Forums Zebulon.fr: [Résolu] Malware - Forums Zebulon.fr

Bonjour monsieur,

Ayant remarqué un important ralentissement de mon ordinateur j'ai effectué un scan avec ZHP qui a découvert une infection par asktb.
Je vous transmets le résultat du scan qui mentionne 13 malwares, par copier coller
Rapport de ZHPDiag

Je vous joins également un scan effectué avec Adwcleaner qui confirme l'infection. A signaler que Malwarebytes' Anti-Malware ne retrouve aucune infection.

Avec tous mes remerciements.
Très cordialement.

----------------------------------
# AdwCleaner v1.319 - Rapport créé le 24/11/2011 à 01:22:25
# Mis à jour le 20/11/11 à 11h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Docteur LANGERON - BUREAU01 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Docteur LANGERON\Bureau\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registre] *****

Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.DllInfo
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText
Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.Tools

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v8.0 (fr)

Profil : ttgedl75.default
Fichier : C:\Documents and Settings\Docteur LANGERON\Application Data\Mozilla\Firefox\Profiles\ttgedl75.default\prefs.js

Présente : user_pref("extensions.asktb.cbid", "QK");
Présente : user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&[...]
Présente : user_pref("extensions.asktb.dtid", "YYYYYYYYFR");
Présente : user_pref("extensions.asktb.first-launch", true);
Présente : user_pref("extensions.asktb.first-launch-url", "hxxp://www.broderbund.com/jump.jsp?itemID=4769&itemT[...]
Présente : user_pref("extensions.asktb.fresh-install", false);
Présente : user_pref("extensions.asktb.l", "dis");
Présente : user_pref("extensions.asktb.last-config-req", "1285190460986");
Présente : user_pref("extensions.asktb.locale", "fr_FR");
Présente : user_pref("extensions.asktb.o", "16145");
Présente : user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
Présente : user_pref("extensions.asktb.qsrc", "2871");
Présente : user_pref("extensions.asktb.r", "4");
Présente : user_pref("extensions.asktb.search-suggestions-enabled", false);

*************************

AdwCleaner[R1].txt - [2201 octets] - [24/11/2011 01:22:25]

########## EOF - C:\AdwCleaner[R1].txt - [2329 octets] ##########

-édit- Bonjour Docteur,
Dans cette section, il ne faut multiplier les messages dans ton sujet avant qu'il ne soit pris en charge : au vu de la présence de « réponses », les helpers ne s'y intéresseront pas, croyant le problème pris en mains par l'un des leurs…

Rapport ZHPDiag : voilà typiquement un rapport qu'il est dangereux de coller directement dans un message, au risque de bloquer le sujet (à cause des limites du gestionnaire de forum IPB 3.1), donc de le rendre inaccessible. Il est donc préférable de faire héberger de tels rapports, par exemple chez . C'est ce que j'ai fait avec le tien

Ce message a été modifié par Dylav - 24 novembre 2011 - 08:27 .

Bonjour,

Nettoyage
Relancez AdwCleaner avec droits administrateur
Cliquez sur Suppression et postez le rapport C:\AdwCleaner[S1].txt

Bonjour,

Merci de prendre en charge mon problème de malware.
Comme vous me l'avez demandé j'ai relancez AdwCleaner avec droits administrateur et Cliqué sur Suppression.
Ci dessous le rapport C:\AdwCleaner[S1].txt

---------------------------------------------
# AdwCleaner v1.319 - Rapport créé le 24/11/2011 à 11:22:06
# Mis à jour le 20/11/11 à 11h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Docteur LANGERON - BUREAU01 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Docteur LANGERON\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.DllInfo
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.Tools

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v8.0 (fr)

Profil : ttgedl75.default
Fichier : C:\Documents and Settings\Docteur LANGERON\Application Data\Mozilla\Firefox\Profiles\ttgedl75.default\prefs.js

Supprimée : user_pref("extensions.asktb.cbid", "QK");
Supprimée : user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&[...]
Supprimée : user_pref("extensions.asktb.dtid", "YYYYYYYYFR");
Supprimée : user_pref("extensions.asktb.first-launch", true);
Supprimée : user_pref("extensions.asktb.first-launch-url", "hxxp://www.broderbund.com/jump.jsp?itemID=4769&itemT[...]
Supprimée : user_pref("extensions.asktb.fresh-install", false);
Supprimée : user_pref("extensions.asktb.l", "dis");
Supprimée : user_pref("extensions.asktb.last-config-req", "1285190460986");
Supprimée : user_pref("extensions.asktb.locale", "fr_FR");
Supprimée : user_pref("extensions.asktb.o", "16145");
Supprimée : user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
Supprimée : user_pref("extensions.asktb.qsrc", "2871");
Supprimée : user_pref("extensions.asktb.r", "4");
Supprimée : user_pref("extensions.asktb.search-suggestions-enabled", false);

*************************

AdwCleaner[R1].txt - [2330 octets] - [24/11/2011 01:22:25]
AdwCleaner[S1].txt - [2284 octets] - [24/11/2011 11:22:06]

*************************

Dossier Temporaire : 3 dossier(s)et 5 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [2503 octets] ##########

Avec tous mes remerciements

Bien.

Vous utilisez SpywareBlaster.
C'est un outils qui prévient l'installation d'Active X pernicieux .
Mais il ne vaut que pour Internet Explorer qui est le seul navigateur à en utiliser., or vous utilisez Firefox.!

Je vous remercie beaucoup. Apparemment je suis débarrassé de ce malware qui semble t-il ait chargé deux fois - eh oui c'est la 2e fois que je suis infecté par AskTB - en mettant à jour pdfcreator sur Sourceforge. Et pourtant je fais attention !
Peut-on utiliser adwcleaner sans danger pour s'en débarrasser ?

Vous me signalez que SpywareBlaster n'est actif qu'avec IE pourtant il existe un onglet Firefox.
Je suis protégé par Avast gratuit et le parefeu de Windows. J'ai essayé Zone Alarm mais il ne semble pas compatible avec ma configuration. Important ralentissement et actions intempestives... Que me proposez vous ? Malwarebytes' Anti-Malware ne détecte que peu d'infections (AskTB n'a pas été découvert).

Merci de votre réponse.
Très cordialement
Jean-Luc

Ce message a été modifié par Papougnet49 - 24 novembre 2011 - 03:07 .

Citation

Oui, c'est sans risque.
Mais attention à l'automédication.

Citation

Peut-être, mais Firefox n'utilise pas d'activeX, donc..

Citation

C'est bien.
Mais ce serait encore mieux si vous activiez le parefeu de la box(en plus)

Citation

Ask est une toolbar indiscrète, mais pas un malware, c'est pourquoi Mbam ne la détecte pas.
Mais c'est le plus efficace antimalware du moment.
S'il n'en détecte pas chez vous, c'est qu'il n'y a rien à détecter.
Une précision, la version gratuite, généralement utilisée, n'est pas résidente.
Il faut donc la mettre à jour avant de la lancer.
La fréquence s'apprécie en fonction de la dangerosité de la navigation.( cracks, pornos , P2P etc..)
A titre d 'exemple, je n'ai rien détecté sur ma machine depuis de longs mois.

Merci de votre célérité et de votre gentillesse.
Encore une fois tout est bien qui fini bien.
Vous parler de box, je n'en ai pas, j'ai un vieux modem qui me satisfait parfaitement pour le moment. Alors quid d'une protection supplémentaire...
Très cordialement.
Jean-Luc

Comment fait-on pour indiquer que le problème est résolu ?

Si vous estimez votre problème résolu, éditez l'en tête de votre premier message en choisissant l'option "utiliser l'éditeur complet" et y indiquez Résolu pour que ceux qui la recherchent y trouvent une solution.

Le problème semble avoir trouvé sa solution.
Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu'ils ont peut-être une solution toute trouvée (s'ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu'il est inutile de continuer à se creuser la tête sur le problème (à moins d'avoir des suppléments d'informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [résolu].
Merci, à l'avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d'induire les gens en erreur ) Pour cela, votre premier message