Win 32 : Adware-gen au démarrage de Firefox [Résolu/Fermé]

Signaler
Messages postés
14
Date d'inscription
mercredi 16 juillet 2014
Statut
Membre
Dernière intervention
23 août 2014
-
Messages postés
14
Date d'inscription
mercredi 16 juillet 2014
Statut
Membre
Dernière intervention
23 août 2014
-
Bonjour,

voila quelque temps maintenant qu'a chaque démarrage de Firefox, Avast me met un message d'alerte :

"Le composant Avast Agent des fichiers a bloqué une menace
aucune autre action n'est demandée.

Objet : C:\ProgramData\kGFJGFDQclP\dat\ITJpz.dll
Infection : Win32:Adware-gen [Adw]
Action : Mis en quarantaine
Processus : C:\ProgramData\kGFJGFDQclP\gGRTcdN.exe

La menace a été détectée et bloquée juste avant la création ou modification du fichier."



-J'ai fais un scan AD Remover :



======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 11:28:06 le 23/08/2014, Mode normal

Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X64)
Lord Vlad@TROMPE-LA-MORT (TOSHIBA Satellite P300)

============== RECHERCHE ==============


Dossier trouvé: C:\Users\Lord Vlad\AppData\Roaming\OpenCandy



============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [31.0 (x86 fr)] ****

FIREFOX.EXE\Shell\Open\Command - "C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x)
HKCU_MozillaPlugins\pandonetworks.com/PandoWebPlugin (x)
HKCU_MozillaPlugins\ubisoft.com/uplaypc (x)
HKLM_Extensions|{F003DA68-8256-4b37-A6C4-350FA04494DF} - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt

**** Internet Explorer Version [9.11.9600.17239] ****

IEXPLORE.EXE\Shell\Open\Command - C:\Program Files\Internet Explorer\iexplore.exe
HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://myhome.vi-view.com/web/?type=ds&ts=1406620539&from=smt&uid=TOSHIBAXMK2555GSX_49P3F2HNSXX49P3F2HNS&q={searchTerms}
HKLM_Main|Search Page - hxxp://myhome.vi-view.com/web/?type=ds&ts=1406620539&from=smt&uid=TOSHIBAXMK2555GSX_49P3F2HNSXX49P3F2HNS&q={searchTerms}
HKLM_ElevationPolicy\{00AB3925-B470-4264-B354-03E373074F23} - C:\Program Files\AVAST Software\Avast\aswWrcIELoader32.exe (AVAST Software)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{1753B788-C64C-4D57-B6BC-95C48992C4A7} - C:\Windows\SysWOW64\msspellcheckingfacility.exe (x)
HKLM_ElevationPolicy\{357FBE87-6C8E-490D-A059-4746C864AE6F} - C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\InputPersonalization.exe (x)
HKLM_ElevationPolicy\{49E561B1-1091-4E65-98A0-AFCA4996CD1D} - C:\Windows\SysWOW64\RuntimeBroker.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{877467C0-F9E4-4561-84F0-65AA7539833C} - C:\Windows\SysWOW64\CredentialUIBroker.exe (x)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! Online Security" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
BHO\{AF949550-9094-4807-95EC-D1C317803333} - "Logitech SetPoint" (C:\Program Files\Logitech\SetPointP\32-bit\SetPointSmooth.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 23/08/2014 11:28:10 (2876 Octet(s))

Fin à: 11:29:22, 23/08/2014

============== E.O.F ==============





-Puis j'ai fais un nettoyage (toujours avec AD Remover :


======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:30:07 le 23/08/2014, Mode normal

Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X64)
Lord Vlad@TROMPE-LA-MORT (TOSHIBA Satellite P300)

============== ACTION(S) ==============


Dossier supprimé: C:\Users\Lord Vlad\AppData\Roaming\OpenCandy

(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [31.0 (x86 fr)] ****

FIREFOX.EXE\Shell\Open\Command - "C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x)
HKCU_MozillaPlugins\pandonetworks.com/PandoWebPlugin (x)
HKCU_MozillaPlugins\ubisoft.com/uplaypc (x)
HKLM_Extensions|{F003DA68-8256-4b37-A6C4-350FA04494DF} - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt

**** Internet Explorer Version [9.11.9600.17239] ****

IEXPLORE.EXE\Shell\Open\Command - C:\Program Files\Internet Explorer\iexplore.exe
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_ElevationPolicy\{00AB3925-B470-4264-B354-03E373074F23} - C:\Program Files\AVAST Software\Avast\aswWrcIELoader32.exe (AVAST Software)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{1753B788-C64C-4D57-B6BC-95C48992C4A7} - C:\Windows\SysWOW64\msspellcheckingfacility.exe (x)
HKLM_ElevationPolicy\{357FBE87-6C8E-490D-A059-4746C864AE6F} - C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\InputPersonalization.exe (x)
HKLM_ElevationPolicy\{49E561B1-1091-4E65-98A0-AFCA4996CD1D} - C:\Windows\SysWOW64\RuntimeBroker.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{877467C0-F9E4-4561-84F0-65AA7539833C} - C:\Windows\SysWOW64\CredentialUIBroker.exe (x)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! Online Security" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
BHO\{AF949550-9094-4807-95EC-D1C317803333} - "Logitech SetPoint" (C:\Program Files\Logitech\SetPointP\32-bit\SetPointSmooth.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 23/08/2014 11:30:11 (3208 Octet(s))
C:\Ad-Report-SCAN[1].txt - 23/08/2014 11:28:10 (3014 Octet(s))

Fin à: 11:32:30, 23/08/2014

============== E.O.F ==============



Mais le problème persiste...

Que me conseillez-vous de faire ?

Merci d'avance.

6 réponses

Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 977
Bonjour,

Ad-Remover n'est plus mis à jour depuis 2011, il ne doit plus être utilisé.

--> Télécharge et lance AdwCleaner (d'Xplode), choisis l'option "Scanner".

--> Une fois le scan terminé, choisis l'option "Nettoyer".

--> Redémarre le PC comme demandé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ta réponse. Le rapport est enregistré dans C:\AdwCleaner sous le nom d'AdwCleaner[s?].
Messages postés
14
Date d'inscription
mercredi 16 juillet 2014
Statut
Membre
Dernière intervention
23 août 2014

Comme demandé :


https://pjjoint.malekal.com/files.php?id=20140823_d10c11o15v5e10

Encore merci de votre aide
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 977
--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

--> Clique sur "Complet".

--> Une fois le scan terminé, un rapport est créé sur le Bureau.

--> Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message.
Messages postés
14
Date d'inscription
mercredi 16 juillet 2014
Statut
Membre
Dernière intervention
23 août 2014

Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 977
--> Menu Démarrer > Panneau de configuration > Désinstaller un programme. Désinstalle AVG Anti-Spyware.

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


Script ZHPFix
SysRestore
R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://myhome.vi-view.com
R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://myhome.vi-view.com
O23 - Service: gGRTcdN (gGRTcdN) . (.GenTechnologies Apps, LLC - MovieMode Service.) - C:\ProgramData\kGFJGFDQcIP\gGRTcdN.exe
O42 - Logiciel: Movie Mode - (.GenTechnologies Apps, LLC.) [HKLM][64Bits] -- MovieMode
O43 - CFD: 23/08/2014 - 13:00:13 - [] ----D C:\ProgramData\Browser
O43 - CFD: 29/07/2014 - 09:57:17 - [] ----D C:\ProgramData\kGFJGFDQcIP
O43 - CFD: 21/08/2014 - 19:07:12 - [] ----D C:\Users\Lord Vlad\AppData\Roaming\vi-view
O61 - LFC: 21/08/2014 - 13:14:35 ---A- . (.Enigma Software Group USA, LLC..) -- C:\Users\Lord Vlad\Downloads\SpyHunter-installer.exe [728960]
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SupTab_v5_RASAPI32 =>PUP.SupTab
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SupTab_v5_RASMANCS =>PUP.SupTab
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\wpm_v20_RASAPI32 =>PUP.WpManager
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\wpm_v20_RASMANCS =>PUP.WpManager
SR - | Auto 29/07/2014 2319216 | (gGRTcdN) . (.GenTechnologies Apps, LLC.) - C:\ProgramData\kGFJGFDQcIP\gGRTcdN.exe
[HKLM\SYSTEM\CurrentControlSet\Services\gGRTcdN]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\MovieMode]
O4 - HKLM\..\Wow6432Node\Run: [!AVG Anti-Spyware] . (.GRISOFT s.r.o. - AVG Anti-Spyware.) -- C:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
O23 - Service: AVG Anti-Spyware Guard (AVG Anti-Spyware Guard) . (.GRISOFT s.r.o. - AVG Anti-Spyware guard.) - C:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O41 - Driver: (AVG Anti-Spyware Driver) . (...) - C:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\guard64.sys
O41 - Driver: (AvgAsC64) . (.GRISOFT, s.r.o. - AVG7 Clean Driver.) - C:\Windows\System32\DRIVERS\AvgAsC64.sys
O42 - Logiciel: AVG Anti-Spyware 7.5 - (.Grisoft Ltd..) [HKLM][64Bits] -- AVGAntiSpyware75
O46 - SEH:ShellExecuteHooks - AVG Anti-Spyware 7.5 [64Bits] - {57B86673-276A-48B2-BAE7-C6DBB3020EB8} - C:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook64.dll
O58 - SDL:30/05/2007 - 13:10:42 ---A- . (.GRISOFT, s.r.o. - AVG7 Clean Driver.) -- C:\Windows\System32\Drivers\AvgAsC64.sys [14072]
O64 - Services: CurCS - 30/05/2007 - C:\Windows\System32\DRIVERS\AvgAsC64.sys (AvgAsC64) .(.GRISOFT, s.r.o. - AVG7 Clean Driver.) - LEGACY_AVGASC64
O64 - Services: CurCS - 30/05/2007 - C:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\guard64.sys (AVG Anti-Spyware Driver) .(...) - LEGACY_AVG_ANTI-SPYWARE_DRIVER
SR - | Auto 30/05/2007 312880 | (AVG Anti-Spyware Guard) . (.GRISOFT s.r.o..) - C:\Program Files (x86)\Grisoft\AVG Anti-Spyware 7.5\guard.exe
[HKLM\Software\Wow6432Node\Grisoft]
O43 - CFD: 03/08/2014 - 10:47:44 - [] ----D C:\Program Files (x86)\Grisoft
O43 - CFD: 03/08/2014 - 10:47:45 - [] ----D C:\ProgramData\Grisoft
O43 - CFD: 03/08/2014 - 10:57:53 - [] ----D C:\Users\Lord Vlad\AppData\Roaming\Grisoft
[HKLM\Software\EnigmaSoftwareGroup]
EmptyFlash
EmptyTemp



--> Lance ZHPFix depuis le raccourci situé sur ton Bureau.

--> Clique sur le bouton IMPORTER. Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître.

--> Clique sur GO et confirme pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.

--> Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message.
Messages postés
14
Date d'inscription
mercredi 16 juillet 2014
Statut
Membre
Dernière intervention
23 août 2014

Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 977
Plus de souci ?

Redémarre le PC et génère un nouveau rapport ZHPDiag (pour vérifier).
Messages postés
14
Date d'inscription
mercredi 16 juillet 2014
Statut
Membre
Dernière intervention
23 août 2014

A priori Avast ne détecte plus le adware.


Rapport ZHPDiag après redémarrage :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140823_y13b9m5n10f7
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 977
Il reste juste un dossier de l'adware.

Réutilise ZHPFix avec le script suivant :

Script ZHPFix
SysRestore
O43 - CFD: 23/08/2014 - 15:21:18 - [] ----D C:\ProgramData\kGFJGFDQcIP
EmptyFlash
EmptyTemp
Messages postés
14
Date d'inscription
mercredi 16 juillet 2014
Statut
Membre
Dernière intervention
23 août 2014

Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 977
Pour finir :


1/

---> Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures.
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


2/

---> Télécharge DelFix sur ton Bureau puis lance-le.
* Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.
* Clique sur Exécuter.
* Poste le rapport.


==Prévention==

Malwarebytes' Anti-Malware est pratique en cas d'infection.
Malwarebytes' Anti-Malware - Tutoriel

Un dossier sur la prévention et sécurité sur Internet est disponible ici.


==Problème résolu ?==

Si tu estimes que ton problème est résolu, clique sur Marquer comme résolu présent sous le titre de ton sujet.
Messages postés
14
Date d'inscription
mercredi 16 juillet 2014
Statut
Membre
Dernière intervention
23 août 2014

Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 977
Ok pour DelFix.

Bonne fin de journée ;)
Messages postés
14
Date d'inscription
mercredi 16 juillet 2014
Statut
Membre
Dernière intervention
23 août 2014

merci a toi de m'avoir consacré ton temps.

^^