Lollipop exe

Résolu
loloh35 Messages postés 11 Statut Membre -  
 Letji -
Bonjour,
En téléchargeant ce week end un logiciel, j'ai du attrapé ce virus "lollipop exe", car depuis 2 jours avast m'informe de la présence de ce logiciel, mais qu'il n'arrive pas savoir s'il est malveillant.
J'ai lancé un scan de malwarebytes anti-malware qui n'a rien trouvé!

J'ai donc regardé un peu sur les sujets concernant "lollipop exe" afin de m'en débarasser et pour le coup j'ai lancé un AdwCleaner dont voici le rapport

# AdwCleaner v2.011 - Rapport créé le 04/12/2012 à 22:00:44
# Mis à jour le 02/12/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : lorene - SAINT-MALO
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\lorene\Downloads\adwcleaner.exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\ProgramData\Partner
Dossier Supprimé : C:\Users\lorene\AppData\Local\Ilivid Player
Dossier Supprimé : C:\Users\lorene\AppData\Local\lollipop
Dossier Supprimé : C:\Users\lorene\AppData\Roaming\pdfforge
Fichier Supprimé : C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml
Fichier Supprimé : C:\Users\lorene\AppData\Local\Temp\Searchqu.ini
Fichier Supprimé : C:\Users\lorene\AppData\Local\Temp\searchqutoolbar-manifest.xml
Fichier Supprimé : C:\Users\lorene\AppData\Local\Temp\SetupDataMngr_Searchqu.exe

***** [Registre] *****

Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\lollipop
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\Software

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16455

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v17.0.1 (fr)

Nom du profil : default-1351254196163 [Profil par défaut]

Merci de bien vouloir m'aider afin que je puisse trouver la solution pour l'enlever de mon ordinateur

PS: c'est la 1ere fois que j'utilise ce forum, je m'excuse par avance si je n'explique pas bien les choses

19 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Fais ceci et poste tes rapports : https://forums-fec.be/entraide/viewtopic.php?f=11&t=228
    1
  2. loloh35 Messages postés 11 Statut Membre
     
    merci pour les infos
    0
    1. loloh35 Messages postés 11 Statut Membre
       
      j'ai tout fait, normalement , je n'ai plus le virus
      0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Poste tes rapports, tu es encore infecté.
    0
  4. loloh35 Messages postés 11 Statut Membre
     
    voici le rapport

    Malwarebytes Anti-Malware (Essai) 1.65.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.12.04.09

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    lorene :: SAINT-MALO [administrateur]

    Protection: Activé

    04/12/2012 22:42:48
    mbam-log-2012-12-04 (22-42-48).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 343751
    Temps écoulé: 53 minute(s), 32 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 2
    C:\Users\lorene\Desktop\Nouveau dossier\keygen.exe (PUP.RiskwareTool.CK) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\lorene\Desktop\Nouveau dossier\archicad 15 x64\archicad 15 x64\Bim.Explorer.15.0.0.3006.exe (PUP.Hacktool.Patcher) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    OK et les rapports OTL ? :)
    0
  7. loloh35 Messages postés 11 Statut Membre
     
    ah j'ai pas fait!! j'ai pas tout compris, dsl ;)
    0
  8. loloh35 Messages postés 11 Statut Membre
     
    VOICI

    https://forums-fec.be/upload/www/?action=d&id=6678939554

    https://forums-fec.be/upload/www/?action=d&id=0156514636
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Désinstalle tout java

    ===================

    ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous "Personnalisation" :

    :OTL
    [2012/12/02 11:20:55 | 000,000,000 | ---D | C] -- C:\Users\lorene\AppData\Local\Kreapixel
    [2012/12/02 11:06:44 | 000,000,000 | ---D | C] -- C:\Kreapixel
    [2012/12/02 11:00:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Webplayer setup
    [2012/12/02 11:08:23 | 000,000,000 | ---D | C] -- C:\Users\lorene\AppData\Roaming\WebPlayerBdd
    [2012/12/02 11:06:46 | 000,003,017 | ---- | C] () -- C:\Users\lorene\Desktop\WebPlayerV2.lnk
    [2012/12/02 11:06:46 | 000,002,977 | ---- | C] () -- C:\Users\lorene\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WebPlayerV2.lnk

    :Commands
    [EMPTYTEMP]
    [RESETHOSTS]


    ▶ Clique sur "Correction" pour lancer la suppression.

    ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.

    0
  10. loloh35 Messages postés 11 Statut Membre
     
    All processes killed
    ========== OTL ==========
    C:\Users\lorene\AppData\Local\Kreapixel\WebPlayerV2.exe_Url_uitrw1y2cjakqvbgbzbihfa1txouv4ba\2.2.2.5 folder moved successfully.
    C:\Users\lorene\AppData\Local\Kreapixel\WebPlayerV2.exe_Url_uitrw1y2cjakqvbgbzbihfa1txouv4ba folder moved successfully.
    C:\Users\lorene\AppData\Local\Kreapixel folder moved successfully.
    C:\Kreapixel\WebPlayerV2 folder moved successfully.
    C:\Kreapixel folder moved successfully.
    C:\Program Files (x86)\Webplayer setup folder moved successfully.
    C:\Users\lorene\AppData\Roaming\WebPlayerBdd folder moved successfully.
    C:\Users\lorene\Desktop\WebPlayerV2.lnk moved successfully.
    C:\Users\lorene\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WebPlayerV2.lnk moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 56504 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: lorene
    ->Temp folder emptied: 44390103 bytes
    ->Temporary Internet Files folder emptied: 131491297 bytes
    ->Java cache emptied: 989959 bytes
    ->FireFox cache emptied: 104565009 bytes
    ->Google Chrome cache emptied: 64244787 bytes
    ->Flash cache emptied: 72653 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 335952502 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 16551183252 bytes

    Total Files Cleaned = 16,435.00 mb

    C:\Windows\System32\drivers\etc\Hosts moved successfully.
    HOSTS file reset successfully

    OTL by OldTimer - Version 3.2.69.0 log created on 12052012_233532

    Files\Folders moved on Reboot...
    C:\Users\lorene\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
    File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    super si plus de soucis le final : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

    =D
    0
  12. loloh35 Messages postés 11 Statut Membre
     
    # DelFix v6.2 - Rapport créé le 06/12/2012 à 00:23:33
    # Mis à jour le 11/11/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : lorene - SAINT-MALO
    # Exécuté depuis : C:\Users\lorene\Desktop\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\_OTL

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\AdwCleaner[S1].txt
    Supprimé : C:\Users\lorene\Desktop\AdwCleaner[S1].txt
    Supprimé : C:\Users\lorene\Desktop\Extras.Txt
    Supprimé : C:\Users\lorene\Desktop\OTL.Txt
    Supprimé : C:\Users\lorene\Desktop\OTL(1).exe
    Supprimé : C:\Users\lorene\Downloads\adwcleaner.exe
    Supprimé : C:\Users\lorene\Downloads\OTL.exe

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
    Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [891 octets] - [06/12/2012 00:23:33]

    ########## EOF - C:\DelFix[S1].txt - [1014 octets] ##########
    0
  13. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    bien :)
    0
  14. loloh35 Messages postés 11 Statut Membre
     
    Voici le rapport de purera

    RaProducts' PureRa v1.7
    Log created at 00:30 on 06/12/2012 (lorene)

    C:\Config.MSI emptied.
    C:\Users\lorene\AppData\LocalLow\Microsoft\CryptNetURLCache\Content emptied.
    C:\Users\lorene\AppData\LocalLow\Microsoft\CryptNetURLCache\MetaData emptied.
    C:\Windows\system32\FNTCACHE.DAT <- Le fichier spécifié est introuvable.
    Recycle bin emptied.
    C:\Windows\SoftwareDistribution\DataStore\Logs emptied.
    C:\Windows\SoftwareDistribution\Download emptied.
    C:\Windows\SoftwareDistribution\SelfUpdate\Default emptied.
    C:\Windows\SoftwareDistribution\WuRedir emptied.
    C:\Windows\SoftwareDistribution\ReportingEvents.log <- Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
    C:\Users\lorene\AppData\Local\Temp emptied.
    C:\Windows\TEMP emptied.

    Total space cleaned: 0 bytes

    -=E.O.F=-
    0
  15. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    mmmh ...

    bien lancé en clic droit => exécuter en tant qu'administrateur?
    0
  16. loloh35
     
    oui j'ai refait un essai

    RaProducts' PureRa v1.7
    Log created at 00:53 on 06/12/2012 (lorene)

    C:\Config.MSI emptied.
    C:\Users\lorene\AppData\LocalLow\Microsoft\CryptNetURLCache\Content emptied.
    C:\Users\lorene\AppData\LocalLow\Microsoft\CryptNetURLCache\MetaData emptied.
    C:\Windows\system32\FNTCACHE.DAT <- Le fichier spécifié est introuvable.
    Recycle bin emptied.
    C:\Windows\SoftwareDistribution\DataStore\Logs emptied.
    C:\Windows\SoftwareDistribution\Download emptied.
    C:\Windows\SoftwareDistribution\SelfUpdate\Default emptied.
    C:\Windows\SoftwareDistribution\WuRedir emptied.
    C:\Windows\SoftwareDistribution\ReportingEvents.log <- Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
    C:\Users\lorene\AppData\Local\Temp emptied.
    C:\Windows\TEMP emptied.
    C:\Users\lorene\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db <- Accès refusé.
    C:\Users\lorene\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db <- Accès refusé.
    C:\Users\lorene\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db <- Accès refusé.
    C:\Users\lorene\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db <- Accès refusé.
    C:\Users\lorene\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db <- Accès refusé.
    C:\Users\lorene\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db <- Accès refusé.

    Total space cleaned: 0 bytes

    -=E.O.F=-
    0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bon ben dans ce cas c'est royal ^^

    Je classe en résolu, fait la fin du tuto à ton aise, tu peux reprendre demain si tu veux.

    Je reste sur le fil si problème ... un message et j'arrive.

    Bonne nuit !
    0
  18. loloh35
     
    Merci pour l'aide, c'est génial ce que vous faites :)

    Merci pour le tuto qui est très bien fait

    Est-ce que cette procédure peut être réutilisée, pour un problème similaire?
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Malwarebytes une fois par semaine ça devrait suffir.
    En cas d'infection plus grave tu reviens ici ou sur mon forum ;)
    0
  20. Letji
     
    super travail et tuto vraiment bien écrit !
    0