Virus win32:adware gen [adw] que faire ??

Fermé
Debutant - Modifié par Debutant le 10/12/2011 à 03:16
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 - 14 déc. 2011 à 06:15
Bonjour,


depuis cet après midi mon pc est d'une lenteur ... avast m'a détecté win32:adware gen [adw] que faire svp
A voir également:

72 réponses

cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
Modifié par cabrier le 11/12/2011 à 16:22
Pourrais - tu vérifier si Whitesmoke est encore installé sur ton PC.
Whitesmoke est un correcteur de grammaire peu recommandable qui peut contenir un Rootkit....
Pour vérifier :
Démarrer---> Panneau de configuration ----> Programmes et fonctionnalités
Dans la liste qui apparait recherche "Whitesmoke" et s'il existe :
---> clic droit ----> désinstaller
Puis redémarre ton PC.

A+
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
0
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
11 déc. 2011 à 16:28
OK pour AdwCleaner, il n'a rien trouvé !

Après avoir vérifié pour Whitesmoke
* Relance Malwarebyte,
* clique sur l'onglet mise à jour (la base de connaissance évolue tous les jours)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression

A+
0
bizarre je ne peux pas le desinstaller
voici le message
Execute: "C:\Users\Yassine\AppData\Local\Temp\WhiteSmoke\CheckLockedWsFiles.exe" targetdir=C:\Program Files (x86)\WhiteSmoke silent
0
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
11 déc. 2011 à 16:45
Oui c'est bien un malware qui se protège !

Essaie avec Malwarebyte.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
vioci le rapport Malwarebyte
http://pjjoint.malekal.com/files.php?id=20111211_i14k8b11g6o9

il s'est ouvert directement après l'analyse..
0
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
11 déc. 2011 à 17:33
Rien trouvé, bizarre !

Relance ZHPdiag et poste moi le rapport.

Il est possible que nous ayons besoin de passer par un outil plus performant, mais là j'aurai besoin d'un expert car cet outil ne s'utilise pas à la légère. Alors ne t'inquiète pas si je tarde un peu.

A+
0
bon ...
voici le lien
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111211_s10o7m7d15k13
0
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
11 déc. 2011 à 18:02
Toujours les mêmes infections.

On va essayer de lancer ZHPFix en mode sans échec.

Arrête ton ordinateur et redémarre, au redémarrage tapotes la touche F8 jusqu'à obtenir l'écran Options de démarrage avancées, sélectionne l'option mode sans échec avec prise en charge réseau.

Connecte toi et copie ces lignes :

[MD5.D46D155212B5810B667330260A1FA93F] - (...) -- C:\Program Files (x86)\WhiteSmoke\WSEnrichment.exe [2174976] [PID.1280]
O2 - BHO: (no name) [64Bits] - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} Clé orpheline
O4 - Global Startup: C:\Users\Yassine\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch WhiteSmoke.lnk . (...) -- C:\Program Files (x86)\WhiteSmoke\WSEnrichment.exe
O42 - Logiciel: Tuto Avast1.0.0.0 - (.PCTuto.) [HKLM] -- Tuto Avast_is1
O42 - Logiciel: WhiteSmoke - (.WhiteSmoke.) [HKLM] -- WhiteSmoke
[HKCU\Software\WhiteSmoke]
[HKLM\Software\CrazyLoader]
O43 - CFD: 11/12/2011 - 16:13:54 - [0,006] ----D- C:\Users\Yassine\AppData\Roaming\WhiteSmoke
O43 - CFD: 19/03/2011 - 23:32:34 - [17,775] ----D- C:\Program Files (x86)\WhiteSmoke
[HKLM\Software\WOW6432Node\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WhiteSmoke
C:\Users\Yassine\AppData\Roaming\WhiteSmoke
C:\Program Files (x86)\WhiteSmoke
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
c:\program files\whitesmoke\wsenrichment.exe
O42 - Logiciel: FATE - (.WildTangent.) [HKLM] -- WT082141
O42 - Logiciel: HP Game Console - (.WildTangent.) [HKLM] -- My HP Game Console
O42 - Logiciel: Mystery P.I. - The Vegas Heist - (.WildTangent.) [HKLM] -- WT082414
O42 - Logiciel: Polar Bowler - (.WildTangent.) [HKLM] -- WT082172
O42 - Logiciel: Slingo Deluxe - (.WildTangent.) [HKLM] -- WT082427
O43 - CFD: 24/09/2011 - 23:52:54 - [0] ----D- C:\Users\Yassine\AppData\Local\JoinFiles
R3 - URLSearchHook: Vuze Remote Toolbar [64Bits] - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files (x86)\Vuze_Remote\prxtbVuz0.dll
R3 - URLSearchHook: Vuze Remote Toolbar [64Bits] - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files (x86)\Vuze_Remote\prxtbVuz0.dll
O2 - BHO: Vuze Remote [64Bits] - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Vuze_Remote\prxtbVuz0.dll
O43 - CFD: 19/03/2011 - 21:10:34 - [0] ----D- C:\Program Files (x86)\ToolbarInstaller
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv]
C:\Users\Yassine\AppData\LocalLow\Vuze_Remote



¶ Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
¶ Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
¶ Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
¶ Clique sur le bouton « GO » pour lancer le nettoyage,
¶ Copie/colle la totalité du rapport dans ta prochaine réponse

A+

-------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
0
impossible de redemarer en mose sans echec, je tape mon mot de passe et j'ai l'impression qu'il reboot et ouvre une session normale ...
0
je selectionne bien "mode sans echec avec prise en charge reseau" il me lance la versio sans echec mais reboot sur une version normale
0
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
11 déc. 2011 à 18:37
Il faut tapoter la touche F8 dés que tu as appuyé sur l'interrupteur de mise en route. N'attends pas le logo de Windows, c'est trop tard.

Re essaie puis éventuellement je te ferai télécharger un programme pour désinstaller notre récalcitrant.
0
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
11 déc. 2011 à 18:45
Essaie aussi avec la touche F5
0
je viens d'essayer avec les 2 touches, tout va bien le "mode sans echec" se lance mais quand je valide mon mot de passe, il revient toujours sur une cession normale ..
0
je retente
0
rien à faire je n'arrive pas à le lancer
0
toujours rien à faire .. y a t il un autre moyen ?
0
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
11 déc. 2011 à 21:09
Bon, on va essayer de désinstaller Whitesmoke avec ce logiciel.

Télécharge RevoUninstaller ici :

https://www.clubic.com/telecharger-fiche39528-revouninstaller.html
Installe le et lance.
Un tuto ici :
http://www.6ma.fr/tuto/revo-uninstaller-pour-desinstaller-des-programmes/

Tiens moi au courant.
0
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
11 déc. 2011 à 21:26
Bon, je crois avoir trouvé pourquoi tu ne peux pas démarrer en mode sans échec.
je vérifie et te donnes la solution.
0
impossible de le désinstaller j'ai le même message d'erreur qu'en le désinstallant de moi même
Execute: "C:\Users\Yassine\AppData\Local\Temp\WhiteSmoke\CheckLockedWsFiles.exe" targetdir=C:\Program Files (x86)\WhiteSmoke silent

coriace ce truc le pire c'est que je ne l'ai pas télécharger volontairement ce f.... logiciel traducteur de grammaire :-)
0
Bien sûr en essayant avec RevoUninstaller
0
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
Modifié par cabrier le 11/12/2011 à 21:54
Débutant re bonsoir,

Tu as d'installé un widget Canal+VOD, c'est apparemment lui qui bloque le mode de démarrage sans échec.
Pour le neutraliser (sans le désinstaller si tu t'en sert) :

Clique sur Démarrer et dans la barre "Rechercher les programmes et fichiers"
tape msconfig et appuie sur la touche Entrée.
Le contrôle de compte utilisateur va te demander si tu autorise le programme à apporter des modifs à ton PC ----> OUI
Une fenêtre avec des onglets s'ouvre :
- clique sur l'onglet démarrage :
décoche tout ce qui porte le nom de CanalPlus.....quelque chose
- clique sur Appliquer
Ensuite :
- clique sur l'onglet Services
- coche en bas à gauche "Masquer tous les services Microsoft"
- recherche tous les service "Canal.....quelque chose (Plus, VOD...) et décoche la case située devant la ligne.
- clique sur "Appliquer" puis sur "OK"
Windows va te demander si tu veux redémarrer,
- clique sur "Redémarrer maintenant"

et au redémarrage tapote la touche F8 pour vérifier si cette fois c'est bon.

Au menu : "sélectionne Mode sans échec avec prise en charge réseau"

Cette fois ce devrait être bon !

Ouf !!!!!!!!


Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
0
Un Grand OUF comme tu dis ... en fait tu te penches en détail sur les écritures pour voir ce qui cloche ??
Un grand merci surtout :D
0
t un Dieu je suis en mode sans échec ... c'est retour vers le futur ! ^^

euh bon bah je fais la manip' avec ZHPFix c'est ça ?
0
... ça y est c'est fait ..
0
cosye Messages postés 39 Date d'inscription dimanche 27 novembre 2011 Statut Membre Dernière intervention 14 décembre 2011
12 déc. 2011 à 00:17
j'ai également souvent pensé que mes helpers étaient des dieux ;)
0
voici :

http://pjjoint.malekal.com/files.php?id=20111211_t8e8x13e6v15
0
Du coup je reste en mode "sans échec" pour le moment ?
0
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
12 déc. 2011 à 07:58
Bonjour débutant ! désolé pour hier soir ---> autres obligations.

Bravo, bien joué, tu as fait la manip avec ZHPFix qui semble avoir fonctionné si j'en juge par le rapport.

Vérifions s'il ne reste plus rien :

Un petit coup de ZHPDiag et rapport svp.

Si c'est bon je te ferai désinstaller tout les outils et rapports puis te ferai faire quelques manips pour laisser ton PC clean.

A + je passerai dans la journée.
0
hello mon cher Cabrier !

Boulot oblige je réponds que maintenant .... voici le rapport :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111212_k11y812q10l9

@ toute ! ..
0