Possible trojan

[ben ali]

Bonsoir tout le monde (et bonsoir particulier à MONSIEUR Bernard53 ),

 

Je me permets de réécrire sur ce forum, car sur mon deuxième ordi, j'aurai peut être une sorte de trojan/malware dont le symptome principal est d'ouvrir intempestivement, à un rythme assez irrégulier par ailleurs, des fenêtres de jeux à télécharger ou pire de sites coquins .

 

J'ai beau avoir effectué spybot et anti-malware d'Emisoft mais cette saloperie semble leur résister.

 

Comme le veut la procédure, je vous mets donc pour commencer le rapport de scan de "hijackthis":

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:01:12, on 25/05/2011

Platform: Unknown Windows (WinNT 6.01.3504)

MSIE: Internet Explorer v8.00 (8.00.7600.16766)

Boot mode: Normal

 

Running processes:

C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe

C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe

C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCtrl.exe

C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe

C:\Program Files (x86)\Hp\HP Software Update\hpwuschd2.exe

C:\Program Files (x86)\PCTuto\pctuto.exe

C:\Program Files (x86)\Hewlett-Packard\Shared\hpqToaster.exe

C:\PROGRAM FILES (X86)\EMSISOFT ANTI-MALWARE\a2guard.exe

C:\Program Files (x86)\OfferBox\OfferBox.exe

C:\Users\Utilisateur\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Utilisateur\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Utilisateur\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Utilisateur\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Windows\SysWOW64\rundll32.exe

C:\Users\Utilisateur\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Utilisateur\Downloads\HiJackThis (1).exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Compaq | MSN

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Compaq | MSN

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Compaq | MSN

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Compaq | MSN

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files (x86)\Norton Internet Security\Engine\17.0.0.136\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files (x86)\Norton Internet Security\Engine\17.0.0.136\IPSBHO.DLL

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: OfferBox - {703740c1-0f1a-4cec-a4df-d78db0158477} - C:\Program Files (x86)\OfferBox\extensions-3.1.3878.129\offerbox_air_iexplorer.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton Internet Security\Engine\17.0.0.136\coIEPlg.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [NortonOnlineBackupReminder] "C:\Program Files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" UNATTENDED

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

O4 - HKLM\..\Run: [PCTuto] "C:\Program Files (x86)\PCTuto\pctuto.exe"

O4 - HKLM\..\RunOnce: [autoupdater] C:\Users\Utilisateur\AppData\Roaming\PCtuto\UpdatePCTuto\autoupdater.exe -runonce

O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Google Update] "C:\Users\Utilisateur\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\MICROS~4\Office12\EXCEL.EXE/3000

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll

O13 - Gopher Prefix:

O23 - Service: Emsisoft Anti-Malware 5.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe

O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b87ff64c8b56b7db\AESTSr64.exe

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\HP Games\HP Game Console\GameConsoleService.exe

O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Program Files (x86)\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe

O23 - Service: OfferBox update service - Aedge Performance BCN SL - C:\Program Files (x86)\OfferBox\OfferBoxUpdateService.exe

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b87ff64c8b56b7db\STacSV64.exe

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

 

--

End of file - 10996 bytes

 

 

Merci par avance pour vos lumières et votre aide précieuse !

 

cordialement

[Apollo]

Salut,

 

Faut plus utiliser Hijackthis sur un système 64 Bits.

 

Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

http://www.teamxscript.org/adremoverTelechargement.html

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur scanner

 

 

Le rapport se trouve aussi sous C:\Ad-Report Scan.

Copie/colle-le dans ta réponse stp.

 

 

----------------------------------------------------

 

Relance Ad-Remover et cette fois, clique sur Nettoyer

 

Le bureau va disparaître, c'est normal.

 

Le rapport à poster sera sur C:\Ad-Report Clean.

 

*** Poste les deux rapports stp.

 

-------------------------------------------

 

Relance Ad-Remover et clique sur Désinstaller.

 

@++

[ben ali]

Voici tout d'abord le rapport de scan de ad-remover:

 

 

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: http://www.teamxscript.org

 

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 21:42:26 le 25/05/2011, Mode normal

 

Microsoft Windows 7 Édition Familiale Premium (X64)

Utilisateur@UTILISATEUR-PC (Hewlett-Packard Compaq Presario CQ71 Notebook PC)

 

============== RECHERCHE ==============

 

 

Fichier trouvé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk

Dossier trouvé: C:\Users\Utilisateur\AppData\Roaming\PCtuto

Dossier trouvé: C:\Users\Utilisateur\AppData\Local\PCTuto

Dossier trouvé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PCTuto

Dossier trouvé: C:\Program Files (x86)\PCTuto

Dossier trouvé: C:\Users\Utilisateur\AppData\Roaming\OfferBox

Dossier trouvé: C:\Program Files (x86)\OfferBox

 

Clé trouvée: HKLM\Software\Classes\CLSID\{2EECCC1A-4CA0-492F-838D-AC1FC26CB327}

Clé trouvée: HKLM\Software\Classes\Interface\{2EECCC1A-4CA0-492F-838D-AC1FC26CB327}

Clé trouvée: HKLM\Software\Classes\CLSID\{65f0de9c-0ac1-416b-b8b6-b3d68dc76ea3}

Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{65f0de9c-0ac1-416b-b8b6-b3d68dc76ea3}

Clé trouvée: HKLM\Software\Classes\CLSID\{703740c1-0f1a-4cec-a4df-d78db0158477}

Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{703740c1-0f1a-4cec-a4df-d78db0158477}

Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{703740c1-0f1a-4cec-a4df-d78db0158477}

Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{703740c1-0f1a-4cec-a4df-d78db0158477}

Clé trouvée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}

Clé trouvée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}

Clé trouvée: HKLM\Software\Classes\TypeLib\{9D7233B0-0CC0-4938-8208-5B3F9D643873}

Clé trouvée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}

Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer

Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1

Clé trouvée: HKLM\Software\Classes\Offerbox.SpointerAdProvider

Clé trouvée: HKLM\Software\Classes\Offerbox.SpointerAdProvider.5

Clé trouvée: HKLM\Software\Classes\Offerbox.SpointerWebDisp

Clé trouvée: HKLM\Software\OfferBox

Clé trouvée: HKCU\Software\OfferBox

Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{da8002cf-2914-493a-b7e8-79740e2e15db}

Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser

 

Valeur trouvée: HKLM\Software\Mozilla\Firefox\Extensions|offerbox@spointer.com

Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|PCTuto

 

 

============== SCAN ADDITIONNEL ==============

 

**** Google Chrome Version [11.0.696.68] ****

 

Extension\dpicnlijpdlebkhpegfenfjpglinfdhm (C:\Program Files (x86)\OfferBox\extensions-3.1.3878.129\offerbox_air_chrome.crx) (?)

 

-- C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default --

Preferences - default_search_provider: "Google" (Activé: true) (?)

Preferences - homepage: hxxp://www.google.com/

Preferences - homepage_is_newtabpage: true

Plugin - Chrome NaCl (Activé: false) (C:\Users\Utilisateur\AppData\Local\Google\Chrome\Application\11.0.696.68\ppGoogleNaClPluginChrome.dll)

Plugin - OfferBox (Activé: true) (C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\dpicnlijpdlebkhpegfenfjpglinfdhm\5.1.2276.19_0\offerbox_air_chrome.dll)

Plugin - "Java" (Activé: true)

Plugin - "Silverlight" (Activé: true)

Plugin - "Chrome NaCl" (Activé: false)

Plugin - "OfferBox" (Activé: true)

 

========================================

 

**** Internet Explorer Version [8.0.7600.16385] ****

 

HKCU_Main|Default_Page_URL - hxxp://g.uk.msn.com/CQNOT/3

HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKCU_Main|Start Page - hxxp://g.uk.msn.com/CQNOT/3

HKLM_Main|Default_Page_URL - hxxp://g.uk.msn.com/CQNOT/3

HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Start Page - hxxp://g.uk.msn.com/CQNOT/3

HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)

HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)

HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)

HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)

HKLM_ElevationPolicy\{da8002cf-2914-493a-b7e8-79740e2e15db} - C:\Program Files (x86)\OfferBox\OfferBox.exe (Aedge Performance BCN SL)

HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)

BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)

BHO\{703740c1-0f1a-4cec-a4df-d78db0158477} - "OfferBox" (C:\Program Files (x86)\OfferBox\extensions-3.1.3878.129\offerbox_air_iexplorer.dll)

 

========================================

 

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files (x86)\Ad-Remover\Backup: 2 Fichier(s)

 

C:\Ad-Report-SCAN[1].txt - 25/05/2011 21:42:57 (5434 Octet(s))

 

Fin à: 21:44:16, 25/05/2011

 

============== E.O.F ==============

[ben ali]

Voici le rapport "ad-remover":

 

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: http://www.teamxscript.org

 

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 21:46:05 le 25/05/2011, Mode normal

 

Microsoft Windows 7 Édition Familiale Premium (X64)

Utilisateur@UTILISATEUR-PC (Hewlett-Packard Compaq Presario CQ71 Notebook PC)

 

============== ACTION(S) ==============

 

 

Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk

Dossier supprimé: C:\Users\Utilisateur\AppData\Roaming\PCtuto

Dossier supprimé: C:\Users\Utilisateur\AppData\Local\PCTuto

Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PCTuto

Dossier supprimé: C:\Program Files (x86)\PCTuto

Dossier supprimé: C:\Users\Utilisateur\AppData\Roaming\OfferBox

Dossier supprimé: C:\Program Files (x86)\OfferBox

 

(!) -- Fichiers temporaires supprimés.

 

 

Clé supprimée: HKLM\Software\Classes\CLSID\{2EECCC1A-4CA0-492F-838D-AC1FC26CB327}

Clé supprimée: HKLM\Software\Classes\Interface\{2EECCC1A-4CA0-492F-838D-AC1FC26CB327}

Clé supprimée: HKLM\Software\Classes\CLSID\{65f0de9c-0ac1-416b-b8b6-b3d68dc76ea3}

Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{65f0de9c-0ac1-416b-b8b6-b3d68dc76ea3}

Clé supprimée: HKLM\Software\Classes\CLSID\{703740c1-0f1a-4cec-a4df-d78db0158477}

Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{703740c1-0f1a-4cec-a4df-d78db0158477}

Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{703740c1-0f1a-4cec-a4df-d78db0158477}

Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{703740c1-0f1a-4cec-a4df-d78db0158477}

Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}

Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}

Clé supprimée: HKLM\Software\Classes\TypeLib\{9D7233B0-0CC0-4938-8208-5B3F9D643873}

Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}

Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer

Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1

Clé supprimée: HKLM\Software\Classes\Offerbox.SpointerAdProvider

Clé supprimée: HKLM\Software\Classes\Offerbox.SpointerAdProvider.5

Clé supprimée: HKLM\Software\Classes\Offerbox.SpointerWebDisp

Clé supprimée: HKLM\Software\OfferBox

Clé supprimée: HKCU\Software\OfferBox

Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{da8002cf-2914-493a-b7e8-79740e2e15db}

Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser

 

Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerbox@spointer.com

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|PCTuto

 

 

============== SCAN ADDITIONNEL ==============

 

**** Google Chrome Version [11.0.696.68] ****

 

Extension\dpicnlijpdlebkhpegfenfjpglinfdhm (C:\Program Files (x86)\OfferBox\extensions-3.1.3878.129\offerbox_air_chrome.crx) (x)

 

-- C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default --

Preferences - default_search_provider: "Google" (Activé: true) (?)

Preferences - homepage: hxxp://www.google.com/

Preferences - homepage_is_newtabpage: true

Plugin - Chrome NaCl (Activé: false) (C:\Users\Utilisateur\AppData\Local\Google\Chrome\Application\11.0.696.68\ppGoogleNaClPluginChrome.dll)

Plugin - OfferBox (Activé: true) (C:\Users\Utilisateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\dpicnlijpdlebkhpegfenfjpglinfdhm\5.1.2276.19_0\offerbox_air_chrome.dll)

Plugin - "Java" (Activé: true)

Plugin - "Silverlight" (Activé: true)

Plugin - "Chrome NaCl" (Activé: false)

Plugin - "OfferBox" (Activé: true)

 

========================================

 

**** Internet Explorer Version [8.0.7600.16385] ****

 

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896

HKCU_Main|Start Page - hxxp://fr.msn.com/

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://fr.msn.com/

HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)

HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)

HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)

HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)

HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)

BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)

 

========================================

 

C:\Program Files (x86)\Ad-Remover\Quarantine: 44 Fichier(s)

C:\Program Files (x86)\Ad-Remover\Backup: 17 Fichier(s)

 

C:\Ad-Report-CLEAN[1].txt - 25/05/2011 21:45:27 (490 Octet(s))

C:\Ad-Report-CLEAN[2].txt - 25/05/2011 21:46:07 (5545 Octet(s))

C:\Ad-Report-SCAN[1].txt - 25/05/2011 21:42:57 (5572 Octet(s))

 

Fin à: 21:50:45, 25/05/2011

 

============== E.O.F ==============

[Apollo]

Ok,

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau.

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse.
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

@++

[ben ali]

Voila le lien du rapport Zhpdiag:

 

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Merci encore par avance pour votre aide et votre temps précieux que vous me consacrez !

[Apollo]

De rien

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

O23 - Service:  (OfferBox update service) . (...) - C:\Program Files (x86)\OfferBox\OfferBoxUpdateService.exe      
O42 - Logiciel: PCTuto 2.0 - (.PCTuto.) [HKLM][64Bits] -- PCTuto_is1    
O42 - Logiciel: PCTuto Avast 2.0 - (.PCTuto.) [HKLM][64Bits] -- PCTuto Avast_is1   
O42 - Logiciel: UpdatePCTuto 2.0 - (.PCtuto.) [HKLM][64Bits] -- UpdatePCTuto_is1      
[HKCU\Software\PCTuto]      
[HKLM\Software\PCTuto]      
O43 - CFD: 25/05/2011 - 21:47:22 - [11] ----D- C:\Users\Utilisateur\AppData\Roaming\OfferBox      
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\ForceRenive]     
[HKLM\Software\Wow6432Node\PCTuto]      
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\PcTuto_is1]  
C:\Users\Utilisateur\AppData\Roaming\OfferBox      
SS - | Auto 20/08/2009 0 |  (OfferBox update service) . (...) - C:\Program Files (x86)\OfferBox\OfferBoxUpdateService.exe     
emptytemp
emptyflash   

 

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPDiag\ZHPFixReport.tx

 

@++

[ben ali]

Voici le rapport ZHPfixReport:

 

 

 

Rapport de ZHPFix 1.12.3286 par Nicolas Coolman, Update du 23/05/2011

Fichier d'export Registre :

Run by Utilisateur at 25/05/2011 23:21:08

Windows 7 Home Premium Edition, 64-bit (Build 7600)

Web site : ZHPFix Fix de rapport

 

========== Logiciel(s) ==========

O42 - Logiciel: PCTuto 2.0 - (.PCTuto.) [HKLM][64Bits] -- PCTuto_is1 => Logiciel absent

O42 - Logiciel: PCTuto Avast 2.0 - (.PCTuto.) [HKLM][64Bits] -- PCTuto Avast_is1 => Logiciel absent

O42 - Logiciel: UpdatePCTuto 2.0 - (.PCtuto.) [HKLM][64Bits] -- UpdatePCTuto_is1 => Logiciel absent

 

========== Clé(s) du Registre ==========

O23 - Service: (OfferBox update service) . (...) - C:\Program Files (x86)\OfferBox\OfferBoxUpdateService.exe => Clé supprimée avec succès

HKCU\Software\PCTuto => Clé supprimée avec succès

HKLM\Software\PCTuto => Clé absente

HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\ForceRenive => Clé absente

HKLM\Software\Wow6432Node\PCTuto => Clé supprimée avec succès

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\PcTuto_is1 => Clé absente

SS - | Auto 20/08/2009 0 | (OfferBox update service) . (...) - C:\Program Files (x86)\OfferBox\OfferBoxUpdateService.exe => Clé absente

 

========== Dossier(s) ==========

C:\Users\Utilisateur\AppData\Roaming\OfferBox => Supprimé et mis en quarantaine

Dossiers temporaires Windows supprimés: 101

Dossiers Flash Cookies supprimés : 70

 

========== Fichier(s) ==========

c:\program files (x86)\offerbox\offerboxupdateservice.exe => Fichier absent

c:\users\utilisateur\appdata\roaming\offerbox => Fichier absent

Fichiers temporaires Windows supprimés : 28

Fichiers Flash Cookies supprimés : 27

 

 

========== Récapitulatif ==========

7 : Clé(s) du Registre

3 : Dossier(s)

4 : Fichier(s)

3 : Logiciel(s)

 

 

End of the scan

[Apollo]

J'vais aller ronfler moi

 

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer clique pour la version FREE et enregistre l'exécutable sur le bureau.

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@ demain.

[ben ali]

Salut Apollo,

 

En espérant que ta journée a bien démarrée, je te mets le rapport MBAM (apparemment il n'a rien trouvé):

 

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6682

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

26/05/2011 07:37:08

mbam-log-2011-05-26 (07-37-08).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|)

Elément(s) analysé(s): 318198

Temps écoulé: 38 minute(s), 36 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

 

 

Merci encore par avance pour ton aide

 

cordialement