virus ? Résolu/Fermé

Question

Bonjour,     

Je n'ai sans doute pas été assez vigilente et j'ai téléchargé searchqu sans le vouloir. J'ai essayé de le désinstaller mais il semble ne pas avoir disparu complètement. En plus, antivir m'a trouvé tr/dropper.gen. Je vous ai donc fait un rapport zhpdiag. Si quelqu'un pouvait y jeter un coup d'oeil et me dire si des trucs trainent encore...    

 https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120318_12b5w5y7x5 

MErci pour votre aide.    

Sanap

sanap · Answer

personne pour m'aider ?

Lyonnais92 · Answer

Bonsoir,

     Télécharge Malware Byte's Antimalware https://www.malwarebytes.com/premium/

et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).
 
    [*]Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
    [*]Une fois le scan terminé, sélectionne tout ce qu'il a trouvé et clique sur "Supprimer la sélection".
    Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
Enregistre le rapport[sur ton Bureau lorsqu'il s'affichera. 

Poste le dans ta réponse.

===

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

sanap · Answer

merci d'avoir répondu ! J'ai lancé malware qui n'a rien détecté (détection rapide). Il faut faire une détection complète ? 
Impossible de télécharger adwcleaner : le site est en maintenance... 
Antivir n'arrête pas de me trouver virus sur virus (j'en suis à 4 en 3 heures). Que faire ?

pour info voilà ce que j'ai dans le log de malware : 

2012/03/18 18:40:15 +0100	PC-DE-SÉVERINE	Séverine	MESSAGE	Starting protection
2012/03/18 18:40:17 +0100	PC-DE-SÉVERINE	Séverine	MESSAGE	Protection started successfully
2012/03/18 18:40:18 +0100	PC-DE-SÉVERINE	Séverine	MESSAGE	Executing scheduled update:  Daily
2012/03/18 18:40:19 +0100	PC-DE-SÉVERINE	Séverine	MESSAGE	Database already up-to-date
2012/03/18 18:40:20 +0100	PC-DE-SÉVERINE	Séverine	MESSAGE	Starting IP protection
2012/03/18 18:40:22 +0100	PC-DE-SÉVERINE	Séverine	MESSAGE	IP Protection started successfully

et c'est tout...

Lyonnais92 · Answer

Re,

1) j'ai demandé un scan rapide. Inutile de lancer un scan complet.

2) Si tu as fait un scan, tu as un rapport de MBAM avec autre chose que ce que tu as écrit.

3) Réessayes régulièrement (toutes les 2 heures) pour AdwCleaner.

sanap · Answer

j'ai bien fait un scan rapide. A la fin, une fenêtre est apparue en indiquant que rien d'anormal n'avait été trouvé. Ce que j'ai copié, je l'ai trouvé dans la partie "log" de mbam. bon, je vais refaire un scan rapide et je remets ce que je trouve.
ok pour adwcleaner, je vais réessayer régulièrement.
merci pour ton aide !

Lyonnais92 · Answer

Re,

on va déjà enlever tout ce que ZHPDiag voit.

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

[HKCU\Software\AppDataLow\Software\searchqutoolbar]  
[HKCU\Software\Datamngr]  
[HKLM\Software\Trymedia Systems]  
O43 - CFD: 18/03/2012 - 17:44:22 - [2,703] ----D- C:\Program Files\Windows Searchqu Toolbar   
O43 - CFD: 14/06/2011 - 18:00:44 - [0,458] ----D- C:\ProgramData\Trymedia 
O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410} [DefaultScope] - (Search Results) - https://www.search.ask.com/web?l=dis&q=&o=APN10655A&apn_dtid=%5EBND101%5EYY%5EFR&shad=s_0048&gct=hp&apn_ptnrs=%5EAG5&d=101-0&lang=en&atb=sysid%3D101%3Auid%3D58c9331d816657ac%3Asrc%3Dhmp%3Ao%3DAPN10655A%3Atg%3D&p2=%5EAG5%5EBND101%5EYY%5EFR  
[MD5.5767C1C98DDC6565220B574545C144D8] [SPRF][18/03/2012] (...) -- C:\Users\admin\AppData\Local\Temp\SetupDataMngr_   
[HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]   
[HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}]  
[HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}] 
[HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}]  
[HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]  
[HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]   
[HKLM\Software\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]  
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}] 
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}] 
[HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}]  
[HKCU\Software\DataMngr]   
[HKCU\Software\AppDataLow\Software\searchqutoolbar]  
[HKLM\Software\Trymedia Systems]   
C:\Program Files\Windows Searchqu Toolbar  
C:\ProgramData\Trymedia  
C:\Users\admin\AppData\LocalLow\searchquband 
C:\Users\admin\AppData\LocalLow\searchqutoolbar
[MD5.132E1C3A27E824EB6B120226AC368593] [SPRF][18/03/2012] (.Conduit - Pas de description.) -- C:\Users\admin\AppData\Local\Temp\conduitinstaller.exe   [211032]
EmptyTemp

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

sanap · Answer

bon, désolée, je n'avais pas regardé le bon fichier dans mbam. Voilà ce que j'avais :
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.18.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
admin :: PC-DE-SÉVERINE [administrateur]

Protection: Activé

18/03/2012 18:40:38
mbam-log-2012-03-18 (18-40-38).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 233651
Temps écoulé: 15 minute(s), 23 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

je vais faire ce que tu as demandé et je te mets mon rapport.

sanap · Answer

Voilà le rapport

Rapport de ZHPFix 1.12.3381 par Nicolas Coolman, Update du 08/02/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-18-03-2012-19-44-38.txt
Run by admin at 18/03/2012 19:44:38
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\admin\AppData\Local\Temp\conduitinstaller.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\AppDataLow\Software\searchqutoolbar
SUPPRIME Key: HKCU\Software\Datamngr
SUPPRIME Key: HKLM\Software\Trymedia Systems
SUPPRIME Key: SearchScopes :{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}
ABSENT Key: HKCU\Software\DataMngr
ABSENT Key: HKLM\Software\Trymedia Systems

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\Windows Searchqu Toolbar
SUPPRIME Folder: C:\ProgramData\Trymedia
SUPPRIME Folder: c:\users\admin\appdata\locallow\searchquband
SUPPRIME Folder: c:\users\admin\appdata\locallow\searchqutoolbar
SUPPRIME Temporaires Windows: : 85

========== Fichier(s) ==========
ABSENT Folder/File: c:\users\admin\appdata\local	emp\setupdatamngr_
ABSENT Folder/File: c:\program files\windows searchqu toolbar
ABSENT Folder/File: c:\programdata	rymedia
SUPPRIME File: c:\users\admin\appdata\local	emp\conduitinstaller.exe
SUPPRIME Temporaires Windows: : 72


========== Récapitulatif ==========
1 : Processus mémoire
18 : Clé(s) du Registre
5 : Dossier(s)
5 : Fichier(s)


End of clean in 00mn 02s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 18/03/2012 19:44:38 [2715]

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi, relance ZHPDiag et poste le nouveau rapport dans un lien.

sanap · Answer

voilà le dernier rapport

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120318_j11c7q15q5w5

sanap · Answer

ça y est, j'ai pu télécharger adwcleaner et voilà le rapport :

# AdwCleaner v1.502 - Rapport créé le 18/03/2012 à 20:17:32
# Mis à jour le 17/03/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : admin - PC-DE-SÉVERINE
# Exécuté depuis : C:\Users\Séverine\Downloads\adwcleaner0.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\admin\AppData\Roaming\GetRightToGo

***** [H. Navipromo] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9D717F81-9148-4f12-8568-69135F087DB0}

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.searchnu.com/410 --> hxxp://www.google.fr

*************************

AdwCleaner[S1].txt - [860 octets] - [18/03/2012 20:17:32]

########## EOF - \AdwCleaner[S1].txt - [987 octets] ##########

Lyonnais92 · Answer

Re,

mets à jour Adobe Reader.

===

Pour Vista et Windows 7, il faut désactiver l'UAC.

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

https://launchwoo.com.au/

Choisis le premier téléchargement (fichier binary)

hxxp://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.
*Réactive l'UAC (Vista et Windows 7)

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

sanap · Answer

le lien ne fonctionne pas pour javara (not found) ? je l'ai trouvé sur singularlabs, j'espère que ça va marcher et que c'est le même

Lyonnais92 · Answer

Re,

pour javara :

http://raproducts.org/click/click.php?id=1

sanap · Answer

nouveau problème : quand je choisis de télécharger les màj via jucheck j'ai un message d'erreur : "échec du télechargement des fichiers d'installation requis". (sous la checkbox ils disent qu'il faut une version récente de JRe. Je l'ai peut-être pas ?).  J'essaye la deuxième option depuis le site de sun ?

Lyonnais92 · Answer

Re,

mets à jour directement à partir du site.

Désinstalle ensuite l'ancienne version (si ça n'a pas été fait automatiquement).

sanap · Answer

j'ai mis à jour jre mais je ne trouve pas de javara.log.

Lyonnais92 · Answer

Re,

quelle(s) version(s) de java sont visibles par le Panneau de configuration (dans les programmes désinstallables) ?

sanap · Answer

je vois 

java(TM) 6 update 27 
java(TM) 7 update 3 
javafx 2.0.3

pourtant, javara me dit qu'il supprime jre6 mais je le vois toujours dans l'arborescence ?!?!

Lyonnais92 · Answer

Re,

encore des soucis ?

Fais redémarrer l'ordi, relance ZHPDiag et poste le rapport dans un lien.

sanap · Answer

voilà le rapport ZHPDiag

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120318_p7x12h9j6c9

Sinon est-ce que je supprime java6 via la désinstallation de programme windows ??

Lyonnais92 · Answer

Re,

oui, tu désinstalles Java(TM) 6 Update 27

sanap · Answer

ok 
tout semble ok après ?

Lyonnais92 · Answer

Re,

Adobe Reader n'est toujours pas à jour :

https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/

===

Ensuite, on désinstalle ce qui est devenu inutile.

Désinstalle AdwCleaner.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 
 
===

Tu gardes MBAM que tu utilises "de temps en temps" (scan rapide seulement) après mise à jour.

===

Quelques conseils pour minimiser les risques d'infection :

https://www.malekal.com/proteger-pc-virus-pirates/?t=381&start=

sanap · Answer

màj adobe faite, tout désinstallé. 
Merci infiniment pour le temps que tu m'as accordé et pour tes précieux conseils. Je vais lire les conseils et être plus vigilente la prochaine fois.
Merci encore et bonne soirée (bonne nuit plutôt ;-)

Lyonnais92 · Answer

Re,

de rien pour l'aide, ce fut avec plaisir.

Virus ?

26 réponses

Discussions similaires