Présence d'un Virus/Trojan, problème telechargement sur mozillaFermé

Question

Bonjour, 



Configuration: Windows 7 / Firefox 21.0

Je rencontre depuis quelques jours des problèmes liés à mon internet qui est lent avec l'apparition de publicités non liées aux pages internet.

Cela m'est déjà arrivé mais bien sur je ne me souviens plus de la solution.

Petit historique des différents problèmes apparus:

- Ma licence Winrar étant expiré j'ai voulu installé 7zip que j'utilisais auparavant.
- Impossible de télécharger avec Mozilla, cad que je ne retrouve pas les fichiers que je télécharge et qu'aucun setup ne se lance.
- Malgré la recherche de solutions sur ce forum aucunes ne fonctionnent j'ai donc réinstallé mon navigateur.
- La suppression d'adblock m'a fait apparaitre dans mozilla les fameuses pubs.
- J'ai donc lancé mon anti virus mcafee (version gratuite) mais celui ci ne se lance plus je l'ai donc désinstallé mais bien sur en oubliant que je n'ai plus moyen d'en réinstallé un autre ou le meme puisque je ne peux plus télécharger avec Mozilla.
- J'ai donc remis à jour et lancé hier soir Malwarebytes Anti-Malware qui a découvert 3 fichiers (qu'il a qualifié de Trojan) que j'ai supprimés tout à l'heure mais sans résoudre mon problème pour autant et Malwarebytes ne trouve, bien sur plus rien.

Donc si vous avez une solution à mes problèmes que j'espère liés ca serait top.

Merci par avance

Prophet.

ps: j'ai complètement formaté mon PC il y a quelques temps et je n'ai pas réinstallé internet explorer...

g3n-h@ckm@n · Answer

salut ce serait bien de voir le rapport de malwarebytes relatant les suppressions :)

prophetGMS · Answer

aie je m'en doutais... Malheureusement stupidement j'ai supprimé hier soir (fatigue, énervement?) ledit rapport...

g3n-h@ckm@n · Answer

Télécharge ici :OTL

? enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

? => Clique ici pour voir la Configuration

? Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*. 
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
dir "%Homedrive%\*" /S /A:L /C 
msconfig 
activex 
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
CREATERESTOREPOINT 

? Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

??? NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens 
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

g3n-h@ckm@n · Answer

Internet explorer est lié à windows

g3n-h@ckm@n · Answer

t'es sur un autre pc là ?

g3n-h@ckm@n · Answer

t'as pas moyen d'avoir  un autre pc pour telecharger ?

prophetGMS · Answer

Salut de nouveau

a priori en cherchant un peu plus loin j'ai trouvé des traces de ce fichier dans windows temp

~nsu.tmp\Au_.exe

et ce rapport PFRO qui vient possiblement de Malwarebytes (l'heure et la date correspondent à peu pres à mon scan). Ca semble lié à mon problème en tout cas :-)


6/10/2013 21:27:49 - PFRO Error: \??\C:\Users\Pauline\AppData\Local\Temp\~nsu.tmp\Au_.exe, |delete operation|, 0xc000003a
6/10/2013 21:27:49 - PFRO Error: \??\C:\Users\Pauline\AppData\Local\Temp\~nsu.tmp, |delete operation|, 0xc0000034
6/10/2013 21:27:49 - PFRO Error: \??\C:\Users\Pauline\AppData\Local\Temp\~nsu.tmp\Au_.exe, |delete operation|, 0xc000003a
6/10/2013 21:27:49 - PFRO Error: \??\C:\Users\Pauline\AppData\Local\Temp\~nsu.tmp, |delete operation|, 0xc0000034
6/10/2013 21:27:49 - PFRO Error: \??\C:\Users\Pauline\AppData\Local\Temp\~nsu.tmp\Au_.exe, |delete operation|, 0xc000003a
6/10/2013 21:27:49 - PFRO Error: \??\C:\Users\Pauline\AppData\Local\Temp\~nsu.tmp, |delete operation|, 0xc0000034
6/10/2013 21:27:49 - PFRO Error: \??\C:\$Recycle.Bin\S-1-5-21-2024023496-377033980-2610996745-1000\$R5EDE3FC3, |delete operation|, 0xc0000034
6/10/2013 21:27:49 - PFRO Error: \??\C:\$Recycle.Bin\S-1-5-21-2024023496-377033980-2610996745-1000\$R85AC81D8, |delete operation|, 0xc0000034
6/10/2013 21:27:49 - PFRO Error: \??\C:\Users\Pauline\AppData\Local\Temp\{891C96E3-3D64-4005-A2EE-754652FFB415}\Addons\coupon_setup.exe, |delete operation|, 0xc0000034
6/10/2013 21:27:49 - 12 Successful PFRO operations

6/10/2013 23:56:30 - PFRO Error: \??\C:\Program Files\ICCup\Launcher\iccwc3.icc, |delete operation|, 0xc0000034
6/10/2013 23:56:30 - 2 Successful PFRO operations

g3n-h@ckm@n · Answer

des rapports OTL comme demandés m'aideraient bien....

prophetGMS · Answer

Bonsoir,

Comme prévu je te mets les deux liens OTL en dessous.

http://cjoint.com/data/0Fmt3hFOUFQ.htm
http://cjoint.com/data/0Fmt5c4ATYf.htm (fichier extras)

Merci encore pour ton aide!

Prophet

g3n-h@ckm@n · Answer

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

g3n-h@ckm@n · Answer

ouaip  t'as un sale truc mais ca devrait  le virer

prophetGMS · Answer

Salut,

Ca y est j'ai enfin pu telecharger et lancer ton outil! Ca semble bon et s'etre bien passé, je te joins le lien du rapport de l'opération.

http://cjoint.com/data/0Fots5rbpmp.htm

Merci encore

Prophet

g3n-h@ckm@n · Answer

ok relance l'outil , clique sur diag et heberge le rapport pre_diag puis donne le lien

g3n-h@ckm@n · Answer

tu devrais desinstaller Vuze Azureus, c'est pas bon pour le karma de ton pc ....

======================

sélectionne ce texte , puis CTRL + C :

Kill::

Key::
[HKU\S-1-5-21-2024023496-377033980-2610996745-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[HKU\S-1-5-21-2024023496-377033980-2610996745-1000\Software\1ClickDownload]     
[HKU\S-1-5-21-2024023496-377033980-2610996745-1000\Software\BabSolution]     
[HKU\S-1-5-21-2024023496-377033980-2610996745-1000\Software\Conduit]     
[HKU\S-1-5-21-2024023496-377033980-2610996745-1000\Software\DataMngr] 
[HKU\S-1-5-21-2024023496-377033980-2610996745-1000\Software\DataMngr_Toolbar] 
[HKU\S-1-5-21-2024023496-377033980-2610996745-1000\Software\InstallCore]     
[HKLM\Software\5a28adde668ef13] 
[HKLM\Software\Babylon]     
[HKLM\Software\Conduit]     
[HKLM\Software\DataMngr] 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[QuickTime Task] 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
[HKCR\CLSID\{FA6DC595-39EE-45E6-BC91-1E4D385ABB11}]

File|Fold::
C:\Users\Pauline\AppData\Roaming\Mozilla\Firefox\Profiles\2ayvgmtg.default\searchplugins\babylon.xml     
C:\Users\Pauline\AppData\Roaming\Mozilla\Firefox\Profiles\dzfjldqi.default-1370890758838\searchplugins\babylon.xml     
C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml     
C:\Windows\system32\searchplugins 
C:\Windows\system32\Extensions 
C:\Windows\system32\%APPDATA% 
C:\user.js     
C:\Users\Pauline\AppData\Roaming\Babylon     
C:\Users\Pauline\AppData\Roaming\BabSolution     
C:\ProgramData\Babylon     
C:\ProgramData\boost_interprocess     
C:\ProgramData\Premium     
C:\ProgramData\InstallMate     
C:\Users\Pauline\AppData\Local\Conduit     
C:\Program Files\Conduit     

Clean::

MBR::

Reboot::

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

prophetGMS · Answer

Je sais, le virus vient très probablement de vuze d'ailleurs, néanmoins je l'utilise de temps en temps quand je n'ai paas d'autres "choix".

ci joint le lien du fichiers demandé:
http://cjoint.com/data/0Foxd39EdL0.htm

Prophet

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWCleaner sur ton bureau :

ne clique pas sur Download , attends que la fenetre de telechargement arrive pour confirmation

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

g3n-h@ckm@n · Answer

c'est vraiment une arapède cette brownserprotectiontrucmuche !!!!

bref ca doit aller mieux non ?

g3n-h@ckm@n · Answer

&#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
&#9654 Double cliquez sur UsbFix.exe. (pour les utilisateurs de windows Vista , windows 7 , windows 8 , clique droit => executer en tant qu'administrateur" 

&#9654 Cliquez sur Suppression.
&#9654 Laissez travailler l'outil. 

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
&#9654 Tutoriel vidéo

g3n-h@ckm@n · Answer

c'est bon t'as encore des soucis ?

g3n-h@ckm@n · Answer

sur quel navigateur ?

g3n-h@ckm@n · Answer

et IE ?

Présence d'un Virus/Trojan, problème telechargement sur mozilla

21 réponses

Discussions similaires

Newsletters