Attaques virus récurrentes - URL:MAL valueapps.exe [Résolu/Fermé]

Signaler
Messages postés
16
Date d'inscription
jeudi 17 avril 2014
Statut
Membre
Dernière intervention
5 avril 2016
-
Messages postés
16
Date d'inscription
jeudi 17 avril 2014
Statut
Membre
Dernière intervention
5 avril 2016
-
Bonjour à tous,
Depuis hier soir, à chaque fois (ou presque) que je vais sur une nouvelle page web (que ce soit depuis Mozilla ou depuis Chrome), j'ai une alerte d'avast "avast a bloqué une page web ou un fichier malveillant" (Du coup, je me demande si les fois où le message n'est pas affiché, ça veut pas dire qu'avast ne les a pas bloqués)
http://hpics.li/4fc3a0a
avec toujours le même processus.
J'ai lancé un scan minutieux de mon ordi et j'en suis déjà à 155 fichiers infectés après 12% de scan.
Est-ce que tout nettoyer à partir d'Avast suffira ?
Sinon, quelles solutions ?
Merci d'avance

PS : J'utilise windows 8 (l'instalation du 8.1 déconne)

10 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 726
Salut,

Tu as installé des adwares et programmes parasites sur ton PC.
Voici la procédure à suivre pour les supprimer :


Un nettoyage AdwCleaner (environ 10/15min) :
======================================
Suis ce tutorial https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Vas sur le lien, télécharge AdwCleaner comme indiqué.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Messages postés
16
Date d'inscription
jeudi 17 avril 2014
Statut
Membre
Dernière intervention
5 avril 2016

Salut
merci pour ta réponse, je croyais m'être débarrassé de ces saloperies.
Voici le rapport :



# AdwCleaner v3.023 - Rapport créé le 17/04/2014 à 11:19:58
# Mis à jour le 01/04/2014 par Xplode
# Système d'exploitation : Windows 8 (64 bits)
# Nom d'utilisateur : Jonas - JONAS
# Exécuté depuis : C:\Users\Jonas\Desktop\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ValueApps
Dossier Supprimé : C:\ProgramData\Free Ride Games
Dossier Supprimé : C:\ProgramData\Trymedia
Dossier Supprimé : C:\ProgramData\Alawar
Dossier Supprimé : C:\ProgramData\AlawarEntertainment
Dossier Supprimé : C:\Program Files (x86)\Free Ride Games
Dossier Supprimé : C:\Program Files (x86)\Mobogenie
Dossier Supprimé : C:\Program Files (x86)\Optimizer Pro
Dossier Supprimé : C:\Program Files (x86)\sweetpacks bundle uninstaller
Dossier Supprimé : C:\Users\Jonas\AppData\Local\genienext
Dossier Supprimé : C:\Users\Jonas\AppData\Local\Mobogenie
Dossier Supprimé : C:\Users\Jonas\AppData\Local\ValueApps
Dossier Supprimé : C:\Users\Jonas\AppData\Roaming\0V1L2Z2Z1T1I1L1T
Dossier Supprimé : C:\Users\Jonas\AppData\Roaming\newnext.me
Dossier Supprimé : C:\Users\Jonas\AppData\Roaming\Alawar
Dossier Supprimé : C:\Users\Jonas\AppData\Roaming\AlawarEntertainment
Dossier Supprimé : C:\Users\Jonas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Free Ride Games
Dossier Supprimé : C:\Users\Jonas\Documents\Mobogenie
Dossier Supprimé : C:\Users\Jonas\Documents\Optimizer Pro
Dossier Supprimé : C:\Users\Jonas\AppData\Roaming\Mozilla\Firefox\Profiles\t71hzh2j.default\Extensions\2020Player_IKEA@2020Technologies.com
Fichier Supprimé : C:\Users\Jonas\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_pflphaooapbgpeakohlggbpidpppgdff_0.localstorage

***** [ Raccourcis ] *****

Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GamePacks bundle\GamePacks bundle.lnk

***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\GameTreatWidget.GameTreatWidget
Clé Supprimée : HKLM\SOFTWARE\Classes\PCProxy.DataContainer
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [mobilegeni daemon]
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9DC8FA51-B596-4F77-802C-5B295919C205}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C292AD0A-C11F-479B-B8DB-743E72D283B0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3E28F712-0D6C-4EE3-AC8C-8F060F5D7C33}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{44D07CAA-4FC4-5A84-9951-A485AD808D0E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{533403E2-6E21-4615-9E28-43F4E97E977B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{6CE321DA-DC11-45C6-A0FC-4E8A7D978ABC}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{6EEBC7FF-67DA-4B90-9251-C2C5696E4B48}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{74137531-80F7-406F-9543-7D11385FA8C8}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{832599B2-55BF-4437-8F3E-030CF5AEB262}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B1A429DB-FB06-4645-B7C0-0CC405EAD3CD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D40753C7-8A59-4C1F-BE88-C300F4624D5B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DD67706E-819E-4EBD-BF8D-6D6147CC7A49}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{F62A4AF9-58B4-4FEC-89CC-D717A547D8E8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{103DFC4E-147A-5606-9B4E-1C216DF227A1}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{C292AD0A-C11F-479B-B8DB-743E72D283B0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{44D07CAA-4FC4-5A84-9951-A485AD808D0E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{44D07CAA-4FC4-5A84-9951-A485AD808D0E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{44D07CAA-4FC4-5A84-9951-A485AD808D0E}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{77AA745B-F4F8-45DA-9B14-61D2D95054C8}
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{77AA745B-F4F8-45DA-9B14-61D2D95054C8}
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\IM
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\Vittalia
Clé Supprimée : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\Software\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\Software\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\Software\{6791A2F3-FC80-475C-A002-C014AF797E9C}
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\Trymedia Systems
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{2B7BDADB-EC8C-4C54-B5DD-CE45A016D3A7}

***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16537

Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls [Tabs]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]

-\\ Mozilla Firefox v28.0 (fr)

[ Fichier : C:\Users\Jonas\AppData\Roaming\Mozilla\Firefox\Profiles\t71hzh2j.default\prefs.js ]


-\\ Google Chrome v34.0.1847.116

[ Fichier : C:\Users\Jonas\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Supprimée : homepage

*************************

AdwCleaner[R0].txt - [6838 octets] - [17/04/2014 11:13:09]
AdwCleaner[S0].txt - [5602 octets] - [17/04/2014 11:19:58]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [5662 octets] ##########
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 726
voici la suite :


Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Donne la liste.

Sur Google Chrome : Menu en haut à droite puis Outils / Extensions
Donne la liste.

puis :

Faire un Scan OTL - Temps : Environ 40min
=============================================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE




Messages postés
16
Date d'inscription
jeudi 17 avril 2014
Statut
Membre
Dernière intervention
5 avril 2016

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 726
manque la liste des extensions.
Messages postés
16
Date d'inscription
jeudi 17 avril 2014
Statut
Membre
Dernière intervention
5 avril 2016

FF : adblock plus 2.5.1
avast! online
debrideur streaming 2.1 (pb de sécurité avec celui-là ?

chrome : Adblock et avast! qui était déselectionné
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 726
Télécharge Complete Internet Repair : https://forum.malekal.com/viewtopic.php?t=46167&start=
Mets le sur ton bureau.


Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2014/04/12 20:46:57 | 000,000,000 | ---D | C] -- C:\Users\Jonas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Value Apps
O4 - HKU\S-1-5-21-2481163798-1306328490-3186658649-1001..\Run: [ValueAppsTrayIcon] C:\Users\Jonas\AppData\Local\ValueApps\ValueAppsTrayIcon.exe File not found
O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000001 - C:\WINDOWS\SysNative\ValueApps64.dll (Conduit)
O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000002 - C:\WINDOWS\SysNative\ValueApps64.dll (Conduit)
O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000003 - C:\WINDOWS\SysNative\ValueApps64.dll (Conduit)
O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000004 - C:\WINDOWS\SysNative\ValueApps64.dll (Conduit)
O10:[b]64bit:[/b] - Protocol_Catalog9\Catalog_Entries64\000000000015 - C:\WINDOWS\SysNative\ValueApps64.dll (Conduit)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\SysWow64\ValueApps.dll (Conduit)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINDOWS\SysWow64\ValueApps.dll (Conduit)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINDOWS\SysWow64\ValueApps.dll (Conduit)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\WINDOWS\SysWow64\ValueApps.dll (Conduit)
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - C:\WINDOWS\SysWow64\ValueApps.dll (Conduit)

* poste le rapport ici


Redémarre l'ordinateur


Si internet ne marche pas, lance Complete Internet Repair.
Clic sur la flèche sur la ligne Repair Winsock.
Messages postés
16
Date d'inscription
jeudi 17 avril 2014
Statut
Membre
Dernière intervention
5 avril 2016

excuse moi, j'ai eu des soucis d'internet et ça m'est sorti de la tête
donc voici le rapport (avec quelques mois de retard) :
========== OTL ==========
C:\Users\Jonas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Value Apps folder moved successfully.
Registry value HKEY_USERS\S-1-5-21-2481163798-1306328490-3186658649-1001\Software\Microsoft\Windows\CurrentVersion\Run\\ValueAppsTrayIcon not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\ deleted successfully.
File C:\WINDOWS\SysWow64\ValueApps.dll not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\ deleted successfully.
File C:\WINDOWS\SysWow64\ValueApps.dll not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\ deleted successfully.
File C:\WINDOWS\SysWow64\ValueApps.dll not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\ deleted successfully.
File C:\WINDOWS\SysWow64\ValueApps.dll not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000015\ not found.
File C:\WINDOWS\SysWow64\ValueApps.dll not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\: LSP stack updated.

OTL by OldTimer - Version 3.2.69.0 log created on 08192014_175340
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 726
ok :)



Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.

A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des applications.
DAns la liste prends le scan effectué à l'instant "Journal d'examen"
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.


Messages postés
16
Date d'inscription
jeudi 17 avril 2014
Statut
Membre
Dernière intervention
5 avril 2016

Voilà
https://pjjoint.malekal.com/files.php?read=20140819_v5x6z159f12

Ca serait un truc installé avec opéra qui m'ouvre IE à tous bouts de champs ?
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 726
mais il s'ouvrait sur quoi Internet Explorer ? une pub ?
Messages postés
16
Date d'inscription
jeudi 17 avril 2014
Statut
Membre
Dernière intervention
5 avril 2016

Non, juste la page d'accueil. Google.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 726
ha ok, bizarre :)

ben reviens confirmer dans qq heures, si tout est ok :)
Messages postés
16
Date d'inscription
jeudi 17 avril 2014
Statut
Membre
Dernière intervention
5 avril 2016

ça marche. Merci en tout cas
Messages postés
16
Date d'inscription
jeudi 17 avril 2014
Statut
Membre
Dernière intervention
5 avril 2016

Tout semble ok :)
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 726
good :)


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=



Pour ne plus te faire avoir par les logiciels parasites/de pubs etc.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


Messages postés
16
Date d'inscription
jeudi 17 avril 2014
Statut
Membre
Dernière intervention
5 avril 2016

d'accord merci :)