Virus freezefrog Résolu/Fermé

Question

Configuration: Windows XP / Firefox 7.0


Bonjour,
J'ai depuis quelques temps une impression de lenteur dans la navigation internet. 

Hier soir, j'ai chargé une nouvelle version de VLC et comme d'autres, j'ai attrapé le virus FreeZEfrog. 

J'ai donc parcouru ce forum pour tenter de trouver une réponse. 

J'ai aussitôt désinstallé le logiciel dans ajout/suppression de programmes, mais cela ne marche toujours pas.

Si quelqu'un avait le temps pour me donner un petit coup de main , ça serait très aimable car je suis dans l'impossibilité de trouver toute seule !!
Merci d'avance

Christelle

kalimusic · Accepted Answer

Bonjour et Bienvenue sur CCM 

Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur.  

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

netsvcs 
msconfig 
activex 
drivers32 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
SAVEMBR:0 
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://www.cijoint.fr/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

A +

JREJFB25 · Answer

Merci pour ta réponse rapide

Voici les 2 liens

	https://www.cjoint.com/?AHoqKRDWT4c

	https://www.cjoint.com/?AHoqLQVmyvC

kalimusic · Answer

re,

&#x25CF;  La plupart des infections nécessitent plusieurs outils et manipulations pour les supprimer complètement. Même si les symptômes disparaissent rapidement, il est préférable de terminer la procédure.
&#x25CF;  N'utilise pas d'outil de désinfection de ta propre initiative, ne pas suivre également d'autres conseils afin de ne pas interférer sur la procédure en cours.
&#x25CF;  Prends le temps de lire ce qui est demandé, ne te lance pas dans une manipulation que tu n'as pas compris. 
&#x25CF;  Héberge les rapports des outils sur http://www.cijoint.fr/ ou https://www.cjoint.com/ ou http://pjjoint.malekal.com/ ou https://textup.fr/
&#x25CF;  Je t'aide bénévolement, je réponds quand je peux et dés que je peux, merci :)

== == == == == == == == == == == == == == == == == == == == == ==

Il faut être plus vigilant quand on installe un programme, la dernière infection date d'aujourd'hui 16h32 ! On y reviendra...

1. Désinstalle les logiciels suivants (si possible) :

Bandoo 
Windows iLivid Toolbar 
ShopperReports3 
searchqutoolbar   

2. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
&#x25CF; Lance le, clique sur [Recherche] puis patiente le temps du scan.
&#x25CF; Une fois le scan fini, un rapport s'ouvrira. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

3. Télécharge UsbFix   (par  C_XX & El Desaparecido) sur le Bureau   
    ! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!   
&#x25CF; lance UsbFix 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur le bouton  "Recherche"   
&#x25CF; Patiente le temps du balayage qui peut durer plusieurs minutes   
&#x25CF; Le rapport doit s'ouvrir spontanément à la fin du scan   

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus 

4. Héberge les 2 rapports de recherche et donne moi les liens.

A +

JREJFB25 · Answer

J'ai pu désinstaller que les logiciels suivants :

Bandoo 
Windows iLivid Toolbar 

Impossible de trouver pour ShopperReports3 et searchqutoolbar   

AdwCleaner est toujours ouvert avec suppression et désinstallation des fichiers.


Voici les 2 liens

http://www.cijoint.fr/cjlink.php?file=cj201108/cijeBVsWtR.txt

http://www.cijoint.fr/cjlink.php?file=cj201108/cijN6zqSXz.txt



A+

kalimusic · Answer

re,

1. Relance AdwCleaner

Clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

2. Relance UsbFix

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir  

&#x25CF;  Choisit maintenant  "Suppression"  
&#x25CF; UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
&#x25CF; A la fin du nettoyage, clique sur OK dans la boite de dialogue 
&#x25CF; Upload le dossier zip si demandé.
&#x25CF; Le rapport doit s'ouvrir spontanément.

Il est recommandé de redémarrer le pc après cette opération

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus

3. Relance OTL
&#x25CF; Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

:OTL
SRV - (HidServ) --  File not found
SRV - (Bandoo Coordinator) -- C:\Program Files\Bandoo\Bandoo.exe (Bandoo Media Inc.)     
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://ww10.seeearch.com 
IE - HKCU\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\Adobe Flash Player 10.2.152.26 IE\mybarnsa50.tmp	bhelper.dll ()     
IE - HKCU\..\URLSearchHook: {D0D4D607-4E08-49A2-B5E0-DDFDFEAACCDF} - Reg Error: Key error. File not found
FF - prefs.js..extensions.enabledItems: toolbar@iadah.com:1.04 
FF - prefs.js..extensions.enabledItems: {181F4BBC-2453-40D2-B42C-3135E3B07C7B}:1.0.16 
FF - prefs.js..keyword.URL: "http://ww17.gooofullsearch.com/google?cx=partner-pub-6446514721158383:do3tst-6a03&cof=FORID%3A10&ie=UTF-8&hl=es&q=" 
[2011/02/18 19:58:27 | 000,000,000 | ---D | M] (Free software Gooofull toolbar) -- C:\Documents and Settings\fabrice bertone\Application Data\Mozilla\Firefox\Profiles\k3y6izxk.default\extensions\{181F4BBC-2453-40D2-B42C-3135E3B07C7B} 
[2011/08/14 14:18:56 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} 
() (No name found) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\TOOLBAR@IADAH.COM.XPI 
[2011/08/14 16:28:28 | 000,000,000 | ---D | M] (No name found) -- C:\PROGRAM FILES\SHOPPERREPORTS3\BIN\3.1.71.0\FIREFOX\FIREFOXTOOLBAR\EXTENSIONS     
O2 - BHO: (TBSB06155 Class) - {2DA14D1D-AE74-4A74-A0FE-C79504755DB8} - C:\Program Files\seeearch\seeearch.dll ()     
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()     
O2 - BHO: (UrlHelper Class) - {A40DC6C5-79D0-4ca8-A185-8FF989AF1115} - C:\Program Files\Windows iLivid Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc)     
O2 - BHO: (BandooIEPlugin Class) - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Bandoo\Plugins\IE\ieplugin.dll (Bandoo Media Inc.)     
O2 - BHO: (TBSB07458 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Adobe Flash Player 10.2.152.26 IE\mybarnsa50.tmp	bcore3.dll ()     
O3 - HKLM\..\Toolbar: (IE Toolbar) - {1FDA7DDD-25CE-4034-9D5B-38A120A14218} - C:\Program Files\seeearch\seeearch.dll ()     
O3 - HKLM\..\Toolbar: (Iadah Toolbar) - {3EA8D036-C9E7-4721-BCDF-C13D00C4CC39} - C:\Program Files\DevNet\Toolbar\DevNet.dll (DevNet)     
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()     
O3 - HKLM\..\Toolbar: (Free software Gooofull toolbar) - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Program Files\Adobe Flash Player 10.2.152.26 IE\mybarnsa50.tmp	bcore3.dll ()     
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (IE Toolbar) - {1FDA7DDD-25CE-4034-9D5B-38A120A14218} - C:\Program Files\seeearch\seeearch.dll ()     
O3 - HKCU\..\Toolbar\WebBrowser: (Free software Gooofull toolbar) - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Program Files\Adobe Flash Player 10.2.152.26 IE\mybarnsa50.tmp	bcore3.dll ()     
O4 - HKLM\..\Run: []  File not found
O4 - HKLM\..\Run: [DATAMNGR] C:\Program Files\Windows iLivid Toolbar\Datamngr\datamngrUI.exe (Bandoo Media, inc)     
O4 - HKLM\..\Run: [TFncKy]  File not found
O9 - Extra Button: Free software Gooofull toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Program Files\Adobe Flash Player 10.2.152.26 IE\mybarnsa50.tmp	bcore3.dll ()     
O9 - Extra 'Tools' menuitem : Free software Gooofull toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Program Files\Adobe Flash Player 10.2.152.26 IE\mybarnsa50.tmp	bcore3.dll ()     
O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06)     
O33 - MountPoints2\{2424c879-9d89-11df-827e-c69238281ba7}\Shell - "" = AutoRun 
O33 - MountPoints2\{2424c879-9d89-11df-827e-c69238281ba7}\Shell\AutoRun\command - "" = E:\AutoRun.exe     
O33 - MountPoints2\{2424c87c-9d89-11df-827e-c69238281ba7}\Shell - "" = AutoRun 
O33 - MountPoints2\{2424c87c-9d89-11df-827e-c69238281ba7}\Shell\AutoRun\command - "" = E:\AutoRun.exe     
O33 - MountPoints2\{32b30dfb-7d54-11de-8157-0024d2957caf}\Shell\AutoRun\command - "" = E:\6phx.com     
O33 - MountPoints2\{32b30dfb-7d54-11de-8157-0024d2957caf}\Shell\open\Command - "" = E:\6phx.com     
O33 - MountPoints2\{40c77801-7df4-11de-815a-0024d2957caf}\Shell\AutoRun\command - "" = E:x.exe     
O33 - MountPoints2\{40c77801-7df4-11de-815a-0024d2957caf}\Shell\open\Command - "" = E:x.exe     
[2011/08/10 19:03:50 | 000,000,000 | ---D | C] -- C:\Documents and Settings\fabrice bertone\Bureau\ShopperReports3 
[2011/08/09 14:57:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\fabrice bertone\Application Data\searchquband     
[2011/08/09 14:57:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\fabrice bertone\Application Data\Bandoo     
[2011/08/09 14:57:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\fabrice bertone\AppData 
[2011/08/09 09:15:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\fabrice bertone\Application Data\searchqutoolbar     
[2011/08/08 23:03:31 | 000,000,000 | ---D | C] -- C:\Program Files\ShopperReports3     
[2011/08/08 23:01:51 | 000,000,000 | ---D | C] -- C:\Program Files\seeearch     
[2011/08/08 22:36:22 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Bandoo     
[2011/08/08 22:36:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Bandoo     
[2011/08/08 22:36:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Bandoo     
[2009/07/31 00:07:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\~0 
[2011/02/18 19:59:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\fabrice bertone\Application Data\Toolbar4 
[64 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
[2011/06/29 13:18:33 | 000,587,776 | ---- | M] (Igor Pavlov) -- C:\DOCUME~1\FABRIC~1\LOCALS~1\Temp\7za.exe 
[2011/08/14 09:43:13 | 000,716,794 | ---- | M] (Pinball Corporation.) -- C:\DOCUME~1\FABRIC~1\LOCALS~1\Temp\freezefrogsa.exe 
[2011/05/25 16:55:32 | 000,154,696 | ---- | M] () -- C:\DOCUME~1\FABRIC~1\LOCALS~1\Temp
sr189.tmp.exe 
[2011/08/06 14:14:14 | 001,857,515 | ---- | M] (Macromedia, Inc.) -- C:\DOCUME~1\FABRIC~1\LOCALS~1\Temp\push.exe 
[2011/08/09 15:41:50 | 000,946,045 | ---- | M] () -- C:\DOCUME~1\FABRIC~1\LOCALS~1\Temp\seeearch.exe 
[2011/06/17 21:05:33 | 000,677,999 | ---- | M] () -- C:\DOCUME~1\FABRIC~1\LOCALS~1\Temp\vlc_win32.exe 
[72 C:\DOCUME~1\FABRIC~1\LOCALS~1\Temp\*.tmp files -> C:\DOCUME~1\FABRIC~1\LOCALS~1\Temp\*.tmp -> ]     

:Reg 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] 
"C:\Program Files\Windows iLivid Toolbar\Datamngr\ToolBar\dtUser.exe"=-

:Files
C:\Program Files\Windows iLivid Toolbar     
C:\Program Files\Bandoo
C:\Program Files\seeearch
C:\Program Files\DevNet
C:\WINDOWS\system32\bandoolmx.dll 
ipconfig /flushdns /c

:Commands 
[emptyflash]
[emptytemp]
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log) 

4. En attente des 3 rapports à héberger comme tout à l'heure.

A +

JREJFB25 · Answer

Voilà les 3 liens

http://www.cijoint.fr/cjlink.php?file=cj201108/cijDFPT3vH.txt

http://www.cijoint.fr/cjlink.php?file=cj201108/cij41g3WYQ.txt

http://www.cijoint.fr/cjlink.php?file=cj201108/cijpjkghnH.txt

A+

kalimusic · Answer

re,

Comment va le pc ?

1. Lance Malwarebytes qui est déjà installé sur ton pc.

!! Effectue la mise à jour !!

&#x25CF; lance un scan complet.

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#x25CF; Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#x25CF; Clique sur OK puis "Afficher les résultats"
&#x25CF; Choisis l'option "Supprimer la sélection"
&#x25CF; Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#x25CF; Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#x25CF; Sinon le rapport s'ouvre automatiquement après la suppression 

2. Relance OTL 

&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Après le balayage, un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note.

En attente des rapports.

A +

JREJFB25 · Answer

La mise à jour de Malwarebytes était déjà faite d'après le logiciel.

Mais le virus est toujours la !! :(         pour l'instant.......

Le PC a planté. après 40 mn de test!!

Je recommence
A+

JREJFB · Answer

Le PC a encore planté!!!!!!!!!!!!!!!!

A 106 900 éléments scannés. (40 mn)

Je recommence ?

JREJFB · Answer

Encore planté !!!
Eléments analysé 116627 en 35 mn

Pfff je ne sais plus quoi faire 

J'attends de tes nouvelles
A+

JREJFB · Answer

J'ai effectuée un examen rapide et aucun élément infecté, alors j'ai recommencé un examen complet et la mon PC a encore planté avec toujours 14 éléments affectés (comme les 4 autres fois!!) et encore au bout de 35 mn.

Il me reste plus qu'a recommencé en attendant tes instructions

kalimusic · Answer

Redémarre en mode sans échec à l'aide des touches F8 (ou F5) et tente à nouveau un scan complet.

A +

JREJFB · Answer

Contente de te retrouver!!

Même en mode sans echec, mon PC a planté!!!

Éléments étudiés 120 358 en 22 mn

kalimusic · Answer

MalwareBytes plantait avant ou pas ?

Redémarre normalement.

Rends-toi sur le site de  GMER

&#x25CF;  Clique sur le bouton Download EXE pour télécharger l'outil avec un nom aléatoire afin que les malwares ne bloquent pas son exécution.
&#x25CF;  Enregistre ce fichier sur le Bureau.

! Désactive tous les logiciels de protection (anti-virus, anti-spyware, etc) !

!! Attention, cet outil est à manier avec précautions !! Ne pas prendre d'initiative en cas de message <--- ROOKIT entries

Si un ou plusieurs rootkits sont détectés au démarrage du programme, une boite de dialogue s'ouvre :

WARNING, GMER has found rootkit activity, ... 

&#x25CF; Clique sur OK puis sur NO car nous allons utiliser les réglages suivants pour une analyse plus complète.
&#x25CF; Si aucun rootkit n'est détecté, continue l'analyse de la même manière.
&#x25CF; Dans le panneau de droite, décoche uniquement les cases suivantes :
IAT/EAT
Les partitions autres que C:\
Show all&#x25CF; Clique sur le bouton Scan et patiente pendant le balayage de l'outil.
&#x25CF; Clique sur le bouton Save, entre un nom de fichier (par exemple gmer) et sauvegarde le sur ton Bureau. 
&#x25CF; Clique sur OK dans la boite dialogue puis referme GMER.
&#x25CF; Copie/colle son rapport dans ton prochain message. 

A +

JREJFB · Answer

Pour les examens rapides MalwareBytes n'a jamais planté mais c'est la 1ere fois que je fais un examen complet.

Ok je reviens vers toi après cette manip

kalimusic · Answer

ok, rien d'alarmant, pas impossible qu'il bute sur un fichier déjà mis en quarantaine par un outil utilisé.

A +

JREJFB25 · Answer

Cela fait 1h15 que j'ai lancé le scan

Je t'enverrai le rapport demain.

En tout cas merci

kalimusic · Answer

C'est pas normal, c'est assez court :/

Stop le scan si tu peux.

As tu eu un avertissement en début de scan ?

Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

&#x25CF; Lance TDSSKiller.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Start scan.
&#x25CF; Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
&#x25CF; Conserve l'action proposée par défaut par l'outil
- Pour TDSS.tdl2 : l'option Delete sera cochée.
- Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
- Pour "Suspicious object" laisse sur "Skip"
&#x25CF; Clique sur Continue puis sur Reboot now pour redémarrer.
&#x25CF; Le rapport de suppression se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt 
&#x25CF; Copie-colle le dans la prochaine réponse.

A +

JREJFB25 · Answer

Non aucun avertissement !!

Vu que cela fait 1h30, je vais encore attendre un peu et je fais ce que tu m'a indiqué

JREJFB25 · Answer

Comment fait on "Reboot now pour redémarrer" ?

kalimusic · Answer

Si TDSSkiller n'a rien trouvé, tu ne l'auras pas.
Donne moi quand même le contenu du rapport stp.
Il se trouve à la racine de ton disque > C:\TDSSKiller.n° de version_date_heure_log.txt 

A +

JREJFB25 · Answer

Le scan s'est arrêté avec ce message d'alerte

 GMER has found system modification caused by ROOTKIT activity

kalimusic · Answer

Ok pour Gmer, tu n'as pas de rapport ?

TDSSkiller n'a rien trouvé ?

A +

JREJFB25 · Answer

Voici le lien mais je ne pense pas l'avoir bien fait

http://www.cijoint.fr/cjlink.php?file=cj201108/cijv8jDNRR.txt

JREJFB25 · Answer

Je n'ai pas vu ces infos ci-dessous quand j'ai lancé le scan

Pour TDSS.tdl2 : l'option Delete sera cochée.
- Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
- Pour "Suspicious object" laisse sur "Skip"

JREJFB25 · Answer

le rapport de GMER

http://www.cijoint.fr/cjlink.php?file=cj201108/cijWlrd4jb.txt

kalimusic · Answer

Le scan TDSSKiller a été correctement réalisé mais il n'a rien trouvé.

Tu avais désactivé Kaspersky pendant le scan Gmer ?
J'ai constaté d'ailleurs qu'il n'était plus à jour, tu n'as plus de licence ?

A +

JREJFB25 · Answer

Oui je l'avais désactivé et c'est vrai que je n'ai plus de licence.

Je dois toujours le faire mais je repousse à chaque fois.

Mais avec la journée que j'ai passé je vais rapidement m'en occuper

kalimusic · Answer

Kaspersky est un très bon antivirus mais tu peux aussi bien t'orienter vers une solution gratuite.

Effectue un scan en ligne en suivant ce tutoriel :
http://www.bibou0007.com/t3691-tutorial-eset-online-scanner
Sauvegarde le rapport au format texte.
 
note : attention, ce scan est généralement assez long à réaliser 

A demain

JREJFB25 · Answer

Ok merci pour l'info.

Je vais dormir un peu et je le lance demain.

Encore un grand merci

JREJFB25 · Answer

Salut,

J'ai lancé ESET Smart Installer mais le PC a planté au bout de1h30 et en arrivant à 95 % !!!

Je l'ai relancé

A+

kalimusic · Answer

Bonjour,

Décidément !!

Il chauffe beaucoup ?

A +

JREJFB25 · Answer

Oui il chauffe assez !!

Si il plante encore, y a t'il autre chose à faire car je commence à surchauffer moi aussi !!!! lol

kalimusic · Answer

Je commence à me demander si finalement cela ne cache pas un problème matériel ces histoires de scan qui ne finissent jamais.

Tu as le CD de Windows ?

A +

JREJFB25 · Answer

il n'a pas survécu à mon déménagement..

 Sur le 1er scan de ESET il y avait 18 fichiers infectés après seulement qq minutes, sur le 2ème scan après 35 mn et 68 %, il y a 0 fichiers.

A+

JREJFB · Answer

Il a encore planté !!

Cette fois ci je stop !!

En tout cas un grand merci à toi

kalimusic · Answer

Attends,

On doit désinstaller les outils utilisés proprement et purger le système de restauration.
Pour les autres soucis, veux tu faire d'autres tests ?

A +

JREJFB · Answer

Je souhaiterai tout faire mais rien ne fonctionne depuis hier soir !!

Quelles sont les instructions ?

kalimusic · Answer

Re,

Quand tu dis rien ne fonctionne, tu parles des outils que je te fais utiliser ou du pc en général ? :s

A +

JREJFB · Answer

Non les outils que tu m'as fais utiliser, le PC fonctionne normalement, enfin je pense, mais le virus est toujours présent..

kalimusic · Answer

Qu'est-ce qui te fait dire qu'un virus est toujours présent ?
Détecté par un logiciel ?
Car on a supprimé des dizaines adwares et une infection par support amovible.

A +

JREJFB · Answer

J'ai lancé en mode sans échec un examen complet de MALWAREBYTES et avant de planter, il y avait 8 éléments infectés.

Impossible d'ouvrir un fichier sur megaupload, avant ce virus, je pouvais normalement.

Le virus freezefrog se cache sous le nom de "média player lite

JREJFB25 · Answer

J'ai réessayé tous les logiciels et tous ont plantés le PC en normal ou en mode sans échec.

Je reste dans l'attente de tes infos

En te remerciant

kalimusic · Answer

Bonjour,

On va commencer par faire un peu de ménage :

1. Relance UsbFix et clique sur Désinstaller
Idem pour Adwcleaner

2. Désinstalle Kaspersky 
Si difficulté, avec leur utilitaire :https://support.kaspersky.com/fr/common/uninstall/1464

3. Installe un antivirus gratuit pour le moment :
Avast!6
Antivir10 
MSE
AVG11

4. Réinstalle Java : Surtout décoche la barre d'outil proposé lors de l'installation.

== == == ==

Tu le vois où ce nom média player lite ?

5. Télécharge SEAF de C_XX : 

&#x25CF; Copie/colle media player lite dans le champ prévu à cette effet
&#x25CF; Coche Chercher également dans le registre
&#x25CF; Clique sur Lancer la recherche

Poste le rapport obtenu (C:\Program Files\SEAF\SEAFlog.txt)

A +

JREJFB · Answer

Pour ouvrir certain fichier courant, une fenêtre s'ouvre depuis 2 jours avec MPL et en cliquant on arrive sur une page de MEDIA PLAYER LITE. 

Désolé pour l'explication, je ne connais pas le langage adéquate

kalimusic · Answer

ok la recherche demandé au 5. permettra peut-être de le localiser car aucune trace dans les rapports précédents. De mon côté, je cherche des informations.
Peux tu me préciser ce que tu entends par "Pour ouvrir certain fichier courant" stp ? Sur le net ou en local ?

A +

JREJFB · Answer

Quand je clique sur un lien de  Megauplaud pour télécharger un film, la fenêtre qui s'ouvre pour exécuter le programme, au lieu d'être VLC (par exemple)comme d'habitude, à la place, j'ai MPL, une fois cliqué, on tombe sur un programme qui lance le virus...

kalimusic · Answer

Commence par ceci https://forums.commentcamarche.net/forum/affich-22887556-virus-freezefrog?page=3#44

Je vois que tu as aussi une version beta de Firefox, tu t'en sers pour surfer ?

A +

JREJFB25 · Answer

J'utilise bien firefox mais peux tu me dire ce qu'est la version beta ?

kalimusic · Answer

FF - HKEY_LOCAL_MACHINE\software\mozilla\Aurora 7.0a2\extensions\Components: C:\Program Files\Aurora\components [2011/08/14 12:07:45 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Aurora 7.0a2\extensions\Plugins: C:\Program Files\Aurora\plugins
Beta = version de test
https://www.mozilla.org/fr/firefox/channel/desktop/

Tu as fini les désinstallations/installations ?

A +

JREJFB25 · Answer

Non j'ai firefox Aurora

J'ai fais ce que tu m'a demandé sauf que en réinstallant Java, je n'ai pas trouvé la case: Surtout décoche la barre d'outil proposé lors de l'installation.

JREJFB25 · Answer

Voici le lien pour SEA

http://www.cijoint.fr/cjlink.php?file=cj201108/ciju6S3Tox.txt

kalimusic · Answer

Firefox Aurora est une version de test, ce n'est pas la version définitive.
Désinstalle toutes les version de Firefox (Sauvegarde tes marques pages si besoin). Supprime les dossiers en gras suivants : 
C:\Program Files\Aurora
C:\Program Files\Mozilla Firefox
C:\Documents and Settings\fabrice bertone\Application Data\Mozilla
Réinstalle la dernière version http://www.mozilla-europe.org/fr/
Dis moi ce qu'il en résulte car media player lite est introuvable.

1. Télécharge Rootkit Unhooker sur ton Bureau

&#x25CF; Lance RKUnhookerLE.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans l'interface principale, clique sur l'onglet Report puis sur le bouton Scan 
&#x25CF; Coche les cases suivantes :
Drivers
Stealth code
&#x25CF; Décoche les autres et clique sur OK
&#x25CF; A la fin du scan, dans le menu en haut à gauche, clique sur  File > Save Report
&#x25CF; Sauvegarde le rapport sur ton Bureau sous le nom RKreport.txt
&#x25CF; Clique sur Close 

2. Télécharge aswMBR sur ton Bureau.

&#x25CF; Double clic sur aswMBR.exe 
&#x25CF; Refuse la demande de mise à jour
&#x25CF; Clique sur le bouton Scan
&#x25CF; Patiente pendant l'analyse
&#x25CF; Clique sur Save log 
&#x25CF; Enregistre le rapport sur le Bureau. 

3. En attente des 2 rapports

A +

JREJFB · Answer

Voici les 2 rapports

http://www.cijoint.fr/cjlink.php?file=cj201108/cijHSlF9U5.txt

http://www.cijoint.fr/cjlink.php?file=cj201108/cijEfBQmL3.txt

kalimusic · Answer

Inutile d'aller plus loin, on a déjà utiliser trop d'outils, il n'y a rien.
Et pour toi ? Les problèmes sur Firefox ?

J'aimerais quand même que tu relances Gmer pour voir si tu as toujours cette alerte :GMER has found system modification caused by ROOTKIT activityLance l'outil, laisse effectuer le scan initial et clique sur copy
Colle le rapport.

A demain

JREJFB · Answer

Firefox marche parfaitement merci

OK je m'en occupe

à demain

kalimusic · Answer

Bonjour,

Plus de nouvelle de MEDIA PLAYER LITE depuis la réinstallation de Firefox ?

Si tu as toujours le moral après Gmer, retente un scan complet de Malwarebytes.

Bonne journée

JREJFB · Answer

Après avoir réalisé le scan de Gmer, je n'arrive pas à faire la copie du rapport. Voilà ce-dessous se qu'il me mets quand j'appuie sur copie : Text was copied to the clipboard. Paste the output into your favorite editor (ie notepad) useing Ctrl + Vkeys.

Ensuite j'enchaine le reste
A+

kalimusic · Answer

Bonjour,

Pour Gmer, il suffit d'ouvrir le bloc-note et de coller le rapport (soit clic-droit > coller soit CTRL+V) et de sauvegarder le fichier texte sur le bureau.
As tu eu la boite de dialogue te prévenant d'une activité Rootkit ?
Plus de nouvelle de MEDIA PLAYER LITE depuis la réinstallation de Firefox ?

A +

JREJFB · Answer

Merci

Voila le rapport pour GMER

http://cjoint.com/?AHqmkrPbNr5 

Non aucune boite de dialogue

J'attends la fin de Malwarebites pour regarder MEDIA PLAYER LITE

JREJFB · Answer

Malwarebites a planté le PC au bout de 45 mn avec 4 éléments affectés.

Je suis désolé de te faire galérer

JREJFB · Answer

Il n'y a plus de virus freezefrog !!!

Tu as réussi !!

kalimusic · Answer

Bonjour,

Plus d'infos sur ton infection principale : https://forum.malekal.com/viewtopic.php?t=29633&start=
Je pense plus que c'est accumulation des adwares qui a fini par te pourrir la navigation, pas uniquement FreezeFrog qui était en partie déjà désinstallé.

1. Lance OTL

&#x25CF; Dans la partie du bas "Personnalisation", copie/colle:

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

2. Relance OTL   
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système.

3. Fait une recherche avec DelFix (d'Xplode)
Poste le rapport.

Ensuite on essayera de trouver une solution pour MalwareBytes,  si tu as la patience et si on peut. Ne t'inquiète pas pour les fichiers trouvés par MBAM, il est fort possible que cela provienne de la quarantaines des outils de désinfection.

A +

JREJFB · Answer

Delfix

http://www.cijoint.fr/cjlink.php?file=cj201108/cijR8BQAdq.txt

Oui j'ai la patience grâce à toi ;)

kalimusic · Answer

re,

Oula, tu avais déjà suivi une désinfection dans le passé sans avoir nettoyé les outils, j'en vois que nous n'avons pas utilisé :)

1. Relance DelFix en suppression.
Poste le rapport.

2. Télécharge mbam-clean sur ton Bureau.
Exécute le et autorise le redémarrage du système.

3. Télécharge MBAM et installe le selon l'emplacement par défaut.
Accepte la mise à jour et l'exécution.
On essaye de faire un scan complet en choisissant seulement le disque C:\

A +

JREJFB · Answer

Bonjour,

Voici le rapport pour DELFIX

http://www.cijoint.fr/cjlink.php?file=cj201108/cijSdYteRF.txt

Je continue

JREJFB · Answer

Mon PC a planté avec MBAM mais avec aucun fichier infecté

kalimusic · Answer

Bonjour,

Relance DelFix et clique sur [Désinstallation].

Pour les problèmes restants, je pense que l'origine est la surchauffe de ta machine.
C'est un portable ? Avant l'infection, rencontrais tu déjà des moments de chauffe anormale (ventilateurs qui s'affolent) ? Est-ce que cela déjà occasionné des plantages de ce type ?

A +

JREJFB · Answer

Oui c'est bien un PC portable est il planté déjà avant.

En tout cas tout fonctionne mieux qu'avant et j'ai maintenant un anti-virus...

Donc un grand merci à toi pour ta disponibilité, c'est vraiment cool!!

kalimusic · Answer

re,

Je ne suis pas trop au fait des problèmes matériels, tu peux tenter ta chance en postant un nouveau sujet dans la section https://forums.commentcamarche.net/forum/materiel-informatique-2
Bien que pour un portable, je ne soit pas sûr qu'il est beaucoup de solutions.

Ce qui est certain, c'est qu'il vaut mieux un antivirus gratuit qu'un payant qui n'est plus à jour. En plus il sera plus léger et ton système souffrira moins.

Pour ne pas revenir ici :

&#x25CF; Maintenir les logiciels à jour avec Secunia OSI (merci australien)
Ou en utilisant leur logiciel Secunia Personal Software Inspector
Ou celui-ci :  Update Checker

&#x25CF;  Ne pas surfer en droits administrateurs

&#x25CF; Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant. Les télécharger dans la mesure du possible sur le site de l'éditeur. Éviter d'installer les diverses barres d'outils ou de recherches, etc....proposées lors de l'installation. 

&#x25CF; Bannir les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)

&#x25CF; Ne pas cliquer aveuglement sur des liens contenus dans les e-mails, les messageries instantanées, les réseaux sociaux, etc ...même si l'expéditeur est connu et à plus forte raison s'il est inconnu ou suspect.

&#x25CF; Utiliser un navigateur alternatif et le sécuriser (par exemple http://www.mozilla-europe.org/fr/ Firefox] avec des modules complémentaires comme AdBlock, Noscript, WOT, etc...) 

Bonne continuation

JREJFB · Answer

Ok, je vais suivre tes conseils à la lettre.

Encore merci pour ta gentillesse, ça fait vraiment plaisir d'avoir des personnes comme toi sur ce site.

Bonne continuation

Virus freezefrog

71 réponses

Discussions similaires