Désinfection d'un adware

Résolu
lili -  
 lili -
Bonsoir,

après avoir installer utorrent , mon pc souffre d'une infection ! un adware probablement !! une barre s'est installer , des pop ups de plus en plus , même des downloader , ce qui est assez bizarre parce que je suis sur que j'ai décoché la case installant la bar d'outils , bon après j'ai désinstallé la bar d'outils et utorrent mais ça n'a pas changer grand chose , la bar à disparue mais le reste non aussi maintenant à chaque fois que j'ouvre mon pc le programme d'installation de utorrent s'exécute tout seul !
est ce que quelqu'un serait m'aider à me débarrasser de cette infection ,
merci d'avance ^^

10 réponses

  1. lili
     
    voici le log ZHPDiag : http://cjoint.com/?BFovcv0dYY8
    Merci beaucoup de votre précieuse aide !!
    0
  2. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    lili, ta version de ZHPDiag est obsolète !

    *Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau,
    /!\Il est très important de l'enregistrer sur le bureau / !\
    *Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
    /!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
    /!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\
    * Clique sur la loupe pour <b> « lancer le diagnostic » </b>.
    * ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
    * En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
    * Laisse l'outil travailler, il peut être assez long.
    * Le rapport s'enregistre sur ton bureau et dans le dossier où est installé ZHPDiag (en général C:\ZHP\).
    * Transmets moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
    *Rappel des dépôts : cijoint ou pjjoint

    je ne sais pas si j'aurai le temps de t'aider mais ce nouveau rapport permettra à un helper de diagnostiquer plus rapidement ton problème.

    A+
    0
    1. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
       
      De toute façon faire tourner un W7 avec 1Mo de Ram avec juste 17% de libre c'est plus que juste. Et 2Go de libre sur ton disque C: est nettement insuffisant. Fais du ménage et désinstalle l'inutile.
      Tu as des adwares à virer avec AdwCleaner.

      A+
      0
  3. lili
     
    Merci de m'avoir répondu !
    voici le log Adwcleaner :
    http://pjjoint.malekal.com/files.php?id=20120614_w13q95d8t6

    le log ZHPDiag :
    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120614_q109l6p9c9

    aussi , je ne comprends pas ce que vous voulez dire avec "faire tourner un W7 avec 1Mo de Ram avec juste 17% de libre c'est plus que juste" je ne m y connais pas trop matière informatique , que faire pour changeais cela et pourquoi ?! j'ai essayé de me débarrasser du non nécessaire , le reste j'en ai besoin pour l'instant . Merci de votre aide :)
    0
  4. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    lili bonjour,

    Relances AdwCleaner mais cette fois clique sur [Suppression]
    et poste moi le lien du rapport.

    Je te donnerai quelques explications mais pour l'instant je suis "à la bourre" !

    A+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lili
     
    Bonjour !

    voilà : http://pjjoint.malekal.com/files.php?id=20120615_w8i9e15b1515

    Merci :)
    0
  7. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Bonsoir lili,

    On continue ? Tu dois avoir sur ton bureau l'icône de ZHPFix !

    Ce script va cibler certains éléments à supprimer :

    * Copie tout le texte ci-dessous (en gras et italique) tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C

    [HKCU\Software\Tencent]
    [HKLM\Software\Tencent]
    O43 - CFD: 16/07/2011 - 17:35:19 - [99,826] ----D C:\Program Files\Tencent
    O43 - CFD: 13/06/2011 - 18:48:22 - [0,000] ----D C:\ProgramData\Tencent
    O43 - CFD: 13/06/2011 - 18:48:22 - [5,566] ----D C:\Users\Me....(^_^)\AppData\Roaming\Tencent
    O4 - Global Startup: C:\Users\Me....(^_^)\Desktop\Solitaire - Raccourci - Copie (2).lnk - Orphean Key
    [MD5.00000000000000000000000000000000] [APT] [{26524C3B-565A-41D9-96F5-3714242777E8}] (...) -- C:\Users\Me....(^_^)\Downloads\Programs\odd_firmware_w20mab_11.sfx.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{3504932E-8FBD-43F0-9183-23E6603F17DA}] (...) -- C:\Users\Me....(^_^)\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\J3514046\super_v2010.build.38[1].exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{41543D10-645F-4151-94DA-1541DE6F9B90}] (...) -- C:\Users\Me....(^_^)\Downloads\Programs\Shockwave_Installer_Slim.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{434A07A7-3AEC-4836-804F-C94E262B48E5}] (...) -- C:\Users\Me....(^_^)\AppData\Local\Temp\firefoxjre_exe-1.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{78885E16-0696-436C-977F-9EF805FA2D90}] (...) -- C:\Users\Me....(^_^)\Desktop\vodlog\setup.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{8E49465B-DDE7-47F2-BDBA-50DB74C83C70}] (...) -- C:\Users\Me....(^_^)\Downloads\Programs\video_deluxe_15_155mo_f.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{901F721A-224F-4D12-82FA-B0E4AC1BBF43}] (...) -- C:\Windows\Math_1.A.S\uninstall.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{AC178F12-B1F1-4C63-8F60-E03ECB6CFCF3}] (...) -- c:\program files\mozilla firefox\firefox.exeed;alreadyoffered (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{C1C0FA55-7A2B-4F45-AD3F-4DD5CFA94B3C}] (...) -- C:\Users\Me....(^_^)\Downloads\Programs\Shockwave_Installer_FF.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{D18E44CF-783F-4B25-A496-1B10FA454719}] (...) -- C:\Users\Me....(^_^)\Downloads\Programs\x-video-to-audio-converter6.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{EB7B6434-E9BC-462D-8815-0C3358DE0085}] (...) -- C:\Program Files\Xilisoft\Video to Audio Converter\Uninstall.exe (.not file.)
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2851639&SearchSource=2&q=");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.SearchInNewTabEnabled", true);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.SearchInNewTabIntervalMM", 1440);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.SearchInNewTabLastCheckTime", "Thu Jun 14 2012 19:02:36 GMT+0200");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.SearchInNewTabServiceUrl", "http://newtab.conduit-hosting.com/newtab/?ctid=EB_TOOLBAR_ID");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.SearchInNewTabUserEnabled", false);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.SendProtectorDataViaLogin", true);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.ServiceMapLastCheckTime", "Thu Jun 14 2012 19:02:36 GMT+0200");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.SettingsLastCheckTime", "Thu Jun 14 2012 19:02:36 GMT+0200");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.SettingsLastUpdate", "1337169810");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.TBHomePageUrl", "http://search.conduit.com/?ctid=CT2851639&SearchSource=13");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.ToolbarShrinkedFromSetup", false);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.TrusteLinkUrl", "http://trust.conduit.com/CT2851639");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.TrustedApiDomains", "conduit.com,conduit-hosting.com,conduit-services.com,client.conduit-storage.com,OurToolb[...]
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.UserID", "UN24041935368543943");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.alertChannelId", "1243674");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.generalConfigFromLogin", "{\"ApiMaxAlerts\":\"12\",\"SocialDomains\":\"social.conduit.com;apps.conduit.com;se[...]
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.homepageProtectorEnableByLogin", true);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.initDone", true);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.myStuffEnabled", true);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.myStuffPublihserMinWidth", 400);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.myStuffSearchUrl", "http://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOrigin=29&ctid=EB_TOOLBAR_ID&oct[...]
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.myStuffServiceIntervalMM", 1440);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.myStuffServiceUrl", "http://mystuff.conduit-services.com/MyStuffService.ashx?ComponentId=EB_MY_STUFF_INSTANCE[...]
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.navigateToUrlOnSearch", false);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.revertSettingsEnabled", true);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.searchProtectorDialogDelayInSec", 10);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.searchProtectorEnableByLogin", true);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.testingCtid", "");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.toolbarAppMetaDataLastCheckTime", "Thu Jun 14 2012 19:02:37 GMT+0200");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CT2851639.usagesFlag", 2);
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CommunityToolbar.ETag.http://settings.toolbar.search.conduit.com/root/CT2851639/CT2851639", "\"d28ea0a31c5b1da7509cbd2a[...]
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CommunityToolbar.ETag.http://appsmetadata.toolbar.conduit-services.com/?ctid=CT2851639", "\"1334666883\"");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CommunityToolbar.ETag.http://servicemap.conduit-services.com/Toolbar/?ownerId=CT2851639", "\"d76323372b05c3748a3d6b1c93[...]
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CommunityToolbar.ETag.http://translation.toolbar.conduit-services.com/?locale=EB_LOCALE", "\"ad9cd3b32c68906c8c16d35d5f[...]
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CommunityToolbar.ToolbarsList", "CT2851639");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CommunityToolbar.ToolbarsList2", "CT2851639");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CommunityToolbar.ToolbarsList4", "CT2851639");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CommunityToolbar.globalUserId", "468a3be7-bafc-42fe-b924-268571fe0cfb");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2851639");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("CommunityToolbar.originalSearchEngine", "chrome://browser-region/locale/region.properties");
    O69 - SBI: prefs.js [Me....(^_^) - bw2bph02.default] user_pref("keyword.URL", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2851639&SearchSource=2&q=");
    EmptyTemp
    EmptyFlash


    * Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
    / !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPFix.exe, « exécuter en tant qu'Administrateur »/ !\
    * Clique sur le H "coller les lignes Helper", les lignes copiées vont automatiquement se coller dans la fenêtre. Si ce n'est pas le cas fais un CTRL+V.
    * Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
    * Clique sur le bouton «GO » pour lancer le nettoyage
    * Le rapport s'ouvre automatiquement après l'exécution du script. Il se trouve aussi sous C:\ZHP\ZHPPFixReport.txt
    * Transmets-moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
    *Rappel des dépôts : cijoint ou pjjoint

    0
  8. lili
     
    Bonjour ,
    voilà : http://pjjoint.malekal.com/files.php?id=20120617_10p10m9e12j11

    aussi pour ce fichier ( Folder: C:\Program Files\Tencent ) c'est le dossier de QQplayer , un lecteur chinois. puis je le réinstaller ?? ou est ce lui la cause du problème !?

    Merci infiniment pour votre aide :)
    0
    1. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
       
      lili, Tencent contient un adware, donc un logiciel espion qui récupère des données sur ton comportement et les sites que tu visites.
      Alors, à toi de voir !

      A+

      Comment se comporte ton PC ?
      0
  9. lili
     
    Merci beaucoup de votre aide ! ^^
    tout à l'air bon !
    est ce que vous pouvez me donner quelques conseils en ce qui concerne la désinfection parce que j'aimerai pouvoir désinfecter mon propre pc en cas d'infection , est ce que ça prends du temps pour apprendre ? et apprendre ou exactement ? ça m'intéresse ! :) Merci !
    0
    1. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
       
      Bonjour lili,

      La désinfection s'apprend (comme tout d'ailleurs) !
      Mais il faut beaucoup de constance et la formation dure entre 1 et 2 ans.
      Perso je suis en phase terminale (qualification) sur ce site.
      http://www.security-domain.be/helper-formation/

      Si le coeur t'en dit tu peux t'inscrire et demander à suivre la formation.

      Toutes les désinfections sont différentes donc je ne pourrai pas te donner une marche à suivre applicable dans tous les cas.
      Ton meilleur antivirus c'est toi !

      Pas de sites "louches", évite le P2P et fuis comme la peste les cracks et autres keygens, ils sont tous vérolés.
      0
    2. lili
       
      merci infiniment ! (y)
      0
  10. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    lili,

    Ce service est désactivé chez toi :
    Software Protection Service (Protection logicielle) : KO

    Ouvre le gestionnaire des tâches de Windows,
    Va sur l'onglet services et repère le service sppsvc , clic droit démarrer le service.

    De la lecture :
    Conseils de fin de désinfection :
    *Tu peux lire ce sujet sur les logiciels recommandés :
    https://www.luanagames.com/index.fr.html
    *Et celui ci, sur les logiciels gratuits à éviter :
    https://www.luanagames.com/index.fr.html
    *Et enfin ce dossier sur la prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
    www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    *Si tu utilise FireFox, vérifie que tes plug in sont à jour : https://support.mozilla.org/en-US/kb/npapi-plugins
    *Par rapport au P2P : les risques du P2P
    *Reconnaitre les PUPS PUPS
    *Enfin les Toolbars c'est pas obligatoire Toolbars
    * Pense à marquer le fil comme résolu !
    resolu

    Sois plus vigilant(e) sur Internet à l'avenir
    Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas.

    0
  11. lili
     
    Un grand merci pour votre aide !
    j'essayerai de suivre tous ces conseils à la lettre :)
    0