Adware Click Potato ...
Bonsoir,
Voici les symptomes constatés :
-Lancement de l’office Word au démarrage.
-Remplacement des icones des différents programmes par l’icône de l’office Word (Menu démarrage + Bureau).
-Lancement impossible d’un programme quelconque à partir du menu démarrage ou du bureau (le word se lance à la place).
Je n’arrive pas à lancer RSIT. A défaut je poste ci-joint le compte rendu de MBAM et Combofix.
Merci bien
Bonsoir,
on essaye en mode sans échec avec prise en charge réseau.
Télécharge ZHPDiag
Enregistre le ailleurs que sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
Ne coche pas la case qui permet de mettre un raccourci sur le Bureau.
Double clique sur le fichier ZHPDiag.exe dans C:\ProgramFiles (ou programFiles(x86))\ZHPDiag
Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.
@+
Re,
Merci.
Bonsoir,
mets à jour ou désinstalle Firefox.
===
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.Code:M2 - MFEP: prefs.js [Nadir - q0xp6bez.default\ffxtlbr@babylon.com] [] Babylon v1.1.8 (.Babylon.) O2 - BHO: Babylon toolbar helper [64Bits] - {2EECD738-5844-4a99-B4B6-146BF802613B} . (.Babylon BHO - Pas de description.) -- C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.31.2\bh\BabylonToolbar.dll O2 - BHO: MediaBar [64Bits] - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} Clé orpheline [MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task] (...) -- C:\Program Files (x86)\ClickPotatoLite\bin\11.0.19.0\ClickPotatoLiteSA.exe (.not file.) [MD5.00000000000000000000000000000000] [APT] [{2152D166-D7E9-456F-922A-E16C99F9954D}] (...) -- C:\Program Files (x86)\InstallShield Installation Information\{5E6F6CF3-BACC-4144-868C-E14622C658F3}\setup.exe (.not file.) O41 - Driver: (ljlraaqq) . (. - .) - C:\Windows\system32\drivers\ljlraaqq.sys (.not file.) O41 - Driver: (stxtjkkr) . (. - .) - C:\Windows\system32\drivers\stxtjkkr.sys (.not file.) O42 - Logiciel: Babylon toolbar on IE - (.Pas de propriétaire.) [HKLM] -- BabylonToolbar O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] -- DAEMON Tools Toolbar [HKCU\Software\AppDataLow\Software\ShoppingReport2] O43 - CFD: 31/10/2011 - 19:49:22 - [3957] ----D- C:\ProgramData\14195 O43 - CFD: 26/08/2011 - 15:53:26 - [0] --H-D- C:\ProgramData\{A9673E80-81F2-43CB-AC03-29F47370B98A} O43 - CFD: 30/09/2011 - 16:42:16 - [0] ----D- C:\Users\Nadir\AppData\Local\{000DD969-BC54-4718-8091-DC2BBE736E6A} O43 - CFD: 31/07/2011 - 19:53:22 - [0] ----D- C:\Users\Nadir\AppData\Local\{0DA8E6CB-2EA9-450F-9837-DDC50203EC52} O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Search the web (Babylon)) - http://search.babylon.com [HKLM\Software\WOW6432Node\Classes\AppID\esrv.EXE] [HKLM\Software\WOW6432Node\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}] [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}] [HKLM\Software\WOW6432Node\Classes\CLSID\{291BCCC1-6890-484a-89D3-318C928DAC1B}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}] [HKLM\Software\WOW6432Node\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}] [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}] [HKLM\Software\WOW6432Node\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}] [HKLM\Software\Classes\TypeLib\{35C1605E-438B-4D64-AAB1-8885F097A9B1}] [HKLM\Software\WOW6432Node\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}] [HKLM\Software\WOW6432Node\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}] [HKLM\Software\WOW6432Node\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}] [HKLM\Software\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}] [HKLM\Software\Classes\TypeLib\{6E8BF012-2C85-4834-B10A-1B31AF173D70}] [HKLM\Software\WOW6432Node\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}] [HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8375D9C8-634F-4ECB-8CF5-C7416BA5D542}] [HKLM\Software\WOW6432Node\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}] [HKLM\Software\WOW6432Node\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}] [HKLM\Software\WOW6432Node\Classes\CLSID\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}] [HKLM\Software\WOW6432Node\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}] [HKLM\Software\WOW6432Node\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}] [HKLM\Software\WOW6432Node\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}] [HKLM\Software\WOW6432Node\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}] [HKLM\Software\WOW6432Node\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}] [HKLM\Software\WOW6432Node\Classes\CLSID\{B8276A94-891D-453C-9FF3-715C042A2575}] [HKLM\Software\WOW6432Node\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}] [HKLM\Software\WOW6432Node\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}] [HKLM\Software\WOW6432Node\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}] [HKLM\Software\WOW6432Node\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}] [HKLM\Software\WOW6432Node\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}] [HKLM\Software\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}] [HKLM\Software\WOW6432Node\Classes\Interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}] [HKLM\Software\WOW6432Node\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}] [HKLM\Software\WOW6432Node\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}] [HKLM\Software\WOW6432Node\Classes\CLSID\{E46C8196-B634-44a1-AF6E-957C64278AB1}] [HKLM\Software\WOW6432Node\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}] [HKLM\Software\WOW6432Node\Classes\CLSID\{FFB9ADCB-8C79-4C29-81D3-74D46A93D370}] [HKCU\Software\BabylonToolbar] [HKLM\Software\WOW6432Node\BabylonToolbar] [HKCU\Software\DataMngr_Toolbar] [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17} [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17} C:\ProgramData\Babylon C:\ProgramData\BabylonUpdater C:\Users\Nadir\AppData\Roaming\Babylon C:\Users\Nadir\AppData\Local\Babylon C:\Users\Nadir\AppData\LocalLow\BabylonToolbar C:\Users\Nadir\AppData\LocalLow\ShoppingReport2 C:\Program Files (x86)\BabylonToolbar C:\Program Files (x86)\DAEMON Tools Toolbar C:\Users\Nadir\AppData\Roaming\Mozilla\Firefox\Profiles\q0xp6bez.default\Extensions\ffxtlbr@babylon.com C:\Users\Nadir\AppData\Roaming\Mozilla\Firefox\Profiles\q0xp6bez.default\SearchPlugins\SearchResults.xml
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
@+
Ci-joint le rapport,
Merci.
Bonsoir,
tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport en pièce jointe.
Quels soucis restent ?
@+
Ces problèmes persistaient
mais j'ai fini par par désinstaller l'office ...Envoyé par mau13
Avira ne détecte aucune infection.
Un problème de son persiste : à l'ouverture d'un dossier par exple, le son habituelle est comme etoufé !!!!
Bonsoir,
il y a encore des choses à enlever.
Relance ZHPFix avec ces lignes :
Poste le rapport dans ta réponse.Code:G1 - GCS: Preference [User Data\Default] http://search.bearshare.com => G0 - GCSP: Preference [User Data\Default][HomePage] http://search.bearshare.com M0 - MFSP: prefs.js [Nadir - q0xp6bez.default] http://search.bearshare.com R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] -- DAEMON Tools Toolbar [HKCU\Software\Ask.com.tmp] O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} [DefaultScope] - (Web Search) - http://search.bearshare.com [MD5.ED92900BF225E26A4E54C2C14FA1424F] [SPRF][23/11/2011] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Nadir\AppData\Local\Temp\AskSLib.dll [246440] [HKCU\Software\Ask.com.tmp] O2 - BHO: MediaBar [64Bits] - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} Clé orpheline O42 - Logiciel: Babylon toolbar on IE - (.Pas de propriétaire.) [HKLM] -- BabylonToolbar [HKLM\Software\Babylon] EmptyTemp
===
La désinstallation de Office a suffi à remettre les bonnes icônes ?
C'est le programme qui s'exécutait ou Word ?
===
Pour le son, tu as des points jaunes dans le Gestionnaire de périphériques ?
@+
Ci-joint
Oui.
Non !!!
Le probléme ne se pose pas lors de l'ouverture d'un nouveau compte d'utilisateur ...?
Merci.
Bonsoir,
fais redémarrer l'ordi, relance ZHPDiag et poste le rapport.
C'est le bon programme qui s'ouvrait ou Word ?
Tu as réinstallé Office ?
@+
Ci-joint.
Désolé, je n'ai pas fait attention. Comme j'ai vu que le probléme du lancement du word au demarage de l'ordi persistait, j'ai décidé de désinstaller l'office.
Pas encore.
Que donne les rapport ?
Merci à toi.
Re,
tu n'as pas mis le rapport de ZHPDiag.
@+
Voici le rapport:
Bonsoir,
relance ZHPFix avec ces lignes :
Poste le rapport dans ta réponse.Code:[HKLM\Software\Babylon] [MD5.ED92900BF225E26A4E54C2C14FA1424F] [SPRF][25/11/2011] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Nadir\AppData\Local\Temp\AskSLib.dll [246440] EmptyTemp
Soit tu mets à jour Firefox, soit tu le désinstalles.
Mets à jour ta console java et désinstalle les anciennes versions.
Quand tout est fait, fais redémarrer l'ordi et refais tourner ZHPDiag.
Poste le rapport.
@+
Ci-joint.
A suivre ...
Bonjour,
Comme je n'ai pas pu le désinstaller, j'ai été contraint de le mettre à jour.Soit tu mets à jour Firefox, soit tu le désinstalles.
OK.Mets à jour ta console java et désinstalle les anciennes versions.
Ci-jointQuand tout est fait, fais redémarrer l'ordi et refais tourner ZHPDiag.
Poste le rapport.
Quelle est la source de l'infection ?
Merci.
Copie ou imprime les instructions avant
- Déconnecte toi d'internet et ferme toutes tes applications.
- Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Registry::
[-HKEY_LOCAL_MACHINE\Software\Ba bylon]
[-HKEY_CURRENT_USER\Software\Ask .com.tmp]- Enregistre ce fichier sous le nom CFscript
- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
- Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
===
Je ne sais pas comment tu as été infecté.
@+
Ci-joint.
A plus.
Re,
tu refais la même maneuvre (CFScript) avec ces lignes :
Tu postes le rapport en réponse.Code:Firefox:: FF - ProfilePath - C:\Users\Nadir\AppData\Roaming\Mozilla\Firefox\Profiles\q0xp6bez.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17284
@+
Voici le rapport.
A plus.
Re,
tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le résultat.
@+
