Malware/Virus impossible à supprimer

Elsaser -  
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour,

J'ai essayé à plusieurs reprises de nettoyer l'ordinateur de mes parents avec mon antivirus Antivir et avec Malwarebytes. Toutefois, malgré plusieurs tentatives de suppression, ces programmes sont toujours présents.
Malheureusement mes parents ne sont pas très au fait des réalités en matière informatique et cliquent un peu n'importe où et donc impossible de savoir d'où viennent ces saletés. Pour eux tant que le navigateur marche, même en cas d'alerte de l'anti virus pas de problèmes (donc impossible de savoir quand ils ont été infectés).

J'ai supprimé Delta seach dans les modules complémentaires de firefox. Malwarebytes m'a trouvé 57 éléments malveillants, j'ai tout supprimé, mais il en reste 7 qu'il est impossible à supprimer. Le programme refuse de répondre pendant la phase de suppression.

De même antivir me signale un programme malveillant dans le dossier du logiciel flash player (qui envoie d'ailleurs constamment un message d'erreur). Je clique sur supprimer, l'alerte revient une dizaine de fois, disparait, et revient à nouveau quelques jours plus tard.

Je me demande comment nettoyer ce PC pour de bon.

Merci d'avance

12 réponses

  1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    salut

    Télécharge et enregistre (lien direct) http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner ADWCleaner sur ton bureau :

    Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur") puis clique sur scan

    une fois fait , clique sur nettoyer et poste C:\Adwcleaner[Sx].txt
    0
  2. Elsaser
     
    Bonjour,

    Merci pour cette réponse rapide.

    Voici le rapport:

    # AdwCleaner v3.003 - Rapport créé le 10/09/2013 à 19:12:26
    # Mis à jour le 07/09/2013 par Xplode
    # Système d'exploitation : Windows (TM) Vista Home Premium Service Pack 2 (64 bits)
    # Nom d'utilisateur : Utilisateur - PC-DE-USER
    # Exécuté depuis : C:\Users\Utilisateur\Desktop\adwcleaner.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    [#] Service Supprimé : BrowserProtect

    ***** [ Fichiers / Dossiers ] *****

    [!] Dossier Supprimé : C:\ProgramData\Babylon
    [!] Dossier Supprimé : C:\ProgramData\BrowserProtect
    [!] Dossier Supprimé : C:\Program Files (x86)\delta
    [!] Dossier Supprimé : C:\Users\Utilisateur\AppData\Roaming\BabSolution
    [!] Dossier Supprimé : C:\Users\Utilisateur\AppData\Roaming\Babylon
    [!] Dossier Supprimé : C:\Users\Utilisateur\AppData\Roaming\file scout
    Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
    Fichier Supprimé : C:\Users\Utilisateur\AppData\Roaming\BabMaint.exe
    Fichier Supprimé : C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\tfpzh3mo.default\\invalidprefs.js
    Fichier Supprimé : C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\tfpzh3mo.default\bprotector_extensions.sqlite
    Fichier Supprimé : C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\tfpzh3mo.default\bprotector_prefs.js
    Fichier Supprimé : C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\tfpzh3mo.default\searchplugins\Babylon.xml
    Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\Babylon.xml
    Fichier Supprimé : C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\tfpzh3mo.default\searchplugins\BrowserProtect.xml
    Fichier Supprimé : C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\tfpzh3mo.default\searchplugins\delta.xml
    Fichier Supprimé : C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\tfpzh3mo.default\user.js
    Fichier Supprimé : C:\Windows\System32\Tasks\BrowserProtect
    Fichier Supprimé : C:\Windows\System32\Tasks\EPUpdater

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
    Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
    Clé Supprimée : HKCU\Software\5a558cdbe53bbf48
    Clé Supprimée : HKLM\SOFTWARE\5a558cdbe53bbf48
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{39CB8175-E224-4446-8746-00566302DF8D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{76C45B18-A29E-43EA-AAF8-AF55C2E1AE17}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7CD74AFF-3433-4E34-92E2-D98DFDB30754}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{96EF404C-24C7-43D0-9096-4CCC8BB7CCAC}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97720195-206A-42AE-8E65-260B9BA5589F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{986F7A5A-9676-47E1-8642-F41F8C3FCF82}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B18788A4-92BD-440E-A4D1-380C36531119}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2DAC2231-CC35-482B-97C5-CED1D4185080}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3F1CD84C-04A3-4EA0-9EA1-7D134FD66C82}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3F83A9CA-B5F0-44EC-9357-35BB3E84B07F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{47E520EA-CAD2-4F51-8F30-613B3A1C33EB}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{57C91446-8D81-4156-A70E-624551442DE9}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{70AFB7B2-9FB5-4A70-905B-0E9576142E1D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7AD65FD1-79E0-406D-B03C-DD7C14726D69}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{97DD820D-2E20-40AD-B01E-6730B2FCE630}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B177446D-54A4-4869-BABC-8566110B4BE0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D9D1DFC5-502D-43E4-B1BB-4D0B7841489A}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E0B07188-A528-4F9E-B2F7-C7FDE8680AE4}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F05B12E1-ADE8-4485-B45B-898748B53C37}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
    Clé Supprimée : HKCU\Software\BabSolution
    Clé Supprimée : HKCU\Software\BabylonToolbar
    Clé Supprimée : HKCU\Software\Delta
    Clé Supprimée : HKLM\Software\Babylon
    Clé Supprimée : HKLM\Software\DataMngr
    Clé Supprimée : HKLM\Software\Delta
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Delta

    ***** [ Navigateurs ] *****

    -\\ Internet Explorer v9.0.8112.16502

    Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]

    -\\ Mozilla Firefox v23.0.1 (fr)

    [ Fichier : C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\tfpzh3mo.default\prefs.js ]

    Ligne Supprimée : user_pref("avg.install.userHPSettings", "hxxp://www.delta-search.com/?affID=121845&tt=110413_www&babsrc=HP_ss&mntrId=1CB20018E747F834");
    Ligne Supprimée : user_pref("avg.install.userSPSettings", "Delta Search");
    Ligne Supprimée : user_pref("browser.newtab.url", "hxxp://www.delta-search.com/?affID=121845&tt=110413_www&babsrc=NT_ss&mntrId=1CB20018E747F834");
    Ligne Supprimée : user_pref("extensions.delta.admin", false);
    Ligne Supprimée : user_pref("extensions.delta.aflt", "babsst");
    Ligne Supprimée : user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");
    Ligne Supprimée : user_pref("extensions.delta.autoRvrt", "false");
    Ligne Supprimée : user_pref("extensions.delta.dfltLng", "en");
    Ligne Supprimée : user_pref("extensions.delta.excTlbr", false);
    Ligne Supprimée : user_pref("extensions.delta.ffxUnstlRst", true);
    Ligne Supprimée : user_pref("extensions.delta.id", "1cb2a7c90000000000000018e747f834");
    Ligne Supprimée : user_pref("extensions.delta.instlDay", "15808");
    Ligne Supprimée : user_pref("extensions.delta.instlRef", "sst");
    Ligne Supprimée : user_pref("extensions.delta.newTab", false);
    Ligne Supprimée : user_pref("extensions.delta.prdct", "delta");
    Ligne Supprimée : user_pref("extensions.delta.prtnrId", "delta");
    Ligne Supprimée : user_pref("extensions.delta.rvrt", "false");
    Ligne Supprimée : user_pref("extensions.delta.smplGrp", "none");
    Ligne Supprimée : user_pref("extensions.delta.tlbrId", "base");
    Ligne Supprimée : user_pref("extensions.delta.tlbrSrchUrl", "");
    Ligne Supprimée : user_pref("extensions.delta.vrsn", "1.8.16.16");
    Ligne Supprimée : user_pref("extensions.delta.vrsnTs", "1.8.16.1610:46:37");
    Ligne Supprimée : user_pref("extensions.delta.vrsni", "1.8.16.16");

    *************************

    AdwCleaner[R0].txt - [7600 octets] - [10/09/2013 19:11:43]
    AdwCleaner[S0].txt - [7231 octets] - [10/09/2013 19:12:26]

    ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [7291 octets] ##########
    0
  3. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    ok fais JRT maintenant

    http://www.security-helpzone.com/gen-hackman/tutos-canneds/junkware-removal-tool/
    0
  4. Elsaser
     
    merci !

    voici avec un peu de retard le résultat du scan:

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Junkware Removal Tool (JRT) by Thisisu
    Version: 6.0.0 (09.12.2013:1)
    OS: Windows (TM) Vista Home Premium x64
    Ran by Utilisateur on 12/09/2013 at 11:00:14,03
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    ~~~ Services

    ~~~ Registry Values

    Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\\Start Page
    Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\Default_Page_URL
    Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\\Default_Page_URL

    ~~~ Registry Keys

    Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\Interface\{2CE4D4CF-B278-4126-AD1E-B622DA2E8339}
    Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-3455333213-3341088563-2851625625-1000\Software\SweetIM
    Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0954F97B-59BF-44F6-BFE2-89A8436E16B6}
    Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{37670BC6-1717-44D9-8D2F-C2A83D866B38}
    Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0954F97B-59BF-44F6-BFE2-89A8436E16B6}
    Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{37670BC6-1717-44D9-8D2F-C2A83D866B38}

    ~~~ Files

    ~~~ Folders

    ~~~ FireFox

    Successfully deleted: [File] C:\Users\Utilisateur\AppData\Roaming\mozilla\firefox\profiles\tfpzh3mo.default\invalidprefs.js
    Emptied folder: C:\Users\Utilisateur\AppData\Roaming\mozilla\firefox\profiles\tfpzh3mo.default\minidumps [21 files]

    ~~~ Event Viewer Logs were cleared

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Scan was completed on 12/09/2013 at 11:08:52,01
    End of JRT log
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    fais voir ton rapport de malwarebytes relatant les 57 infections ?
    0
  7. Elsaser
     
    Je n'arrive pas à retrouver ce rapport, mais je viens de refaire un scan et il y'a encore 4 programmes détectés. Je n'arrive pas à les supprimer car dès que je lance l'opération malwarebytes ne répond plus.

    Voici le rapport:

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.09.14.03

    Windows Vista Service Pack 2 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Utilisateur :: PC-DE-USER [administrateur]

    14/09/2013 13:31:51
    MBAM-log-2013-09-14 (15-10-18).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 433491
    Temps écoulé: 1 heure(s), 21 minute(s), 21 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 3
    C:\Users\Utilisateur\AppData\Local\Temp\mt_ffx\Delta (PUP.Optional.Delta.A) -> Aucune action effectuée.
    C:\Users\Utilisateur\AppData\Local\Temp\mt_ffx\Delta\delta (PUP.Optional.Delta.A) -> Aucune action effectuée.
    C:\Users\Utilisateur\AppData\Local\Temp\mt_ffx\Delta\delta\1.8.16.16 (PUP.Optional.Delta.A) -> Aucune action effectuée.

    Fichier(s) détecté(s): 1
    C:\Users\Utilisateur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OJV316RG\pack[2].7z (PUP.Optional.PerformerSoft.A) -> Aucune action effectuée.

    (fin)
    0
  8. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    si t'arrêtais de telecharger tes programmes sur des sites pourris ca irait mieux....
    0
    1. Elsaser
       
      Malheureusement ce n'est pas mon ordi donc je n'ai pas de contrôle la dessus. C'est l'ordi de mes parents et de mes frangins. Pour eux tant que Firefox et Emule s'ouvrent pas de soucis.
      J'essaie juste de sécuriser un minimum le truc vu qu'ils font des achats par carte bancaire sur le net.
      0
  9. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    ah ben qu'ils s'attendent à se faire exploser le compte en banque alors à faire n'importe quoi avec le pc

    fais OTL comme indiqié :

    http://www.security-helpzone.com/gen-hackman/tutos-canneds/otl-2/
    0
  10. Elsaser
     
    C'est sur que je ne serais pas étonnée le jour ou ca arrivera ...

    Voici les deux fichiers du scan:

    http://cjoint.com/?CIqrqIkZ2SC

    http://cjoint.com/?CIqrrRkdK4y
    0
  11. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    akamai est un logiciel de contrôle à distance de l'ordinateur , il vous est vraiment utile ?
    0
  12. Elsaser
     
    Personne dans la famille n'a installé ce logiciel, donc je m'en vais le supprimer de suite
    0