Problème de mot de passe

Bonjour hirondelline et bienvenue sur Sosordi

- Ce PC est infecté par une toolbar malicieuse


Etape 1

- Pour les possesseurs d'XP allez directement à l'étape 2

Désactive l'UAC-User Account Control - contrôle des comptes utilisateurs

- Démarrer ==> Panneau de Configuration
- Double clique sur l'icône Comptes d'utilisateurs
- Clique ensuite sur Désactiver et valide.
- Si tu ne sais pas comment faire consulte ce lien : http://www.zebulon.fr/astuces/220-d[...]dans-vista.html



Etape 2


- Télécharge maintenant Ad-remover à partir de l'un de ces deux liens: http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
http://forum-aide-contre-virus.be/d[...]d/C_XX/AD-R.exe

- Enregistre ce fichier sur le bureau et pas ailleurs

- Le téléchargement terminé quitte ton navigateur
- Double clique AD-R.exe afin de lancer l'installation et laisse les paramètres d'installation par défaut .

- Double clique sur l'icône Ad-remover qui est sur le bureau.
- Au menu principal choisis l'option S appuie sur la touche Entrée

Laisse travailler l'outil ne touche pas au clavier ni à la souris.

- Le scan terminé un fichier texte s'affichera poste son contenu.

- Le rapport est sauvegardé sous C:\Ad-report-scan.log

Note :

- Process.exe une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Bonjour,

D'autre part, par prudence, en utilisant un autre ordi non infecté, change sans délai tes mots de passe.

Geronimo

D'accord, merci beaucoup.

Est-ce que je dois poster ce rapport-là ici aussi?

- Il faut poster le rapport d'AD-Remover c'est lui qui déterminera la marche à suivre

Je dois le copier/coller, cette fois-ci?
C'est assez long, mais sur le site cijoint.fr, ça me dit que "Les fichiers avec l'extension .log ne peuvent pas être déposés!"

Change l'extension log en txt ou autre chose, cela n'est pas important.

Poste le rapport directement dans une réponse

D'accord.

http://www.cijoint.fr/cjlink.php?fi[...]/cij6LNIpn9.txt

Voici le fichier.

- Les rapports peuvent être postés directement dans une réponse sauf demande contraire



Étape 1


- Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil
- Choisis L Pour lancer le nettoyage

Laisse travailler l'outil ne touche pas au clavier ni à la souris.
- Le scan terminé un rapport sera créé sur le disque C sous la forme de : Ad-Report-(jour-mois-année).log

- Poste le contenu de ce rapport




Étape 2



- Je te fais passer un scan avec un antimalware


[*] Télécharge MalwareBytes' Anti-Malware à partir de l'un de ces liens :
http://www.malwarebytes.org/mbam/pr[...]/mbam-setup.exe
http://www.majorgeeks.com/Malwareby[...]ware_d5756.html


- Enregistre ce fichier sur le bureau

- Le téléchargement terminé ferme ton navigateur ainsi que toutes les applications en cours
- Fais un double-clic sur mbam-setup.exe afin de lancer l'installation

- Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

- MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boite de dialogue.

- La mise à jour faite :
- Sélectionne Exécuter un examen complet si ce n'est pas déja fait
- clique sur Rechercher

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections :

* Clique sur Afficher les résultats
* Ensuite sur Supprimer la sélection


- Poste le rapport de MalwareByte's Anti-Malware
- Le rapport de MalwareByte's peut être retrouvé sous l'onglet Rapports/logs

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

- Aide pour MalwareByte's ici http://www.malekal.com/tutorial_Mal[...]AntiMalware.php


Note : Tu as deux rapports à poster.

Rapport de Ad-remover:
.
======= LOGFILE OF AD-REMOVER 1.1.4.6_J | ONLY XP/VISTA/7 =======
.
Updated by C_XX on 05.02.2010 at 17:34
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTool[...]ad_remover.html
.
Launch at: 9:12:05, 2010-02-19 | Normal Boot | Option: CLEAN
Executed from: C:\Ad-Remover\
Operating system: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Computer Name: YOUR-4DACD0EA75 | Current user: HP_Administrator
.
============== NEUTRALIZED ELEMENT(S) ==============
.

C:\DOCUME~1\HP_ADM~1\APPLIC~1\Mozilla\FireFox\Profiles\deqbofwr.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
C:\Program Files\AskBarDis

(!) -- Temp files deleted.

.
HKCU\software\appdatalow\AskBarDis
HKCU\software\AskBarDis
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\software\AskBarDis
HKLM\software\classes\AskIBar.PopSwatterBarButton
HKLM\software\classes\AskIBar.PopSwatterBarButton.1
HKLM\software\classes\AskIBar.PopSwatterSettingsControl
HKLM\software\classes\AskIBar.PopSwatterSettingsControl.1
HKLM\software\classes\AskToolBar.SettingsPlugin
HKLM\software\classes\AskToolBar.SettingsPlugin.1
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\software\microsoft\windows\currentversion\uninstall\Ask Toolbar_is1
.
============== Added scan ==============
.
.
* Mozilla FireFox Version 3.6 [fr] *
.
ProfilePath: deqbofwr.default (HP_Administrator)
.
(HP_ADM~1, prefs.js) Browser.download.lastDir, C:\Documents and Settings\HP_Administrator\Desktop
(HP_ADM~1, prefs.js) Browser.search.defaultenginename, MyStart Rechercher
(HP_ADM~1, prefs.js) Browser.search.selectedEngine, Google
(HP_ADM~1, prefs.js) Browser.startup.homepage, hxxp://www.google.ca
(HP_ADM~1, prefs.js) Extensions.enabledItems, {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.1.3,{E9A1DEE0-C623-4439-8932-001E7D17607D}:2.1.0.2,{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,jqs@sun.com:1.0,{20a82645-c095-46ed-80e3-08825760534b}:0.0.0,{BBDA0591-3099-440a-AA10-41764D9DB4DB}:2.0,{73a6fe31-595d-460b-a920-fcc0f8843232}:1.9.9.47,{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}:20091028,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6
(HP_ADM~1, prefs.js) Keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=
.
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Enable Browser Extensions: yes
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Use Custom Search URL: 1 (0x1)
Use Search Asst: no
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
4800 Byte(s) - C:\Ad-Report-CLEAN[1].log
5443 Byte(s) - C:\Ad-Report-SCAN[1].log
.
3543 File(s) - C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp
648 File(s) - C:\WINDOWS\Temp
0 File(s) - C:\WINDOWS\Prefetch
.
19 File(s) - C:\Ad-Remover\BACKUP
30 File(s) - C:\Ad-Remover\QUARANTINE
.
End at: 9:22:47 | 2010-02-19 - CLEAN[1]
.
============== E.O.F ==============
.



Rapport de MalwareByte

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3760
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2010-02-19 12:00:46
mbam-log-2010-02-19 (12-00-46).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 323527
Temps écoulé: 2 hour(s), 4 minute(s), 24 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a26f07f-0d60-4835-91cf-1e1766a0ec56} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\RegistrySmart (Rogue.RegistrySmart) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\c:\program files\registrysmart\(default) (Rogue.RegistrySmart) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\Program Files\Internet Explorer\Iexplore.exe" %1) Good: ("%1" /S) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Documents and Settings\HP_Administrator\Application Data\RegistrySmart (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Administrator\Application Data\RegistrySmart\Log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Administrator\Application Data\RegistrySmart\Registry Backups (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
C:\Program Files\RegistrySmart (Rogue.RegistrySmart) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\HP_Administrator\Application Data\RegistrySmart\Log\2007 Oct 03 - 03_48_06 PM_187.log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Administrator\Application Data\RegistrySmart\Log\2007 Oct 03 - 03_48_08 PM_796.log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Administrator\Application Data\RegistrySmart\Log\2007 Oct 03 - 04_06_54 PM_968.log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Administrator\Application Data\RegistrySmart\Log\2007 Oct 03 - 04_06_58 PM_796.log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Administrator\Application Data\RegistrySmart\Log\2007 Oct 03 - 06_24_15 PM_468.log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Administrator\Application Data\RegistrySmart\Log\2007 Oct 03 - 06_24_29 PM_578.log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Administrator\Application Data\RegistrySmart\Log\2007 Oct 03 - 07_17_24 PM_531.log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Administrator\Application Data\RegistrySmart\Log\2007 Oct 03 - 07_17_40 PM_265.log (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Administrator\Application Data\RegistrySmart\Registry Backups\2007-10-03_15-49-44.reg (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
C:\Documents and Settings\HP_Administrator\Application Data\RegistrySmart\Registry Backups\2007-10-03_16-10-15.reg (Rogue.RegistrySmart) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\RegistrySmart Scheduled Scan.job (Rogue.RegistrySmart) -> Quarantined and deleted successfully.

- Il y avait du monde sur ce PC

- Refais un scan avec ZHPDiag poste ensuite son rapport en lien

http://www.cijoint.fr/cjlink.php?fi[...]/cijnxaxUKV.txt

Voilà.

Je suis contente de voir que c'est efficace.

- Relance ZHPDiag refais un scan, ce dernier terminé clique sur l'icone en forme d'écusson vert

ZHPFix

- ZHPFix se lancera, clique maintenant sur le H bleu (coller les lignes helper) puis copie/colle

le texte en gras et bleu ci-dessous dans la fenêtre de ZHPFix


O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} () - http://zone.msn.com/bingame/zuma/de[...]aploader_v6.cab


- Clique sur Ok ensuite sur Tous et enfin Nettoyer

- Poste dans ta prochaine réponse le contenu du rapport qui s'affiche à l'écran

Edité par Geronimo le 19/02/2010 à 19:26

Voilà:

ZHPFix v1.12.16 by Nicolas Coolman - Rapport de suppression du 2010-02-19 13:35:25
Fichier d'export Registre : C:\ZHPExportRegistry-2010-02-19-13-35-26.txt
Web site : http://www.premiumorange.com/zeb-he[...]ess/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} () - aploader_v6.cab]http://zone.msn.com[...]aploader_v6.cab => Clé supprimée avec succès

Valeur du Registre :
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} - => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0


End of the scan

- On termine par un scan en ligne

- Fais un scan en ligne ici http://www.kaspersky.com/kos/eng/pa[...]kavwebscan.html (A faire avec Internet Explorer)

-* Clique sur Accept
* Patiente le temps d'installation du Webscanner.
* Les bases de mises à jour vont s'installer, patiente un moment
* Clique sur Next.
* Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

- Utilise ensuite cjoint.com http://cjoint.com/ pour poster en lien ton rapport

- Clique sur Parcourir pour aller chercher le rapport de kaspersky
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Voilà le rapport:

http://cjoint.com/?cud5ZIp2gJ

Bonjour hirondelline

- Ce rapport est propre aucune trace d'infection

- As tu toujours des ennuis avec tes mots de passe ,

Bonjour!

J'en ai aucune idée... L'autre n'a rien fait de majeur depuis mercredi. Je ne le saurai pas avant qu'il se manifeste de nouveau.

Pour l'instant, je dirais que le problème est réglé. Je vais encore changer tous mes mots de passe et je reviendrai si je crois qu'il peut encore rentrer dans mes comptes.

Merci beaucoup.

Réponse automatique :

Cette question est résolue

Bonjour hirondelline

- Passe un bon week-end