Alerte windowsDefender

Résolu
djams -  
 g3n-h@ckm@n -
Bonjour,

alors comme indiqué dans le titre j'ai une alerte WinDef Adware:Win32 à chaque démarrage de windows et il me demande si je veux le supprimer ou le mettre en quarantaine mais quoi que je fasse quand je relance l'ordi il me remet l'alerte. si quelqu'un peut m'expliquer comment faire se serait vraiment bien merci d'avance.
Je suis sous Windows 7

27 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut sur quel fichier il detecte ca ??
    0
  2. djams
     
    salut,

    c:\users\djams2\AppData\Roaming\OpenCandy\DLMgr

    c'est dans ce fichier.
    0
  3. g3n-h@ckm@n
     
    Télécharge et enregistre ADWcleaner sur ton bureau :

    ADWCleaner (Merci à Xplode)

    Lance le,

    clique sur suppression et poste son rapport.
    0
  4. djams
     
    voilà le rapport

    # AdwCleaner v1.604 - Rapport créé le 29/04/2012 à 12:00:15
    # Mis à jour le 23/04/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Djams2 - DJAMS2-PC
    # Exécuté depuis : C:\Users\Djams2\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Users\Djams2\AppData\Local\Conduit
    Dossier Supprimé : C:\Users\Djams2\AppData\Local\OpenCandy
    Dossier Supprimé : C:\Users\Djams2\AppData\LocalLow\Conduit
    Dossier Supprimé : C:\Users\Djams2\AppData\LocalLow\facemoods.com
    Dossier Supprimé : C:\Users\Leila\AppData\LocalLow\facemoods.com
    Dossier Supprimé : C:\Users\Djams2\AppData\Roaming\OpenCandy
    Dossier Supprimé : C:\Users\Djams2\AppData\Roaming\Mozilla\Firefox\Profiles\8rinm7un.default\Conduit
    Dossier Supprimé : C:\Users\Djams2\AppData\Roaming\Mozilla\Firefox\Profiles\8rinm7un.default\ConduitCommon
    Dossier Supprimé : C:\Users\Leila\AppData\Roaming\Mozilla\Firefox\Profiles\t0zsz1aw.default\extensions\staged
    Dossier Supprimé : C:\Program Files (x86)\Ask.com
    Dossier Supprimé : C:\Program Files (x86)\Conduit
    Dossier Supprimé : C:\Program Files (x86)\facemoods.com
    Dossier Supprimé : C:\Program Files (x86)\StartSearch plugin
    Fichier Supprimé : C:\Users\Djams2\AppData\Roaming\Mozilla\Firefox\Profiles\8rinm7un.default\searchplugins\Conduit.xml
    Fichier Supprimé : C:\Users\Djams2\AppData\Roaming\Mozilla\Firefox\Profiles\8rinm7un.default\searchplugins\Startsear.xml
    Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\Plugins\npvsharetvplg.dll

    ***** [Registre] *****

    [*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2613520
    Clé Supprimée : HKCU\Software\facemoods.com
    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKCU\Software\StartSearch
    Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
    Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
    Clé Supprimée : HKLM\SOFTWARE\Conduit
    Clé Supprimée : HKLM\SOFTWARE\facemoods.com
    Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escrtBtn.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane
    Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.escrtSrvc
    Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.escrtSrvc.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.dskBnd
    Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.dskBnd.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr
    Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.facemoodsHlpr.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.xtrnl
    Clé Supprimée : HKLM\SOFTWARE\Classes\facemoods.xtrnl.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\facemoodsApp.appCore
    Clé Supprimée : HKLM\SOFTWARE\Classes\facemoodsApp.appCore.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
    Clé Supprimée : HKLM\SOFTWARE\Google\chrome\Extensions\ihflimipbcaljfnojhhknppphnnciiif
    Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\facemoods
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\LiveVDO plugin
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [facemoods]

    ***** [Registre - GUID] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{AD25754E-D76C-42B3-A335-2F81478B722F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{64182481-4F71-486B-A045-B233BD0DA8FC}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A5B99E41-E157-4209-8AAC-DB003A816079}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AD20D01C-C939-4DD2-8C55-56935A48987E}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DDE2C74F-58CC-4D71-8CE1-09DEBB8CFB78}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E95EAD3F-18C6-4304-9DC6-BD6FD8E11D37}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{542FA950-C57A-4E17-B3E1-D935DFE15DEE}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5B035F86-41B5-40F1-AAAD-3D219F30244E}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6365AC7B-9920-4D8B-AF5D-3BDFEAC340A8}
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. djams
     
    Pour infos au redémarrage du pc Defender ne m'a pas mis d'alerte
    0
  7. g3n-h@ckm@n
     
    re

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    ou cette version renommée winlogon.exe :

    http://forums-fec.be/gen-hackman/winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
    0
  8. djams
     
    re

    j'ai fais le scan demandais

    voici le lien:

    http://pjjoint.malekal.com/files.php?read=20120430_u7m15u10o5o13

    merci encore de ton aide
    0
  9. g3n-h@ckm@n
     
    bon y a un souci

    lance cette version debeug

    http://gen-hackman.servequake.com/Tools/winlogon_Debug.exe
    0
  10. djams
     
    apparemment le lien ne fonctionne pas.

    je sais pas si tu en as un autre, par contre tu peux me dire c'est quoi le soucis.

    virus?
    0
  11. g3n-h@ckm@n
     
    ben justement le rapport de cet outil va en dire beaucoup :)

    là :

    http://forums-fec.be/gen-hackman/winlogon.exe
    0
  12. djams
     
    voilà le rapport de winlogon:

    http://pjjoint.malekal.com/files.php?read=20120430_r15m1013q11n13

    c'est la même chose que Pre_scan ?
    0
  13. g3n-h@ckm@n
     
    oui sous un autre nom pour tromper les infections :)

    je regardee ca

    0
  14. g3n-h@ckm@n
     
    ok

    internet explorer à mettre à jour
    mozilla à mettre à jour
    windows à mettre à jour
    desinstalle adobe reader 9

    ============

    Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [-HKU\S-1-5-21-2738310130-2941125832-225379897-1001\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
    [-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "iTunesHelper"=-
    [HKLM\Software\Microsoft\Internet Explorer\Toolbar]
    "Locked"=-
    "{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=-
    [HKU\S-1-5-21-2738310130-2941125832-225379897-1001\Software\Microsoft\Internet Explorer\Toolbar]
    "Locked"=-
    [-HKU\S-1-5-21-2738310130-2941125832-225379897-1001\Software\iMesh]
    [-HKU\S-1-5-21-2738310130-2941125832-225379897-1001\Software\SweetIM]
    [-HKU\S-1-5-21-2738310130-2941125832-225379897-1001\Software\vShare.tv]
    [-HKLM\Software\SweetIM]

    txt::
    C:\Windows\System32\Tasks\{3F712AAE-EC65-41F9-B097-7CB07EE3067F}
    C:\Windows\System32\Tasks\{54C200A5-97EC-4174-B711-D49F526ECA8F}
    C:\Windows\System32\Tasks\{5F3E1C89-260A-4AF2-9D8F-B5163A1D42FB}
    C:\Windows\System32\Tasks\{6574F348-38AA-45FD-A864-EA205AE61965}
    C:\Windows\System32\Tasks\{6BF8779A-BFAC-408E-B0F3-AB8E878A74BC}
    C:\Windows\System32\Tasks\{8D54EE13-168A-4293-A78B-70984F105A68}
    C:\Windows\System32\Tasks\{9EF44875-A903-499D-82C4-01B8E8B8FDC6}
    C:\Windows\System32\Tasks\{B863E674-AED5-4941-8DAE-90C71ECC1A62}
    C:\Windows\System32\Tasks\{C4750EE8-0DC1-4B1C-A415-BDD32A69E8F0}
    C:\Windows\System32\Tasks\{EAB0F2C7-429D-4264-B61A-5EF4C192D0BC}

    File::
    C:\Windows\Tasks\Registry Reviver64-Djams2-Startup.job

    Folder::
    C:\Windows\Temp\ZLT07ce7.TMP
    C:\Users\Djams2\AppData\Roaming\Mozilla\Firefox\Profiles\8rinm7un.default\extensions\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}
    C:\Users\Djams2\AppData\Roaming\Mozilla\Firefox\Profiles\8rinm7un.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
    C:\Users\Djams2\AppData\Roaming\Mozilla\Firefox\Profiles\8rinm7un.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
    C:\c3fac6f5c28f570fa0301b36
    C:\Users\Djams2\AppData\Local\iMesh
    C:\Users\Djams2\AppData\Local\{*

    MBR::

    clean::

    Reboot::

    ___________________________________________________

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  15. djams
     
    ok donc normalement windows , IE et firefox sont mis à jour et adobe desinstaller.

    le rapport Pre_Script.txt :

    http://pjjoint.malekal.com/files.php?read=20120501_q11d76r1115

    par contre le soucis c'est que j'ai oublié de l'enregistrer avant de le lancer comme tu me la demander c'est grave?
    0
  16. g3n-h@ckm@n
     
    re

    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  17. djams
     
    salut,

    voilà le rapport de Malwarebyte's

    Malwarebytes Anti-Malware 1.61.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.05.01.07

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Djams2 :: DJAMS2-PC [administrateur]

    01/05/2012 16:11:27
    mbam-log-2012-05-01 (16-11-27).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 375601
    Temps écoulé: 1 heure(s), 12 minute(s), 19 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 15
    HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 4
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: ;áÃzÊ;XA³0öm»Áµ -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: VShareTB -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Données: -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 2
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Mauvais: (http://startsear.ch/?aff=1&cf=7cee93e0-2045-11e1-9269-00262d2ae26a) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Mauvais: (http://startsear.ch/?aff=1&cf=7cee93e0-2045-11e1-9269-00262d2ae26a) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 3
    C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Djams2\Downloads\Utilitaire\SoftonicDownloader_pour_microsoft-office-2007-service-pack-2.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Djams2\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  18. g3n-h@ckm@n
     
    attention à softonic ils refourguent des toolbars pourries dans les installateurs comme 01net d'ailleurs

    quels soucis persistent ?
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  19. djams
     
    01net le meilleur du net sois disant...

    en tout cas merci du conseil.
    par contre les fichiers en quarantaine je peux les supprimer sur Malwerbyte ?
    0
  20. djams
     
    non il n'y a pas de soucis particuliers c'etait simplement savoir si je pouvais effacer les fichiers en quarantaine.
    0
  • 1
  • 2