lollipop exe Résolu/Fermé

Question

Bonjour, 
En téléchargeant ce week end un logiciel, j'ai du attrapé ce virus "lollipop exe", car depuis 2 jours avast m'informe de la présence de ce logiciel, mais qu'il n'arrive pas savoir s'il est malveillant.
J'ai lancé un scan de malwarebytes anti-malware qui n'a rien trouvé!

J'ai donc regardé un peu sur les sujets concernant "lollipop exe" afin de m'en débarasser et pour le coup j'ai lancé un  AdwCleaner dont voici le rapport

# AdwCleaner v2.011 - Rapport créé le 04/12/2012 à 22:00:44
# Mis à jour le 02/12/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : lorene - SAINT-MALO
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\lorene\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\ProgramData\Partner
Dossier Supprimé : C:\Users\lorene\AppData\Local\Ilivid Player
Dossier Supprimé : C:\Users\lorene\AppData\Local\lollipop
Dossier Supprimé : C:\Users\lorene\AppData\Roaming\pdfforge
Fichier Supprimé : C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml
Fichier Supprimé : C:\Users\lorene\AppData\Local\Temp\Searchqu.ini
Fichier Supprimé : C:\Users\lorene\AppData\Local\Temp\searchqutoolbar-manifest.xml
Fichier Supprimé : C:\Users\lorene\AppData\Local\Temp\SetupDataMngr_Searchqu.exe

***** [Registre] *****

Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\lollipop
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\Software

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16455

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v17.0.1 (fr)

Nom du profil : default-1351254196163 [Profil par défaut]


Merci de bien vouloir m'aider afin que je puisse trouver la solution pour l'enlever de mon ordinateur

PS: c'est la 1ere fois que j'utilise ce forum, je m'excuse par avance si je n'explique pas bien les choses


Configuration: Windows 7 / Firefox 17.0

juju666 · Answer

Salut,

 Fais ceci et poste tes rapports : https://forums-fec.be/entraide/viewtopic.php?f=11&t=228

loloh35 · Answer

merci pour les infos

juju666 · Answer

Poste tes rapports, tu es encore infecté.

loloh35 · Answer

voici le rapport

Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.04.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
lorene :: SAINT-MALO [administrateur]

Protection: Activé

04/12/2012 22:42:48
mbam-log-2012-12-04 (22-42-48).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 343751
Temps écoulé: 53 minute(s), 32 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\lorene\Desktop\Nouveau dossier\keygen.exe (PUP.RiskwareTool.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\lorene\Desktop\Nouveau dossier\archicad 15 x64\archicad 15 x64\Bim.Explorer.15.0.0.3006.exe (PUP.Hacktool.Patcher) -> Mis en quarantaine et supprimé avec succès.

(fin)

juju666 · Answer

OK et les rapports OTL ? :)

loloh35 · Answer

ah j'ai pas fait!! j'ai pas tout compris, dsl ;)

loloh35 · Answer

VOICI

https://forums-fec.be/upload/www/?action=d&id=6678939554

https://forums-fec.be/upload/www/?action=d&id=0156514636

juju666 · Answer

Désinstalle tout java

===================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :

:OTL
[2012/12/02 11:20:55 | 000,000,000 | ---D | C] -- C:\Users\lorene\AppData\Local\Kreapixel      
[2012/12/02 11:06:44 | 000,000,000 | ---D | C] -- C:\Kreapixel      
[2012/12/02 11:00:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Webplayer setup      
[2012/12/02 11:08:23 | 000,000,000 | ---D | C] -- C:\Users\lorene\AppData\Roaming\WebPlayerBdd      
[2012/12/02 11:06:46 | 000,003,017 | ---- | C] () -- C:\Users\lorene\Desktop\WebPlayerV2.lnk      
[2012/12/02 11:06:46 | 000,002,977 | ---- | C] () -- C:\Users\lorene\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WebPlayerV2.lnk      

:Commands
[EMPTYTEMP]
[RESETHOSTS]

&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.

loloh35 · Answer

All processes killed
========== OTL ==========
C:\Users\lorene\AppData\Local\Kreapixel\WebPlayerV2.exe_Url_uitrw1y2cjakqvbgbzbihfa1txouv4ba\2.2.2.5 folder moved successfully.
C:\Users\lorene\AppData\Local\Kreapixel\WebPlayerV2.exe_Url_uitrw1y2cjakqvbgbzbihfa1txouv4ba folder moved successfully.
C:\Users\lorene\AppData\Local\Kreapixel folder moved successfully.
C:\Kreapixel\WebPlayerV2 folder moved successfully.
C:\Kreapixel folder moved successfully.
C:\Program Files (x86)\Webplayer setup folder moved successfully.
C:\Users\lorene\AppData\Roaming\WebPlayerBdd folder moved successfully.
C:\Users\lorene\Desktop\WebPlayerV2.lnk moved successfully.
C:\Users\lorene\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WebPlayerV2.lnk moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56504 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: lorene
->Temp folder emptied: 44390103 bytes
->Temporary Internet Files folder emptied: 131491297 bytes
->Java cache emptied: 989959 bytes
->FireFox cache emptied: 104565009 bytes
->Google Chrome cache emptied: 64244787 bytes
->Flash cache emptied: 72653 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 335952502 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 16551183252 bytes
 
Total Files Cleaned = 16,435.00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.69.0 log created on 12052012_233532

Files\Folders moved on Reboot...
C:\Users\lorene\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows	emp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

juju666 · Answer

super si plus de soucis le final : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

=D

loloh35 · Answer

# DelFix v6.2 - Rapport créé le 06/12/2012 à 00:23:33
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : lorene - SAINT-MALO
# Exécuté depuis : C:\Users\lorene\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTL

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Users\lorene\Desktop\AdwCleaner[S1].txt
Supprimé : C:\Users\lorene\Desktop\Extras.Txt
Supprimé : C:\Users\lorene\Desktop\OTL.Txt
Supprimé : C:\Users\lorene\Desktop\OTL(1).exe
Supprimé : C:\Users\lorene\Downloads\adwcleaner.exe
Supprimé : C:\Users\lorene\Downloads\OTL.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [891 octets] - [06/12/2012 00:23:33]

########## EOF - C:\DelFix[S1].txt - [1014 octets] ##########

juju666 · Answer

bien :)

loloh35 · Answer

Voici le rapport de purera

RaProducts' PureRa v1.7
Log created at 00:30 on 06/12/2012 (lorene)

C:\Config.MSI emptied.
C:\Users\lorene\AppData\LocalLow\Microsoft\CryptNetURLCache\Content emptied.
C:\Users\lorene\AppData\LocalLow\Microsoft\CryptNetURLCache\MetaData emptied.
C:\Windows\system32\FNTCACHE.DAT <- Le fichier spécifié est introuvable. 
Recycle bin emptied.
C:\Windows\SoftwareDistribution\DataStore\Logs emptied.
C:\Windows\SoftwareDistribution\Download emptied.
C:\Windows\SoftwareDistribution\SelfUpdate\Default emptied.
C:\Windows\SoftwareDistribution\WuRedir emptied.
C:\Windows\SoftwareDistribution\ReportingEvents.log <- Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus. 
C:\Users\lorene\AppData\Local\Temp emptied.
C:\Windows\TEMP emptied.

Total space cleaned: 0 bytes

-=E.O.F=-

juju666 · Answer

mmmh ...

bien lancé en clic droit => exécuter en tant qu'administrateur?

loloh35 · Answer

oui j'ai refait un essai

RaProducts' PureRa v1.7
Log created at 00:53 on 06/12/2012 (lorene)

C:\Config.MSI emptied.
C:\Users\lorene\AppData\LocalLow\Microsoft\CryptNetURLCache\Content emptied.
C:\Users\lorene\AppData\LocalLow\Microsoft\CryptNetURLCache\MetaData emptied.
C:\Windows\system32\FNTCACHE.DAT <- Le fichier spécifié est introuvable. 
Recycle bin emptied.
C:\Windows\SoftwareDistribution\DataStore\Logs emptied.
C:\Windows\SoftwareDistribution\Download emptied.
C:\Windows\SoftwareDistribution\SelfUpdate\Default emptied.
C:\Windows\SoftwareDistribution\WuRedir emptied.
C:\Windows\SoftwareDistribution\ReportingEvents.log <- Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus. 
C:\Users\lorene\AppData\Local\Temp emptied.
C:\Windows\TEMP emptied.
C:\Users\lorene\AppData\Local\Microsoft\Windows\Explorer	humbcache_1024.db <- Accès refusé. 
C:\Users\lorene\AppData\Local\Microsoft\Windows\Explorer	humbcache_256.db <- Accès refusé. 
C:\Users\lorene\AppData\Local\Microsoft\Windows\Explorer	humbcache_32.db <- Accès refusé. 
C:\Users\lorene\AppData\Local\Microsoft\Windows\Explorer	humbcache_96.db <- Accès refusé. 
C:\Users\lorene\AppData\Local\Microsoft\Windows\Explorer	humbcache_idx.db <- Accès refusé. 
C:\Users\lorene\AppData\Local\Microsoft\Windows\Explorer	humbcache_sr.db <- Accès refusé. 

Total space cleaned: 0 bytes

-=E.O.F=-

juju666 · Answer

Bon ben dans ce cas c'est royal ^^

Je classe en résolu, fait la fin du tuto à ton aise, tu peux reprendre demain si tu veux.

Je reste sur le fil si problème ... un message et j'arrive.

Bonne nuit !

loloh35 · Answer

Merci pour l'aide, c'est génial ce que vous faites :)

Merci pour le tuto qui est très bien fait

Est-ce que cette procédure peut être réutilisée, pour un problème similaire?

juju666 · Answer

Malwarebytes une fois par semaine ça devrait suffir.
En cas d'infection plus grave tu reviens ici ou sur mon forum ;)

Letji · Answer

super travail et tuto vraiment bien écrit !

Lollipop exe

19 réponses

Discussions similaires