Se connecter / S'enregistrer
Votre question

Aidez moi svp [Résolu]

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Juin 2011 00:54:46

Bonjour a tous j'ai un gros problème avec mon pc.
Ma page de démarrage sous firefox est bloquée sur facebook ou pire sur une fausse facebook qui me demande mon numéro de carte bleue. :kaola: 
Je vous poste mon hijackthis si un féru pouvait m'aider s'il vous plait.
Je suis sous windows vista 32 bits.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:53:17, on 08/06/2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Users\ADELE\AppData\Roaming\cacaoweb\cacaoweb.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Users\ADELE\Desktop\HiJackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [cacaoweb] "C:\Users\ADELE\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer
O4 - HKCU\..\Run: [Badoo Desktop] "C:\ProgramData\Badoo\Badoo Desktop\1.4.0.925\Badoo.Desktop.exe"
O4 - HKUS\S-1-5-18\..\Run: [KB801272.exe] "C:\Windows\system32\config\systemprofile\AppData\Roaming\KB801272.exe" (User 'Système')
O4 - HKUS\.DEFAULT\..\Run: [KB801272.exe] "C:\Windows\system32\config\systemprofile\AppData\Roaming\KB801272.exe" (User 'Default user')
O4 - .DEFAULT User Startup: soos.exe (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Program Files\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Program Files\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Program Files\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Web Capture - C:\Program Files\SmarThru 4\WebCapture.dll
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\Skype4COM.dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

--
End of file - 5233 bytes
Merci d'avance

Autres pages sur : aidez svp resolu

Contenus similaires
8 Juin 2011 13:08:34

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6803

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

08/06/2011 10:10:55
mbam-log-2011-06-08 (10-10-55).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 251307
Temps écoulé: 30 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


a priori rien mais cette page facebook est toujours au demarrage et impossible de la changer
a c 267 8 Sécurité
a b 9 Windows
8 Juin 2011 15:38:59

  • Désinstalle Badoo.

  • Télécharge OTL (par OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • Enfin, clique sur le bouton Analyse. Le scan ne prend pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres Bloc-notes vont s'ouvrir : OTL.txt et Extras.txt. Ils se trouvent au même endroit qu'OTL.

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    a c 267 8 Sécurité
    a b 9 Windows
    9 Juin 2011 08:16:56

    Citation :
    FF - prefs.js..browser.startup.homepage: "https://www.facebook.com"

    FF - user.js..browser.startup.homepage: "https://www.facebook.com"

    --> Ta page d'accueil sur Firefox est le site officiel de Facebook, tu peux la changer dans Outils > Options > Général > Page d'accueil.

    Citation :
    Startuphello.exe

    --> Tu connais ce programme ?

  • Télécharge SystemLook sur ton Bureau.
  • Double-clique sur SystemLook.exe pour le lancer.
  • Copie-colle le contenu du cadre ci-dessous dans la zone texte de SystemLook :

    :dir
    C:\Users\ADELE\AppData\Roaming\Toafwu
    C:\Users\ADELE\AppData\Roaming\Mupy
    C:\ProgramData\m2165vn7e3116g154ns7jau3m52

  • Clique sur le bouton Look pour démarrer l'examen.
  • A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.
    Note : Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt
    9 Juin 2011 09:46:57

    Ok donc le site de facebook est effectivement le vrai mais il m'est impossible de le changer.
    Firefox ne prends pas en compte la modif.

    Pour startuphello.exe non je ne connais pas et je ne pense pas l'avoir installé

    Pour systemlook voila

    SystemLook 04.09.10 by jpshortstuff
    Log created at 09:42 on 09/06/2011 by ADELE
    Administrator - Elevation successful

    ========== dir ==========

    C:\Users\ADELE\AppData\Roaming\Toafwu - Parameters: "(none)"

    ---Files---
    None found.

    ---Folders---
    None found.

    C:\Users\ADELE\AppData\Roaming\Mupy - Parameters: "(none)"

    ---Files---
    piva.dat --a---- 48 bytes [16:27 07/06/2011] [16:27 07/06/2011]

    ---Folders---
    None found.

    C:\ProgramData\m2165vn7e3116g154ns7jau3m52 - Unable to find folder.

    -= EOF =-


    Merci encore
    a c 267 8 Sécurité
    a b 9 Windows
    9 Juin 2011 12:41:21

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    FF - prefs.js..browser.startup.homepage: "https://www.facebook.com"
    FF - user.js..browser.startup.homepage: "https://www.facebook.com"
    [2011/06/07 18:26:22 | 000,000,000 | ---D | C] -- C:\Users\ADELE\AppData\Roaming\Toafwu
    [2011/06/07 18:26:22 | 000,000,000 | ---D | C] -- C:\Users\ADELE\AppData\Roaming\Mupy
    [2011/06/06 22:03:00 | 000,009,446 | -HS- | M] () -- C:\ProgramData\m2165vn7e3116g154ns7jau3m52
    [2011/06/07 18:27:07 | 000,000,000 | ---- | C] () -- C:\Users\ADELE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startuphello.exe

    :commands
    [emptytemp]

  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.
    9 Juin 2011 12:57:22

    ok voici le rapport:

    All processes killed
    ========== OTL ==========
    Prefs.js: "https://www.facebook.com" removed from browser.startup.homepage
    C:\Users\ADELE\AppData\Roaming\Mozilla\FireFox\Profiles\vhdzf9fv.default\user.js moved successfully.
    C:\Users\ADELE\AppData\Roaming\Toafwu folder moved successfully.
    C:\Users\ADELE\AppData\Roaming\Mupy folder moved successfully.
    C:\ProgramData\m2165vn7e3116g154ns7jau3m52 moved successfully.
    C:\Users\ADELE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startuphello.exe moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: ADELE
    ->Temp folder emptied: 75676940 bytes
    ->Temporary Internet Files folder emptied: 2605799 bytes
    ->Java cache emptied: 7332 bytes
    ->FireFox cache emptied: 174668506 bytes
    ->Flash cache emptied: 7076 bytes

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 2686638 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 244,00 mb


    OTL by OldTimer - Version 3.2.23.0 log created on 06092011_124735

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...
    a c 267 8 Sécurité
    a b 9 Windows
    9 Juin 2011 12:59:31

    Ta page d'accueil a changé ?
    9 Juin 2011 13:05:46

    oui c'est nickel merci
    je dois faire autre chose? le son gresille depuis la periode ou j'ai commence a avoir l'infection. Crois tu que cela soit du a celle ci?
    a c 267 8 Sécurité
    a b 9 Windows
    9 Juin 2011 22:39:30

    Je ne pense pas.

    AntiVir possède déjà un antispyware, je ne pense pas que ce soit utile de garder ewido anti-spyware.

    Connais-tu la marque et modèle de ton PC ?
    10 Juin 2011 13:07:22

    oui c'est un fujitsu siemens amilo pi2550

    ok je vire ewido
    12 Juin 2011 19:37:09

    ok tout marche nickel merci beaucoup pour ton aide
    a c 267 8 Sécurité
    a b 9 Windows
    14 Juin 2011 13:13:09

    Pour finir :


    1/

  • Télécharge DelFix sur ton Bureau.
  • Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
  • Clique sur le bouton Suppression.
  • Poste le rapport (C:\DelFixSuppr.txt).
  • Supprime DelFix.


    2/

  • Télécharge et installe CCleaner.
  • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
  • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


    3/

  • Il est nécessaire de supprimer les points de restauration.


    ==Prévention==

    Java n'est pas à jour :
    http://www.malekal.com/2010/11/15/maintenir-java-adobe-...

    Voici un dossier sur la prévention et sécurité sur Internet (A lire avec Adobe Reader ou Foxit Reader) : Lien


    ==Problème résolu ?==

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.


    ;) 
    14 Juin 2011 15:50:54

    ok voila

    # DelFix v8.0 - Rapport créé le 14/06/2011 à 15:45
    # Mis à jour le 01/06/11 à 13h par Xplode
    # Système d'exploitation : Windows 7 Home Premium N (32 bits) [version 6.1.7600]
    # Nom d'utilisateur : ADELE - PC (Administrateur)
    # Exécuté depuis : C:\Users\ADELE\Desktop\DelFix.exe
    # Option [Suppression]


    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\_OTL

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\TDSSKiller.2.4.8.0_25.11.2010_16.15.22_log.txt
    Supprimé : C:\TDSSKiller.2.5.4.0_07.06.2011_22.02.04_log.txt
    Supprimé : C:\Users\ADELE\Desktop\Extras.Txt
    Supprimé : C:\Users\ADELE\Desktop\HiJackThis.exe
    Supprimé : C:\Users\ADELE\Desktop\hijackthis.log
    Supprimé : C:\Users\ADELE\Desktop\OTL.exe
    Supprimé : C:\Users\ADELE\Desktop\OTL.Txt
    Supprimé : C:\Users\ADELE\Desktop\SystemLook.exe
    Supprimé : C:\Users\ADELE\Desktop\SystemLook.txt
    Supprimé : C:\Users\ADELE\Downloads\OTL(1).exe

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKLM\Software\OldTimer Tools
    Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

    ~~~~~~ Autre ~~~~~~

    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [1265 octets] ##########
    a c 267 8 Sécurité
    a b 9 Windows
    14 Juin 2011 20:06:48

    C'est OK ;) 
    15 Juin 2011 20:01:07

    Super merci encore
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS