[Résolu] PC malade, toolbars, popups, plus d'Internet, Vosteran

[tomtom95]

Bonjour,

 

 

• Télécharger RapportMBAMVers2.exe sur le bureau.
• Double cliquer sur le fichier.
  Un rapport va s'ouvrir, c'est le dernier rapport MBAM version 2
  Si MBAM n'est pas installé ou aucun rapport n'est disponible, un message vous le dira.
  Le rapport est sur le bureau (rapport_mbam.txt)
• Hébergez le rapport présent sur votre bureau sur le site http://www.cjoint.com
  Appuyez sur Parcourir et chercher les rapports sur le bureau
• Cliquez sur Ouvrir
• Cliquez sur Créer le lien CJoint,
  Puis copier/coller le lien fourni dans votre prochaine réponse.

 

 

• Télécharger CTR.exede pierre 13 sur le bureau
• Fermer tous les programmes en cours.
• Désactivez provisoirement l'antivirus
• Double cliquer sur le fichier pour le lancer.
• sous Windows : 7/8 et Vista exécuter en tant qu'administrateur
• L'analyse ne dure que quelques instants.
• Le rapport est sur le bureau (CTR.txt)
• Hébergez le rapport sur le site http://www.cjoint.com
  Puis copier/coller le lien fourni dans votre prochaine réponse.

 

[sylwya]

Bonjour,

 

Désolée, mais le programme indique pas de rapport MBAM ????? alors que j'ai bien dans la quarantaine tous les fichiers trouvés et mis en quarantaine. d'ailleurs le pb vient peut être de là, j'ai appliqué les actions, il a mis en quarantaine mais ne doit il pas supprimer normalement ?

 

Rapport de Contrôle restrictions Pierre13 (CTR version 2.0.0.2 ) du 16\02\2015 à 10:50:42
PC de Admin Parents
Windows Vista Home Premium Service Pack 2 (32 bits)

Réparation erreur 2203 effectuée.

Contrôle présence restrictions

[TROJ_POWELIKS.B] clé feature_browser_emulation supprimée.
[TROJ_POWELIKS.B] clé smartdithering supprimée.
[bKDR_BLACKEN.A] clé Check_Associations supprimée.
[bKDR_BLACKEN.A] clé PopupMgr corrigée.
Autorisation installation sponsor Java supprimée.
Restriction mise à jour Chrome supprimée.
Restriction synchronisation en arrière-plan des flux d’informations et des Web Slices supprimée.
Restriction découverte des flux RSS et des Web Slices supprimée.
Restriction barre de menus Internet Explorer supprimée.
Pavé numérique activé.
Restriction utilisateur pour Windows Installer supprimée.
Recherche Windows Update rétablie.
Service Pare feu Windows activé.
Paramètres Pare feu Windows rétablis par défaut et activé.

231 restrictions contrôlées.

12 restriction(s) réparée(s).
Re démarrer le PC pour prendre en compte la ou les réparations.


Le rapport est sur le bureau (C:\Users\Admin Parents\Desktop\CTR.txt)

Modifié le 16 février 2015 par sylwya

[tomtom95]

Re,

 

Ok sylwya votre ordinateur est une version légitime de Windows ??

Vous pouvez supprimer la quarantaine de Malwarebytes ?

Dans l'interface cliquer sur Historique >> Quarantaine >> cliquer sur supprimer tout

 

On va refaire une autre analyse de votre ordinateur.

Télécharger Farbar Recovery Scan Tool pour systèmes x32 (x86) sur votre Bureau

• Faites un clique droit sur le fichier téléchargé (FRST.exe) et choisissez Exécuter en tant qu'administrateur
• puis cliquez sur 'Exécuter' lors de l'Avertissement de sécurité - Fichier ouvert.
  Quand l'outil démarre, cliquez sur Oui si vous acceptez les termes de la fenêtre Disclaimer (clause de non-responsabilité).
  
• Cochez les cases comme sur la capture
• Cliquez sur le bouton Scan.
• L'outil va créer un fichier rapport [log] nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.
• La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt - situé également dans le même dossier que FRST.exe.
• Héberge les rapports sur le site http://www.cjoint.com
  Appuyez sur Parcourir et chercher les rapports sur le bureau
• Cliquez sur Ouvrir
• Cliquez sur Créer le lien CJoint,
  Puis copie/colle les liens fourni dans votre prochaine réponse.

Modifié le 16 février 2015 par tomtom95

[sylwya]

voilà suppression de la quarantaine OK ?

 

Oui le pc est une version légale. Y a t-il un moyen de le prouver ?

 

Je me lance dans l'outil Fabar et je poste le rapport

[tomtom95]

 

 

Oui le pc est une version légale. Y a t-il un moyen de le prouver ?

Pas besoin, je vous crois

[sylwya]

http://cjoint.com/?EBqls0LAoVm

 

http://cjoint.com/?EBqltG8XjSA

 

Pas pu cocher la case knwodlls, elle n'y était pas !

Modifié le 16 février 2015 par sylwya

[tomtom95]

• Vous allez faire une correction Farbar Recovery Scan Tool
• Ouvrez le Bloc-notes (notepad).
• Copiez le contenu de la zone code ci-dessous.

  Pour ce faire, sélectionnez toutes les lignes,

  faites un clique droit et choisissez Copier.

• Collez ceci dans la fenêtre ouverte du Bloc-notes.

  Enregistrez le fichier sous le nom fixlist.txt

  start

  CloseProcesses:

  EmptyTemp:

  Hosts:

  CreateRestorePoint:

  GroupPolicy: Group Policy on Chrome detected <======= ATTENTION

  GroupPolicyUsers\S-1-5-21-304274160-3469718504-3686938526-1006\User: Group Policy restriction detected <======= ATTENTION

  CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION

  HKU\S-1-5-21-304274160-3469718504-3686938526-1007\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION

  SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

  SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

  SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

  SearchScopes: HKU\S-1-5-21-304274160-3469718504-3686938526-1007 -> {40907801-9FBF-4834-AF8A-D14EBF17C858} URL = http://www.flickr.com/search/?q={searchTerms}

  SearchScopes: HKU\S-1-5-21-304274160-3469718504-3686938526-1007 -> {814C76CB-2623-43F4-AAD0-58A0E5190A20} URL = http://r.orange.fr/r?ref=O_OI_hook_openSearchIE&url=http%3A//rws.search.ke.voila.fr/RW/S/opensearch_orange?rdata={searchTerms}

  SearchScopes: HKU\S-1-5-21-304274160-3469718504-3686938526-1007 -> {835A0071-CD60-495C-8EF0-8E2A89B5AA01} URL =

  BHO: Java Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File

  FF ProfilePath: C:\Users\Admin Parents\AppData\Roaming\Mozilla\Firefox\Profiles\azmqvqlz.default

  FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\dtplugin\npDeployJava1.dll No File

  FF Plugin HKU\S-1-5-21-304274160-3469718504-3686938526-1007: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Admin Parents\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll No File

  CHR HKLM\...\Chrome\Extension: [Äÿ] - No Path

  CHR HKU\S-1-5-21-304274160-3469718504-3686938526-1007\...\Chrome\Extension: [Äÿ] - No Path

  OPR Extension: (SavePass 1.1) - C:\Users\Admin Parents\AppData\Roaming\Opera Software\Opera Stable\Extensions\akaelkiagnbfcccfnmbimdbplecgbikh [2015-02-03]

  S4 msav; C:\Program Files\Moon Secure Antivirus\msavcore.exe [X]

  S3 IpInIp; system32\DRIVERS\ipinip.sys [X]

  S2 X6XSEx_Pr143; \??\C:\Program Files\Free Ride Games\X6XSEx_Pr143.Sys [X]

  2015-02-14 14:54 - 2015-02-15 20:40 - 0001356 _____ () C:\Users\Admin Parents\AppData\Local\d3d9caps.dat

  2012-10-15 23:42 - 2014-11-15 22:17 - 0009216 _____ () C:\Users\Admin Parents\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{0696f815-a3a9-490a-bb14-9ec3350b1276}\InprocServer32 -> C:\Program Files\TelevisionFanatic\bar\1.bin\64SrcAs.dll No File

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{06EEE834-461C-42C2-8DCF-1502B527B1F9}\InprocServer32 -> No File Path

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{23170F69-40C1-278A-1000-000100020000}\InprocServer32 -> No File Path

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{26842a09-ffa8-4e2c-ae12-0c80f01c3295}\InprocServer32 -> C:\Program Files\MapsGalaxy_39\bar\1.bin\39SrcAs.dll No File

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{327f75ed-061b-4339-8cc6-5dd45ad1396d}\InprocServer32 -> C:\Program Files\MarineAquarium3Free_57\bar\1.bin\57SrcAs.dll No File

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{444785F1-DE89-4295-863A-D46C3A781394}\InprocServer32 -> C:\Users\Admin Parents\AppData\LocalLow\Unity\WebPlayer\loader\UnityWebPluginAX.ocx No File

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{4DF0C730-DF9D-4AE3-9153-AA6B82E9795A}\InprocServer32 -> No File Path

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A}\InprocServer32 -> No File Path

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{76D0CB12-7604-4048-B83C-1005C7DDC503}\InprocServer32 -> No File Path

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\InprocServer32 -> No File Path

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{942BC614-676C-464E-B384-D3202AAA02DA}\InprocServer32 -> No File Path

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{C90250F3-4D7D-4991-9B69-A5C5BC1C2AE6}\InprocServer32 -> No File Path

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> No File Path

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{F562A2C8-E850-4F05-8E7A-E7192E4E6C23}\InprocServer32 -> No File Path

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{FBF23B40-E3F0-101B-8488-00AA003E56F8}\InprocServer32 -> No File Path

  CustomCLSID: HKU\S-1-5-21-304274160-3469718504-3686938526-1007_Classes\CLSID\{FFE2A43C-56B9-4BF5-9A79-CC6D4285608A}\InprocServer32 -> No File Path

  Task: {389526F4-22CC-4B8A-BF80-B9EE9A65A7D0} - \3653bfbb-501c-413a-b9b3-d4a829f7492a-6 No Task File <==== ATTENTION

  Task: {43265F76-6B11-4DF6-A959-5F5F641510BA} - \3653bfbb-501c-413a-b9b3-d4a829f7492a-11 No Task File <==== ATTENTION

  Task: {714EA670-4B93-4F50-9F5E-1ADE6E310294} - \3653bfbb-501c-413a-b9b3-d4a829f7492a-10_user No Task File <==== ATTENTION

  Task: {7255B727-5920-404D-8B92-A12A51DDCCC4} - \PennyBee No Task File <==== ATTENTION

  Task: {7DED4CFA-3BDD-417F-85C0-056F98F77B95} - \3653bfbb-501c-413a-b9b3-d4a829f7492a-4 No Task File <==== ATTENTION

  Task: {86838ECA-48E7-499F-9E08-F2C1FE6EF7A4} - \3653bfbb-501c-413a-b9b3-d4a829f7492a-5_user No Task File <==== ATTENTION

  Task: {869BE2BF-49ED-4489-9F31-9CCE10A0CD3C} - \3653bfbb-501c-413a-b9b3-d4a829f7492a-5 No Task File <==== ATTENTION

  Task: {9075843E-5996-4C98-853E-7C1654793F32} - \3653bfbb-501c-413a-b9b3-d4a829f7492a-1-7 No Task File <==== ATTENTION

  Task: {9BB8609C-EC5F-4AB3-8195-781C1FFECC67} - \RocketTab Update Task No Task File <==== ATTENTION

  Task: {B12D7BD0-C185-4838-AB51-75F1F8A73BDD} - \3653bfbb-501c-413a-b9b3-d4a829f7492a-1-6 No Task File <==== ATTENTION

  Task: {CB2EF5D9-43B7-4956-AB7B-9A969A569AD1} - \WSE_Vosteran No Task File <==== ATTENTION

  Task: {E205857D-43BA-4765-9A5B-794057B6682D} - \3653bfbb-501c-413a-b9b3-d4a829f7492a-7 No Task File <==== ATTENTION

   

  end

  NOTE. Il est important que les deux ,L'outil FRST et le fichierfixlist.txt se trouvent dans le même emplacement sur le Bureau , sinon la correction ne fonctionnera pas.

   

  NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur,

  pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

   

  

   

  Exécutez FRST,

• cliquez une seule fois sur le bouton Fix et attendez.

  Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laissez le système redémarrer normalement.

• Ensuite laissez l'outil terminer son travail.

  Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).

• Héberge le rapport présent sur ton bureau sur le site http://www.cjoint.com,

  Puis copie/colle le lien fourni dans ta prochaine réponse.

 

• Télécharge RogueKiller (par tigzy). sur le bureau
• Votre système est un 32 Bits cliquer seulement sur RogueKiller (Local):X32

  Désactive tes protections (Antivirus et par-feu)

• Lance RogueKiller.exe.
• Clique droit -> exécuter en tant qu'administrateur

  Accepte la licence l'EULA du programme.

  Note : Attends que le PreScan

  Puis Clique sur Scan.

  

• Clique sur Rapport et copie dans un fichier texte et poste ce rapport dans ta prochaine réponse.
• Héberge le rapport sur le site http://www.cjoint.com

  Puis copie/colle le lien fourni dans ta prochaine réponse.

[sylwya]

http://cjoint.com/?EBqoYEJVtLu

[sylwya]

Sorry pas su l enregistrer dans un fichier bureau pour faire cjoint

 

 

 

RogueKiller V10.2.0.0 [Jan 19 2015] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Démarré en : Mode normal
Utilisateur : Admin Parents [Administrateur]
Mode : Scan -- Date : 02/16/2015 15:07:27

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 10 ¤¤¤
[PUP] HKEY_CLASSES_ROOT\CLSID\{11BF46C6-B3DE-48BD-BF70-3AD85CAB80B5} -> Trouvé(e)
[PUP] HKEY_CLASSES_ROOT\CLSID\{6F6A5334-78E9-4D9B-8182-8B41EA8C39EF} -> Trouvé(e)
[PUM.HomePage] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main | Start Page :
[PUM.SearchPage] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main | Search Page :
[PUM.StartMenu] HKEY_USERS\S-1-5-21-304274160-3469718504-3686938526-1007\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowPrinters : 0 -> Trouvé(e)
[PUM.StartMenu] HKEY_USERS\S-1-5-21-304274160-3469718504-3686938526-1007\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowRecentDocs : 2 -> Trouvé(e)
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-304274160-3469718504-3686938526-1007\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 -> Trouvé(e)
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trouvé(e)
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-304274160-3469718504-3686938526-1007\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK1655GSX +++++
--- User ---
[MBR] 51242c0637a7077907c737c5febf60e9
[bSP] e3d2dc3a7270197caea7888218f79fd8 : HP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 1500 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 3074048 | Size: 76000 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 158722048 | Size: 75125 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

Modifié le 16 février 2015 par sylwya

[tomtom95]

Re,

 

Ok très bien

 

• Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
  Relancez RogueKiller.exe.
• Clique droit -> exécuter en tant qu'administrateur
  Attends que le Prescan ait fini ...
• Clique sur Scan.
  Dans l’onglet Registre coche toutes les cases
• Clique sur Suppression
• Clique sur Rapport et copie dans un fichier texte
• Héberge les rapports sur le site http://www.cjoint.com
  Puis copie/colle les liens fourni dans ta prochaine réponse.

Ensuite comment ce comporte l'ordinateur maintenant ?

 

A+