SOS J'ai Adware Generic 4.BQEG

Résolu/Fermé
frida - 10 août 2011 à 18:33
 frida - 26 août 2011 à 13:41
Bonjour,
Sur mon PC mon antuvisrus AVG me détecte deux menaces

Le nom des menaces est :
- Adware Generic4.BQEG
- Downloader Agent2. ARIT
j'ai WINDOWS XP edition familiale

j'ai n'ai plus accès à internet sur cet ordi. et en plus il rame coomme un malade. Je ne suis pas très fortiche en informatique.
Quelqu'un pourrai t il me venir en aide SVP?
Merci
A voir également:

44 réponses

anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
12 août 2011 à 20:23
Tu as posté un rapport MBRCheck au lieu de AD-Remover, tu es sûr d'avoir utilisé le bon outil ? Si c'est le cas, peux-tu aller chercher le rapport, il est enregistré à la racine du disque C sous le nom Ad-report.log

1
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
10 août 2011 à 20:30
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


Pourrais-tu aussi préciser le nom et l'emplacement des fichiers détectés par AVG ?

0
Bonjour Anthony5151

Merci beaucoup pour l'intérêt que vous portez à mon problème.
Promis je serais patiente.lol!
Comme vous me l'avez demandé, voici ce que me dit mon Alerte bouclier résident AVG :
1 .Fichier :"c:\System Volume Information\_restore{40B716B2-A850-40F9-93BC-9C4B7C0A5D10}\RP286\A0129144.exe";"Adware Generic4.BQEG";"Objet potentiellement dangereux"
Nom du processus : C :\WINDOWS\system32\svchost.exe
ID du processus : 1468
détecté à l'ouverture

2.Fichier : c:\Documents and Settings\J&L\Application Data\EoRezo\SoftwareUpdate\Download\itsTV\4.0.0.2222221\su_fr.exe";"Cheval de Troie : Downloader.Agent2.ARIT";"Infecté"
Nom du processus : C:\Documents and Setting\J&L\Application Data\EoRezo\SoftwareUpdate\ SoftwareUpdate.exe
ID du processus : 1584
Détecté à l'ouverture


Je proccède au chargement de ZHPDiag et vous envoie le rapport comme vous le souhaitez.
a plus tard.
0
comme demandé, voici le lien
http://pjjoint.malekal.com/files.php?id=2b4b1086acw14q15v7h11i12z11s8h5u8u8e13j6t8j9p8u9l6g8l12y11.

a tout à l'heure et merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
Modifié par anthony5151 le 12/08/2011 à 03:05
Ton ordinateur est infecté par plusieurs logiciels publicitaires... Pour éviter ce genre de problème :
- Ne télécharge pas n'importe quel programme gratuit sans te renseigner dessus
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects, préfère les sites connus ou le téléchargement directement sur le site de l'éditeur.
- Lis attentivement lorsque tu installes un programme gratuit, et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

Pour désinfecter :

1) Ouvre le menu démarrer --> panneau de configuration --> Ajout/suppression de programmes --> Sélectionne les programmes suivants et désinstalle les :
- Ad-Aware (logiciel inutile)
- SoftwareUpdate (logiciel néfaste)
- Spybot - Search & Destroy (logiciel inutile)
- Yahoo! Anti-Spy (inutile)


2) Utilise cet outil de désinfection spécifique aux logiciels publicitaires :

* Télécharge AD-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report.log )


3) Utilise ce logiciel de désinfection généraliste :

* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp


4) Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag (pense à l'héberger sur pjjoint, comme le précédent).


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0
bonjour monsieur anthony 5151, le sauveur, lol

Je viens d'effectuer religieusement l'analyse avec ad remover dont voici le rapport

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000006c

Kernel Drivers (total 137):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EF000 \WINDOWS\system32\hal.dll
0xF7B0A000 \WINDOWS\system32\KDCOM.DLL
0xF7A1A000 \WINDOWS\system32\BOOTVID.dll
0xF75BA000 ACPI.sys
0xF7B0C000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF75A9000 pci.sys
0xF760A000 isapnp.sys
0xF761A000 ohci1394.sys
0xF762A000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7A1E000 compbatt.sys
0xF7A22000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7BD2000 pciide.sys
0xF788A000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7B0E000 intelide.sys
0xF758B000 pcmcia.sys
0xF763A000 MountMgr.sys
0xF756C000 ftdisk.sys
0xF7A26000 ACPIEC.sys
0xF7BD3000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7892000 PartMgr.sys
0xF764A000 VolSnap.sys
0xF7554000 atapi.sys
0xF765A000 disk.sys
0xF766A000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7534000 fltMgr.sys
0xF7522000 sr.sys
0xF767A000 Lbd.sys
0xF768A000 PxHelp20.sys
0xF750B000 KSecDD.sys
0xF74F8000 WudfPf.sys
0xF746B000 Ntfs.sys
0xF743E000 NDIS.sys
0xF7424000 Mup.sys
0xF789A000 avgrkx86.sys
0xF7A2A000 AVGIDSEH.Sys
0xF7AD2000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF731D000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xF7309000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7972000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF72E5000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF797A000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF77DA000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF77EA000 \SystemRoot\system32\DRIVERS\bcm4sbxp.sys
0xF7240000 \SystemRoot\system32\DRIVERS\w70n51.sys
0xF7982000 \SystemRoot\System32\Drivers\WBMS.SYS
0xF798A000 \SystemRoot\System32\Drivers\WBSD.SYS
0xF722C000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7992000 \SystemRoot\system32\DRIVERS\nscirda.sys

Je continue donc vos précieux conseils et télécharge l'anti malware... à plus tard
0
re,

ci dessous le rapport de la disinfection de l'antimalware,
je continue....a plus tard pour la suite....
0
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7441

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12/08/2011 15:52:51
mbam-log-2011-08-12 (15-52-51).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|)
Elément(s) analysé(s): 213126
Temps écoulé: 1 heure(s), 23 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 34

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\J&L\Bureau\quarantine\C\program files\pdfforge toolbar\IE\4.5\pdfforgetoolbarie.dll.vir (PUP.Dealio.TB) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP281\A0128134.rbf (PUP.Dealio.TB) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP281\A0128135.rbf (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129150.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129146.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129147.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129148.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129149.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129151.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129152.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129153.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129154.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129155.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129156.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129157.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129158.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129159.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129160.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129161.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129162.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129163.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129164.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129165.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129166.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP286\A0129167.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP291\A0129779.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP293\A0130502.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP293\A0130503.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP293\A0130508.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP293\A0130509.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP293\A0130510.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP293\A0130511.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP293\A0130753.dll (PUP.Dealio.TB) -> Quarantined and deleted successfully.
c:\system volume information\_restore{40b716b2-a850-40f9-93bc-9c4b7c0a5d10}\RP293\A0130775.exe (Spyware.AgenceExclusive) -> Quarantined and deleted successfully.
0
Enfin, voici le lien du rapport de ZHPDiag

http://pjjoint.malekal.com/files.php?id=u15g13i11t7m8d8v10h5s9p5s11r7x11l8l9c5o13q15p5f7

à plus tard et merci...
0
désolée pour cette confusion, je vous poste le rapport ad remover
0
Bon ben impossible de poster le rapport : dés que je tente de "valider" ça me marque "tire non renseigné" et je ne trouve aucun endroit pour le renseigné, j'ai même essayé de créer une nouvelle question pour ce faire : walou! .....grrrrrrrr... comment puis je faire, auriez vous une autre solution pour que je vous poste ce rapport SVP?
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
13 août 2011 à 18:20
Héberge le sur pjjoint

0
ok je poste sur pjjoint a +
0
voici le lien

http://pjjoint.malekal.com/files.php?id=s5b7h11l10u12w9n13p15p10c8f11k7b15v6u14n9c9r10r9p8
a+
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
13 août 2011 à 19:57
Parfait :)
Peux-tu poster un nouveau rapport ZHPDiag ?

0
le voici, le voila ...
http://pjjoint.malekal.com/files.php?id=n14j12v6v13y7x10h13e5j6m15h1311y9i6f7s14w9g5g10z14
a plus....
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
14 août 2011 à 14:46
Ce script va cibler certains éléments à supprimer :

* Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
* Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Copie/colle la totalité du rapport dans ta prochaine réponse


Ensuite, fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag (pense à l'héberger sur pjjoint, comme le précédent). Si tout se passe bien, ce sera le dernier rapport que je te demanderai et on pourra ensuite passer à la finition.

0
Comme demandé, j'ai lancé le ZHPFIX en appuyant sur "go", et la une fenêtre est apparue "violation d'accès à l'adresse 7C809E32 dans le module 3kernel32.dll". Lecture de l'adresse 00070043".
Depuis je ne sais pas si le precessus qui a été lancé avec ZHPFIX est toujours en cours ou non. Que ce passe t'il?
0
... ca fait en effet 45mn rien ne bouge sur l'écran ZHPFIX, ça m'a aussi fermer ma barre de tache et je n'ai plus accès a rien sur le bureau...
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
14 août 2011 à 17:40
Appuie sur les touches Ctrl Alt et Suppr (Del sur certains claviers) pour ouvrir le gestionnaire des taches --> fais un clic-droit --> nouvelle tache --> tape explorer.exe et valide. Ensuite, fais redémarrer l'ordinateur et réessaye de lancer le script ZHPFix. Si le problème se reproduit, on fera autrement.

0