Supprimer PUP.Optional.Lyrics.A / PUP.Optional.BrowseFox.A Résolu/Fermé

Question

Bonjour, 

Il y a peu j'ai téléchargé un programme que je n'aurais pas dû... Depuis lors, j'ai de nombreux pop-ups qui investissent Google Chrome! J'ai fait un scan avec Malwerbytes dont voici le résultat..

Malwarebytes Anti-Malware 1.75.0.1300www.malwarebytes.orgVersion de la base de données: v2013.09.29.08Windows XP Service Pack 3 x86 NTFSInternet Explorer 8.0.6001.18702Keke :: KEVIN [administrateur]30/09/2013 17:00:57mbam-log-2013-09-30 (17-00-57).txtType d'examen: Examen complet (C:\|D:\|)Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUMOptions d'examen désactivées: P2PElément(s) analysé(s): 465751Temps écoulé: 2 heure(s), 13 minute(s), 43 seconde(s)Processus mémoire détecté(s): 2C:\Documents and Settings\Keke\Application Data\OpenCandy\A7F41C729D774278AB3B917CB2682EA4\Ignite_DLMgr_249.exe (PUP.Optional.OpenCandy) -> 2456 -> Suppression au redémarrage.C:\Documents and Settings\Keke\Application Data\OpenCandy\A7F41C729D774278AB3B917CB2682EA4\PasswordBoxCHSTORE_p1v0.exe (PUP.Optional.OpenCandy) -> 916 -> Suppression au redémarrage.Module(s) mémoire détecté(s): 0(Aucun élément nuisible détecté)Clé(s) du Registre détectée(s): 7HKCR\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} (PUP.Optional.BrowseFox.A) -> Mis en quarantaine et supprimé avec succès.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7} (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7} (PUP.Optional.SearchQu) -> Mis en quarantaine et supprimé avec succès.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9D717F81-9148-4F12-8568-69135F087DB0} (PUP.Optional.Bandoo.A) -> Mis en quarantaine et supprimé avec succès.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0} (PUP.Optional.Bandoo.A) -> Mis en quarantaine et supprimé avec succès.HKCU\Software\Datamngr (PUP.Optional.DataMngr.A) -> Mis en quarantaine et supprimé avec succès.HKCU\SOFTWARE\CROSSRIDER (PUP.Optional.CrossRider.A) -> Mis en quarantaine et supprimé avec succès.Valeur(s) du Registre détectée(s): 3HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{99079A25-328F-4BD4-BE04-00955ACAA0A7} (PUP.Optional.SearchQu) -> Données: Searchqu Toolbar -> Mis en quarantaine et supprimé avec succès.HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{99079a25-328f-4bd4-be04-00955acaa0a7} (PUP.Optional.SearchQu) -> Données:  -> Mis en quarantaine et supprimé avec succès.HKCU\Software\Crossrider|Verifier (PUP.Optional.CrossRider.A) -> Données: 50e60568871e250ad971be618fc1dbde -> Mis en quarantaine et supprimé avec succès.Elément(s) de données du Registre détecté(s): 0(Aucun élément nuisible détecté)Dossier(s) détecté(s): 4C:\Documents and Settings\Keke\Application Data\Babylon (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Application Data\OpenCandy (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Application Data\OpenCandy\A7F41C729D774278AB3B917CB2682EA4 (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Local Settings\Temp\CT3307695 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.Fichier(s) détecté(s): 25C:\Documents and Settings\Keke\Application Data\FrostWire\.AppSpecialShare\frostwire-4.21.3.windows.exe (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Local Settings\Temp\ins9975\ins9975.exe (PUP.Optional.Firseria) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Local Settings\Temp
sd10E.tmp\OCSetupHlp.dll (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Local Settings\Temp
sd10E.tmp\BI\BI.exe (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Local Settings\Temp
si126.tmp\OCSetupHlp.dll (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Local Settings\Temp
si126.tmp\BI\BI.exe (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Mes documents\Downloads\01net_HijackThis.exe (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP780\A0203640.exe (PUP.Hacktool.Patcher) -> Mis en quarantaine et supprimé avec succès.C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP791\A0204566.dll (PUP.Optional.BrowseFox.A) -> Mis en quarantaine et supprimé avec succès.C:\RECYCLER\S-1-5-21-1760949722-3316687222-2890029627-1006\Dc19\LyricsSay-1-bg.exe (PUP.Optional.Lyrics.A) -> Mis en quarantaine et supprimé avec succès.C:\RECYCLER\S-1-5-21-1760949722-3316687222-2890029627-1006\Dc19\LyricsSay-1-bho.dll (PUP.Optional.Lyrics.A) -> Mis en quarantaine et supprimé avec succès.C:\RECYCLER\S-1-5-21-1760949722-3316687222-2890029627-1006\Dc19\LyricsSay-1-buttonutil.exe (PUP.Optional.Lyrics.A) -> Mis en quarantaine et supprimé avec succès.C:\RECYCLER\S-1-5-21-1760949722-3316687222-2890029627-1006\Dc19\LyricsSay-1-chromeinstaller.exe (PUP.Optional.Lyrics.A) -> Mis en quarantaine et supprimé avec succès.C:\RECYCLER\S-1-5-21-1760949722-3316687222-2890029627-1006\Dc19\LyricsSay-1-codedownloader.exe (PUP.Optional.Lyrics.A) -> Mis en quarantaine et supprimé avec succès.C:\RECYCLER\S-1-5-21-1760949722-3316687222-2890029627-1006\Dc19\LyricsSay-1-enabler.exe (PUP.Optional.Lyrics.A) -> Mis en quarantaine et supprimé avec succès.C:\RECYCLER\S-1-5-21-1760949722-3316687222-2890029627-1006\Dc19\LyricsSay-1-firefoxinstaller.exe (PUP.Optional.Lyrics.A) -> Mis en quarantaine et supprimé avec succès.C:\RECYCLER\S-1-5-21-1760949722-3316687222-2890029627-1006\Dc19\LyricsSay-1-updater.exe (PUP.Optional.Lyrics.A) -> Mis en quarantaine et supprimé avec succès.C:\RECYCLER\S-1-5-21-1760949722-3316687222-2890029627-1006\Dc19\utils.exe (PUP.Optional.Lyrics.A) -> Mis en quarantaine et supprimé avec succès.C:\Program Files\AVS4YOU\Crack AVS All Products.exe (PUP.Hacktool.Patcher) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Application Data\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Local Settings\Temp\searchqutoolbar-manifest.xml (PUP.Optional.Searchqu.A) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Local Settings\Temp\SetupDataMngr_Searchqu.exe (PUP.Optional.Searchqu.A) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Application Data\OpenCandy\A7F41C729D774278AB3B917CB2682EA4\Ignite_DLMgr_249.exe (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Application Data\OpenCandy\A7F41C729D774278AB3B917CB2682EA4\PasswordBoxCHSTORE_p1v0.exe (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.C:\Documents and Settings\Keke\Local Settings\Temp\CT3307695\ddt.csf (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.(fin)

Dans les programmes, je vois qu'il y a "ADVERTISING CENTER" et "DOLBFILES" qui me paraissent douteux... mais que je n'arrive pas à supprimer. 

Pouvez-vous m'aider?

D'avance merci,

Kevin

Configuration: Windows XP / Chrome 29.0.1547.76

Malekal_morte- · Answer

Salut, 


Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.  
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminéi, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

usemines · Answer

Bonjour,

Merci pour votre réponse. Voici le rapport...

# AdwCleaner v3.005 - Rapport créé le 30/09/2013 à 21:14:29
# Mis à jour le 22/09/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Keke - KEVIN
# Exécuté depuis : C:\Documents and Settings\Keke\Mes documents\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\boost_interprocess
Dossier Supprimé : C:\Documents and Settings\Keke\Local Settings\Application Data\PackageAware
Dossier Supprimé : C:\Documents and Settings\Keke\Application Data\dvdvideosoftiehelpers
Dossier Supprimé : C:\Documents and Settings\Keke\Application Data\searchquband
Dossier Supprimé : C:\Documents and Settings\Keke\Application Data\yourfiledownloader
[!] Dossier Supprimé : C:\Documents and Settings\Keke\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pbjcbkbcncfkoljakenekllbfdonhjef
Fichier Supprimé : C:\DOCUME~1\Keke\LOCALS~1\Temp\Searchqu.ini

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\WMHelper.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{A7DDCBDE-5C86-415C-8A37-763AE183E7E4}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3BF72F68-72D8-461D-A884-329D936C5581}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{78E9D883-93CD-4072-BEF3-38EE581E2839}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{83AC1413-FCE4-4A46-9DD5-4F31F306E71F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B37B4BA6-334E-72C1-B57E-6AFE8F8A5AF3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B77AD4AC-C1C2-B293-7737-71E13A11FFEA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E773F2CF-5E6E-FF2B-81A1-AC581A26B2B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{96F7FABC-5789-EFA4-B6ED-1272F4C1D27B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{043C5167-00BB-4324-AF7E-62013FAEDACF}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{32099AAC-C132-4136-9E9A-4E364A424E17}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4B3803EA-5230-4DC3-A7FC-33638F3D3542}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6A87B991-A31F-4130-AE72-6D0C294BF082}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8736C681-37A0-40C6-A0F0-4C083409151C}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E908B145-C847-4E85-B315-07E2E70DECF8}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EF99BD32-C1FB-11D2-892F-0090271D4F88}]
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKLM\Software\Conduit

***** [ Navigateurs ] *****

-\ Internet Explorer v8.0.6001.18702


-\ Google Chrome v

[ Fichier : C:\Documents and Settings\Keke\Local Settings\Application Data\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [4288 octets] - [30/09/2013 21:10:59]
AdwCleaner[S0].txt - [4261 octets] - [30/09/2013 21:14:29]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [4321 octets] ##########

Malekal_morte- · Answer

Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Donne la liste.

Sur Google Chrome : Menu en haut à droite puis Outils / Extensions
Donne la liste.


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

usemines · Answer

Je fais cela tout de suite et vous transfère l'analyse... par contre aucune extension dans Google Chrome...

usemines · Answer

https://pjjoint.malekal.com/files.php?id=20131006_o14p8p14z9g6
https://pjjoint.malekal.com/files.php?id=20131006_c5u13s13u12b5

Merci bcp

Malekal_morte- · Answer

humm..

 Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\TEMP\kmba\setup.exe run -- (AMService) 
[2007/06/18 15:55:41 | 000,000,022 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\c9b086ce-4a3b-11db-8373-b622a1ef5492 
:files
C:\WINDOWS\TEMP\kmba\
:Commands
[emptytemp] 
[emptyflash] 
[resethosts]
[reboot]

* poste le rapport ici 



~~


Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start= 
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.

usemines · Answer

https://pjjoint.malekal.com/files.php?id=20131006_c9l9r11s1510

https://pjjoint.malekal.com/files.php?id=20131006_v5n8v15l8r10

Voici les deux rapports! Encore un tout grand merci pour votre aide!

Malekal_morte- · Answer

Change tes mots de passe.

Ca a l'air good,

Garde Malwarebytes pour des scans réguliers,

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

usemines · Answer

Un tout grand merci!

Quand vous dites de changer les mots de passe... quels mots de passe?

D'avance merci,