Probleme trojan.BHO découvert avec malwarebytes ! Fermé

Question

Bonjour, J'ai découvert récemment un joli cadeau sur mon ordinateur avec malwarebytes !!
Un petit trojan.BHO logé dans HKCR\Appid que je ne sais pas comment m'en débarrasser .
J'ai bien tenter de le supprimer apres la recherche de malware bytes . Apres la suppression malwarebytes me demande de redémarrer mon pc mais d'ai que je le redémarre et que je relance un scan malwarebytes, le trojan est toujours la alors il surgit 2 hypothèses:
soit le trojan ne s'ai pas supprimer, soit il revient d'ai qu'on redemarre le pc.
Bref dans tous les cas comment supprimer ce trojan ??? 

J'ai aussi essayer de faire un scan avec mon anti-virus mais il n'a détecter aucun virus.

SVP help me  !!

en attendant votre réponse impatiament  :D

                            Cordialement 
                                                         Jeremy



Configuration: Windows Vista / Chrome 23.0.1271.97

Malekal_morte- · Accepted Answer

Salut,

Un petit trojan.BHO logé dans HKCR\Appid  

C'est surement un faux positif de Malwarebyte.
C'est juste une clef du registre qui stocke les informations relatives à l'enregistrement de la BHO dans le système.
Si y a pas de DLL malicieuse détecté alors ça craint rien.

jeje742 · Answer

Up  !

jeje742 · Answer

svp :)

jeje742 · Answer

ok mais ce n'ai pas possible de "renouveller" cette clé pour qu'il n'y aie plus de soit disant trojan.bho ?

jeje742 · Answer

??

Malekal_morte- · Answer

Bha c'est un faux positif, normalement il est censé supprimer la clef et ça ne doit pas revenir sur le scan.

Eventuellement, on peux faire un scan OTL, si ça peux te rassurer.


Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/   



* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.   
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)   

* Lance OTL   
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :   
netsvcs  
msconfig  
safebootminimal  
safebootnetwork  
activex  
drivers32  
%ALLUSERSPROFILE%\Application Data\*.  
%ALLUSERSPROFILE%\Application Data\*.exe /s  
%APPDATA%\*.  
%APPDATA%\*.exe /s  
%temp%\*.exe /s  
%SYSTEMDRIVE%\*.exe  
%systemroot%\*. /mp /s  
%systemroot%\system32\*.dll /lockedfiles  
%systemroot%\Tasks\*.job /lockedfiles  
%systemroot%\system32\drivers\*.sys /lockedfiles  
%systemroot%\System32\config\*.sav  
/md5start  
explorer.exe  
winlogon.exe  
wininit.exe  
/md5stop  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s 
CREATERESTOREPOINT  
nslookup www.google.fr /c 
SAVEMBR:0 
hklm\software\clients\startmenuinternet|command /rs 
hklm\software\clients\startmenuinternet|command /64 /rs   
* Clique sur le bouton Analyse.   
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.   
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

jeje742 · Answer

ok merci je fais le scan et je te dis se qu'il en ressort :)

jeje742 · Answer

voici les lien des rapports:

le rapport de l'analyse: 

https://pjjoint.malekal.com/files.php?id=20121224_x6n5n8n9d13

le rapport de correction: 

https://pjjoint.malekal.com/files.php?id=20121224_w14j6p8h9k10

et ca je c pas ce que c'est mais c'est sorti aussi il s'appelle extra.txt:  

https://pjjoint.malekal.com/files.php?id=20121224_z14g15f5e6g10

Malekal_morte- · Answer

ho p'tain tous les programmes parasites qui ont été installés Oo
SweetIM, Imminent, I Want This, Ask etc...

P'tain ça doit ramer sec.

Bon Spybot sert à rien, désinstalle le.
Il est dépassé et inefficace.

~~

Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel par éditeurs.
L'éditeur touche de l'argent à chaque installation réussie de ces additionnels tiers (un genre de sponsoring).
Seulement certains éditeurs, abusent, pour gagner plus d'argent, ils redistribuent des logiciels libres développés par des bénévoles en y ajoutant ces logiciels additionnels.
Des publicités trompeuses peuvent aussi être utilisées pour faire installer ces logiciels.

Outre le fait que les procédés sont discutables, l'accumulation de ces programmes additionnels non essentiels concourent à ralentir considérablement l'ordinateur (peux aussi faire planter les navigateurs WEB).
Certains font aussi du tracking anonymes (récupérations des thématiques de sites visités).

Les même abus existent avec les barres d'outils :
Les barres d'outils sont là pour vous affilier à un service (moteur de recherche de Yahoo! ou Google), cela ajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sitesvisités pour les transmettre (tracking) afin de faire de la publicité ciblée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser car cela apporte plus de problèmes qu'autre chose.

Lire :
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
et Faux plugins VLC : https://forum.malekal.com/viewtopic.php?t=29633&start=
Les toolbars c'est pas obligatoire! : https://forum.malekal.com/viewtopic.php?t=6173&start=


Télécharge https://toolslib.net AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan.  
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt 
 

~~


Refais un scan OTL et donne les rapports.

jeje742 · Answer

salut, dans C:\ je n'ai que AdwCleaner[S2] et pas de [S1]  est ce la meme chose ?

jeje742 · Answer

Tient ça c'est le rapport adwcleaner:

https://pjjoint.malekal.com/files.php?id=20121224_d6g9w6s9g5

ET ça celui de OTL:

https://pjjoint.malekal.com/files.php?id=20121224_s11w6h12q5k10

Au passage passe un bon reveillon de noel ;)

Malekal_morte- · Answer

Relance OTL.   
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:   

:OTL
IE - HKLM\..\SearchScopes\{7B9E1AEB-56B8-87F0-EB3E-18BA8FB27EA1}: "URL" = https://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=4.0002002
IE - HKLM\..\SearchScopes\{c1d89ae7-449d-4929-b24b-fded04adbe06}: "URL" = http://isearch.glarysoft.com/?q={searchTerms}&src=iesearch
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = https://www.bing.com/?scope=web&mkt=fr-FR{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{64BDD3EB-68BB-4FAA-ABE1-C46E196D5D45}: "URL" = http://www.search.ask.com/?l=dis{searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000
IE - HKCU\..\SearchScopes\{7B9E1AEB-56B8-87F0-EB3E-18BA8FB27EA1}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=109868&tt=060612_6_&babsrc=SP_ss&mntrId=5e24b8a40000000000000018f3bc6177
IE - HKCU\..\SearchScopes\{c1d89ae7-449d-4929-b24b-fded04adbe06}: "URL" = http://isearch.glarysoft.com/?q={searchTerms}&src=iesearch
IE - HKCU\..\SearchScopes\{CCC9F4AC-09AD-494F-979C-F050C9209351}: "URL" = https://fr.search.yahoo.com/web?fr=chr-greentree_ie{searchTerms}
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398&ilc=12"
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:1.1.2
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}:6.0.29
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.13.1.18107
FF - prefs.js..network.proxy.type: 0
[2012/09/03 10:06:13 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\propriètaire\AppData\Roaming\mozilla\Firefox\Profiles\9462iunl.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012/03/07 19:26:27 | 000,000,000 | ---D | M] (Microsoft Choice Guard) -- C:\Users\propriètaire\AppData\Roaming\mozilla\Firefox\Profiles\9462iunl.default\extensions\ChoiceGuard@Microsoft
[2012/09/12 16:12:47 | 000,000,000 | ---D | M] (VideoFileDownload - Download YouTube Videos) -- C:\Users\propriètaire\AppData\Roaming\mozilla\Firefox\Profiles\9462iunl.default\extensions\plugin@videofiledownload.com
File not found (No name found) -- C:\USERS\PROPRIÃTAIRE\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\9462IUNL.DEFAULT\EXTENSIONS\TOOLBAR@ASK.COM
O2 - BHO: (bflix Class) - {0C9F4179-6CE2-4c6a-A3E5-67FF3592A12E} - C:\Program Files\BFlix\BFlix.dll (bflix)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
[2008/06/05 17:46:26 | 000,000,000 | ---D | M] -- C:\Users\propriètaire\AppData\Roaming\PeerNetworking
[2012/12/21 19:10:10 | 000,000,000 | ---D | C] -- C:\Program Files\RegCleaner
[2012/12/21 19:08:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2012/12/21 19:07:34 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy 2

* redemarre le pc sous windows et poste le rapport ici

jeje742 · Answer

ok merci mais juste je subit un problème depuis que j'ai lancer adwcleaner: d'ai le démarrage de windows je remarque un message mettant : run dll erreur de chargement de

C:\Users\propriètaire\AppData\Roaming\OpenCandy\OpenCandy_E82DA7425CAC4E8A939E0394029AA754\OpenCandyU1Dlm.dll

Le module spécifié est introuvable

sait tu d'ou cela peux venir et comment le résoudre ?

Malekal_morte- · Answer

Panneau de configuration et tâches planifiée ou Menu Démarrer / tous les programmes / Accessoires / outils systemes et tâches planifiées. 
Cherche {C4C4058A-7FF1-45AD-B9D1-255E2F92F06D} 
et supprime là. 

Si tu trouves pas, refais un scan OTL comme au début et donne le rapport. 
  
  
Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

jeje742 · Answer

je l'ai trouver mais je ne peux pas la supprimer ( cela ne fait rien quand j'essaie en appuiyant sur la touche "suppr".

Malekal_morte- · Answer

Relance OTL.    
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:    

:OTL 
[2013/01/02 13:28:24 | 000,000,510 | ---- | M] () -- C:\Windows	asks\{C4C4058A-7FF1-45AD-B9D1-255E2F92F06D}8DF532A2357248719FFF5B116D084D2E.job

* redemarre le pc sous windows et poste le rapport ici

jeje742 · Answer

tient voila le lien:

http://pjjoint.malekal.com/files.php?id=20130102_z7r5r11c9h13

jeje742 · Answer

?

Malekal_morte- · Answer

Ca donne quoi le message ?
il a disparu ?

jeje742 · Answer

ba je t'ai mis le lien mais j'ai refait une recherche et il y est encore :(

Probleme trojan.BHO découvert avec malwarebytes !

21 réponses

Discussions similaires