> Tous les forums > Forum Sécurité
 Comment supprimer search-fbdownloader ??Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
niny334
  Posté le 24/03/2013 @ 12:21 
Aller en bas de la page 
Petite astucienne

Bonjour à tous,

Je ne sais pas si je suis dans la bonne section, mais je pose ma question ici.

Voilà, je vous expose mon problème. Depuis quelques jours j'ai le programme fbdownloader qui se met automatiquement en page d'accueil d'internet explorer ainsi que moteur de recherche.

J'ai beau l'enlevé et le supprimer du moteur de recherche, il revient à chaque fois que la machine redémarre. J'ai fait une recherche dans le panneau de configuration et aucune trace de ce programme.

J'ai remarqué que depuis que fbdownloader apparait en page d'accueil, internet est plus lent et j'ai des fenêtres publicitaires qui s'affiche intempestivement.

J'ai windows 7 edition familial et j'utilise IE9 et rarement google chrome.

J'espère que vous pourrez m'aider ou m'éclaircir.

Merci d'avance pour votre attention.

Publicité
niny334
 Posté le 24/03/2013 à 12:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Je viens de faire une analyse malwarebytes. Voici le rapport :

Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org

Version de la base de données: v2013.03.24.03

Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Nous
NOUS-PC [administrateur]

24/03/2013 12:34:50 mbam-log-2013-03-24 (12-34-50).txt

Type d'examen: Examen rapide Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 222794 Temps écoulé: 2 minute(s), 53 seconde(s)

Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0 (Aucun élément nuisible détecté)

(fin)

mipierre
 Posté le 24/03/2013 à 12:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

Fais ce qui est recommandé ici :

https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm

Reviens nous avec les TROIS rapports demandés.

A te lire

niny334
 Posté le 24/03/2013 à 12:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

bonjour

J'ai posté le premier rapport malwarebytes et maintenant voici le rapport adwcleaner :

# AdwCleaner v2.115 - Rapport créé le 24/03/2013 à 12:40:31 # Mis à jour le 17/03/2013 par Xplode # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits) # Nom d'utilisateur : Nous - NOUS-PC # Mode de démarrage : Normal # Exécuté depuis : C:\Users\Nous\Downloads\logiciels\AdwCleaner.exe # Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\BrowseToSave

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16470

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v25.0.1364.172

Fichier : C:\Users\Nous\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.1] : icon_url ={"countryid_at_install":18002,"download":{"directory_upgrade":true,"extensions_to_open":""},"bookmar[...]

*************************

AdwCleaner[R10].txt - [43817 octets] - [24/03/2013 12:40:23] AdwCleaner[R9].txt - [4046 octets] - [24/03/2013 11:41:28] AdwCleaner[S8].txt - [3875 octets] - [24/03/2013 11:41:54] AdwCleaner[S9].txt - [1202 octets] - [24/03/2013 12:40:31]

########## EOF - C:\AdwCleaner[S9].txt - [1262 octets] ##########

niny334
 Posté le 24/03/2013 à 12:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

Evasion60
 Posté le 24/03/2013 à 15:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour

Je regarde ton logZHPDiag

@+

niny334
 Posté le 24/03/2013 à 15:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour Evasion60

Merci beaucoup.

Evasion60
 Posté le 24/03/2013 à 15:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

De belles infections notées !

image RogueKiller de Tigzy sur le bureau
(A partir d'une clé USB et d'un autre pc si le Rogue empêche l'accès au net ou en mode sans échec avec prise en charge réseau) .

image Quitte tous les programmes en cours
image Lance RogueKiller.exe en cliquant sur l'icône.

image

image Un pre-scan va s'effectuer rapidement.
Quand il sera terminé, clique sur le bouton Scan

image

image Clique sur le bouton Suppression

image

image Clique sur le bouton Rapport quand le nettoyage sera terminé.

image

image Envoie une copie du rapport RKreport[1].txt qui va s'afficher.
Il sera enregistré sur le bureau.

/!\ Relance encore une fois RogueKiller
Clique sur "Proxy RAZ"
Poste son rapport

niny334
 Posté le 24/03/2013 à 15:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Merci de m'aider

Voici le premier rapport :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Nous [Droits d'admin] Mode : Suppression -- Date : 24/03/2013 15:31:16 | ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : SCheck ("C:\Users\Nous\AppData\Roaming\SCheck\SCheck.exe" check ) [-] -> SUPPRIMÉ [RUN][SUSP PATH] HKCU\[...]\Run : SSync ("C:\Users\Nous\AppData\Roaming\SSync\SSync.exe") [-] -> SUPPRIMÉ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:8877;hxxps=127.0.0.1:8877) -> NON SUPPRIMÉ, UTILISER PROXY RAZ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NON SUPPRIMÉ, UTILISER PROXY RAZ [PROXY FF] 0\ 127.0.0.1:8877 -> NON SUPPRIMÉ, UTILISER PROXY RAZ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD10EADX-22TDHB0 +++++ --- User --- [MBR] f66106217c04804063823f0b4d90b79d [BSP] f650efc9922c8fb165dafdaa88e2bcc0 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 18432 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 37750784 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 37955584 | Size: 467406 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 995203072 | Size: 467929 Mo User = LL1 ... OK! User = LL2 ... OK!

Termine : << RKreport[2]_D_24032013_153116.txt >> RKreport[1]_S_24032013_153004.txt ; RKreport[2]_D_24032013_153116.txt

Publicité
niny334
 Posté le 24/03/2013 à 15:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voilà le second rapport après PROXY RAZ :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Nous [Droits d'admin] Mode : Proxy RAZ -- Date : 24/03/2013 15:32:55 | ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:8877;hxxps=127.0.0.1:8877) -> SUPPRIMÉ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REMPLACÉ (0) [PROXY FF] 0\ 127.0.0.1:8877 -> SUPPRIMÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

Termine : << RKreport[3]_PR_24032013_153255.txt >> RKreport[1]_S_24032013_153004.txt ; RKreport[2]_D_24032013_153116.txt ; RKreport[3]_PR_24032013_153255.txt

niny334
 Posté le 24/03/2013 à 15:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Oups désolée, je crois plutot que le premier rapport c'est celui là :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Nous [Droits d'admin] Mode : Recherche -- Date : 24/03/2013 15:30:04 | ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 9 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : SCheck ("C:\Users\Nous\AppData\Roaming\SCheck\SCheck.exe" check ) [-] -> TROUVÉ [RUN][SUSP PATH] HKCU\[...]\Run : SSync ("C:\Users\Nous\AppData\Roaming\SSync\SSync.exe") [-] -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2453861729-1088876415-1493561823-1000[...]\Run : SCheck ("C:\Users\Nous\AppData\Roaming\SCheck\SCheck.exe" check ) [-] -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2453861729-1088876415-1493561823-1000[...]\Run : SSync ("C:\Users\Nous\AppData\Roaming\SSync\SSync.exe") [-] -> TROUVÉ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp=127.0.0.1:8877;hxxps=127.0.0.1:8877) -> TROUVÉ [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> TROUVÉ [PROXY FF] 0\ 127.0.0.1:8877 -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD10EADX-22TDHB0 +++++ --- User --- [MBR] f66106217c04804063823f0b4d90b79d [BSP] f650efc9922c8fb165dafdaa88e2bcc0 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 18432 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 37750784 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 37955584 | Size: 467406 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 995203072 | Size: 467929 Mo User = LL1 ... OK! User = LL2 ... OK!

Termine : << RKreport[1]_S_24032013_153004.txt >> RKreport[1]_S_24032013_153004.txt

Evasion60
 Posté le 24/03/2013 à 16:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Bien joué avec RogueKiller

Relance ZHPDiag et héberge son nouveau rapport

niny334
 Posté le 24/03/2013 à 16:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

niny334
 Posté le 24/03/2013 à 16:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Re,

Merci mais je n'ai pas de mérite, je suis seulement pas à pas ce que tu me dis de faire

Evasion60
 Posté le 24/03/2013 à 16:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

niny334 a écrit :
Merci mais je n'ai pas de mérite, je suis seulement pas à pas ce que tu me dis de faire

Re

Non, la fonction "Proxy RAZ" avec RogueKiller n'a pas fonctionnée, tout est revenu !
Supprime tous les rapports de ZHPDiag.txt qui sont sur ton bureau bureau
Vide ta corbeille

Redémarre en mode sans échec avec prise en charge réseau (tapoter F8 ou F5 au démarrage de la machine)
/!\ Désactive temporairement ton antivirus Norton

Relance RogueKiller avec la fonction "Proxy Raz"
Poste son rapport

Redémarre la machine normalement (avec Norton activé)
Relance ZHPDiag, héberge encore une fois son nouveau rapport

niny334
 Posté le 24/03/2013 à 16:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voici le rapport "proxy raz" :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Nous [Droits d'admin] Mode : Proxy RAZ -- Date : 24/03/2013 16:41:14 | ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

Termine : << RKreport[5]_PR_24032013_164114.txt >> RKreport[1]_S_24032013_153004.txt ; RKreport[2]_D_24032013_153116.txt ; RKreport[3]_PR_24032013_153255.txt ; RKreport[4]_S_24032013_164104.txt ; RKreport[5]_PR_24032013_164114.txt

Par contre une évolution, en redémarrant l'ordi, j'ai eu un écran tout bleu et il a redémarrer tout seul. Et quand je me suis remise sur internet, plus de fbdownloader.

Maintenant je fais ZHPDiag.

niny334
 Posté le 24/03/2013 à 16:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.txt

Publicité
Evasion60
 Posté le 24/03/2013 à 17:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

/!\ Je t'invite vivement à changer tes comportements Web, via ls flux pourris en P2P
Faut pas être étonné d'avoir une machine dans cet état !

1/
Désinstalle/Supprime si présent =>
C:\Program Files (x86)\TheBestMatch
C:\Program Files (x86)\Business-in-a-Box

Vide ta corbeille

2/
Applique ce correctif =>

Lance ZHPFix par l'icône sur le bureau, avec élévation des privilèges pour Vista et Windows 7/8( Clic droit exécuter en tant qu'administrateur )

image


Elle a été créée lors de l'installation de ZHPDiag.

image A l'aide de la souris (clic gauche maintenu), sélectionne et copie (clic droit/copier) le contenu de l'encadré ci-dessous

Code

[MD5.50D981FC745F85C16EB78DF6202A9D42] - (.TheBestMatch - Homepage.) -- C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe [273408] [PID.1604] =>
[MD5.C35DBD373D64FE3B8443E194DAA73150] - (.TheBestMatch - Homepage.) -- C:\Program Files (x86)\TheBestMatch\Homepage\Homepage.exe [49664] [PID.1284] =>
[MD5.BB49EFB7F60B1624B0C060333D98922A] - (.TheBestMatch - HPMonitor.) -- C:\Program Files (x86)\TheBestMatch\Homepage\HPMonitor.exe [30720] [PID.1976] =>
M3 - MFPP: Plugins - [Nous] -- C:\Users\Nous\AppData\Roaming\Mozilla\Firefox\Profiles\0\searchplugins\fbdownloader_search.xml => Toolbar.FBDownloader*
M3 - MFPP: Plugins - [Nous] -- C:\Users\Nous\AppData\Roaming\Mozilla\Firefox\Profiles\0\searchplugins\search.xml => Mozilla Firefox Plugins search
M3 - MFPP: Plugins - [Nous] -- C:\Users\Nous\AppData\Roaming\Mozilla\Firefox\Profiles\0\searchplugins\Web Search.xml => Infection Diverse (Parasite.Pugi)
M3 - MFPP: Plugins - [Nous] -- C:\Program Files (x86)\Mozilla FireFox\searchplugins\Web Search.xml => Infection Diverse (Parasite.Pugi)
M0 - MFSP: prefs.js [Nous - 0] http://search.fbdownloader.com => Toolbar.FBDownloader*
M2 - MFEP: prefs.js [Nous - 0\ffxtlbr@funmoods.com] [] Funmoods.com v1.5.0 (.Volo-Net.) => Infection PUP (PUP.Funmoods)*
P2 - FPN: [HKCU] [pandonetworks.com/PandoWebPlugin] - (.Pando Networks - Pando Web Plugin.) -- C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8877;https=127.0.0.1:8877 => Infection DNS (Détournement Proxy)
O4 - HKUS\S-1-5-20\..\Run: [systray] . (.TheBestMatch - Homepage.) -- C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe => Infection Proxy (Hijacker.Proxy)

O4 - HKCU\..\Run: [systray] . (.TheBestMatch - Homepage.) -- C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe => Infection Proxy (Hijacker.Proxy)
O4 - HKCU\..\Run: [Pando Media Booster] . (.Pas de propriétaire - Pando Media Booster.) -- C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O4 - HKUS\S-1-5-18\..\Run: [systray] . (.TheBestMatch - Homepage.) -- C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe => Infection Proxy (Hijacker.Proxy)
O4 - HKUS\S-1-5-19\..\Run: [systray] . (.TheBestMatch - Homepage.) -- C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe => Infection Proxy (Hijacker.Proxy)
O4 - HKUS\S-1-5-21-2453861729-1088876415-1493561823-1000\..\Run: [systray] . (.TheBestMatch - Homepage.) -- C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe => Infection Proxy (Hijacker.Proxy)
O4 - HKUS\S-1-5-21-2453861729-1088876415-1493561823-1000\..\Run: [Pando Media Booster] . (.Pas de propriétaire - Pando Media Booster.) -- C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O4 - GS\QuickLaunch: Business-in-a-Box.lnk . (...) -- C:\Program Files (x86)\Business-in-a-Box\BIB.exe => Business-in-a-Box
O23 - Service: (Homepage) . (.TheBestMatch - Homepage.) - C:\Program Files (x86)\TheBestMatch\Homepage\Homepage.exe => Infection Proxy (Hijacker.Proxy)
O23 - Service: HPMonitor (HPMonitor) . (.TheBestMatch - HPMonitor.) - C:\Program Files (x86)\TheBestMatch\Homepage\HPMonitor.exe => Infection Proxy (Hijacker.Proxy)
[MD5.00000000000000000000000000000000] [APT] [Go for FilesUpdate] (...) -- C:\Program Files (x86)\GoforFiles\GFFUpdater.exe (.not file.) [0] => Peer2Peer.GoforFiles
O42 - Logiciel: BrowseToSave - (...) [HKLM][64Bits] -- {982ABE13-DB31-419F-A374-931343C99CE5} => Infection PUP (Adware.Browse2Save)*
O42 - Logiciel: Homepage - (.TheBestMatch.) [HKLM][64Bits] -- {29633E53-BF13-41B5-9E10-19D7843BD9C3} => Infection Proxy (Hijacker.Proxy)
O42 - Logiciel: Linkury Smartbar - (.Linkury Inc..) [HKLM][64Bits] -- {3EB576DB-3B15-42DC-97B3-2CA67BDDD7F4} => Infection PUP (Hijacker.SmartBar)*
O42 - Logiciel: Linkury Smartbar Engine - (.Linkury Inc..) [HKCU][64Bits] -- {fb4afcb0-57c5-4283-b490-582792897a65} => Infection PUP (Hijacker.SmartBar)*
O42 - Logiciel: Pando Media Booster - (.Pando Networks Inc..) [HKLM][64Bits] -- {980A182F-E0A2-4A40-94C1-AE0C1235902E} => P2P.Pando
O42 - Logiciel: Software Engine - (.The Advertising Network.) [HKLM][64Bits] -- {8848B3CD-4464-414F-953C-966678634540} => Infection PUP (PUP.SoftwareEngine)
O42 - Logiciel: Webplayer setup version 1.0 - (...) [HKLM][64Bits] -- {758316CA-D092-4173-A7B8-64D002A6E7A6}_is1 => Infection PUP (Adware.SocialSkinz)
[HKCU\Software\GoforFiles] => Peer2Peer.GoforFiles
[HKCU\Software\IncrediMail] => Messaging.Incredimail*
[HKCU\Software\Protector] => Infection PUP (PUP.AdvancedSystemProtector)
[HKLM\Software\Wow6432Node\GoforFiles] => Peer2Peer.GoforFiles
[HKLM\Software\Wow6432Node\Pando Networks] => P2P.Pando
[HKLM\Software\Wow6432Node\The Advertising Network] => Infection PUP (PUP.SoftwareEngine)
[HKLM\Software\Wow6432Node\WiseConvert_1.5] => Toolbar.Conduit*
O43 - CFD: 06/02/2013 - 19:41:41 - [7.234] ----D C:\Program Files (x86)\Pando Networks => P2P.Pando
O43 - CFD: 19/03/2013 - 16:09:47 - [1.294] ----D C:\Program Files (x86)\Spybot - Search & Destroy 2 => Safer Networking Ltd - Spybot S&D*
O43 - CFD: 24/10/2012 - 13:38:45 - [1.789] ----D C:\Program Files (x86)\TheBestMatch => Infection Proxy (Hijacker.Proxy)
O43 - CFD: 15/01/2013 - 20:12:29 - [0] ----D C:\Program Files (x86)\WiseConvert_1.5 => Toolbar.Conduit*
O43 - CFD: 07/02/2013 - 13:13:39 - [0.000] ----D C:\ProgramData\PMB Files => Sony Corporation
O43 - CFD: 13/03/2013 - 04:52:07 - [0.855] ----D C:\ProgramData\Spybot - Search & Destroy => Safer Networking Ltd - Spybot S&D*
O43 - CFD: 04/11/2012 - 16:20:14 - [0.001] ----D C:\Users\Nous\AppData\Roaming\GoforFiles => Peer2Peer.GoforFiles
O43 - CFD: 24/03/2013 - 16:52:23 - [0.287] ----D C:\Users\Nous\AppData\Local\PMB Files => Sony Corporation
O43 - CFD: 24/10/2012 - 13:38:49 - [0.244] ----D C:\Users\Nous\AppData\Local\TheBestMatch => Infection Proxy (Hijacker.Proxy)
O44 - LFC:[MD5.D238C1F2097748EE3DA97B2CF1675AD0] - 23/03/2013 - 20:53:08 ---A- . (.Systweak Inc., (www.systweak.com) - Regclean Pro.) -- C:\Windows\SysNative\roboot64.exe [20488] => Infection Rogue (Rogue.RegistryPowerCleaner)*
O44 - LFC:[MD5.D238C1F2097748EE3DA97B2CF1675AD0] - 23/03/2013 - 20:53:08 RSHAD . (.Systweak Inc., (www.systweak.com) - Regclean Pro.) -- C:\Windows\System32\roboot64.exe [20488] => Infection Rogue (Rogue.RegistryPowerCleaner)*
O61 - LFC: 24/03/2013 - 16:46:38 ---A- C:\Users\Nous\AppData\Local\PMB Files\cert\cert8.db [65536] => P2P.Pando
O61 - LFC: 24/03/2013 - 16:46:38 ---A- C:\Users\Nous\AppData\Local\PMB Files\cert\key3.db [16384] => P2P.Pando
O61 - LFC: 24/03/2013 - 16:46:38 ---A- C:\Users\Nous\AppData\Local\PMB Files\cert\secmod.db [16384] => P2P.Pando
O61 - LFC: 24/03/2013 - 16:46:58 ---A- C:\Users\Nous\AppData\Local\TheBestMatch\Homepage\config.dat [818] => Infection Proxy (Hijacker.Proxy)
O61 - LFC: 24/03/2013 - 16:47:01 ---A- C:\Users\Nous\AppData\Local\TheBestMatch\Homepage\domains.dat [254418] => Infection Proxy (Hijacker.Proxy)
O61 - LFC: 24/03/2013 - 16:52:23 ---A- C:\Users\Nous\AppData\Local\PMB Files\pando.save [10403] => P2P.Pando
O69 - SBI: prefs.js [Nous - 0] user_pref("browser.search.defaultengine", "Web Search"); => Infection PUP (Adware.Bandoo)
O87 - FAEL: "{62246B2B-42C1-41AE-B3A9-D5F0E603DE29}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\GoforFiles\goforfilesdl.exe (.not file.) => Peer2Peer.GoforFiles
O87 - FAEL: "{E3FA6E17-F778-44EC-B851-E1D6417B3B48}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\GoforFiles\goforfilesdl.exe (.not file.) => Peer2Peer.GoforFiles
O87 - FAEL: "{4F794071-C30B-4C9A-81C2-0CC66EC8926F}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\GoforFiles\GoforFiles.exe (.not file.) => Peer2Peer.GoforFiles
O87 - FAEL: "{9DBA38F0-D31B-43DE-8CC7-0A55CCA4189A}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\GoforFiles\GoforFiles.exe (.not file.) => Peer2Peer.GoforFiles
O87 - FAEL: "{FDF4DC6A-CBB1-44E1-9B27-E96B5971309E}" |In - None - P17 - TRUE | .(...) -- C:\Program Files (x86)\Protected Search\ProtectedSearch.exe (.not file.) => Infection PUP (Spyware.ProtectedSearch)
O87 - FAEL: "{5C93F763-A7D4-42BD-B35F-4EB89C7D7C7D}" |Out - None - P17 - TRUE | .(...) -- C:\Program Files (x86)\Protected Search\ProtectedSearch.exe (.not file.) => Infection PUP (Spyware.ProtectedSearch)
O87 - FAEL: "{41A09127-D956-4A49-A745-B7F1C5B3DE8D}" | In - Domain - P6 - TRUE | .(.Pas de propriétaire - Pando Media Booster.) -- C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O87 - FAEL: "{CCB2331E-FC88-4FB3-B8F0-FBDA971C3D10}" | In - Domain - P17 - TRUE | .(.Pas de propriétaire - Pando Media Booster.) -- C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O87 - FAEL: "{CBA54B8D-F66D-4C39-BDB8-FE017275FBA1}" | In - Private - P6 - TRUE | .(.Pas de propriétaire - Pando Media Booster.) -- C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O87 - FAEL: "{94134D12-DCD1-424F-AB82-C39C3F2202BA}" | In - Private - P17 - TRUE | .(.Pas de propriétaire - Pando Media Booster.) -- C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O87 - FAEL: "{B9D7F100-1F25-4EF4-9642-9D2EEA917757}" | In - None - P17 - TRUE | .(.Pas de propriétaire - Pando Media Booster.) -- C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O87 - FAEL: "{4C576EE4-C11C-49C9-866F-1A0F0FDB8BBB}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\GigaTribe\gigatribe.exe (.not file.) => GigaTribe%PeerToPeer
O87 - FAEL: "{F2BDECF1-72DE-4F82-BE78-3091B566EE69}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\GigaTribe\gigatribe.exe (.not file.) => GigaTribe%PeerToPeer
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}] => Infection PUP (Hijacker.SnapDo)
[HKLM\Software\Classes\Interface\{8F682661-3653-47FA-8713-9DF7424B6E09}] => Infection BT (Spyware.AgenceExclusive)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\482AA67AD25E6E74E9F48BD5FBE8533C] => Infection PUP (Adware.IMBooster)
[HKLM\Software\Wow6432Node\WiseConvert_1.5] => Toolbar.Conduit*
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{8848B3CD-4464-414F-953C-966678634540}] => Infection PUP (PUP.SoftwareEngine)
[HKLM\Software\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}] => Infection BT (Toolbar.Babylon)
[HKLM\Software\Wow6432Node\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}] => Infection BT (Toolbar.Babylon)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7E685771E24E83F4381D1DB5A45F7B41] => Toolbar.DeltaSearch
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{29633E53-BF13-41B5-9E10-19D7843BD9C3}] => Infection Proxy (Hijacker.Proxy)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\64A6E60055D801F4BB8AC269354B72B8] => Infection PUP (Adware.Boxore)
[HKLM\Software\Classes\AppID\secman.DLL] => Infection PUP (Toolbar.Babylon)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375] => Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5] => Toolbar.Agent
[HKLM\Software\Classes\Installer\Features\DC3B84884644F41459C3696687365404] => Infection PUP (PUP.SoftwareEngine)
[HKLM\Software\Classes\Installer\Products\DC3B84884644F41459C3696687365404] => Infection PUP (PUP.SoftwareEngine)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\DC3B84884644F41459C3696687365404] => Infection PUP (PUP.SoftwareEngine)
[HKLM\Software\Wow6432Node\Classes\Installer\Features\DC3B84884644F41459C3696687365404] => Infection PUP (PUP.SoftwareEngine)
[HKLM\Software\Wow6432Node\Classes\Installer\Products\DC3B84884644F41459C3696687365404] => Infection PUP (PUP.SoftwareEngine)
[HKCU\Software\Protector] => Infection PUP (PUP.AdvancedSystemProtector)
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] => Toolbar.Bing
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] => Toolbar.Bing
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] => Toolbar.Bing
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E5C8B5FB7CB5DD447A0BAAAF637FBD77] => Infection PUP (PUP.ClaroSearch)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF96568971BEAC14B8815883832BD484] => Infection PUP (PUP.ClaroSearch)
[HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}] => Infection PUP (Adware.MagniPic)
[HKLM\Software\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}] => Infection PUP (Adware.MagniPic)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\710B547D63348174386AA31E9AED883C]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SP_f2a323db] => Infection PUP (Adware.Browse2Save)
[HKLM\Software\Classes\AppID\Tuto4pcFrSoftonicBHO.DLL] => Infection PUP (PUP.AgenceExcusive)*
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\38D5CDD0A851B3940A43CC50ABBA251C] => Infection PUP (Adware.Boxore)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BA71D41F6CC0B6247B05D473850A8AEA] => Infection PUP (Adware.Boxore)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC] => Infection PUP (Adware.Boxore)
C:\Program Files (x86)\TheBestMatch => Infection Proxy (Hijacker.Proxy)
C:\Users\Nous\AppData\Local\TheBestMatch => Infection Proxy (Hijacker.Proxy)
O90 - PUC: "DC3B84884644F41459C3696687365404" . (.Software Engine.) -- C:\Windows\Installer\{8848B3CD-4464-414F-953C-966678634540}\softwareinstaller.exe => Infection PUP (PUP.SoftwareEngine)
SR - | Auto 27/07/2012 49664 | (Homepage) . (.TheBestMatch.) - C:\Program Files (x86)\TheBestMatch\Homepage\Homepage.exe => Infection Proxy (Hijacker.Proxy)
SR - | Auto 27/07/2012 30720 | (HPMonitor) . (.TheBestMatch.) - C:\Program Files (x86)\TheBestMatch\Homepage\HPMonitor.exe => Infection Proxy (Hijacker.Proxy)
EmptyCLSID
Emptytemp
EmptyFlash


image Clique sur le bouton Presse-papier encadré en rouge sur l'image.


Les lignes contenues dans le presse-papier vont s'afficher.

image Clique sur le bouton GO en bas à gauche.

Note: Si l'UAC est active, après le clic sur "GO", un message va apparaître du style "Voulez-vous autoriser le programme...." qu'il faudra valider :

Puis ZHPFix se relance, il faudra à nouveau cliquer sur le bouton "Presse-papier" pour coller les lignes, puis sur le bouton "GO"

Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil (en haut à doite).

image
image Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.

image




niny334
 Posté le 24/03/2013 à 18:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Je n'avais pas à ma connaissance de programme P2P dans la machine et je te garantis qu'il va y avoir remontage de bretelles.

Merci de continuer à m'aider et sache que se sera la dernière fois que je reviendrais sur le forum pour un problème de ce genre.

Pour revenir au problème, je n'arrive pas à supprimer TheBestMatch (je ne sais même pas ce que c'est), il me dit qu'il y a quelque chose d'ouvert qui empêche sa suppression.

Est ce que j'applique le correctif malgrè tout ??

Evasion60
 Posté le 24/03/2013 à 18:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

niny334 a écrit :

Je n'avais pas à ma connaissance de programme P2P dans la machine et je te garantis qu'il va y avoir remontage de bretelles. ==> Et oui, des ados

Pour revenir au problème, je n'arrive pas à supprimer TheBestMatch (je ne sais même pas ce que c'est), il me dit qu'il y a quelque chose d'ouvert qui empêche sa suppression. ===> Si tu le vois, essai en mode sans échec, il est pris par un Service, d'ou le message d'erreur

Est ce que j'applique le correctif malgrè tout ?? ===> Plutôt, tu vois bien toutes les entrées infectieuses

A te lire avec son rapport

niny334
 Posté le 24/03/2013 à 18:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

J'ai réussi à supprimer thebestmatch avec le panneau de config mais après plus accès à internet. Il a fallu que je fasse une restauration avant la suppression.

Est ce que en mode sans échec je risque d'avoir le même problème ??

Evasion60
 Posté le 24/03/2013 à 18:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re

Cela devient dur !!

Applique seulement le correctif de ZHPFix !

Edité =>
En restaurant, du coup tout le boulot est à refaire en plus !!!



Modifié par Evasion60 le 24/03/2013 19:04
niny334
 Posté le 24/03/2013 à 19:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

J'ai appliqué le correctif mais apparemment quand je fais GO, il y a suppression des fichiers indésirables et rebelotes après je n'ai plus accès à internet. Il a encore fallu que je fasse une restauration, du coup je ne sais pas si le correctif est resté.

Je te post le rapport au cas ou

niny334
 Posté le 24/03/2013 à 19:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPFixReport.txt

Evasion60
 Posté le 24/03/2013 à 19:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

niny334 a écrit :

J'ai appliqué le correctif mais apparemment quand je fais GO, il y a suppression des fichiers indésirables et rebelotes après je n'ai plus accès à internet. Il a encore fallu que je fasse une restauration, du coup je ne sais pas si le correctif est resté.

Je te post le rapport au cas ou

Edité =>
En restaurant, du coup tout le boulot est à refaire en plus !!!

niny334
 Posté le 24/03/2013 à 19:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne
Evasion60 a écrit :

Re

Cela devient dur !!

Applique seulement le correctif de ZHPFix !

Edité =>
En restaurant, du coup tout le boulot est à refaire en plus !!!


J'ai juste restauré à partir du moment ou j'ai fait la suppression du fichier thebestmatch. Le pt de restauration était la suppression de ce fichier.



Modifié par niny334 le 24/03/2013 19:07
Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
299,99 €Ecran PC 27 pouces Gigabyte M27Q (QHD, IPS, 0.5 ms, 170 Hz) à 299,99 €
Valable jusqu'au 03 Août

RueDuCommerce fait une promotion sur l'écran PC 27 pouces Gigabyte M27Q qui passe à 299,99 € au lieu de 399 €. Cet écran possède une dalle 27 pouces QHD (2560x1440) à 0.5 ms et à 170 Hz (FreeSync Premium et Adaptive Sync). Son pied est réglable en hauteur et en inclinaison.


> Voir l'offre
56,95 €Alimentation Seasonic B12 BC 750W Plus Bronze à 56,95 €
Valable jusqu'au 03 Août

RueDuCommerce propose actuellement l'alimentation Seasonic B12 BC-750 750W Plus Bronze à 56,95 €. On la trouve habituellement autour de 70 €. L'alimentation est garantie 5 ans. En plus d’être très efficaces, les unités B12 BC utilisent la conception à résonance LLC et le contrôle des ventilateurs intelligent et silencieux (S2FC).


> Voir l'offre
-10 €10 € de réduction à partir de 99 € chez Cdiscount avec le code 10EUROS
Valable jusqu'au 02 Août

Cdiscount propose actuellement 10 € de réduction à partir de 99 € d'achats. Pour profiter de l'offre, utilisez le code promo 10EUROS.


> Voir l'offre

Sujets relatifs
Comment supprimer My start search ?
Comment supprimer définitivement ask search engine ?
comment supprimer my way web search
Comment supprimer le mt de recherches MSN Search?
comment supprimer un malware coriace
comment supprimer Get the discount ?
Comment supprimer sweet-page ?
comment supprimer une clef de registre récalcitrante ?
comment supprimer l'adware "ad by name"
Kaspersky 2015 / comment supprimer l' historique?
Plus de sujets relatifs à Comment supprimer search-fbdownloader ??
 > Tous les forums > Forum Sécurité