Plusieurs problèmes sur mon pc, help please ! Résolu/Fermé

Question

Bonjour à tous ,

Alors voilà, ça fait quelques temps que mon pc est infecté et je crois que c'est de pire en pire...

Tout a commencé après que mon beau frère ai installé ITunes sur mon pc, qu'il a du télécharger sur un site douteux (je ne sais pas vraiment si c'est la raison de tout ça mais bon..). Le lendemain, j'ai vu apparaître des "Ads by InstantSavings" un peu partout, et pas moyen de virer ça, ce qui m'a énervé car étant un utilisateur d'adblock, ça fait longtemps que je n'ai plus de pubs sur le net...
Il y a aussi une extension sur google chrome appelée "Plus-HD-1.5" qui met automatiquement les vidéos youtube en HD. Problème, je la supprime, mais à chaque fois que je rallume mon pc elle reviens...

J'ai essayé avec CCleaner, Malwarebytes, adwcleaner, Avast, rien à faire, pas moyen de me débarasser de ça... J'ai l'impression que mon pc est de plus en plus lent, j'en ai marre, si quelqu'un pouvait m'aider ce serait cool ^^

Merci d'avance !

juju666 · Answer

Salut,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

&#9654 Quand la fenêtre apparaît, Coche la case Tous les utilisateurs
&#9654 Coche les cases à coté de Recherche Lop et Recherche Purity.
&#9654 Laisse tous les autres paramètres par défaut 

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


msconfig 
netsvcs 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT
SAVEMBR:0

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange  

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC 
 
A+

Budstep · Answer

Merci pour ton aide, voilà les rapports :

OTL :

https://forums-fec.be/upload/www/?a=d&i=9092409797

Extras : 

https://forums-fec.be/upload/www/?a=d&i=9536085012

juju666 · Answer

Poste aussi ton rapport adwcleaner voir ?

Budstep · Answer

# AdwCleaner v2.301 - Rapport créé le 17/05/2013 à 15:23:38
# Mis à jour le 16/05/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 1 (32 bits)
# Nom d'utilisateur : Lolo - PC-DE-LOLO
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Lolo\Desktop\Desktop\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WebMediaPlayer

***** [Registre] *****

Clé Présente : HKCU\Software\YahooPartnerToolbar

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.19088

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v12.0 (fr)

Fichier : C:\Users\Lolo\AppData\Roaming\Mozilla\Firefox\Profiles
wgr1s4t.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v26.0.1410.64

Fichier : C:\Users\Lolo\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [29378 octets] - [14/05/2013 14:14:13]
AdwCleaner[R2].txt - [1187 octets] - [14/05/2013 14:22:04]
AdwCleaner[R3].txt - [1287 octets] - [14/05/2013 16:32:51]
AdwCleaner[R4].txt - [1368 octets] - [14/05/2013 18:45:47]
AdwCleaner[R5].txt - [1337 octets] - [17/05/2013 15:23:38]
AdwCleaner[S1].txt - [27963 octets] - [14/05/2013 14:14:56]
AdwCleaner[S2].txt - [1350 octets] - [14/05/2013 16:33:24]

########## EOF - C:\AdwCleaner[R5].txt - [1518 octets] ##########

juju666 · Answer

Fais une suppression adwcleaner mais en mode sans échec

Budstep · Answer

Voilà le rapport :

# AdwCleaner v2.301 - Rapport créé le 17/05/2013 à 16:51:32
# Mis à jour le 16/05/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 1 (32 bits)
# Nom d'utilisateur : Lolo - PC-DE-LOLO
# Mode de démarrage : Mode sans échec
# Exécuté depuis : D:\Alex\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WebMediaPlayer

***** [Registre] *****

Clé Supprimée : HKCU\Software\YahooPartnerToolbar

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.19088

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v12.0 (fr)

Fichier : C:\Users\Lolo\AppData\Roaming\Mozilla\Firefox\Profiles
wgr1s4t.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v26.0.1410.64

Fichier : C:\Users\Lolo\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [29378 octets] - [14/05/2013 14:14:13]
AdwCleaner[R2].txt - [1187 octets] - [14/05/2013 14:22:04]
AdwCleaner[R3].txt - [1287 octets] - [14/05/2013 16:32:51]
AdwCleaner[R4].txt - [1368 octets] - [14/05/2013 18:45:47]
AdwCleaner[R5].txt - [1587 octets] - [17/05/2013 15:23:38]
AdwCleaner[R6].txt - [1693 octets] - [17/05/2013 16:51:20]
AdwCleaner[S1].txt - [27963 octets] - [14/05/2013 14:14:56]
AdwCleaner[S2].txt - [1350 octets] - [14/05/2013 16:33:24]
AdwCleaner[S3].txt - [373 octets] - [17/05/2013 15:24:39]
AdwCleaner[S4].txt - [1628 octets] - [17/05/2013 16:51:32]

########## EOF - C:\AdwCleaner[S4].txt - [1688 octets] ##########

juju666 · Answer

Relance OTL
Sous personnalisation colle le texte suivant, puis click CORRECTION, et poste le rapport qui s'ouvrira au redémarrage.

:OTL
IE - HKU\S-1-5-21-1162547086-3336651368-1377622720-1000\..\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}: "URL" = http://www.fastbrowsersearch.com/results/results.aspx?q={searchTerms}&c=web&s=DSP&v=19&tid={A52C4078-9583-4c08-AFBC-FC0D243B5CFC}
IE - HKU\S-1-5-21-1162547086-3336651368-1377622720-1000\..\SearchScopes\{c3d07853-c240-4565-a805-7f7f4f84315f}: "URL" = http://www.yougoo.fr/annuaire{searchTerms}
IE - HKU\S-1-5-21-1162547086-3336651368-1377622720-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>;*.local      
FF - prefs.js..extensions.enabledAddons: {ba14329e-9550-4989-b3f2-9732e92d17cc}:10.13.40.15    
FF - prefs.js..extensions.enabledAddons: {0F827075-B026-42F3-885D-98981EE7B1AE}:2.6.1125.80 
[2009/08/11 16:17:57 | 000,003,711 | ---- | M] () -- C:\Users\Lolo\AppData\Roaming\mozilla\firefox\profiles
wgr1s4t.default\searchplugins\YouGoo.xml  
CHR - Extension: Plus-HD-1.5 = C:\Users\Lolo\AppData\Local\Google\Chrome\User Data\Default\Extensions\amcnaamhfnpmekghmhckingkdiingmjm\1.23.6_0\crossrider    
CHR - Extension: Plus-HD-1.5 = C:\Users\Lolo\AppData\Local\Google\Chrome\User Data\Default\Extensions\amcnaamhfnpmekghmhckingkdiingmjm\1.23.6_0\      
[2013/05/13 12:55:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy 
[2013/05/08 18:44:29 | 000,000,000 | ---D | C] -- C:\Program Files\Plus-HD-1.5      
[2013/05/02 19:16:48 | 000,000,000 | ---D | C] -- C:\Users\Lolo\AppData\Roaming\.mono      
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:8AB6C1D7      
@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:2B99FE60      
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:861A898F      
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:4F636E25      
@Alternate Data Stream - 107 bytes -> C:\ProgramData\TEMP:8173A019      
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:FEBEC560      

:Commands
[EMPTYTEMP]

Budstep · Answer

All processes killed
========== OTL ==========
Registry key HKEY_USERS\S-1-5-21-1162547086-3336651368-1377622720-1000\Software\Microsoft\Internet Explorer\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}\ not found.
Registry key HKEY_USERS\S-1-5-21-1162547086-3336651368-1377622720-1000\Software\Microsoft\Internet Explorer\SearchScopes\{c3d07853-c240-4565-a805-7f7f4f84315f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c3d07853-c240-4565-a805-7f7f4f84315f}\ not found.
HKU\S-1-5-21-1162547086-3336651368-1377622720-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride| /E : value set successfully!
Prefs.js: {ba14329e-9550-4989-b3f2-9732e92d17cc}:10.13.40.15 removed from extensions.enabledAddons
Prefs.js: {0F827075-B026-42F3-885D-98981EE7B1AE}:2.6.1125.80 removed from extensions.enabledAddons
C:\Users\Lolo\AppData\Roaming\mozilla\firefox\profiles
wgr1s4t.default\searchplugins\YouGoo.xml moved successfully.
File C:\Users\Lolo\AppData\Local\Google\Chrome\User Data\Default\Extensions\amcnaamhfnpmekghmhckingkdiingmjm\1.23.6_0\crossrider not found.
File C:\Users\Lolo\AppData\Local\Google\Chrome\User Data\Default\Extensions\amcnaamhfnpmekghmhckingkdiingmjm\1.23.6_0 not found.
C:\ProgramData\Spybot - Search & Destroy\Quarantine folder moved successfully.
C:\ProgramData\Spybot - Search & Destroy\Logs folder moved successfully.
C:\ProgramData\Spybot - Search & Destroy\Cleaning folder moved successfully.
C:\ProgramData\Spybot - Search & Destroy folder moved successfully.
C:\Program Files\Plus-HD-1.5 folder moved successfully.
C:\Users\Lolo\AppData\Roaming\.mono\certs\Trust folder moved successfully.
C:\Users\Lolo\AppData\Roaming\.mono\certs\CA folder moved successfully.
C:\Users\Lolo\AppData\Roaming\.mono\certs folder moved successfully.
C:\Users\Lolo\AppData\Roaming\.mono folder moved successfully.
ADS C:\ProgramData\TEMP:8AB6C1D7 deleted successfully.
ADS C:\ProgramData\TEMP:2B99FE60 deleted successfully.
ADS C:\ProgramData\TEMP:861A898F deleted successfully.
ADS C:\ProgramData\TEMP:4F636E25 deleted successfully.
ADS C:\ProgramData\TEMP:8173A019 deleted successfully.
ADS C:\ProgramData\TEMP:FEBEC560 deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 57657 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Lolo
->Temp folder emptied: 707043 bytes
->Temporary Internet Files folder emptied: 11993170 bytes
->Java cache emptied: 4375302 bytes
->FireFox cache emptied: 57675390 bytes
->Google Chrome cache emptied: 379693879 bytes
->Flash cache emptied: 1939979 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1500650 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 95110098 bytes
RecycleBin emptied: 1480940359 bytes
 
Total Files Cleaned = 1 940,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 05172013_173852

Files\Folders moved on Reboot...
File move failed. C:\Windows	emp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

juju666 · Answer

Bien, ça donne quoi ?

Budstep · Answer

apparemment c'est bon, merci beaucoup ! =)

juju666 · Answer

Si tu as Spybot, désinstalle, il est dépassé et inefficace.
Si tu as McAfee Security Scan, pareil désinstalle le, il sert à rien.
Et c'est la même chose pour AD-Aware, dépassé et inefficace, donc à désinstaller.

~~

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC ! 

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html  

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)