Win 32 : Adware-gen au démarrage de Firefox Résolu/Fermé

Question

Bonjour,

voila quelque temps maintenant qu'a chaque démarrage de Firefox, Avast me met un message d'alerte :

"Le composant Avast Agent des fichiers a bloqué une menace
aucune autre action n'est demandée.

Objet : C:\ProgramData\kGFJGFDQclP\dat\ITJpz.dll
Infection : Win32:Adware-gen [Adw]
Action : Mis en quarantaine
Processus : C:\ProgramData\kGFJGFDQclP\gGRTcdN.exe

La menace a été détectée et bloquée juste avant la création ou modification du fichier."



-J'ai fais un scan AD Remover :



======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 11:28:06 le 23/08/2014, Mode normal

Microsoft Windows 7 Édition Familiale Premium  Service Pack 1 (X64) 
Lord Vlad@TROMPE-LA-MORT (TOSHIBA Satellite P300) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\Users\Lord Vlad\AppData\Roaming\OpenCandy



============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [31.0 (x86 fr)] ****

FIREFOX.EXE\Shell\Open\Command - "C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x)
HKCU_MozillaPlugins\pandonetworks.com/PandoWebPlugin (x)
HKCU_MozillaPlugins\ubisoft.com/uplaypc (x)
HKLM_Extensions|{F003DA68-8256-4b37-A6C4-350FA04494DF} - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt

**** Internet Explorer Version [9.11.9600.17239] ****

IEXPLORE.EXE\Shell\Open\Command - C:\Program Files\Internet Explorer\iexplore.exe
HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://myhome.vi-view.com/web/?type=ds&ts=1406620539&from=smt&uid=TOSHIBAXMK2555GSX_49P3F2HNSXX49P3F2HNS&q={searchTerms}
HKLM_Main|Search Page - hxxp://myhome.vi-view.com/web/?type=ds&ts=1406620539&from=smt&uid=TOSHIBAXMK2555GSX_49P3F2HNSXX49P3F2HNS&q={searchTerms}
HKLM_ElevationPolicy\{00AB3925-B470-4264-B354-03E373074F23} - C:\Program Files\AVAST Software\Avast\aswWrcIELoader32.exe (AVAST Software)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{1753B788-C64C-4D57-B6BC-95C48992C4A7} - C:\Windows\SysWOW64\msspellcheckingfacility.exe (x)
HKLM_ElevationPolicy\{357FBE87-6C8E-490D-A059-4746C864AE6F} - C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\InputPersonalization.exe (x)
HKLM_ElevationPolicy\{49E561B1-1091-4E65-98A0-AFCA4996CD1D} - C:\Windows\SysWOW64\RuntimeBroker.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{877467C0-F9E4-4561-84F0-65AA7539833C} - C:\Windows\SysWOW64\CredentialUIBroker.exe (x)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! Online Security" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
BHO\{AF949550-9094-4807-95EC-D1C317803333} - "Logitech SetPoint" (C:\Program Files\Logitech\SetPointP\32-bit\SetPointSmooth.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 23/08/2014 11:28:10 (2876 Octet(s)) 

Fin à: 11:29:22, 23/08/2014 
 
============== E.O.F ============== 





-Puis j'ai fais un nettoyage (toujours avec AD Remover :


======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:30:07 le 23/08/2014, Mode normal

Microsoft Windows 7 Édition Familiale Premium  Service Pack 1 (X64) 
Lord Vlad@TROMPE-LA-MORT (TOSHIBA Satellite P300) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Users\Lord Vlad\AppData\Roaming\OpenCandy

(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [31.0 (x86 fr)] ****

FIREFOX.EXE\Shell\Open\Command - "C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x)
HKCU_MozillaPlugins\pandonetworks.com/PandoWebPlugin (x)
HKCU_MozillaPlugins\ubisoft.com/uplaypc (x)
HKLM_Extensions|{F003DA68-8256-4b37-A6C4-350FA04494DF} - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt

**** Internet Explorer Version [9.11.9600.17239] ****

IEXPLORE.EXE\Shell\Open\Command - C:\Program Files\Internet Explorer\iexplore.exe
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_ElevationPolicy\{00AB3925-B470-4264-B354-03E373074F23} - C:\Program Files\AVAST Software\Avast\aswWrcIELoader32.exe (AVAST Software)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{1753B788-C64C-4D57-B6BC-95C48992C4A7} - C:\Windows\SysWOW64\msspellcheckingfacility.exe (x)
HKLM_ElevationPolicy\{357FBE87-6C8E-490D-A059-4746C864AE6F} - C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\InputPersonalization.exe (x)
HKLM_ElevationPolicy\{49E561B1-1091-4E65-98A0-AFCA4996CD1D} - C:\Windows\SysWOW64\RuntimeBroker.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{877467C0-F9E4-4561-84F0-65AA7539833C} - C:\Windows\SysWOW64\CredentialUIBroker.exe (x)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! Online Security" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
BHO\{AF949550-9094-4807-95EC-D1C317803333} - "Logitech SetPoint" (C:\Program Files\Logitech\SetPointP\32-bit\SetPointSmooth.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 23/08/2014 11:30:11 (3208 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 23/08/2014 11:28:10 (3014 Octet(s)) 

Fin à: 11:32:30, 23/08/2014 
 
============== E.O.F ============== 



Mais le problème persiste...

Que me conseillez-vous de faire ?

Merci d'avance.

Destrio5 · Answer

Bonjour,

Ad-Remover n'est plus mis à jour depuis 2011, il ne doit plus être utilisé.

--> Télécharge et lance AdwCleaner (d'Xplode), choisis l'option "Scanner".

--> Une fois le scan terminé, choisis l'option "Nettoyer".

--> Redémarre le PC comme demandé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ta réponse. Le rapport est enregistré dans C:\AdwCleaner sous le nom d'AdwCleaner[s?].

Destrio5 · Answer

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

--> Clique sur "Complet".

--> Une fois le scan terminé, un rapport est créé sur le Bureau. 

--> Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message.

Destrio5 · Answer

--> Menu Démarrer > Panneau de configuration > Désinstaller un programme. Désinstalle AVG Anti-Spyware.

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


Script ZHPFix
SysRestore
R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://myhome.vi-view.com  
R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://myhome.vi-view.com 
O23 - Service: gGRTcdN (gGRTcdN) . (.GenTechnologies Apps, LLC - MovieMode Service.) - C:\ProgramData\kGFJGFDQcIP\gGRTcdN.exe  
O42 - Logiciel: Movie Mode - (.GenTechnologies Apps, LLC.) [HKLM][64Bits] -- MovieMode 
O43 - CFD: 23/08/2014 - 13:00:13 - [] ----D C:\ProgramData\Browser        
O43 - CFD: 29/07/2014 - 09:57:17 - [] ----D C:\ProgramData\kGFJGFDQcIP
O43 - CFD: 21/08/2014 - 19:07:12 - [] ----D C:\Users\Lord Vlad\AppData\Roaming\vi-view 
O61 - LFC: 21/08/2014 - 13:14:35 ---A- . (.Enigma Software Group USA, LLC..) -- C:\Users\Lord Vlad\Downloads\SpyHunter-installer.exe   [728960]
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SupTab_v5_RASAPI32   =>PUP.SupTab 
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SupTab_v5_RASMANCS   =>PUP.SupTab 
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\wpm_v20_RASAPI32   =>PUP.WpManager 
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\wpm_v20_RASMANCS   =>PUP.WpManager 
SR - | Auto 29/07/2014 2319216 |  (gGRTcdN) . (.GenTechnologies Apps, LLC.) - C:\ProgramData\kGFJGFDQcIP\gGRTcdN.exe      
[HKLM\SYSTEM\CurrentControlSet\Services\gGRTcdN]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\MovieMode]  
O4 - HKLM\..\Wow6432Node\Run: [!AVG Anti-Spyware] . (.GRISOFT s.r.o. - AVG Anti-Spyware.) -- C:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\avgas.exe 
O23 - Service: AVG Anti-Spyware Guard (AVG Anti-Spyware Guard) . (.GRISOFT s.r.o. - AVG Anti-Spyware guard.) - C:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O41 - Driver:  (AVG Anti-Spyware Driver) . (...) - C:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\guard64.sys
O41 - Driver:  (AvgAsC64) . (.GRISOFT, s.r.o. - AVG7 Clean Driver.) - C:\Windows\System32\DRIVERS\AvgAsC64.sys
O42 - Logiciel: AVG Anti-Spyware 7.5 - (.Grisoft Ltd..) [HKLM][64Bits] -- AVGAntiSpyware75
O46 - SEH:ShellExecuteHooks - AVG Anti-Spyware 7.5 [64Bits] - {57B86673-276A-48B2-BAE7-C6DBB3020EB8} - C:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook64.dll
O58 - SDL:30/05/2007 - 13:10:42 ---A- . (.GRISOFT, s.r.o. - AVG7 Clean Driver.) -- C:\Windows\System32\Drivers\AvgAsC64.sys   [14072]
O64 - Services: CurCS - 30/05/2007 - C:\Windows\System32\DRIVERS\AvgAsC64.sys (AvgAsC64)  .(.GRISOFT, s.r.o. - AVG7 Clean Driver.) - LEGACY_AVGASC64
O64 - Services: CurCS - 30/05/2007 - C:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\guard64.sys (AVG Anti-Spyware Driver) .(...) - LEGACY_AVG_ANTI-SPYWARE_DRIVER
SR - | Auto 30/05/2007 312880 |  (AVG Anti-Spyware Guard) . (.GRISOFT s.r.o..) - C:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\guard.exe
[HKLM\Software\Wow6432Node\Grisoft]
O43 - CFD: 03/08/2014 - 10:47:44 - [] ----D C:\Program Files (x86)\Grisoft
O43 - CFD: 03/08/2014 - 10:47:45 - [] ----D C:\ProgramData\Grisoft
O43 - CFD: 03/08/2014 - 10:57:53 - [] ----D C:\Users\Lord Vlad\AppData\Roaming\Grisoft
[HKLM\Software\EnigmaSoftwareGroup]
EmptyFlash
EmptyTemp


--> Lance ZHPFix depuis le raccourci situé sur ton Bureau.

--> Clique sur le bouton IMPORTER. Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître. 

--> Clique sur GO et confirme pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.

--> Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message.

Destrio5 · Answer

Plus de souci ?

Redémarre le PC et génère un nouveau rapport ZHPDiag (pour vérifier).

Destrio5 · Answer

Il reste juste un dossier de l'adware.

Réutilise ZHPFix avec le script suivant :

Script ZHPFix
SysRestore
O43 - CFD: 23/08/2014 - 15:21:18 - [] ----D C:\ProgramData\kGFJGFDQcIP      
EmptyFlash
EmptyTemp

Destrio5 · Answer

Pour finir :


1/     

---> Télécharge et installe CCleaner.     
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures.     
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.      


2/     

---> Télécharge DelFix sur ton Bureau puis lance-le.     
* Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.     
* Clique sur Exécuter.     
* Poste le rapport.  


==Prévention==     

Malwarebytes' Anti-Malware est pratique en cas d'infection.
Malwarebytes' Anti-Malware - Tutoriel

Un dossier sur la prévention et sécurité sur Internet est disponible ici.


==Problème résolu ?==         

Si tu estimes que ton problème est résolu, clique sur Marquer comme résolu présent sous le titre de ton sujet.

Win 32 : Adware-gen au démarrage de Firefox

6 réponses

Discussions similaires