lo.st et autres intrus Fermé

Question

Bonjour, 
Voici quelque temps , j'ai le désagrément de voir Internet explorer s'ouvrir
spontanément sur mon ordinateur pour afficher la page d'un site pour le
téléchargement de sonneries de téléphone portable.
J'observe aussi qu'un moteur de recherche(lo.st) vient systématiquement
prendre la place du portail orange à l'ouverture d'internet explorer.
J'ai installé SUPERantispyware pour virer les logiciels malveillants mais
les intrus résistent.Sur le conseil d'un ami j'ai téléchargé AD-R et effectué le scann dont je vous communique le rapport:
======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 10:48:37 le 11/07/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
HP_Propriétaire@FAMILLE-PERNOT ( ) 
 
============== RECHERCHE ==============


0,Dossier trouvé: C:\Documents and Settings\HP_Propriétaire\Menu Démarrer\Programmes\Ask Search Assistant
0,Dossier trouvé: C:\Program Files\Ask Search Assistant
0,Dossier trouvé: C:\Program Files\Fast Browser Search
0,Dossier trouvé: C:\Program Files\SGPSA
0,Dossier trouvé: C:\Documents and Settings\HP_Propriétaire\Application Data\Soft2PC
0,Dossier trouvé: C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Soft2PC
0,Dossier trouvé: C:\Program Files\Soft2PC

1,Clé trouvée: HKLM\Software\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé trouvée: HKLM\Software\Classes\CLSID\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé trouvée: HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
1,Clé trouvée: HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé trouvée: HKLM\Software\Classes\Interface\{CC883F50-95BB-4A25-9DBF-B801506F1BC4}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{B52F3553-49FA-4599-81A4-F98951E0B53B}
0,Clé trouvée: HKLM\Software\Classes\ComObject.DeskbarEnabler
0,Clé trouvée: HKLM\Software\Classes\ComObject.DeskbarEnabler.1
0,Clé trouvée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO
0,Clé trouvée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO.1
0,Clé trouvée: HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook
0,Clé trouvée: HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1
0,Clé trouvée: HKLM\Software\Classes\AppID\Soft2PCBHO.DLL
1,Clé trouvée: HKLM\Software\Classes\AppID\{AB67D16D-3824-4683-B81A-D66DBA61B1AF}
0,Clé trouvée: HKLM\Software\soft2PC
0,Clé trouvée: HKCU\Software\AskSearchAsst
0,Clé trouvée: HKCU\Software\soft2PC
3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}
3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{41AD5B2B-D89E-410B-954C-1BE567762211}
3,Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{039A05F0-8CF2-4a31-A9D6-D04B0990D4DD}
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask.com Search Assistant
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Soft2PC_is1
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Software_is1
0,Clé trouvée: HKLM\Software\Microsoft\ESENT\Process\soft2PC
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Soft2PC_is1

0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|soft2PC
0,Valeur trouvée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
0,Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Do404Search: 0x01000000
Enable Browser Extensions: yes
First Home Page: hxxp://y.lo.st
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://www.orange.fr/portail
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: hxxp://www.fastbrowsersearch.com/new-tab/?v=18&tid={3A7EC826-F359-4b52-A57C-CC6A3B36FC35}
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 11/07/2010 (4240 Octet(s)) 

Fin à: 10:56:26, 11/07/2010 
 
============== E.O.F ============== 
Comment entreprendre le nettoyage?
Merci et a bientot de vous lire.



Configuration: Windows XP / Internet Explorer 7.0

kalimusic · Answer

Bonjour,

Désactive la protection résidente de ton anti-virus     

Si tu utilises Spybot S&D, tu dois impérativement désactiver le module Tea Timer sous peine de faire échouer la désinfection : https://www.commentcamarche.net/telecharger/securite/20939-spybot-search-and-destroy/    

* Relance Ad-Remover 
    - Sous XP double-clic sur l'icône pour lancer l'outil. 
-  Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.     
* Clique sur "Oui" dans la boite de dialogue     
* Dans l'interface principale, clique sur le bouton Nettoyer puis confirme l'action en cliquant sur "Oui"     
* Patiente le temps du scan (le bureau peut disparaitre), le rapport doit s'ouvrir spontanément à la fin.     
* Clique sur Quitter     

Copie/colle le rapport dans ton prochain message.    

Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-CLEAN    
    
"Process.exe" est détecté par certains antivirus comme étant un RiskTool.    
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus    

**** 

Si tu veux bien pour s'assurer que Ad-Remover n'a rien laissé et voir d'éventuels autres problèmes, nous allons utiliser cet outil de diagnostic :  

Télécharge OTL  (de OldTimer) sur ton Bureau.   

!! Ferme toutes tes applications en cours !!   

    * Lance OTL.exe    
- Sous XP double-clic sur l'icône pour lancer l'outil.    
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.    
    * L'interface principale s'ouvre :   
    * Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal   
    * Coche également les cases Recherche LOP et Recherche Purity   
    * Laisse tous les autres paramètres par défaut (âge du fichier 30 jours)   
    * Clique sur le bouton Analyse, patiente pendant le balayage du système.   
    * Après le balayage, 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)    

Ne les poste pas sur le forum, ils seraient trop long !   

Pour me les transmettre tu dois te rendre sur ce site http://www.cijoint.fr/ , tu cliques sur parcourir et tu sélectionnes le premier rapport sur ton bureau, tu coches "Rendre public le fichier" et ensuite tu cliques sur "Cliquez ici pour déposer le fichier", il va te donner un lien de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu copies/colles dans ton message. idem pour le 2nd rapport.   

A +

kalimusic · Answer

pof,

Regarde cette aide en image pour t'aider : http://pagesperso-orange.fr/NosTools/tuto_adr_3.html

A +

kalimusic · Answer

pof,

rien de méchant, un fichier me pose soucis on va faire une vérification :

Télécharge et installe UsbFix   (par  C_XX & El Desaparecido) sur le Bureau   
    ! ! Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir !!   
    * lance UsbFix 
- Sous XP double-clic sur l'icône pour lancer l'outil.  
    * Clique sur le bouton  "Recherche"   
    * Patiente le temps du balayage qui peut durer plusieurs minutes   
    * Le rapport doit s'ouvrir spontanément à la fin du scan   
    * Copie/colle le rapport dans le prochain message   

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus 

A +

kalimusic · Answer

pof,

1. UsbFix 2

!! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!   

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir  

    * Relance UsbFix en choisissant maintenant  "Suppression"  
    - Sous XP double-clic sur l'icône pour lancer l'outil.   
    * UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
    * A la fin du nettoyage, clique sur OK dans la boite de dialogue 
    * Upload le dossier zip demandé
    * Le rapport doit s'ouvrir spontanément, copie/colle le dans le prochain message

Il est recommandé de redémarrer le pc après cette opération

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus

2. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
    * L'interface principale s'ouvre :
    * Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

:OTL
O2 - BHO: (no name) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - No CLSID value found.     
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.     
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.    
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found.    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) 
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) 
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) 
@Alternate Data Stream - 122 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A8ADE5D8
@Alternate Data Stream - 121 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2 

:Files

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] 
"TBSB07183.TBSB07183Toolbar" =-

:Commands 
[emptyflash]
[emptytemp]
    * Clique sur le bouton Correction, patiente pendant le travail de l'outil, à la fin il va redémarrer le PC.
    * Après le re-démarrage, le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément
    * Copie/colle le dans ton prochain message

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log) 

A +

kalimusic · Answer

pof,

Comment se comporte ton PC maintenant ?
On va faire un scan de routine avec un anti-malware, si tout est OK, on désinstalle les outils, on fini le nettoyage et je te donnerais quelques conseils.

Télécharge MBAM  et installe le selon l'emplacement par défaut.
    * Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    * Clique dans l'onglet du haut "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    * Sinon le rapport s'ouvre automatiquement après la suppression 

Quelque soit le résultat, copie/colle le rapport dans le prochain message

A +

kalimusic · Answer

pof, 

On a nettoyé l'infection principale du à des logiciels qui installent des adwares comme Eorezo, Soft2PC, etc....et des barres d'outils douteuses comme Ask. 
Il ne faut plus installer ce genre de programmes souvent proposés via des liens publicitaires. Il faut être plus vigilant quand on installe un logiciel de ne pas accepter les barres d'outils ou de recherches proposés avec. 
Il y avait des restes d'infections, un autorun et l'adware Gibmédia. 

1. On va désinstaller les outils utilisés car ils ne peuvent pas rester sur ton système.      

a) Relance OTL    
* Clique sur le bouton Purge outils 
* Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système 

b) Télécharge Tools Cleaner (par A.Rothstein & dj QUIOU) sur le Bureau 
- Sous XP double-clic sur l'icône pour lancer l'outil.  
* Clique sur Recherche et laisse le scan se terminer      
* Clique ensuite sur Suppression      
* Clique sur Quitter, pour que le rapport puisse se créer      
* Poste le dans ton prochain message      

Le rapport (TCleaner.txt) se trouve à la racine du disque dur (C:\)      

2. Relance Tools Cleaner    

* Clique sur le bouton Pt Restauration, puis successivement sur OK dans les boites de dialogue pour créer un nouveau point de restauration du système.     
* Supprime Tools Cleaner ainsi que les autres outils restant éventuellement sur le bureau   

3. Nous allons maintenant supprimer les anciens points de restauration pour finir le nettoyage.      

Clique sur Poste de travail, puis fait un clic droit sur le disque dur principal (en général C:/)  
    * Clique sur Propriétés  
Dans la fenêtre qui s'ouvre dans l'onglet général  
    * Clique sur Nettoyage de disque  
Une boîte de dialogue te demande de patienter le temps du calcul, une nouvelle fenêtre va s'ouvrir.  
    * Choisit le 2ème onglet Autres options puis l'item Restauration du système  
    * Valide la boîte de dialogue qui s'affiche en cliquant sur Oui  
    * Ferme ensuite la fenêtre Nettoyage de disque en cliquant sur OK   

A + pour la dernière étape          

«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

kalimusic · Answer

pof,

1. Tu peux garder Malwarebytes Anti-Malware qui est un excellent logiciel et t'en servir pour un scan rapide sur ton PC sans oublier de le mettre à jour avant.
Il n'est pas résident, pas de risques de conflit avec McAfee VirusScan.
SuperAntispyware n'est pas indispensable, d'ailleurs il ne t'a pas beaucoup aidé.

2. Nettoyage de Windows avec Ccleaner qui est déjà sur ton PC
Tuto : http://www.6ma.fr/tuto/ccleaner+v202-411
Ce logiciel doit être utilisé régulièrement pour nettoyer les fichiers temporaires et les cookies.

3. Mises à jour :

a) Télécharge et installe  JRE 6 Update 20 
Aide en images (merci Batch-man) : Installation/Mise à jour Java

b) Tu as beaucoup d'anciennes version de Java sur ton système, beaucoup de malwares exploitent ces failles : Supprime les anciennes versions de Java avec JavaRa 

c) Maintiens tes logiciels à jours avec Secunia OSI (merci australien)
Ou en utilisant leur logiciel Secunia Personal Software Inspector
Ou encore Update Checker

***************************************************************
 
N'oublie pas de me faire part d'éventuelles difficultés dans les dernières étapes.
Si tout se passe bien clique ensuite sur résolu, merci.

Lo.st et autres intrus

7 réponses

Discussions similaires

Newsletters