exécuté depuis : C:\Users\Guy\Desktop\adwcleane​r.exe
 # Option [Suppression]


 ***** [Services] *****


 ***** [Fichiers / Dossiers] *****

 Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.​xml
 Fichier Supprimé : C:\user.js
 Supprimé au redémarrage : C:\Program Files (x86)\Conduit
 Supprimé au redémarrage : C:\ProgramData\Babylon
 Supprimé au redémarrage : C:\ProgramData\Partner
 Supprimé au redémarrage : C:\Users\Guy\AppData\Local\Con​duit
 Supprimé au redémarrage : C:\Users\Guy\AppData\Local\Tem​p\BabylonToolbar
 Supprimé au redémarrage : C:\Users\Guy\AppData\Local\Tem​p\Iminent
 Supprimé au redémarrage : C:\Users\Guy\AppData\LocalLow\​BabylonToolbar
 Supprimé au redémarrage : C:\Users\Guy\AppData\LocalLow\​Conduit
 Supprimé au redémarrage : C:\Users\Guy\AppData\LocalLow\​PriceGong
 Supprimé au redémarrage : C:\Users\Guy\AppData\LocalLow\​Toolbar4
 Supprimé au redémarrage : C:\Users\Guy\AppData\Roaming\B​abylon
 Supprimé au redémarrage : C:\Users\Guy\AppData\Roaming\M​ozilla\Firefox\Profiles\v9zanx​ih.default\extensions\{C9B6833​7-E93A-44EA-94DC-CB300EC06444}
 Supprimé au redémarrage : C:\Users\Guy\AppData\Roaming\M​ozilla\Firefox\Profiles\v9zanx​ih.default\extensions\ffxtlbr@​babylon.com
 Supprimé au redémarrage : C:\Users\Guy\AppData\Roaming\O​fferBox

 ***** [Registre] *****

 Clé Supprimée : HKCU\Software\AppDataLow\Softw​are\Conduit
 Clé Supprimée : HKCU\Software\AppDataLow\Softw​are\ConduitSearchScopes
 Clé Supprimée : HKCU\Software\AppDataLow\Softw​are\PriceGong
 Clé Supprimée : HKCU\Software\AppDataLow\Softw​are\SmartBar
 Clé Supprimée : HKCU\Software\Iminent
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Settings\​{2EECD738-5844-4A99-B4B6-146BF​802613B}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Settings\​{58124A0B-DC32-4180-9BFF-E0E21​AE34026}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Settings\​{83FF80F4-8C74-4b80-B5BA-C8DDD​434E5C4}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Settings\​{977AE9CC-AF83-45E8-9E03-E2798​216E2D5}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Settings\​{98889811-442D-49DD-99D7-DC866​BE87DBC}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Settings\​{A09AB6EB-31B5-454C-97EC-9B294​D92EE2A}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Stats\{2E​ECD738-5844-4A99-B4B6-146BF802​613B}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Stats\{58​124A0B-DC32-4180-9BFF-E0E21AE3​4026}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Stats\{83​FF80F4-8C74-4b80-B5BA-C8DDD434​E5C4}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Stats\{97​7AE9CC-AF83-45E8-9E03-E2798216​E2D5}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Stats\{98​889811-442D-49DD-99D7-DC866BE8​7DBC}
 Clé Supprimée : HKCU\Software\Microsoft\Window​s\CurrentVersion\Ext\Stats\{A0​9AB6EB-31B5-454C-97EC-9B294D92​EE2A}
 Clé Supprimée : HKCU\Software\Offerbox
 Clé Supprimée : HKCU\Software\Microsoft\Intern​et Explorer\SearchScopes\{0ECDF79​6-C2DC-4D79-A620-CCE0C0A66CC9}
 Clé Supprimée : HKCU\Software\Microsoft\Intern​et Explorer\SearchScopes\{AFDBDDA​A-5D3F-42EE-B79C-185A7020515B}
 Clé Supprimée : HKLM\Software\AedgePerformance​BCN
 Clé Supprimée : HKLM\Software\Babylon
 Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{0​9C554C3-109B-483C-A06B-F14172F​1A947}
 Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B​DB69379-802F-4EAF-B541-F8DE92D​D98DB}
 Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\es​cort.DLL
 Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
 Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.​CT3201318
 Clé Supprimée : HKLM\Software\Conduit
 Clé Supprimée : HKLM\Software\Iminent
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracin​g\MyBabylontb_RASAPI32
 Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracin​g\MyBabylontb_RASMANCS
 Clé Supprimée : HKLM\Software\Offerbox
 Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Clas​ses\CLSID\{2EECD738-5844-4A99-​B4B6-146BF802613B}
 Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Clas​ses\CLSID\{3C471948-F874-49F5-​B338-4F214A2EE0B1}
 Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Clas​ses\CLSID\{E46C8196-B634-44A1-​AF6E-957C64278AB1}
 Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Micr​osoft\Internet Explorer\Low Rights\ElevationPolicy\{628F32​01-34D0-49C0-BB9A-82A26AEFB291​}
 Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Micr​osoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81C​CD-A80C-4060-8947-5AE69ED01199​}
 Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Micr​osoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969​FB-6D33-48D2-9061-8BBD4899EB08​}
 Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Micr​osoft\Internet Explorer\SearchScopes\{AFDBDDA​A-5D3F-42EE-B79C-185A7020515B}
 Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Micr​osoft\Windows\CurrentVersion\U​ninstall\SearchTheWebARP
 Valeur Supprimée : HKCU\Software\Microsoft\Intern​et Explorer\Toolbar\WebBrowser [{977AE9CC-AF83-45E8-9E03-E2798​216E2D5}]
 Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\​Extensions [webbooster@iminent.com]

 ***** [Navigateurs] *****

 -\\ Internet Explorer v8.0.7600.16671

 Remplacé : [HKLM\SOFTWARE\Microsoft\Intern​et Explorer\AboutURls - Tabs] = hxxp://search.babylon.com/?aff​ID=111020&tt=2912_8&babsrc=NT_​ss&mntrId=bc069f6b000000000000​bcaec5a33bc9 --> hxxp://www.google.com

 -\\ Mozilla Firefox v7.0 (fr)

 Fichier : C:\Users\Guy\AppData\Roaming\M​ozilla\Firefox\Profiles\v9zanx​ih.default\prefs.js

 C:\Users\Guy\AppData\Roaming\M​ozilla\Firefox\Profiles\v9zanx​ih.default\user.js ... Supprimé !

 Supprimée : user_pref("browser.babylon.HPO​nNewTab", "search.babylon.com" );
 Supprimée : user_pref("browser.newtab.url"​, "hxxp://search.babylon.com/?af​fID=111020&tt=2912_8&babsrc=NT​_ss&mntr[...]
 Supprimée : user_pref("browser.search.defa​ultenginename", "Search the web (Babylon)" );
 Supprimée : user_pref("browser.search.orde​r.1", "Search the web (Babylon)" );
 Supprimée : user_pref("browser.search.sele​ctedEngine", "Search the web (Babylon)" );
 Supprimée : user_pref("browser.startup.hom​epage", "hxxp://search.babylon.com/?ba​bsrc=HP_Prot" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.admin", false);
 Supprimée : user_pref("extensions.BabylonT​oolbar.aflt", "babsst" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.babExt", "" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.babTrack", "affID=111020&tt=2912_8" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.bbDpng", 19);
 Supprimée : user_pref("extensions.BabylonT​oolbar.dfltLng", "en" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.dfltSrch", true);
 Supprimée : user_pref("extensions.BabylonT​oolbar.hmpg", true);
 Supprimée : user_pref("extensions.BabylonT​oolbar.id", "bc069f6b000000000000bcaec5a33​bc9" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.instlDay", "15543" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.instlRef", "sst" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.keyWordUrl", "hxxp://search.babylon.com/?af​fID=111020&tt=2912_8[...]
 Supprimée : user_pref("extensions.BabylonT​oolbar.lastDP", 19);
 Supprimée : user_pref("extensions.BabylonT​oolbar.lastVrsnTs", "1.5.3.1719:03:28" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.mntrFFxVrsn", "7.0" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.newTab", false);
 Supprimée : user_pref("extensions.BabylonT​oolbar.newTabUrl", "hxxp://search.babylon.com/?af​fID=111020&tt=2912_8&[...]
 Supprimée : user_pref("extensions.BabylonT​oolbar.noFFXTlbr", false);
 Supprimée : user_pref("extensions.BabylonT​oolbar.prdct", "BabylonToolbar" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.propectorlck", 91897122);
 Supprimée : user_pref("extensions.BabylonT​oolbar.prtkDS", 1);
 Supprimée : user_pref("extensions.BabylonT​oolbar.prtkHmpg", 1);
 Supprimée : user_pref("extensions.BabylonT​oolbar.prtnrId", "babylon" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.ptch_0717", true);
 Supprimée : user_pref("extensions.BabylonT​oolbar.smplGrp", "czb" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.srcExt", "ss" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.tlbrId", "base" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.vrsn", "1.5.3.17" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.vrsnTs", "1.5.3.1719:03:28" );
 Supprimée : user_pref("extensions.BabylonT​oolbar.vrsni", "1.5.3.17" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.aflt", "babsst" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.babExt", "" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.babTrack", "affID=111020&tt=2912_8" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.hardId", "bc069f6b000000000000bcaec5a33​bc9" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.id", "bc069f6b000000000000bcaec5a33​bc9" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.instlDay", "15543" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.instlRef", "sst" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.newTab", false);
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.prdct", "BabylonToolbar" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.prtnrId", "babylon" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.smplGrp", "none" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.srcExt", "ss" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.tlbrId", "base" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.vrsn", "1.5.3.17" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.vrsnTs", "1.5.3.1719:03:28" );
 Supprimée : user_pref("extensions.BabylonT​oolbar_i.vrsni", "1.5.3.17" );
 Supprimée : user_pref("extensions.enabledA​ddons", "ffxtlbr@babylon.com:1.2.0,{C9​B68337-E93A-44EA-94DC-CB300EC0​64[...]
 Supprimée : user_pref("extensions.wajam.af​filiate_id", "5401" );
 Supprimée : user_pref("extensions.wajam.fi​rstrun", "false" );
 Supprimée : user_pref("extensions.wajam.lo​g_send_info", "false" );
 Supprimée : user_pref("extensions.wajam.ma​ppingListJsonString", "{\"version\":\"0.21083\",\"su​pported_sites\":{\[...]
 Supprimée : user_pref("extensions.wajam.no​_trace", "false" );
 Supprimée : user_pref("extensions.wajam.se​rver_current_mapping_version", "0.21083" );
 Supprimée : user_pref("extensions.wajam.tr​ace_log", "1342979709642 - processInstallationUpgrade - version set to[...]
 Supprimée : user_pref("extensions.wajam.un​ique_id", "CC3091FFB92E27F44F490C06ABBF9​166" );
 Supprimée : user_pref("extensions.wajam.us​er_current_mapping_version", "0" );
 Supprimée : user_pref("extensions.wajam.ve​rsion", "1.25" );
 Supprimée : user_pref("keyword.URL", "hxxp://search.babylon.com/?af​fID=111020&tt=2912_8&babsrc=KW​_ss&mntrId=bc06[...]

 -\\ Google Chrome v23.0.1271.97

 Fichier : C:\Users\Guy\AppData\Local\Goo​gle\Chrome\User Data\Default\Preferences

 [OK] Le fichier ne contient aucune entrée illégitime.

 *************************

 AdwCleaner[S1].txt - [11035 octets] - [31/12/2012 15:55:11]

 ########## EOF - C:\AdwCleaner[S1].txt - [11096 octets] ##########




 RAPPORT AD R

 ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

 Mis à jour par TeamXscript le 12/04/11
 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
 Site web: http://www.teamxscript.org

 C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:04:07 le 31/12/2012, Mode normal

 Microsoft Windows 7 Édition Familiale Premium   (X64)
 Guy@GUY-PC (ASUSTeK Computer Inc. K52F)
 
 ============== ACTION(S) ==============



 (!) -- Fichiers temporaires supprimés.




 ============== SCAN ADDITIONNEL ==============

 **** Mozilla Firefox Version [7.0 (fr)] ****

 HKLM_MozillaPlugins\ZEON/PDF,v​ersion=2.0 (x)
 Searchplugins\bing.xml (    hxxp://www.bing.com/search)
 Components\browsercomps.dll (Mozilla Foundation)
 HKLM_Extensions|{E6768F2A-D4C3​-457D-A1A8-3472BF16267D} - C:\Program Files (x86)\Orange\ToolbarFR\Firefox​Container\

 -- C:\Users\Guy\AppData\Roaming\M​ozilla\FireFox\Profiles\v9zanx​ih.default --
 Prefs.js - browser.startup.homepage_overr​ide.buildID, 20110922153450
 Prefs.js - browser.startup.homepage_overr​ide.mstone, rv:7.0

 ==============================​==========

 **** Internet Explorer Version [8.0.7600.16385] ****

 HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi​/redir.dll?prd=ie&pver=6&ar=ms​nhome
 HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi​/redir.dll?prd=ie&ar=iesearch
 HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink​/?linkid=54896
 HKCU_Main|Start Page - hxxp://fr.msn.com/
 HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink​/?LinkId=54896
 HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi​/redir.dll?prd=ie&ar=iesearch
 HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.​htm
 HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi​/redir.dll?prd=ie&ar=iesearch
 HKLM_Main|Start Page - hxxp://fr.msn.com/
 HKCU_URLSearchHooks|{AEEC3B59-​CA98-4EBA-A140-57B94E283583} (x)
 HKCU_URLSearchHooks|{3bbd3c14-​4c16-4989-8366-95bc9179779d} (x)
 HKCU_SearchScopes\{67A2568C-7A​0A-4EED-AECC-B5405DE63B64} - "?" (?)
 HKCU_Toolbar\WebBrowser|{D3028​143-6145-4318-99D3-3EDCE54A95A​9} (C:\Program Files (x86)\Orange\ToolbarFR\Toolbar​Container101000315.dll)
 HKCU_Toolbar\WebBrowser|{3BBD3​C14-4C16-4989-8366-95BC9179779​D} (x)
 HKLM_Toolbar|{D3028143-6145-43​18-99D3-3EDCE54A95A9} (C:\Program Files (x86)\Orange\ToolbarFR\Toolbar​Container101000315.dll)
 HKLM_ElevationPolicy\{07d873dc​-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
 HKLM_ElevationPolicy\{0a402d70​-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocob​j.exe (x)
 HKLM_ElevationPolicy\{70f641fd​-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
 HKLM_ElevationPolicy\{A6E2003F​-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files (x86)\Common Files\Oberon Media\OberonBroker\1.0.0.63\Ob​eronBroker.exe (?)
 HKLM_ElevationPolicy\{B43A0C1E​-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.e​xe (x)
 BHO\{C84D72FE-E17D-4195-BB24-7​6C02E2E7C4E} - "Google Dictionary Compression sdch" (C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B​7C5AC242193BB3E.dll)

 ==============================​==========

 C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
 C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

 C:\Ad-Report-CLEAN[1].txt - 31/12/2012 16:04:13 (3271 Octet(s))

 Fin à: 16:06:31, 31/12/2012
 
 ============== E.O.F ==============

 

 RAPPORT MALWAREBYTES


 Malwarebytes Anti-Malware (Essai) 1.70.0.1100
 www.malwarebytes.org

 Version de la base de données: v2012.12.31.05

 Windows 7 x64 NTFS
 Internet Explorer 8.0.7600.16385
 Guy :: GUY-PC [administrateur]

 Protection: Activé

 31/12/2012 16:22:44
 mbam-log-2012-12-31 (16-22-44).txt

 Type d'examen: Examen complet (C:\|D:\|)
 Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
 Options d'examen désactivées: P2P
 Elément(s) analysé(s): 335446
 Temps écoulé: 53 minute(s), 7 seconde(s)

 Processus mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Module(s) mémoire détecté(s): 0
 (Aucun élément nuisible détecté)

 Clé(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre détectée(s): 0
 (Aucun élément nuisible détecté)

 Elément(s) de données du Registre détecté(s): 0
 (Aucun élément nuisible détecté)

 Dossier(s) détecté(s): 0
 (Aucun élément nuisible détecté)

 Fichier(s) détecté(s): 3
 C:\Users\Guy\wgsdgsdgdsgsd.dll (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
 C:\Users\Guy\AppData\LocalLow\​Sun\Java\Deployment\cache\6.0\​30\1ede2ede-3c4a5c47 (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
 C:\ProgramData\dsgsdgdsgdsgw.p​ad (Exploit.Drop.GSA) -> Mis en quarantaine et supprimé avec succès.

 (fin)

Imagine ...
Profil : Equipe sécurité
kmisol
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 01/01/2013 à 12:27:04  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Hello !

 Mets à jour Java, Flash Player et Adobe (Ukash vient du fait que ces programmes ne sont pas à jour) :

 http://forum.security-x.fr/tut [...] eckupdate/

 -----
 Une règle d'or : toujours maintenir ces programmes à jour ! !

 -----
 Relance un scan ZHPDiag et poste le rapport, stp.

 -----
 http://i66.servimg.com/u/f66/1​1/36/46/11/meille10.gif
 

(Publicité)
maxp39
  1. Posté le 01/01/2013 à 15:18:06  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Imagine ...
Profil : Equipe sécurité
kmisol
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 01/01/2013 à 16:42:05  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
...

 Lance ZHPFix via le raccourci sur ton Bureau (sous Vista/Windows 7, lance-le par un clic-droit dessus > Exécuter en temps qu'administrateur).

 Ou télécharge-le sur ton Bureau à cette adresse

 Sélectionne et clique droit puis, copie toutes les lignes suivantes, en gras (il est très important de sélectionner toutes ces lignes en partant de la 1ère lettre et/ou chiffre jusqu'à la dernière lettre) :
 
 [HKLM\SOFTWARE\Microsoft\Window​s\CurrentVersion\Policies\Expl​orer] NoActiveDesktopChanges: Modified
 R3 - URLSearchHook: (no name) [64Bits] - {AEEC3B59-CA98-4EBA-A140-57B94​E283583} . (.Oracle Corporation - NPRuntime Script Plug-in Library for Java(TM) Deploy.) (No version) -- (.not file.)
 R3 - URLSearchHook: (no name) [64Bits] - {3bbd3c14-4c16-4989-8366-95bc9​179779d} . (.Microsoft Corporation - Navigateur Internet.) (No version) -- (.not file.)
 O4 - HKLM\..\Run: [ETDWare] C:\Program Files (x86)\Elantech\ETDCtrl.exe (.not file.)
 O4 - HKLM\..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cm​d (.not file.)
 [MD5.0BF369C8765A03092F0337D80B​A519C6] [SPRF][29/03/2012] (.Babylon Ltd. - Babylon Client Setup.) -- C:\Users\Guy\AppData\Local\Tem​p\MyBabylonTB.exe   [862832]
 [MD5.1C1D673FB3EFC0643271226EA4​2A25D9] [SPRF][27/03/2012] (.Conduit Ltd. - Conduit Toolbar.) -- C:\Users\Guy\AppData\Local\Tem​p\tbFLV_.dll   [4398376]
 C:\Users\Guy\AppData\Local\Tem​p\Iminent   =>Adware.IMBooster
 Emptytemp
 EmptyFlash
 FirewallRAZ
 

 Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») ou aller dans l’icône « Coller dans le presse-papiers », en haut et à gauche (le 2ème).

 Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix ; sinon, colle-le.

 Clique sur "GO" pour lancer le nettoyage.

 Poste le rapport ZHPFix, stp.

 Tuto : http://www.premiumorange.com/z [...] hpfix.html

 ------
 Tu asz installé McAfee !
 Il y a une raison particulière à cela (tu as déjà Avira) ?

maxp39
  1. Posté le 01/01/2013 à 19:50:24  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Rapport de ZHPFix 1.3.11 par Nicolas Coolman, Update du 30/12/2012
 Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-01-01​-2013-18-44-04.txt
 Run by Guy at 01/01/2013 18:44:04
 Windows 7 Home Premium Edition, 64-bit  (Build 7600)



 ========== Processus mémoire ==========
 SUPPRIME Memory Process: C:\Users\Guy\AppData\Local\Tem​p\MyBabylonTB.exe

 ========== Module(s) mémoire ==========
 SUPPRIME Memory Module: C:\Users\Guy\AppData\Local\Tem​p\tbFLV_.dll

 ========== Valeur(s) du Registre ==========
 SUPPRIME URLSearchHook: {AEEC3B59-CA98-4EBA-A140-57B94​E283583}
 SUPPRIME URLSearchHook: {3bbd3c14-4c16-4989-8366-95bc9​179779d}
 SUPPRIME RunValue: ETDWare
 SUPPRIME RunValue: Setwallpaper
 ABSENT Valeur Standard Profile: FirewallRaz :
 ABSENT Valeur Domain Profile: FirewallRaz :
 SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope
 SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
 SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP
 SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP
 SUPPRIME FirewallRaz (Public) : NetPres-In-TCP
 SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP
 SUPPRIME FirewallRaz (None) : {27926BE1-8A8D-467D-B7FC-44FFA​1C72019}
 SUPPRIME FirewallRaz (Public) : {395B291E-7C01-4C5B-AF08-95027​7FBF147}
 SUPPRIME FirewallRaz (Public) : {B09168E6-2B49-49E8-85DB-0267C​DC52961}

 ========== Elément(s) de donnée du Registre ==========
 REMPLACE Value NoActiveDesktopChanges :   Good (0) - Bad (1)

 ========== Dossier(s) ==========
 SUPPRIME Folder: c:\users\guy\appdata\local\tem​p\iminent
 SUPPRIME Temporaires Windows:
 SUPPRIME Flash Cookies:

 ========== Fichier(s) ==========
 ABSENT File: c:\program files (x86)\elantech\etdctrl.exe
 ABSENT File: c:\programdata\setwallpaper.cm​d
 SUPPRIME File*: c:\users\guy\appdata\local\tem​p\mybabylontb.exe
 SUPPRIME File*: c:\users\guy\appdata\local\tem​p\tbflv_.dll
 SUPPRIME Temporaires Windows:
 SUPPRIME Flash Cookies:


 ========== Récapitulatif ==========
 1 : Processus mémoire
 1 : Module(s) mémoire
 15 : Valeur(s) du Registre
 1 : Elément(s) de donnée du Registre
 3 : Dossier(s)
 6 : Fichier(s)


 End of clean in 00mn 07s

 ========== Chemin de fichier rapport ==========
 C:\ZHP\ZHPFix[R1].txt - 01/01/2013 18:44:04 [2131]


 Pour McAfee, ce n'est pas volontaire, je ne sais pas comment il s'est retrouvé là :)

(Publicité)
Imagine ...
Profil : Equipe sécurité
kmisol
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 01/01/2013 à 20:31:13  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
...

 



Pour McAfee, ce n'est pas volontaire, je ne sais pas comment il s'est retrouvé là



 Version préinstallée à l'achat, peut-être !?
 Sinon, utilisation pour un scan en ligne ...

 Tu veux t'en débarrasser ... ou pas ?

 -----
 Comment se comporte le PC, par rapport à Ukash et autre ?

maxp39
  1. Posté le 01/01/2013 à 21:42:42  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 

 

kmisol a écrit :

...


 Tu veux t'en débarrasser ... ou pas ?
 




 Je veux bien.

 Sinon, le PC se comporte bien, il est un poil long au démarrage à mon gout mais à part ça, tout à l'air de bien fonctionner, plus de problême à l'horizon.

 MERCI BEAUCOUP POUR VOTRE AIDE. Je ne m'en serais jamais sorti sans vous.

maxp39
  1. Posté le 01/01/2013 à 22:06:35  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
En revenche, je viens de remarquer un petit soucis. Je ne peux plus déplacer mes fenêtres. De même, quand à la barre de défilement (à droite), je ne peux plus me rendre directement en bas de la page a 'aide du curseur.

 Ce sont surement de petits réglages mais bon ... une petite aide encore une fois ne serait pas de rfus :)

(Publicité)
 Page :
1

Aller à :
 

Sujets relatifs
ukash virus [résolu] ordinateur bloqué; (ukash, ministère de l'intérieur)
Virus Ukash - gendarmerie nationale [résolu] solution a ukash , remboursement.
Invasion virus, plus de connection internet! (RESOLU) Virus "Ukash"
Plus de sujets relatifs à : Ukash virus

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
infection multiples 86
Fenêtre savebyclick sur Internet 1
Supprimer tout les virus de mon PC ? 13
blocage du ministère de l'intérieur [résolu] 5
PC bloqué Unkash 29