Pubs imtempestives Fermé

Question

Bonjour à tous !

Depuis quelques temps, lorsque je navigue sur le web, j'ai régulièrement des pubs qui s'incrustent sur mon navigateur pour des assurances, des sites de rencontres... c'est assez agaçant !

J'ai lancé des analyses antivirus  (Avast) + des scans avec CCleaner  mais aucune amélioration.

Auriez-vous une idée pouvant me libérer de ce fléau :) ?

Merci d'avance.

Srubel

maxou45 · Answer

salut
Utilise ce logiciel de diagnostic :

* Télécharge  https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html (de Nicolas Coolman)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr  , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

strubel · Answer

Salut !

Merci bcp pour ta réponse !

J'ai suivi ta démarche et voici le lien : http://www.cijoint.fr/cjlink.php?file=cj201104/cijPSVIseM.txt


Merci d'avance.

maxou45 · Answer

Salut Strubel
j'ai rarement eu l'occasion de voir un PC autant infecté que le tien .... mais ca s'explique par le fait que tu pratiques le P2P , surtout avec limewire (il n'y a pas pire comme vecteur d'infection)

Nous allons en premier nous occuper des infections par des toolbar avec AD-Remover
Ad-Remover est un outil spécifique conçu par C_XX , son rôle est la suppression d'adwares comme Eorezo, MyWebSearch, Navipromo, Winsudate, Search Settings, installpédia, ask etc...  

Télécharger AD_Remover de C_XX sur http://www.teamxscript.org/adremoverTelechargement.html

Tu es sous XP , Double clic sur AD-R.exe sur le bureau 

L'installation se fait automatiquement . 

Accepte l'avertissement qui suit. 

Clic sur Scanne 

Patiente le temps de la recherche 

Poste le rapport qui apparait à la fin .(Il est sauvegardé aussi sous C:\Ad-report.log) 

Clic sur Quitter 

Ne lance pas le nettoyage tant que je ne te l'ai pas dit

strubel · Answer

Salut !

J'ai suivi tes instructions, voici le rapport que j'obtiens :


======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 04/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 09:36:35 le 04/04/2011, Mode normal

Microsoft Windows 7 Professionnel   (X86) 
Thomas@THOMAS-PC (ASUSTeK Computer Inc. G1Sn) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\Program Files\InstallPedia
Fichier trouvé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
Fichier trouvé: C:\Windows\system32\Utils.dll
Dossier trouvé: C:\Users\Thomas\AppData\Roaming\FissaSearch
Dossier trouvé: C:\Users\Thomas\AppData\Roaming\OfferBox
Dossier trouvé: C:\Program Files\OfferBox

Clé trouvée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé trouvée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé trouvée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé trouvée: HKLM\Software\OfferBox
Clé trouvée: HKLM\Software\InstallPedia
Clé trouvée: HKLM\Software\FissaSearch
Clé trouvée: HKCU\Software\OfferBox
Clé trouvée: HKCU\Software\FissaSearch
Clé trouvée: HKCU\Software\Grand Virtual
Clé trouvée: HKCU\Software\PartyGaming
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4BD271AB-66E2-4D58-AF88-80FE3B0770C4}
Clé trouvée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur trouvée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|IP Network


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Start Page - hxxp://www.fissa.com/fr/?s=h&c=10121210308&suid=Elzvvua7k&d=6&pid=
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9} - "Fissa" (hxxp://www.fissa.com/fr/results/?s=b&c=10121210308&suid=Elzvvua7k&d=6&pid=&q={se...)
HKCU_Toolbar\WebBrowser|{EEE6C35B-6118-11DC-9C72-001320C79847} (x)
HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} ("C:\Program Files\Microsoft\BingBar\BingExt.dll") (x)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB} - C:\Program Files\OfferBox\OfferBox.exe (Secure Digital Services Limited)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{aa851425-0109-43f3-9ed2-7b7090125861} - C:\Program Files\Microsoft\BingBar\BingBar.exe (Microsoft Corporation.)
BHO\{d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "Bing Bar Helper" ("C:\Program Files\Microsoft\BingBar\BingExt.dll") (x)
BHO\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - "OfferBox" (C:\Program Files\OfferBox\OfferBoxBHO.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 04/04/2011 09:36:44 (4331 Octet(s)) 

Fin à: 09:38:31, 04/04/2011 
 
============== E.O.F ==============

maxou45 · Answer

OK
Relance Ad-remover.exe, par un double-clique sur l'icône Ad-remover située sur ton Bureau.
Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

Sur la page, clique sur le bouton «Nettoyer»

Laisse travailler l'outil

A la fin du scan, il est possible que AD-Remover te demande de redémarrer ton PC, clique sur le bouton Oui. Si ton PC ne redémarre pas, fais le toi même.

Le rapport est situé C:\Ad-reportClean[X].Txt où X est un numéro.

Ouvre-le

Sélectionne le contenu

Puis copie le tout avec les touches clavier : ctrl+c

Poste ton résultat dans ta prochaine réponse en utilisant les touches clavier : ctrl+v (coller)

strubel · Answer

Voici le rapport que j'obtiens.

Merci beaucoup !

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 04/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:07:10 le 04/04/2011, Mode normal

Microsoft Windows 7 Professionnel   (X86) 
Thomas@THOMAS-PC (ASUSTeK Computer Inc. G1Sn) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Program Files\InstallPedia
Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
Fichier supprimé: C:\Windows\system32\Utils.dll
Dossier supprimé: C:\Users\Thomas\AppData\Roaming\FissaSearch
Dossier supprimé: C:\Users\Thomas\AppData\Roaming\OfferBox
Dossier supprimé: C:\Program Files\OfferBox

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé supprimée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKLM\Software\InstallPedia
Clé supprimée: HKLM\Software\FissaSearch
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\FissaSearch
Clé supprimée: HKCU\Software\Grand Virtual
Clé supprimée: HKCU\Software\PartyGaming
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4BD271AB-66E2-4D58-AF88-80FE3B0770C4}
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|IP Network


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\WebBrowser|{EEE6C35B-6118-11DC-9C72-001320C79847} (x)
HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} ("C:\Program Files\Microsoft\BingBar\BingExt.dll") (x)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{aa851425-0109-43f3-9ed2-7b7090125861} - C:\Program Files\Microsoft\BingBar\BingBar.exe (Microsoft Corporation.)
BHO\{d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "Bing Bar Helper" ("C:\Program Files\Microsoft\BingBar\BingExt.dll") (x)

========================================

C:\Program Files\Ad-Remover\Quarantine: 29 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 04/04/2011 10:07:20 (4316 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 04/04/2011 09:36:44 (4469 Octet(s)) 

Fin à: 10:09:19, 04/04/2011 
 
============== E.O.F ==============

maxou45 · Answer

bien, il en reste pas mal
nous allons utiliser USB Fix (créé par El Desaparecido & C_XX) 

* Télécharge http://www.teamxscript.org/usbfixTelechargement.htm
sur ton Bureau

 Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.

* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).

* Au menu principal, clique sur Recherche

* Laisse travailler l'outil

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

strubel · Answer

Salut Maxou !

Voici le rapport de USBFix :


############################## | UsbFix 7.043 | [Recherche]

Utilisateur: Thomas (Administrateur) # THOMAS-PC [ASUSTeK Computer Inc. G1Sn]
Mis à jour le 02/04/2011 par TeamXscript
Lancé à 10:42:57 | 05/04/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU T5750 @ 2.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T5750 @ 2.00GHz
Microsoft Windows 7 Professionnel  (6.1.7600 32-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 3071 Mo 
C:\ (%systemdrive%) -> Disque fixe # 179 Go (114 Go libre(s) - 64%) [] # NTFS
D:\ -> Disque fixe # 109 Go (65 Go libre(s) - 59%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque fixe # 466 Go (321 Go libre(s) - 69%) [Elements] # NTFS
H:\ -> Disque amovible # 490 Mo (389 Mo libre(s) - 79%) [THOMAS] # FAT

################## | Éléments infectieux |


Présent! G:\autorun.inf

################## | Registre |

Présent! HKCU\Software\JRMX9X1GML
Présent! HKCU\Software\Microsoft\Handle
Présent! HKCU\Software\XML
Présent! HKCU\Software\Zeldar
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|LosAlamos
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Metropolis
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Zeldar

################## | Mountpoints2 |


################## | Vaccin |

G:\Autorun.inf -> Vaccin créé par Panda USB Vaccine

################## | E.O.F |

maxou45 · Answer

Ok, il y a bien une infection USB
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
* Clique sur "Suppression"
* Laisse travailler l'outil
* Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

strubel · Answer

J'ai lancé la suppression à partir de USB FIX mais, une fois que les 100% sont atteints, il ne se passe rien : pas de redémarrage ni d'édition de rapport.
J'ai essayé de faire une recherche puis un suppression mais aucun changement.

Aurais-tu une idée ?

maxou45 · Answer

OK, on va refaire un ZHPDIAG, on verra si cette infection est supprimée
reprends la procedure plus haut

strubel · Answer

Voici le lien du rapport :

http://www.cijoint.fr/cjlink.php?file=cj201104/cijvAaPcc6.txt

maxou45 · Answer

OK, il en reste encore quelques un

Nous allons utiliser un outil plus generaliste pour supprimer le trojan  (MBAM)   

* Télécharge et installe https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée     
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)     
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"     
* A la fin de l'analyse, clique sur "Afficher les résultats"     
* Coche tous les éléments  détectés puis clique sur "Supprimer la sélection"     
* Enregistre le rapport     
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes     
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.     


Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.      

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

strubel · Answer

Salut Maxou !

Voici le rapport en question :


Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 6287

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

06/04/2011 14:10:13
mbam-log-2011-04-06 (14-10-13).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 418700
Temps écoulé: 1 heure(s), 50 minute(s), 11 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\4VDD85L8NF (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ZE18MW23GY (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ZE18MW23GY (Trojan.FakeAlert) -> Value: ZE18MW23GY -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

gen-hackman · Answer

salut ne fais pas le script avec combox , à eviter prends plutot OTM moins dangereux 

merci

strubel · Answer

Hello tous les 2 !

Voici le rapport généré :


All processes killed
========== FILES ==========
C:\Program Files\SweetIM\Messengeresources\images folder moved successfully.
C:\Program Files\SweetIM\Messengeresources folder moved successfully.
C:\Program Files\SweetIM\Messenger folder moved successfully.
C:\Program Files\SweetIM folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\SweetIM\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\ZE18MW23GY\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SweetIM deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ZE18MW23GY not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56502 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: Thomas
->Temp folder emptied: 604110 bytes
->Temporary Internet Files folder emptied: 3185468 bytes
->Java cache emptied: 37548967 bytes
->Google Chrome cache emptied: 398542145 bytes
->Flash cache emptied: 65559 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9034 bytes
RecycleBin emptied: 26547417 bytes
 
Total Files Cleaned = 445,00 mb
 

 
OTM by OldTimer - Version 3.1.17.2 log created on 04072011_104034

Files moved on Reboot...
File move failed. C:\Windows	emp\_avast_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

maxou45 · Answer

un dernier rapport zhpdiag pour confirmation stp

strubel · Answer

Hello !

Voici le lien du rapport :

http://www.cijoint.fr/cjlink.php?file=cj201104/cijwdMGetj.txt

maxou45 · Answer

Désolé, j'etais parti en WE

alors, il reste quelques traces d'une toolbar
on va refaire un script OTM

 Double-clique sur OTM.exe pour le lancer. 
IMPORTANT 
Sous Vista et Windows7: il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur 

* Copie la liste qui se trouve ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved. 

:files
C:\ProgramData\SweetIM  

:reg
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\app paths\sweetim.exe]  
[-HKEY_CURRENT_USER\Software\SweetIM] 

:commands
[emptytemp]
[createrestorepoint]
[reboot]


* clique sur MoveIt! puis ferme OTM. 

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 

* Accepte en cliquant sur YES. 

* Poste le rapport situé dans C:\_OTM\MovedFiles 

Le nom du rapport correspond au moment de sa création : date_heure.log

strubel · Answer

Salut !

Je remarque déjà que j'ai beaucoup moins de pubs, merci !!

Voici le rapport :



All processes killed
========== FILES ==========
C:\ProgramData\SweetIM\Messenger\update folder moved successfully.
C:\ProgramData\SweetIM\Messenger\logs folder moved successfully.
C:\ProgramData\SweetIM\Messenger\data\contentdb folder moved successfully.
C:\ProgramData\SweetIM\Messenger\data\Bars\Default folder moved successfully.
C:\ProgramData\SweetIM\Messenger\data\Bars folder moved successfully.
C:\ProgramData\SweetIM\Messenger\data folder moved successfully.
C:\ProgramData\SweetIM\Messenger\conf\users folder moved successfully.
C:\ProgramData\SweetIM\Messenger\conf folder moved successfully.
C:\ProgramData\SweetIM\Messenger folder moved successfully.
C:\ProgramData\SweetIM folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\app paths\sweetim.exe\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\SweetIM\ deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: Thomas
->Temp folder emptied: 183803 bytes
->Temporary Internet Files folder emptied: 2414850 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 159369346 bytes
->Flash cache emptied: 1721 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 7762 bytes
RecycleBin emptied: 1465304635 bytes
 
Total Files Cleaned = 1 552,00 mb
 

 
OTM by OldTimer - Version 3.1.17.2 log created on 04112011_111114

Files moved on Reboot...
File move failed. C:\Windows	emp\_avast_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

maxou45 · Answer

OK, ca doit etre bon maintenant, l
 
La désinfection est maintenant terminée, merci de l'avoir suivie jusqu'au bout 
Nous allons maintenant terminer la procédure avec la mise à jour de ton PC, la suppression des outils que nous avons utilisés, un peu d'optimisation et plusieurs liens utiles. 
Nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan. 

 Mise a jour de ton système
Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant
* Ta version de W7  n'est pas à jour
Windows Update figure dans le Panneau de configuration. 
 Clique sur le bouton Démarrer, sur Tous les programmes, puis sur Windows Update. 
Nous en sommes au SP1

* Ton antivirus Avast n'est pas a jour non plus 
Télécharge la dernière version ICI : https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/25899.html


Optimisation du PC avec CCLEANER
* Suppression des fichiers inutiles
  Télécharge https://www.clubic.com/telecharger-fiche14492-ccleaner.html
 Installe le, puis lance le. 
  Va dans l'onglet "Options" puis " Avancé "
  Décoche " Effacer uniquement les fichiers[...] ". 
  Cliques sur l'onglet  " Nettoyeur " 
  Cliques sur Analyser . 
  A la fin de l'analyse, clique sur Nettoyer

* Nettoyage du registre
  Rends toi à l'onglet " Registre " puis cliques sur Chercher les erreurs]
  Cliques ensuite sur Corriger les erreurs séléctionnées. 
  Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) 
 Cliques ensuite sur Corriger toutes les erreurs sélectionnées puis sur Fermer
 Redémarre ton PC.


Supprimer les points de restauration antérieurs à la désinfection : OneClick2RestorePoint 
Télécharge http://www.multifa7.be/Laddy/OneClick2RP.exe de Laddy sur ton Bureau
Conserve-le tout au long de la désinfection et de l'optimisation.
Double clic dessus pour l'exécuter (Sous Vista/Seven, fais un clic droit et choisir Exécuter en tant qu'administrateur)
Entre la description suivante : apres desinfection
Clic sur le bouton Créer, puis sur le bouton OK.
Clic sur le bouton quitter pour fermer l'application

Purger les points de restauration système
Relance OneClick2RP
Clic sur le bouton "Purger",
l'outil de nettoyage de windows va s'ouvrir
Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
Rends toi dans l'onglet "Autres options"


Dans la zone restauration système, clic sur le bouton nettoyer 
puis sur le bouton Supprimer.
Les points de restauration système seront purgés sauf le dernier créé.


Suppression des outils utilisés pour la désinfection
lance  ZHPFix en double cliquant sur l'icone située sur ton bureau  
Important: Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Dans la fenêtre de ZHPFix, cliquer sur le "A" rouge
Cliquer sur "Nettoyer"


Fermer toutes les fenêtres


Redémarrer le PC



Liens utiles 
 Ces liens sont en rapport direct avec la sécurité de ton PC: Prends le temps de les lire pour comprendre pourquoi tu as été infecté. 
https://forum.malekal.com/viewtopic.php?t=3208&start=
https://forum.malekal.com/viewtopic.php?t=15761&start= 
https://www.malekal.com/proteger-pc-virus-pirates/
https://forum.malekal.com/viewtopic.php?t=12405&start=
https://forum.malekal.com/viewtopic.php?t=6173&start=

Pubs imtempestives

21 réponses

Discussions similaires