Virus dont je n'arrive pas à me débarasser Fermé

Question

Bonjour, j'ai un problème sur mon ordinateur. Récemment on m'a demandé de mettre à jour Adobe Flash Player, sentant l'arnaque j'ai ignoré, et je n'ai pas touché, mais je ne pouvais plus accéder à Youtube et sur mon blog, les gifs ne marchent pas. J'ai donc téléchargé le plug-in Adobe Flash Player sur le site officiel d'Adobe. Ca n'a rien changé, j'ai donc essayé la mise à jour de l'arnaque, quelque chose s'est téléchargé mais Microsoft Security Essentials l'en a empêché en disant qu'il y avait un virus dedans. Sauf que même maintenant j'ai des problèmes, ma souris ne bouge plus parfois, le clic droit est défaillant, c'est LEEEEEEEEENT, ça bloque, je n'ai toujours pas accès à Youtube, et les gifs sur le net ne marchent toujours pas. J'ai téléchargé Avast, tenté les scans rapides et minutieux, mais le minutieux ne dépasse pas la barre des 0%, le rapide me signale qu'il n'y a aucun danger, mais j'ai remarqué quelque chose de bizarre c'est qu'au niveau des Fichiers/Dossiers examinés lors du scan, c'est noté une valeur en dessous de 1 du genre 77753/1 au lieu de l'unité de base de fichiers scannés. J'ai aussi scanné le PC avec MalwareBytes Anti-Malware et supprimé la sélection qu'il m'a refilé (plus de 200 malwares oo'). Et dernier truc bizarre que j'ai remarqué, dans les extensions de mon navigateur (Google Chrome), une extension que j'ai beau désinstallé, se ré-installe et qui se nomme : MInimumMPriAce, j'ai tenté de la supprimer de mes programmes windows mais ils me disent comme quoi elle a déjà été désinstallée ou chais pas.

Voilà je vous ai donné toutes les précisions et les trucs que j'ai remarqué, quelqu'un a une idée de ce que je devrais faire ? Merci d'avance



Configuration: Windows 7 / Chrome 31.0.1650.63

Destrio5 · Answer

Bonjour,

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

--> Clique sur "Configurer" puis sur la loupe la plus à droite "Diagnostic avec légitimes".

--> A la fenêtre "Voulez-vous un rapport full options ?", clique sur Oui et patiente le temps du scan.

--> Une fois le scan terminé, un rapport est créé sur le Bureau. 

--> Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message.

anotherwon · Answer

Merci pour ton aide !! (:
Le scan bloque à 42% et l'application ne répond plus.
Je fais quelque chose?

Destrio5 · Answer

Attends dix minutes et s'il ne se débloque pas, on utilisera un autre outil de diagnostic.

anotherwon · Answer

Voici le lien du rapport : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20140225_q10p13w10i10e10

Destrio5 · Answer

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


Script ZHPFix
SysRestore
C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Preferences   
G2 - GCE: Preference [User Data\Default] [booedmolknjekdopkepjjeckmjkdpfgl] Managerr v.0.1 (Activé)  
G2 - GCE: Preference [User Data\Default] [ddmnepnbnldklmmlnanljffimllhihgl] UtubieAdRaemOvval v.2.1 (Activé)  
G2 - GCE: Preference [User Data\Default] [flpcjncodpafbgdpnkljologafpionhb] Managera v.0.1 (Activé)  
O2 - BHO: RobOSSaver [64Bits] - {967F18AE-A234-2135-2DEF-4EC2BFE0B763} Clé orpheline    
O2 - BHO: MInimuMPriaCe [64Bits] - {BD1B9F3D-318D-6D38-C9E3-0E2DA74619F1} Clé orpheline     
O2 - BHO: UtubieAdRaemOvval [64Bits] - {E4249D60-6064-7B55-52F3-388D347B44EB} Clé orpheline  
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe  
O20 - AppInit_DLLs: . (...) - C:\Program Files (x86)\SearchProtect\SearchProtect\bin\SPVC64Loader.dll (.not file.) 
O23 - Service: WinTurbo (b5f358a0) . (...) - c:\progra~3\winturbo\WinTurboSvc.dll (.not file.)
[HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}]
[HKCU\Software\BabSolution]   
[HKLM\Software\Tarma Installer] 
[HKLM\Software\Wow6432Node\SP Global]   
[HKLM\Software\Wow6432Node\SProtector]  
[HKLM\Software\Wow6432Node\SearchProtect]  
[HKLM\Software\Wow6432Node\Vittalia]  
O42 - Logiciel: WinTurbo - (.Zilware.) [HKLM][64Bits] -- {5F189DF5-2D05-472B-9091-84D9848AE48B}{b5f358a0}
O43 - CFD: 27/12/2013 - 11:40:31 - [0] ----D C:\Program Files (x86)\ss helper  
O43 - CFD: 25/07/2013 - 06:57:45 - [0] ----D C:\Program Files (x86)\TornTV.com
O43 - CFD: 07/02/2014 - 18:48:06 - [0,030] ----D C:\ProgramData\a70725fc123f8ae2 
O43 - CFD: 25/07/2013 - 06:55:44 - [0] ----D C:\ProgramData\Babylon
O43 - CFD: 07/02/2014 - 18:48:01 - [0,009] ----D C:\ProgramData\ddmnepnbnldklmmlnanljffimllhihgl      
O43 - CFD: 01/01/2014 - 09:52:25 - [0,007] ----D C:\ProgramData\fkeijkkoegbgbpibobnajcfcbkibchpa      
O43 - CFD: 20/11/2013 - 10:41:44 - [1,596] ----D C:\ProgramData\InstallMate
O43 - CFD: 24/02/2014 - 19:52:04 - [0,007] ----D C:\ProgramData\MInimuMPriaCe      
O43 - CFD: 24/02/2014 - 19:52:04 - [0,007] ----D C:\ProgramData\RobOSSaver      
O43 - CFD: 24/02/2014 - 19:52:07 - [0,783] ----D C:\ProgramData\Tarma Installer   
O43 - CFD: 24/02/2014 - 19:52:04 - [0,007] ----D C:\ProgramData\UtubieAdRaemOvval  
O43 - CFD: 24/02/2014 - 19:56:01 - [4,020] ----D C:\ProgramData\WinTurbo
O43 - CFD: 25/07/2013 - 07:08:47 - [0,497] ----D C:\Users\Hamza\AppData\Roaming\BabSolution  
O43 - CFD: 25/07/2013 - 06:55:43 - [0,002] ----D C:\Users\Hamza\AppData\Roaming\Babylon
O43 - CFD: 16/07/2013 - 19:09:43 - [0,091] ----D C:\Users\Hamza\AppData\Local\SearchProtect  
O43 - CFD: 25/07/2013 - 06:54:31 - [0,002] ----D C:\Users\Hamza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com 
O61 - LFC: 24/02/2014 - 23:02:24 ---A- . (...) -- C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbkchacbaoledfimdbcahlcnchdgmdlg_0.localstorage   [97280]      
O61 - LFC: 24/02/2014 - 23:02:24 ---A- . (...) -- C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbkchacbaoledfimdbcahlcnchdgmdlg_0.localstorage-journal   [3608]      
O61 - LFC: 24/02/2014 - 23:02:24 ---A- . (...) -- C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_ddmnepnbnldklmmlnanljffimllhihgl_0.localstorage   [60416]      
O61 - LFC: 24/02/2014 - 23:02:24 ---A- . (...) -- C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_ddmnepnbnldklmmlnanljffimllhihgl_0.localstorage-journal   [16384]      
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("aol_toolbar.default.homepage.check", false);    
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("aol_toolbar.default.search.check", false);     
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("extensions.BabylonToolbar.prtkDS", 0);   
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("extensions.BabylonToolbar.prtkHmpg", 0);  
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");   
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");   
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");  
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.previous.keyword.URL", "");  
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");  
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_DS", "");  
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_HP", "");   
O69 - SBI: prefs.js [Hamza - moov1ivr.default] user_pref("sweetim.toolbar.searchguard.enable", ""); 
O69 - SBI: SearchScopes [HKCU] {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} [DefaultScope] - (Conduit Search) - http://search.conduit.com  
O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Delta Search) - http://www1.delta-search.com  
SS - | Auto 10/07/1658 0 |  (b5f358a0) . (...) - c:\progra~3\winturbo\WinTurboSvc.dll      
[HKLM\Software\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]  
[HKLM\Software\Wow6432Node\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]    
[HKLM\Software\Classes\Prod.cap]  
[HKLM\Software\Classes\AppID\secman.DLL]   
[HKLM\Software\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}]   
[HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}]   
[HKLM\Software\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}]  
[HKLM\Software\Wow6432Node\Microsoft\Tracing\WebCakeDesktop_RASAPI32]  
[HKLM\Software\Wow6432Node\Microsoft\Tracing\WebCakeDesktop_RASMANCS]  
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]  
[HKLM\Software\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}] 
[HKLM\Software\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}]   
[HKLM\Software\Wow6432Node\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}]  
[HKLM\Software\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]  
EmptyCLSID
EmptyFlash
EmptyTemp


--> Lance ZHPFix depuis le raccourci situé sur ton Bureau.

--> Clique sur le bouton IMPORTER. Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître. 

--> Clique sur GO pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.

--> Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message.

anotherwon · Answer

Alors je te préviens au cas où on rencontre un problème et que ça peut t'aider, j'ai lancé le nettoyage, au début, une boite de dialogue signalant une erreur m'a signalé que WebTurbo était introuvable ou qqch du genre, bref le nettoyage a commencé, on m'a demandé de confirmer le nettoyage, puis de confirmer le celui de la corbeille.

Oh et le nettoyage a fermé le navigateur et au moment où j'écris ce message j'ai déjà reçu trois messages/boîtes de dialogues où ils me refont le truc du "Votre version de Flash Player est ancienne faut la updater".

Lien du rapport ZHPFix : http://pjjoint.malekal.com/files.php?id=20140225_e13p13o12r12e15

Destrio5 · Answer

Ok. Au fait, tu as deux antivirus, Microsoft Security Essentials et Avast, il faut n'en garder qu'un.

Es-tu connecté à un compte Google sur Google Chrome ?

anotherwon · Answer

Oui, au moment où je te parle je suis connecté sur gmail sur Chrome.
& pour les antivirus, je viens de télécharger une version crackée d'Avast en pensant qu'il serait plus performant que mon Microsoft Security Essentials (nativement installé sur mon Samsung), lequel devrais-je enlever ? :/

Destrio5 · Answer

Pas géniale la version crackée, prends la version gratuite. Perso, je préfère Avast que MSE.

Les mauvaises extensions sont sûrement sauvegardées dans ton compte Google.

Supprimer des données synchronisées de votre compte Google

Ensuite, je voudrais un nouveau rapport ZHPDiag.

anotherwon · Answer

Ok, donc je vais désinstaller les deux puis aller télécharger la version gratuite, je risque pas de choper un truc entre temps ?

Je télécharge Avast et je te fais ensuite le rapport ou avant?

Destrio5 · Answer

Non, ça devrait aller, je te donne un lien pour éviter de le prendre sur un mauvais site :
http://redir.iavs5x.u.avcdn.net/iavs5x/avast_free_antivirus_setup.exe

Après avoir installé Avast, fais la manip' pour Google Chrome puis passe à ZHPDiag.

anotherwon · Answer

Voilàà, bon beh déjà j'ai pas encore eu le truc de Flash Player, j'ai installé Avast, merci pour le lien. Et voici celui du rapport ZHPDiag : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20140225_v7z5y13c11c15

Destrio5 · Answer

1/

--> Télécharge et lance  AdwCleaner (d'Xplode), choisis l'option "Scanner".

--> Une fois le scan terminé, choisis l'option "Nettoyer".

--> Redémarre le PC comme demandé puis poste le rapport. Il est enregistré dans C:\AdwCleaner sous le nom d'AdwCleaner[S0].


2/

--> Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.

--> Ferme toutes les applications en cours.
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Coche la case Addition.txt.
--> Clique sur Scan.
--> Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
--> Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.

anotherwon · Answer

PS : J'ai fait un scan au démarrage avec Avast, ça m'a mis en quarantaine certains fichiers. Youtube remarche, et les gifs aussi. Je n'ai pas encore eu le message de Flash Player pour l'instant, j'en avais eu juste avant le scan mais là ça va je crois

Rapport AdwCleaner : http://pjjoint.malekal.com/files.php?id=20140225_v15z6q6m10m13

Rapport FRST : http://pjjoint.malekal.com/files.php?id=20140225_n9o8g13i14s10

Rapport Addition : http://pjjoint.malekal.com/files.php?id=20140225_e11i10d135b10

Destrio5 · Answer

Que contient le dossier suivant : C:\Users\Hamza\AppData\Roaming\Dialer ?

anotherwon · Answer

voilà : http://www.hostingpics.net/viewer.php?id=173999screen.png

Destrio5 · Answer

Je ne sais pas à quoi cela correspond.

Ouvre le fichier Detail pour voir.

anotherwon · Answer

voilà : http://www.casimages.com/img.php?i=140225042323975152.png

Destrio5 · Answer

C'est en rapport avec le modem, merci ;)

--> Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes).
--> Copie-colle le texte en gras ci-dessous dans le Bloc-notes :

start
AppInit_DLLs-x32: c:\progra~3\winturbo\winturbo.dll => "c:\progra~3\winturbo\winturbo.dll" File Not Found
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
BHO: RobOSSaver - {967F18AE-A234-2135-2DEF-4EC2BFE0B763} - C:\ProgramData\RobOSSaver\kYbOSBtiq.x64.dll No File
BHO: MInimuMPriaCe - {BD1B9F3D-318D-6D38-C9E3-0E2DA74619F1} - C:\ProgramData\MInimuMPriaCe\0GvK.x64.dll No File
BHO: UtubieAdRaemOvval - {E4249D60-6064-7B55-52F3-388D347B44EB} - C:\ProgramData\UtubieAdRaemOvval\XQCn.x64.dll No File
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
FF DefaultSearchEngine: user_pref("browser.search.defaultenginename", "");
FF SearchEngineOrder.user_pref("browser.search.order.1", "");: user_pref("browser.search.order.1", "");
FF SearchEngineOrder.user_pref("browser.search.order.1,S", "");: user_pref("browser.search.order.1,S", "");
FF SelectedSearchEngine: user_pref("browser.search.selectedEngine", "");
FF Keyword.URL: user_pref("keyword.URL", "");
FF Extension: Torntv 3 - C:\Users\Hamza\AppData\Roaming\Mozilla\Firefox\profiles\extensions\trtv3@trtv.com.xpi [2013-06-30]
CHR Extension: (UtubieAdRaemOvval) - C:\Users\Hamza\AppData\Local\Google\Chrome\User Data\Default\Extensions\ddmnepnbnldklmmlnanljffimllhihgl [2014-02-07]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
2014-02-24 19:56 - 2013-12-27 11:40 - 00000000 ____D () C:\ProgramData\WinTurbo
end

--> Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
--> Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
--> Clique sur Fix. Patiente le temps de la correction.

Note : si l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement, l'outil terminera son travail.

--> Une fois la correction terminée, un rapport Fixlog.txt sera présent sur le Bureau.
--> Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.

anotherwon · Answer

http://pjjoint.malekal.com/files.php?id=20140225_r5h14b15j8x15

Destrio5 · Answer

Tu as fait la manip' deux fois ?

anotherwon · Answer

Euh oui, la première fois ça avait modifié fixlist en fixlog, je savais pas que c'est le but de la manip et j'ai cru que j'avais pas enregistré fixlist au même endroit, et j'ai recommencé une deuxième fois

Destrio5 · Answer

Ok. Plus de souci ?

Un nouveau rapport FRST (Scan) s'il te plaît.

anotherwon · Answer

Non, plus aucun, j'ai reçu aucun truc de Flash Player, tout à l'air de remarcher!
Avec addition?

Destrio5 · Answer

Oui.

anotherwon · Answer

Voilà ! :p

Rapport FRST : http://pjjoint.malekal.com/files.php?id=FRST_20140225_g6y14z6n15o11

Rapport Addition : http://pjjoint.malekal.com/files.php?id=20140225_l12f8h5l10v13

Destrio5 · Answer

Pour finir :


1/     

---> Télécharge et installe CCleaner.     
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures.     
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.      


2/     

---> Télécharge DelFix sur ton Bureau puis lance-le.     
* Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.     
* Clique sur Exécuter.     
* Poste le rapport.  


==Prévention==     

Désinstalle Java 7 Update 25 (64-bit) et installe la nouvelle version (refuse / décoche la case s'il te propose un logiciel additionnel) :
https://www.java.com/fr/download/manual.jsp

Un dossier sur la prévention et sécurité sur Internet est disponible ici.

anotherwon · Answer

Je ne sais pas pourquoi quand j'essaie de télécharger CCleaner ça me redirige sur une page blanche et rien ne se télécharge en fin de compte. :/

Destrio5 · Answer

Une nouvelle version de CCleaner vient de sortir et la version Slim (sans proposition de logiciel additionnel) n'est pas encore disponible.

https://www.ccleaner.com/ccleaner/download/standard

anotherwon · Answer

Je le poste directement ou  je l'héberge?

Destrio5 · Answer

Comme tu veux.

anotherwon · Answer

# DelFix v10.6 - Rapport créé le 25/02/2014 à 19:35:51
# Mis à jour le 11/11/2013 par Xplode
# Nom d'utilisateur : Hamza - HLCOMPUTER
# Système d'exploitation : Windows 7 Home Basic Service Pack 1 (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\FRST
Supprimé : C:\AdwCleaner
Supprimé : C:\Users\Hamza\AppData\Roaming\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Hamza\Desktop\Addition.txt
Supprimé : C:\Users\Hamza\Desktop\Fixlog.txt
Supprimé : C:\Users\Hamza\Desktop\FRST.txt
Supprimé : C:\Users\Hamza\Desktop\FRST64.exe
Supprimé : C:\Users\Hamza\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Hamza\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Hamza\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Hamza\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Hamza\Downloads\adwcleaner.exe
Supprimé : C:\Users\Hamza\Downloads\FRST64.exe
Supprimé : C:\Users\Hamza\Downloads\ZHPDiag2.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #112 [Microsoft Antimalware Checkpoint | 02/24/2014 17:25:21]
Supprimé : RP #113 [Installation avast! Pro Antivirus | 02/24/2014 18:15:41]
Supprimé : RP #114 [Windows Update | 02/24/2014 19:12:16]
Supprimé : RP #115 [ZHPFix Restore System Point | 02/25/2014 00:00:10]
Supprimé : RP #116 [Installation avast! Pro Antivirus | 02/25/2014 00:54:13]
Supprimé : RP #117 [avast! antivirus system restore point | 02/25/2014 01:03:51]
Supprimé : RP #118 [Removed Java 7 Update 25 (64-bit) | 02/25/2014 18:35:28]

Nouveau point de restauration créé !

########## - EOF - ##########

Destrio5 · Answer

Ok pour DelFix.

Si tout est bon pour toi, clique sur "Marquer comme résolu" situé sous le titre de ton sujet.

anotherwon · Answer

Delfix était sensé supprimer les logiciels qu'on vient de télécharger pour éliminer le virus ? :o

Je ne suis pas un membre de commentcamarche du coup j'ai utilisé mon email et un pseudo pour poster, et quand CCleaner a nettoyé le cache de mon navigateur ma session pour ce post s'est fermé, et j'ai du en utiliser une autre. Malgré le fait que ce soit le même pseudo je reçois mes propres réponses par mail, et je ne vois pas ton "Marquer comme résolu" en dessous du titre :/

Destrio5 · Answer

"Delfix était sensé supprimer les logiciels qu'on vient de télécharger pour éliminer le virus ? :o"

--> Oui et leur quarantaine.

J'ai mis le sujet en résolu.

Bonne soirée ;)

anotherwon · Answer

Euh je crois qu'il y a un problème, c'est pas totalement résolu, je viens d'essayer d'aller sur Youtube et la boîte de dialogue de Flash Player est ré-apparue...

Destrio5 · Answer

Mince...

Une extension bizarre est revenue ? Si oui, quel est son nom ?

anotherwon · Answer

Aucune, je viens de supprimer les extensions d'Adblock au cas où mais c'est pas elles, je vide le cache avec CCleaner & efface la session sur Google Dashboard?

Destrio5 · Answer

Désinstalle Google Chrome puis réinstalle-le :
https://www.google.com/intl/fr_fr/chrome/

anotherwon · Answer

Je doute que ça ne change quelque chose j'ai lu certains témoignages de personnes sur Firefox qui ont eu ce problème et à qui ça n'a eu aucune effet, mais bon j'essaie.

- - - - 
EDIT

Je crois pas que c'est en relation avec GC, j'ai Firefox sur mon pc et je viens d'essayer d'aller sur youtube, même problème que sur GC..

Destrio5 · Answer

Rien dans les extensions de Firefox ?

Refais un rapport FRST s'il te plaît.

anotherwon · Answer

non plus :/

Si ça peut t'aider y a ces trucs en anglais que j'ai trouvé sur google :

http://botcrawl.com/phishing-website-update91-com/
http://deletemalware.blogspot.com/2013/06/fake-flash-player-update-virus-removal.html
http://www.bleepingcomputer.com/forums/t/457185/fake-adobe-flash-player-update-and-suspicious-pop-up/
http://www.precisesecurity.com/rogue/flash-player-pro-fake-update

Rapport FRST : http://pjjoint.malekal.com/files.php?id=FRST_20140226_n6q7m15l5t14

Rapport Addition : http://pjjoint.malekal.com/files.php?id=20140226_d10h6n7r14c10

Destrio5 · Answer

Ton deuxième lien propose SpyHunter, n'installe pas cette cochonnerie.

Quelque chose m'échappe.

Tu as refait un scan avec Malwarebytes Anti-Malware aujourd'hui ?

anotherwon · Answer

Non j'en ai fait un hier, ce matin en allumant mon pc j'ai eu le scan de démarrage de l'avast que j'ai téléchargé hier qui m'a mis en quarantaine certains fichiers, aujourd'hui avec tes instructions, j'ai fait un scan/nettoyage avec AdwCleaner, un autre avec FRST (j'ai fait deux fois la manip de Fixlist) & j'ai terminé sur CCleaner.

Wait, je vais chercher quelque chose de suspect dans mes programmes
- - - - 
EDIT : http://www.casimages.com/img.php?i=140226015622790045.png

Destrio5 · Answer

Le problème apparaît sur un site en particulier ?

anotherwon · Answer

Beh je suis arrivé à accéder à Youtube today, je comprends pas vraiment ce qui se passe.. Le malware se casse et revient quand ça lui chante je sais pas, mais je sais que quand il est là, ça fait buger parfois rutube quand je regarde un manga, ça coupe le réseau à un moment, du coup quand je vais sur un site ils me font "aucune donnée reçue" et faut je rafraîchisse, et le seul cas franchement apparent que j'ai remarqué c'est quand je vais sur Youtube, y a la boîte de dialogue et ensuite la redirection vers la page de téléchargement vers leur faux Flash Player
- - - - -
EDIT (15:23) : c'est revenu voilà ._.
http://nsa20.casimages.com/img/2014/02/26/140226042923910171.png
Et je viens même de recevoir un truc de Codec machin chose

anotherwon · Answer

Ca empire là je crois, avast ne cesse de me casser les tympans pour me dire qu'une menace essaie de m'avoir sur le net :s

¡El Desaparecido! · Answer

Hello ,

Je vais essayer de porter main forte à mon amis Destrio5.

anotherwon : 


Télécharge OTL de Old_Timer et enregistre le sur le Bureau
Ferme toutes les autres fenêtres et double-clique sur OTL.exe
Sous Vista et Windows 7, il faut lancer le fichier par clic-droit-> Exécuter en tant qu'adminsitrateur.
Vérifie que les cases Tous les utilisateurs, Recherche Lop et  Recherche Purity] soient cochées.
Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit :

netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %temp%\*.exe /s %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\system32\consrv.dll %systemroot%\system32\*.dll /lockedfiles %windir%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav /md5start explorer.exe winlogon.exe services.exe wininit.exe /md5stop HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s CREATERESTOREPOINT nslookup https://www.google.fr/?gws_rd=ssl /c hklm\software\clients\startmenuinternet|command /rs hklm\software\clients\startmenuinternet|command /64 /rs CREATERESTOREPOINTSAVEMBR:0 

Clique ensuite sur Analyse et patiente le temps du scan.



A la fin de l'analyse, les rapports OTL.txtet Extras.txt s'affichent.
Les rapports étant trop longs pour le forum, héberge-les sur SosUpload et indique les liens fournis dans ta réponse.
Les rapports sont sauvegardés sur le Bureau.

Destrio5 · Answer

Tu as quoi comme routeur ?

anotherwon · Answer

Excusez-moi pour le retard de réponse, mon PC a eu des problèmes que je qualifierai de "physique" je l'ai fait tombé et il était un peu amoché, j'ai plus de problème sur Youtube mais c'est vrai que parfois je suis redirigé sur une page de téléchargement qui n'est plus d'Adobe Flash Player mais de Codec machin chose ou autre. Je vais tester ta méthode ¡El Desaparecido! et Destrio 5, c'est TP-LINK

Destrio5 · Answer

Va dans l'interface d'administration de ton routeur et retire le DNS 41.77.138.18  / 8.8.8.8 (change le mot de passe aussi).

anotherwon · Answer

Au risque qu'on me jette des cailloux à la gueule : comment est-ce-que je peux accéder à l'interface d'administration et voici les rapports OTL :

OTL : http://upload.sosvirus.net/log/SosUpload.6d9180ac53e3d43ffc02141d22fa908e.Txt

Extras : http://upload.sosvirus.net/log/SosUpload.96ddf90f56397153fc809653e79251a4.Txt

Destrio5 · Answer

Cela dépend des modèles, regarde dans le manuel :
https://www.tp-link.com/fr/support/download/

anotherwon · Answer

désolé encore pour l'absence, je suis enfin en vacances, et je ne sais pas vraiment si le cas de mon ordinateur s'est aggravé ou non mais j'ai reçu des messages sur mes pages internet dans la journée en relation avec Flash Player comme avant.

& le modèle de mon routeur n'est plus pris en charge par la firme :/

Virus dont je n'arrive pas à me débarasser

54 réponses

Discussions similaires