Présence d'un Virus/Trojan, problème telechargement sur mozilla

Fermé
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016 - 11 juin 2013 à 20:17
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 - 17 juin 2013 à 11:10
Bonjour,





Je rencontre depuis quelques jours des problèmes liés à mon internet qui est lent avec l'apparition de publicités non liées aux pages internet.

Cela m'est déjà arrivé mais bien sur je ne me souviens plus de la solution.

Petit historique des différents problèmes apparus:

- Ma licence Winrar étant expiré j'ai voulu installé 7zip que j'utilisais auparavant.
- Impossible de télécharger avec Mozilla, cad que je ne retrouve pas les fichiers que je télécharge et qu'aucun setup ne se lance.
- Malgré la recherche de solutions sur ce forum aucunes ne fonctionnent j'ai donc réinstallé mon navigateur.
- La suppression d'adblock m'a fait apparaitre dans mozilla les fameuses pubs.
- J'ai donc lancé mon anti virus mcafee (version gratuite) mais celui ci ne se lance plus je l'ai donc désinstallé mais bien sur en oubliant que je n'ai plus moyen d'en réinstallé un autre ou le meme puisque je ne peux plus télécharger avec Mozilla.
- J'ai donc remis à jour et lancé hier soir Malwarebytes Anti-Malware qui a découvert 3 fichiers (qu'il a qualifié de Trojan) que j'ai supprimés tout à l'heure mais sans résoudre mon problème pour autant et Malwarebytes ne trouve, bien sur plus rien.

Donc si vous avez une solution à mes problèmes que j'espère liés ca serait top.

Merci par avance

Prophet.

ps: j'ai complètement formaté mon PC il y a quelques temps et je n'ai pas réinstallé internet explorer...
A voir également:

21 réponses

g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
11 juin 2013 à 20:20
salut ce serait bien de voir le rapport de malwarebytes relatant les suppressions :)
1
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
11 juin 2013 à 23:19
des rapports OTL comme demandés m'aideraient bien....
1
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
11 juin 2013 à 20:27
aie je m'en doutais... Malheureusement stupidement j'ai supprimé hier soir (fatigue, énervement?) ledit rapport...
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
11 juin 2013 à 20:45
je l'ai supprimé dans malwarebytes justement...
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
Modifié par g3n-h@ckm@n le 11/06/2013 à 20:43
Télécharge ici :OTL

? enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

? => Clique ici pour voir la Configuration

? Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir "%Homedrive%\*" /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT


? Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

??? NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
11 juin 2013 à 20:47
malheureusement j'ai toujours mon problème de téléchargement avec mozilla du coup pas possible de télécharger OTL
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
11 juin 2013 à 20:50
heu........et avec IE ?
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
11 juin 2013 à 20:54
j'ai pas IE... je ne l'ai pas réinstallé lorsque j'ai formaté mon ordinateur il y a quelques mois
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
11 juin 2013 à 20:56
Internet explorer est lié à windows
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
11 juin 2013 à 20:58
je sais oui mais je l'ai viré ce qui me parait idiot maintenant...
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
11 juin 2013 à 21:00
t'es sur un autre pc là ?
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
11 juin 2013 à 21:01
non sur le meme...
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
11 juin 2013 à 21:07
t'as pas moyen d'avoir un autre pc pour telecharger ?
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
11 juin 2013 à 21:10
si demain au boulot
ca attendra demain du coup j'imagine
Merci pour tes réponses en attendant la suite demain
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
11 juin 2013 à 21:15
pas de soucis si tu transmets les trucs via usb , fais une vaccination avec USBFix sur l'aut:re pc avant de transferer le fichier

lien :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6505.html

tant qu'on ne sait pas ce qui traine dans celui-ci , vaut mieux être prudent
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
11 juin 2013 à 21:17
ok ca marche merci
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
11 juin 2013 à 22:04
:)
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
11 juin 2013 à 23:15
Salut de nouveau

a priori en cherchant un peu plus loin j'ai trouvé des traces de ce fichier dans windows temp

~nsu.tmp\Au_.exe

et ce rapport PFRO qui vient possiblement de Malwarebytes (l'heure et la date correspondent à peu pres à mon scan). Ca semble lié à mon problème en tout cas :-)


6/10/2013 21:27:49 - PFRO Error: \??\C:\Users\Pauline\AppData\Local\Temp\~nsu.tmp\Au_.exe, |delete operation|, 0xc000003a
6/10/2013 21:27:49 - PFRO Error: \??\C:\Users\Pauline\AppData\Local\Temp\~nsu.tmp, |delete operation|, 0xc0000034
6/10/2013 21:27:49 - PFRO Error: \??\C:\Users\Pauline\AppData\Local\Temp\~nsu.tmp\Au_.exe, |delete operation|, 0xc000003a
6/10/2013 21:27:49 - PFRO Error: \??\C:\Users\Pauline\AppData\Local\Temp\~nsu.tmp, |delete operation|, 0xc0000034
6/10/2013 21:27:49 - PFRO Error: \??\C:\Users\Pauline\AppData\Local\Temp\~nsu.tmp\Au_.exe, |delete operation|, 0xc000003a
6/10/2013 21:27:49 - PFRO Error: \??\C:\Users\Pauline\AppData\Local\Temp\~nsu.tmp, |delete operation|, 0xc0000034
6/10/2013 21:27:49 - PFRO Error: \??\C:\$Recycle.Bin\S-1-5-21-2024023496-377033980-2610996745-1000\$R5EDE3FC3, |delete operation|, 0xc0000034
6/10/2013 21:27:49 - PFRO Error: \??\C:\$Recycle.Bin\S-1-5-21-2024023496-377033980-2610996745-1000\$R85AC81D8, |delete operation|, 0xc0000034
6/10/2013 21:27:49 - PFRO Error: \??\C:\Users\Pauline\AppData\Local\Temp\{891C96E3-3D64-4005-A2EE-754652FFB415}\Addons\coupon_setup.exe, |delete operation|, 0xc0000034
6/10/2013 21:27:49 - 12 Successful PFRO operations

6/10/2013 23:56:30 - PFRO Error: \??\C:\Program Files\ICCup\Launcher\iccwc3.icc, |delete operation|, 0xc0000034
6/10/2013 23:56:30 - 2 Successful PFRO operations
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
12 juin 2013 à 19:58
Bonsoir,

Comme prévu je te mets les deux liens OTL en dessous.

http://cjoint.com/data/0Fmt3hFOUFQ.htm
http://cjoint.com/data/0Fmt5c4ATYf.htm (fichier extras)

Merci encore pour ton aide!

Prophet
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
12 juin 2013 à 21:06
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
12 juin 2013 à 21:18
ok merci! ca a l'air sympa et rassurant tout ca!
Je vais devoir attendre d'etre au boulot demain pour telecharger pre scan
donc à demain.

Prophet
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
12 juin 2013 à 21:21
ouaip t'as un sale truc mais ca devrait le virer
0
Salut,

Ca y est j'ai enfin pu telecharger et lancer ton outil! Ca semble bon et s'etre bien passé, je te joins le lien du rapport de l'opération.

http://cjoint.com/data/0Fots5rbpmp.htm

Merci encore

Prophet
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
14 juin 2013 à 19:53
ok relance l'outil , clique sur diag et heberge le rapport pre_diag puis donne le lien
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
14 juin 2013 à 20:19
http://cjoint.com/confirm.php?cjoint=0FousxAe6Xf
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
14 juin 2013 à 21:34
tu devrais desinstaller Vuze Azureus, c'est pas bon pour le karma de ton pc ....

======================

sélectionne ce texte , puis CTRL + C :

Kill::

Key::
[HKU\S-1-5-21-2024023496-377033980-2610996745-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[HKU\S-1-5-21-2024023496-377033980-2610996745-1000\Software\1ClickDownload]
[HKU\S-1-5-21-2024023496-377033980-2610996745-1000\Software\BabSolution]
[HKU\S-1-5-21-2024023496-377033980-2610996745-1000\Software\Conduit]
[HKU\S-1-5-21-2024023496-377033980-2610996745-1000\Software\DataMngr]
[HKU\S-1-5-21-2024023496-377033980-2610996745-1000\Software\DataMngr_Toolbar]
[HKU\S-1-5-21-2024023496-377033980-2610996745-1000\Software\InstallCore]
[HKLM\Software\5a28adde668ef13]
[HKLM\Software\Babylon]
[HKLM\Software\Conduit]
[HKLM\Software\DataMngr]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[QuickTime Task]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
[HKCR\CLSID\{FA6DC595-39EE-45E6-BC91-1E4D385ABB11}]

File|Fold::
C:\Users\Pauline\AppData\Roaming\Mozilla\Firefox\Profiles\2ayvgmtg.default\searchplugins\babylon.xml
C:\Users\Pauline\AppData\Roaming\Mozilla\Firefox\Profiles\dzfjldqi.default-1370890758838\searchplugins\babylon.xml
C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
C:\Windows\system32\searchplugins
C:\Windows\system32\Extensions
C:\Windows\system32\%APPDATA%
C:\user.js
C:\Users\Pauline\AppData\Roaming\Babylon
C:\Users\Pauline\AppData\Roaming\BabSolution
C:\ProgramData\Babylon
C:\ProgramData\boost_interprocess
C:\ProgramData\Premium
C:\ProgramData\InstallMate
C:\Users\Pauline\AppData\Local\Conduit
C:\Program Files\Conduit

Clean::

MBR::

Reboot::


Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
Je sais, le virus vient très probablement de vuze d'ailleurs, néanmoins je l'utilise de temps en temps quand je n'ai paas d'autres "choix".

ci joint le lien du fichiers demandé:
http://cjoint.com/data/0Foxd39EdL0.htm

Prophet
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
14 juin 2013 à 23:15
Télécharge et enregistre ADWCleaner sur ton bureau :

ne clique pas sur Download , attends que la fenetre de telechargement arrive pour confirmation

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
14 juin 2013 à 23:39
http://cjoint.com/data3/3FoxNh6C8zz.htm
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
14 juin 2013 à 23:47
c'est vraiment une arapède cette brownserprotectiontrucmuche !!!!

bref ca doit aller mieux non ?
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
15 juin 2013 à 00:02
Effectivement ca va beaucoup mieux! Je peux notamment à nouveau télécharger des fichiers a partir de mozilla, ca simplifie les opérations!
J'ai l'impression que tout fonctionne correctement, à part l'accès à mon compte google qui est bloqué c'est assez étrange sur firefox c'est semble-t-il un problème de cookie le message est:

La fonctionnalité des cookies est désactivée dans le navigateur. Activez-la. [?]

or après vérification sur le forum aucunes des solutions classiques ne fonctionnent pour régler le problème.

et sur chrome j'ai un message qui semble différent:

Le certificat de sécurité du site a été révoqué !
Vous avez tenté d'accéder à accounts.google.com, mais le certificat présenté par le serveur a été révoqué par son émetteur. Cela signifie que le certificat présenté par le serveur ne doit pas être approuvé. Il est donc possible que vous communiquiez avec un pirate informatique.
Impossible de continuer, car l'opérateur du site Web exige une sécurité renforcée pour ce domaine.


Enfin bref je ne sais pas si c'est lié au problème précédent, mais dans tous les cas je te remercie beaucoup pour le temps que tu as consacré à mes problèmes. Je ferais un tour sur ton paypal.

Prophet
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
15 juin 2013 à 00:05
▶ Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

▶ Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
▶ Double cliquez sur UsbFix.exe. (pour les utilisateurs de windows Vista , windows 7 , windows 8 , clique droit => executer en tant qu'administrateur"

▶ Cliquez sur Suppression.
▶ Laissez travailler l'outil.

▶ À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

▶ Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
Tutoriel vidéo

0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
16 juin 2013 à 22:46
http://cjoint.com/data3/3FqwUulLsrc.htm
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
16 juin 2013 à 22:47
c'est mon disque dur externe.

Merci g3n-h@ckm@n
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
16 juin 2013 à 23:14
c'est bon t'as encore des soucis ?
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
17 juin 2013 à 01:20
a priori ca se passe plutot pas mal! merci
il me reste deux problèmes:
- toujours cette histoire de compte google que je t'ai expliqué plus haut
- et il y a toujours des pubs intempestives soit sur les pages internets soit en pop up. Ca ressemble a un Malware mais impossible de le trouver avec malwarebites. Ca semble lié à un browser machin chose qui amène à cette page:
http://domains.googlesyndication.com/apps/domainpark/domainpark.cgi?ref=&output=html&client=ca-dp-bodis26_3ph_js&s=yamahaonlinestore.com

les deux problèmes peuvent donc etre lié!

Je ne sais pas si tu peux faire quelque chose, ce n'est pas vraiment dramatique.
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 950
17 juin 2013 à 07:51
sur quel navigateur ?
0
prophetGMS Messages postés 24 Date d'inscription mardi 11 juin 2013 Statut Membre Dernière intervention 15 août 2016
17 juin 2013 à 10:40
sur firefox et chrome
0