Infection JS:Bprotect-A[trj]; et Oxi / PileFind reminder

ritafitz Messages postés 10 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai récemment eu la bêtise, ou la maladresse de vouloir télécharger un épisode d'une série. En voulant ne pas l'installer, le virus a été suffisamment malin pour que la case "annuler" implique en réalité de l'installer. Trop tard, donc, le virus est entré.

J'ai réussit à me débarrasser du lanceur de recherche intempestif en faisant sur Firefox: Outils, Modules complémentaires, extensions et en le supprimant. Il a été supprimé.

Seulement, je n'arrive pas à me débarrasser d'Oxi et PileFind reminder.... (je suis administrateur de l'ordinateur mais il me dit que je ne peux pas le désinstaller parce que je ne dispose pas d'un accès suffisant).

Hormis cela, j'ai lancé un scan sur Avast. Il m'a trouvé 3 fichiers endommagés:
-Le JS:Bprotect-A[trj], connu comme un cheval de troie sévère (j'ai adblock comme extension sur Mozilla, et pour le moment je ne subit pas ce cheval de troie mais j'ai peur que cela finisse pas arriver)
-Et deux fichiers en rapport avec le soit disant épisode de série

Il faut savoir que j'ai donc voulu réparer ces fichiers. Là, l'ordinateur a redémarré et j'ai dû choisir de supprimer, réparer etc les fichiers. Hors aucune solution ne fonctionne: l'ordinateur n'est pas en mesure de combattre les fichiers infectés.

J'ai tenté de faire cela manuellement en m'informant sur internet.
On me propose une technique manuelle un peu risquée pour les pseudo débutants (redémarrer sans échec et manipuler pour supprimer les virus)
On me propose très souvent des logiciels de nettoyage, tel que Spy Hunter, mais il s'agit apparemment d'un Troll. Idem pour les autres petits logiciels.

On me propose ensuite AdwCleaner et Zone Alarm comme FireWalls (pare-feu?).

C'est là que j'ai besoin de votre aide. Ces logiciels sont-ils fiables et surtout, peuvent-ils m'aider dans mes problèmes?

Pouvez vous m'aider à combattre ce virus?


Edit: Aux dernières nouvelles Avast ne détecte plus les fichiers endommagés dans le Scan. Mais je n'y crois pas. Comment réellement savoir?

Merci à tous ceux qui pourront m'apporter de l'aide: elle sera réellement précieuse!!!

8 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Tu as voulu le télécharger où ton épisode ?

    Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
    Cela va générer deux rapports FRST.
    Envoie comme expliqué, ces deux rapports sur le site pjjoint et donne les deux liens pjjoint de ces rapports afin qu'ils puissent être consultés.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    1
  2. ritafitz Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
     
    0
    1. ritafitz Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
       
      Et pour ta première question, je l'ai fait sur un lien posté sur Dailymotion, en détails d'une vidéo... J'aurais du faire plus attention.

      Voici également le rapport Scan de Avast:


      1) Nom du fichier: C:\Users\hp\...\unp136508.tmp Sévérité:Haute Menace:Win32:Adware-gen[Adw]
      2) Nom du fichier: C:\AdwCleaner\...\bprotector.js.vir Sévérité:Haute Menace:JS:BProctect-C[trj]
      3) Nom du fichier: C:\Users\hp\...\Zg41CnUu.exe.part Sévérité:Haute Menace:Win32:Adware-gen[Adw]
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Je veux bien le lien de la vidéo, si tu l'as encore sous la main :)
      0
    3. ritafitz Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
       
      Je vais me faire un plaisir de te la retrouver!
      0
    4. ritafitz Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
       
      http://www.dailymotion.com/video/x1leaty_watch-my-mad-fat-diary-season-2-epp-7-online_tv
      0
    5. ritafitz Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
       
      Le virus ce situe sur le lien, bien sur, du site, qui poste plusieurs vidéos du même type :)
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Désinstalle McAfee Security Scan - sert à rien.

    Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
    Copie/colle dedans ce qui suit :

    AppInit_DLLs-x32: c:\progra~3\browse~1\261339~1.144\{c16c1~1\browse~1.dll => c:\progra~3\browse~1\261339~1.144\{c16c1~1\browse~1.dll File Not Found
    BHO-x32: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited)
    FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\gksepxhk.default\extensions\quick_start@gmail.com
    FF Extension: Quick Start - C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\gksepxhk.default\extensions\quick_start@gmail.com [2014-04-04]
    FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://start.qone8.com/?
    2014-04-05 21:17 - 2014-01-15 23:13 - 00000000 ____D () C:\Users\hp\AppData\Roaming\cacaoweb
    2014-04-05 12:21 - 2014-04-04 20:52 - 00000000 ____D () C:\Users\hp\AppData\Roaming\Oxy
    2014-04-04 20:54 - 2014-04-04 20:54 - 00003576 _____ () C:\Windows\System32\Tasks\Oxy
    2014-04-04 20:54 - 2014-04-04 20:54 - 00000000 ____D () C:\Users\hp\AppData\Roaming\SupTab
    2014-04-04 20:54 - 2014-04-04 20:54 - 00000000 ____D () C:\Users\hp\AppData\Roaming\qone8
    2014-04-04 20:54 - 2014-04-04 20:54 - 00000000 ____D () C:\ProgramData\WPM
    2014-04-04 20:54 - 2014-04-04 20:54 - 00000000 ____D () C:\ProgramData\IePluginService
    2014-04-04 20:54 - 2014-04-04 20:54 - 00000000 ____D () C:\Program Files (x86)\SupTab
    2014-04-04 20:53 - 2014-04-04 20:53 - 00000000 ____D () C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Oxy
    2014-04-06 19:49 - 2014-04-06 19:48 - 00728960 _____ (Enigma Software Group USA, LLC.) C:\Users\hp\Downloads\SpyHunter-Installer.exe
    2014-04-04 20:54 - 2014-04-04 20:54 - 00003576 _____ () C:\Windows\System32\Tasks\Oxy
    R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [496640 2014-04-04] (Cherished Technololgy LIMITED)
    R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [688240 2014-03-31] (Cherished Technololgy LIMITED)

    Menu Fichier / Enregistrer-sous
    Place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton fixlist.txt
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    ~~

    Un nettoyage AdwCleaner (environ 10/15min) :
    ======================================
    Suis ce tutorial https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
    Vas sur le lien, télécharge AdwCleaner comme indiqué.
    Lance AdwCleaner, clique sur [Scanner].
    Le scan peux durer plusieurs minutes, patienter.
    Une fois le scan terminé, clique sur [Nettoyer]

    Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis :

    et nettoyer Shorter Cleaner :
    =====================
    Tu peux le faire automatiquement avec ce programme : https://forum.malekal.com/viewtopic.php?t=46433&start=
    Donne le rapport Shorter Cleaner

    0
  4. ritafitz Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
     
    Tout d'abord, quand j'ai relancé FRST, je n'ai pas trouvé de bouttons "Fislist", j'ai appuyé sur le boutton "Fix" donc, c'est convenable?

    Si oui, voici le résultat:
    ix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-03-2014
    Ran by hp at 2014-04-06 22:02:12 Run:1
    Running from C:\Users\hp\Desktop
    Boot Mode: Normal
    ==============================================

    Content of fixlist:
    *****************
    AppInit_DLLs-x32: c:\progra~3\browse~1\261339~1.144\{c16c1~1\browse~1.dll => c:\progra~3\browse~1\261339~1.144\{c16c1~1\browse~1.dll File Not Found
    BHO-x32: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited)
    FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\gksepxhk.default\extensions\quick_start@gmail.com
    FF Extension: Quick Start - C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\gksepxhk.default\extensions\quick_start@gmail.com [2014-04-04]
    FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://start.qone8.com/?
    2014-04-05 21:17 - 2014-01-15 23:13 - 00000000 ____D () C:\Users\hp\AppData\Roaming\cacaoweb
    2014-04-05 12:21 - 2014-04-04 20:52 - 00000000 ____D () C:\Users\hp\AppData\Roaming\Oxy
    2014-04-04 20:54 - 2014-04-04 20:54 - 00003576 _____ () C:\Windows\System32\Tasks\Oxy
    2014-04-04 20:54 - 2014-04-04 20:54 - 00000000 ____D () C:\Users\hp\AppData\Roaming\SupTab
    2014-04-04 20:54 - 2014-04-04 20:54 - 00000000 ____D () C:\Users\hp\AppData\Roaming\qone8
    2014-04-04 20:54 - 2014-04-04 20:54 - 00000000 ____D () C:\ProgramData\WPM
    2014-04-04 20:54 - 2014-04-04 20:54 - 00000000 ____D () C:\ProgramData\IePluginService
    2014-04-04 20:54 - 2014-04-04 20:54 - 00000000 ____D () C:\Program Files (x86)\SupTab
    2014-04-04 20:53 - 2014-04-04 20:53 - 00000000 ____D () C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Oxy
    2014-04-06 19:49 - 2014-04-06 19:48 - 00728960 _____ (Enigma Software Group USA, LLC.) C:\Users\hp\Downloads\SpyHunter-Installer.exe
    2014-04-04 20:54 - 2014-04-04 20:54 - 00003576 _____ () C:\Windows\System32\Tasks\Oxy
    R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [496640 2014-04-04] (Cherished Technololgy LIMITED)
    R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [688240 2014-03-31] (Cherished Technololgy LIMITED)

    *****************

    "c:\\progra~3\\browse~1\\261339~1.144\\{c16c1~1\\browse~1.dll" => Value Data removed successfully.
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} => Key deleted successfully.
    HKCR\Wow6432Node\CLSID\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} => Key deleted successfully.
    HKLM\Software\Wow6432Node\Mozilla\Firefox\Extensions\\quick_start@gmail.com => Value deleted successfully.
    C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\gksepxhk.default\extensions\quick_start@gmail.com => Moved successfully.
    HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\\Default => Value was restored successfully.
    C:\Users\hp\AppData\Roaming\cacaoweb => Moved successfully.
    C:\Users\hp\AppData\Roaming\Oxy => Moved successfully.
    C:\Windows\System32\Tasks\Oxy => Moved successfully.
    C:\Users\hp\AppData\Roaming\SupTab => Moved successfully.
    C:\Users\hp\AppData\Roaming\qone8 => Moved successfully.
    C:\ProgramData\WPM => Moved successfully.
    C:\ProgramData\IePluginService => Moved successfully.
    C:\Program Files (x86)\SupTab => Moved successfully.
    C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Oxy => Moved successfully.
    C:\Users\hp\Downloads\SpyHunter-Installer.exe => Moved successfully.
    "C:\Windows\System32\Tasks\Oxy" => File/Directory not found.
    Wpm => Service stopped successfully.
    Wpm => Service deleted successfully.
    IePluginService => Service stopped successfully.
    IePluginService => Service deleted successfully.

    ==== End of Fixlog ====
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ritafitz Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
     
    Pour le nettoyage Adwcleaner:

    # AdwCleaner v3.023 - Rapport créé le 06/04/2014 à 22:12:32
    # Mis à jour le 01/04/2014 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : hp - HP-HP
    # Exécuté depuis : C:\Users\hp\Downloads\adwcleaner.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    [#] Service Supprimé : IePluginService
    [#] Service Supprimé : Wpm

    ***** [ Fichiers / Dossiers ] *****

    Dossier Supprimé : C:\Program Files (x86)\Common Files\337
    Dossier Supprimé : C:\Users\hp\AppData\Local\Temp\Desk365
    Dossier Supprimé : C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\gksepxhk.default\Extensions\cacaoweb@cacaoweb.org
    Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\qone8.xml
    Fichier Supprimé : C:\Windows\System32\Tasks\Desk 365 RunAsStdUser

    ***** [ Raccourcis ] *****

    Raccourci Désinfecté : C:\Users\Public\Desktop\Mozilla Firefox.lnk
    Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
    Raccourci Désinfecté : C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
    Raccourci Désinfecté : C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
    Raccourci Désinfecté : C:\Users\hp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    Raccourci Désinfecté : C:\Users\hp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

    ***** [ Registre ] *****

    Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]
    Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\DeskSvc
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
    Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{D54C859C-6066-4F31-8FE0-2AAEDCAE67D7}
    Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
    Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
    Clé Supprimée : HKCU\Software\cacaoweb
    Clé Supprimée : HKCU\Software\Escolade
    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKLM\Software\Desksvc
    Clé Supprimée : HKLM\Software\hdcode
    Clé Supprimée : HKLM\Software\qone8Software
    Clé Supprimée : HKLM\Software\supTab
    Clé Supprimée : HKLM\Software\supWPM
    Clé Supprimée : HKLM\Software\V9
    Clé Supprimée : HKLM\Software\Wpm
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wpm

    ***** [ Navigateurs ] *****

    -\\ Internet Explorer v11.0.9600.16521

    Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
    Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
    Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
    Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
    Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
    Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]

    -\\ Mozilla Firefox v28.0 (fr)

    [ Fichier : C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\gksepxhk.default\prefs.js ]

    Ligne Supprimée : user_pref("browser.search.selectedEngine", "qone8");

    *************************

    AdwCleaner[R0].txt - [27223 octets] - [15/01/2014 09:30:04]
    AdwCleaner[R1].txt - [6210 octets] - [06/04/2014 22:08:23]
    AdwCleaner[S0].txt - [24393 octets] - [15/01/2014 09:36:02]
    AdwCleaner[S1].txt - [4076 octets] - [06/04/2014 22:12:32]

    ########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [4136 octets] ##########
    0
  7. ritafitz Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
     
    Pour Shorter Cleaner:

    Shortcut Cleaner 1.3.2 by Lawrence Abrams (Grinler)
    https://www.bleepingcomputer.com/
    Copyright 2008-2014 BleepingComputer.com
    More Information about Shortcut Cleaner can be found at this link:
    https://www.bleepingcomputer.com/download/shortcut-cleaner/

    Windows Version: Windows 7 Home Premium Service Pack 1
    Program started at: 04/06/2014 10:20:43 PM.

    Scanning for registry hijacks:

    * No issues found in the Registry.

    Searching for Hijacked Shortcuts:

    Searching C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\

    Searching C:\ProgramData\Microsoft\Windows\Start Menu\

    Searching C:\Users\hp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

    Searching C:\Users\Public\Desktop\

    Searching C:\Users\hp\Desktop

    0 bad shortcuts found.

    Program finished at: 04/06/2014 10:20:43 PM
    Execution time: 0 hours(s), 0 minute(s), and 0 seconds(s)
    0
  8. ritafitz Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour Malekal!

    Je ne veux surtout pas te presser, c'est simplement pour savoir si tu as eu le temps d'analyser les données et savoir si tes solutions ont fonctionnés?

    J'ai rencontré un autre petit problème et j'en profite pour en parler ici, étant donné que tu es directement concerné!

    Tu as donné plusieurs conseils sur ton site, et je t'en remercie énormément d'ailleurs, tu es très compétent!

    Cependant, j'ai voulu restaurer Firefox dans son état initial pour vraiment partir sur de bonne base après m'être débarassé des virus.

    Le seul et unique problème, c'est que l'icone de mes raccourcis des sites sur mon bureau, sont tous identiques: blancs, avec une fenêtre grise constituées de plusieurs carrés colorés...

    C'est mineur, bien sur, mais un peu agaçant, et je voulais savoir si c'était normal ou si tu avais déjà rencontré ce petit problème?
    0