Aide adwcleaner suite virus gendarmerie?

Résolu
Justine -  
 g3n-h@ckm@n -
Bonjour,

Y a-t-il quelqu'un qui puisse m'aider pour adwcleaner ?

J'ai fais tout ce qu'il fallait pour que le virus ne réapparaisse pas. Ce qui est ok!
J'ai donc téléchargé ADWCleaner, mais je ne sais quoi faire de mon rapport et ne veut pas supprimer sans savoir si il y a des fichiers cachés.

Besoin d'aide assez urgent!

19 réponses

  1. g3n-h@ckm@n
     
    salut comment as-tu fais pour t en debarrasser ?

    tu as des rapports des outils ?
    0
    1. Justine
       
      Salut,

      Pour le "supprimer" j'ai fais demarrer en invite de commandes et le fichier SHELL modifier et renommer explorer.exe en iexplore.exe

      J'ai le rapport de ADWCleaner, mais je ne sais pas trop quoi en faire.

      Par contre je n'ai plus de fond d'ecran, du moins il est tout noir. Je ne pense pas que ce soit vraiment normal
      0
  2. g3n-h@ckm@n
     
    ouais bon

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    ou cette version renommée winlogon.exe :

    http://forums-fec.be/gen-hackman/winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
    0
    1. Justine
       
      Je te l'envois à toi, car je n'ai personne d'autre qui m'aide ^^

      http://pjjoint.malekal.com/files.php?id=20120608_v6v9w13q13r7
      0
  3. g3n-h@ckm@n
     
    windows pas à jour services pack 1 + mises à jour à installer

    =====

    desinstalle imesh applications
    desinstalle adobe reader 9
    desinstalle Facemoi
    desinstalle Incredibar Toolbar
    desinstale tout Java
    desinstalle eSobi
    esinstalle Fluendo

    =======

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

    C:\Windows\adb.exe
    C:\Program Files\Web Assistant\Extension32.dll

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

    =========

    Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [-HKU\S-1-5-21-2347174452-2887050437-3506346721-1001\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}]
    [-HKU\S-1-5-21-2347174452-2887050437-3506346721-1001\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}]
    [-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}]
    [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{36868A66-B3C8-4869-85FE-50A7A5EE0116}]
    [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C31885B3-6916-4415-A21E-1D9851C90D4C}]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "PlayMovie"=-
    "HP Software Update"=-
    ""=-
    [HKU\S-1-5-21-2347174452-2887050437-3506346721-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "Report"=-
    [HKLM\Software\Microsoft\Internet Explorer\Toolbar]
    "Locked"=-
    "10"=-
    "{F9639E4A-801B-4843-AEE3-03D9DA199E77}"=-
    [HKU\S-1-5-21-2347174452-2887050437-3506346721-1001\Software\Microsoft\Internet Explorer\Toolbar]
    "Locked"=-
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
    [-HKCR\Applications\eSobi.exe]
    [-HKLM\Software\Incredibar.com]

    File::
    C:\user.js
    C:\Windows\hք
    C:\Users\Justine\AppData\Local\Temp\Low\did.xml

    Folder::
    C:\PROGRA~2\IMESHA~1
    C:\Program Files (x86)\Incredibar.com
    C:\2d82ab00436a30e7887b826b2be8
    C:\41b29fcb3cb03a30ba59
    C:\78cdffefd32cb6e725
    C:\ea0762257b01c195ae6ab8
    C:\sys
    C:\Users\All Users\23220
    C:\Users\Justine\AppData\Roaming\Oqtodjqd
    C:\Users\Justine\AppData\Roaming\gizza
    C:\Program Files (x86)\Fluendo
    C:\Program Files (x86)\Incredibar.com

    List::
    C:\Windows\LP

    MBR::

    clean::

    Reboot::

    ___________________________________________________

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
    1. Justine
       
      Je n'ai pas les 2 fichiers suivants:

      C:\Windows\adb.exe
      C:\Program Files\Web Assistant\Extension32.dll
      0
    2. Justine
       
      Et je n'ai pas non plus trouvé où sont les fichiers suivants pour les desinstaller:

      desinstalle imesh applications
      desinstalle Facemoi
      desinstalle Incredibar Toolbar
      esinstalle Fluendo
      0
  4. g3n-h@ckm@n
     
    effectivement...bizarre..

    fais la suite
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Justine
     
    Ok alors voilà je t'envois Pre_script :

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.607 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Justine : Windows 7 Home Premium (64 bits)

    Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

    Script : 17:17:07

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Modification du registre effectuée

    ¤

    Supprimé : C:\user.js
    Supprimé : C:\Windows\h÷Ñ
    Absent : C:\Users\Justine\AppData\Local\Temp\Low\did.xml

    ¤

    Absent : C:\PROGRA~2\IMESHA~1
    Absent : C:\Program Files (x86)\Incredibar.com
    non Supprimé : C:\2d82ab00436a30e7887b826b2be8
    Supprimé : C:\41b29fcb3cb03a30ba59
    Supprimé : C:\78cdffefd32cb6e725
    non Supprimé : C:\ea0762257b01c195ae6ab8
    Supprimé : C:\sys
    Supprimé : C:\Users\All Users\23220
    Supprimé : C:\Users\Justine\AppData\Roaming\Oqtodjqd
    Supprimé : C:\Users\Justine\AppData\Roaming\gizza
    Absent : C:\Program Files (x86)\Fluendo
    Absent : C:\Program Files (x86)\Incredibar.com

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Listing de : C:\Windows\LP

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | MBR

    Windows Version: Windows 7 Home Premium Edition
    Windows Information: Service Pack 1 (build 7601), 64-bit
    Base Board Manufacturer: Acer
    BIOS Manufacturer: Phoenix Technologies LTD
    System Manufacturer: Acer
    System Product Name: Aspire 5740
    Logical Drives Mask: 0x0000000c

    Analysis of file "C:\Pre_Scan\MBR.bin":
    Windows 2008 MBR code detected

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

    Nettoyage du disque effectué

    ¤

    explorer.exe -> Processus redémarré

    Fin : 17:18:17

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
    1. Justine
       
      Je peux réinstaller java ou pas ? Car j'en ai besoin pour faire un truc pour mon oral.. :/
      0
  7. g3n-h@ckm@n
     
    Télécharge et enregistre ADWcleaner sur ton bureau :

    ADWCleaner (Merci à Xplode)

    Lance le,

    clique sur suppression et poste son rapport.
    0
    1. Justine
       
      Voilà le rapport d'ADWCleaner:

      # AdwCleaner v1.608 - Rapport créé le 08/06/2012 à 18:14:30
      # Mis à jour le 27/05/2012 par Xplode
      # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
      # Nom d'utilisateur : Justine - JUSTINE-PC
      # Exécuté depuis : C:\Users\Justine\Documents\adwcleaner.exe
      # Option [Suppression]


      ***** [Services] *****


      ***** [Fichiers / Dossiers] *****


      ***** [Registre] *****

      Clé Supprimée : HKCU\Software\Softonic

      ***** [Registre - GUID] *****

      Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}

      ***** [Navigateurs] *****

      -\\ Internet Explorer v9.0.8112.16421

      [OK] Le registre ne contient aucune entrée illégitime.

      -\\ Mozilla Firefox v [Impossible d'obtenir la version]

      Nom du profil : default
      Fichier : C:\Users\Justine\AppData\Roaming\Mozilla\Firefox\Profiles\rpkzsevz.default\prefs.js

      C:\Users\Justine\AppData\Roaming\Mozilla\Firefox\Profiles\rpkzsevz.default\user.js ... Supprimé !

      [OK] Le fichier ne contient aucune entrée illégitime.

      -\\ Google Chrome v [Impossible d'obtenir la version]

      Fichier : C:\Users\Justine\AppData\Local\Google\Chrome\User Data\Default\Preferences

      [OK] Le fichier ne contient aucune entrée illégitime.

      *************************

      AdwCleaner[S3].txt - [1290 octets] - [08/06/2012 18:14:30]

      ########## EOF - C:\AdwCleaner[S3].txt - [1418 octets] ##########
      0
  8. g3n-h@ckm@n
     
    reinstalle la derniere version de Java

    https://www.java.com/fr/download/

    ====================

    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  9. Justine
     
    Je te les poste ici ? J'ai 2 trucs dans "rapport/log"
    0
  10. g3n-h@ckm@n
     
    ben oui tu veux les poster où ? ^^
    0
    1. Justine
       
      Lol non mais en fait au début j'avais pas trop compris ta phrase je pensais qu'il fallait que je le poste dans "rapport/log" alors ça me semblait bizarre lol.

      alors le 1er:

      Malwarebytes Anti-Malware (Essai) 1.61.0.1400
      www.malwarebytes.org

      Version de la base de données: v2012.06.08.04

      Windows 7 Service Pack 1 x64 NTFS
      Internet Explorer 9.0.8112.16421
      Justine :: JUSTINE-PC [administrateur]

      Protection: Activé

      08/06/2012 19:01:26
      mbam-log-2012-06-08 (19-01-26).txt

      Type d'examen: Examen complet
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 440711
      Temps écoulé: 1 heure(s), 18 minute(s), 49 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 4
      C:\$Recycle.Bin\S-1-5-21-2347174452-2887050437-3506346721-1001\$RO75A6H.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\Justine\Desktop\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\Justine\Pictures\SoftonicDownloader_pour_javara.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\Justine\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

      (fin)


      -----------------------------------------------------------------------------------------------------------------------------------
      Le 2eme:

      2012/06/08 19:00:32 +0200 JUSTINE-PC Justine MESSAGE Starting protection
      2012/06/08 19:00:35 +0200 JUSTINE-PC Justine MESSAGE Protection started successfully
      2012/06/08 19:00:38 +0200 JUSTINE-PC Justine MESSAGE Starting IP protection
      2012/06/08 19:00:39 +0200 JUSTINE-PC Justine MESSAGE IP Protection started successfully
      2012/06/08 19:07:11 +0200 JUSTINE-PC Justine MESSAGE Executing scheduled update: Daily
      2012/06/08 19:07:13 +0200 JUSTINE-PC Justine MESSAGE Database already up-to-date
      2012/06/08 20:27:49 +0200 JUSTINE-PC Justine MESSAGE Starting protection
      2012/06/08 20:27:52 +0200 JUSTINE-PC Justine MESSAGE Protection started successfully
      2012/06/08 20:27:55 +0200 JUSTINE-PC Justine MESSAGE Starting IP protection
      2012/06/08 20:27:59 +0200 JUSTINE-PC Justine MESSAGE IP Protection started successfully
      0
  11. Justine
     
    Bonjour,

    Et bien ça a l'air d'aller. J'ai fais un scan avec mon anti-virus hier et plus aucun virus alors que la derniere fois j'en avais 6. Donc je suis contente.

    Un grand grand merci pour ton aide :).
    0
  12. g3n-h@ckm@n
     
    re

    on finit avec un grand menage :)

    https://gen-hackman.kanak.fr/
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ah ouais? où ça ? :D
      0
    2. g3n-h@ckm@n
       
      ^^ ben au dessus ^^
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      tricheur va ! :D
      0
  13. Justine
     
    Bon beh comme je savais pas si je devais tout faire à la suite ou quoi beh je l'ai quand même fait, du moins j'en suis à ccleaner.

    Donc voilà les rapports de WIGI:

    avant:

    WhyIGotInfected v1.5.3(by Tigzy)
    ********************************

    Run : 11/06/2012 23:23:50 [Normal Mode]
    Machine : JUSTINE-PC (4 CPUs) [Justine : ADMIN]
    OS: Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (x64)

    ~~ Plugins check: ~~

    UPTODATE [Microsoft Windows 7 Édition Familiale Premium ] Current : Service Pack 1 -- Latest : Service Pack 1
    UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
    UPTODATE [Internet Explorer (x86)] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
    UPTODATE [Java (x86)] Current : 1.7.0_04 -- Latest : 1.7.0_04
    OUTDATED [Adobe Flash (x86)] Current : 10.3.181.34 -- Latest : 11.3.300.257
    OUTDATED [Adobe Flash ActiveX (x86)] Current : 10.3.181.34 -- Latest : 11.3.300.257
    OUTDATED [Adobe Flash FF Plugin] Current : 11.1.102.55 -- Latest : 11.3.300.257
    OUTDATED [Adobe Flash FF Plugin (x86)] Current : 11.1.102.55 -- Latest : 11.3.300.257

    Finished
    <C:\Users\Justine\Desktop\WIGIReport[0].txt>
    WIGIReport[0].txt

    -----------------------------------------------------------------------------------------

    après:

    WhyIGotInfected v1.5.3(by Tigzy)
    ********************************

    Run : 12/06/2012 01:09:11 [Normal Mode]
    Machine : JUSTINE-PC (4 CPUs) [Justine : ADMIN]
    OS: Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (x64)

    ~~ Plugins check: ~~

    UPTODATE [Microsoft Windows 7 Édition Familiale Premium ] Current : Service Pack 1 -- Latest : Service Pack 1
    UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
    UPTODATE [Internet Explorer (x86)] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
    UPTODATE [Java (x86)] Current : 1.7.0_04 -- Latest : 1.7.0_04
    UPTODATE [Adobe Flash] Current : 11.3.300.257 -- Latest : 11.3.300.257
    UPTODATE [Adobe Flash (x86)] Current : 11.3.300.257 -- Latest : 11.3.300.257
    UPTODATE [Adobe Flash ActiveX] Current : 11.3.300.257 -- Latest : 11.3.300.257
    UPTODATE [Adobe Flash ActiveX (x86)] Current : 11.3.300.257 -- Latest : 11.3.300.257
    UPTODATE [Adobe Flash FF Plugin] Current : 11.3.300.257 -- Latest : 11.3.300.257
    UPTODATE [Adobe Flash FF Plugin (x86)] Current : 11.3.300.257 -- Latest : 11.3.300.257

    Finished
    <C:\Users\Justine\Desktop\WIGIReport[2].txt>
    WIGIReport[0].txt ; WIGIReport[1].txt ; WIGIReport[2].txt
    0
    1. Justine
       
      Ensuite le rapport de Delfix, qui, je pense, est sans grande importance ^^

      # DelFix v8.8 - Rapport créé le 12/06/2012 à 01:12:47
      # Mis à jour le 12/02/12 par Xplode
      # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
      # Nom d'utilisateur : Justine - JUSTINE-PC (Administrateur)
      # Exécuté depuis : C:\Users\Justine\Desktop\delfix.exe
      # Option [Suppression]


      ~~~~~~ Dossiers(s) ~~~~~~


      ~~~~~~ Fichier(s) ~~~~~~


      ~~~~~~ Registre ~~~~~~


      ~~~~~~ Autres ~~~~~~

      -> Prefetch Vidé

      *************************

      DelFix[S1].txt - [475 octets] - [12/06/2012 01:12:47]

      ########## EOF - C:\DelFix[S1].txt - [598 octets] ##########
      0
  14. g3n-h@ckm@n
     
    ok t'as du le passer deux fois ou supprimer les outils au fur et à mesure
    0
  15. Justine
     
    Ah exact, je l'ai fais 2 fois car comme une kéké j'avais oublié de prendre le rapport :/.
    Et j'ai aussi supprimé des trucs au fur et à mesure vu que j'ai utilisé ccleaner juste après.

    C'est pas grave ?
    0
  16. g3n-h@ckm@n
     
    non

    finis bien tout :D
    0
    1. Justine
       
      C'est fait
      0
  17. Justine
     
    Merci beaucoup :).
    Désolée pour le retard j'ai eu mes exams.
    0