PC infecté par virus ou malwares ?

[Sophie123]

Bonjour Florinator,

 

Voici cette fois le rapport d'Ad-Remover.

 

Merci.

 

Sophie

 

 

 

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par C_XX le 21/07/10 à 14:00

Contact: AdRemover.contact[AT]gmail.com

Site web: Ad_Remover

 

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 20:19:36 le 23/07/2010, Mode normal

 

Microsoft Windows XP Professionnel Service Pack 3 (X86)

Sophie@( )

 

============== RECHERCHE ==============

 

 

0,Dossier trouvé: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

0,Fichier trouvé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

0,Dossier trouvé: C:\Documents and Settings\Sophie\Application Data\Mozilla\FireFox\Profiles\j4u8uowq.default\extensions\toolbar@ask.com

0,Dossier trouvé: C:\Program Files\Ask.com

0,Dossier trouvé: C:\Documents and Settings\Sophie\Local Settings\Application Data\AskToolbar

3,Fichier trouvé: C:\WINDOWS\Installer\4fd22a.msi

 

-- Fichier ouvert: C:\Documents and Settings\Sophie\Application Data\Mozilla\FireFox\Profiles\j4u8uowq.default\Prefs.js --

Ligne trouvée: user_pref("extensions.asktb.cbid", "QR");

Ligne trouvée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://www.ask.com/web?q={query}&o={o}&l={l}...

Ligne trouvée: user_pref("extensions.asktb.fresh-install", false);

Ligne trouvée: user_pref("extensions.asktb.l", "dis");

Ligne trouvée: user_pref("extensions.asktb.last-config-req", "1279908505686");

Ligne trouvée: user_pref("extensions.asktb.locale", "en_US");

Ligne trouvée: user_pref("extensions.asktb.o", "16205");

Ligne trouvée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);

Ligne trouvée: user_pref("extensions.asktb.qsrc", "2871");

Ligne trouvée: user_pref("extensions.asktb.r", "5");

Ligne trouvée: user_pref("extensions.asktb.search-history-queries","|trouver les paires||jeu ...

Ligne trouvée: user_pref("extensions.asktb.search-suggestions-enabled", true);

Ligne trouvée: user_pref("extensions.enabledItems", "jqs@sun.com:1.0,{E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.6...

-- Fichier Fermé --

 

 

1,Clé trouvée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

1,Clé trouvée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}

1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}

1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

1,Clé trouvée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

1,Clé trouvée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

1,Clé trouvée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

1,Clé trouvée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

0,Clé trouvée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd

0,Clé trouvée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1

0,Clé trouvée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL

1,Clé trouvée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

0,Clé trouvée: HKCU\Software\Ask.com

0,Clé trouvée: HKCU\Software\AskToolbar

0,Clé trouvée: HKCU\Software\AppDataLow\AskToolbarInfo

3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

3,Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

0,Valeur trouvée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}

0,Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

 

 

============== SCAN ADDITIONNEL ==============

 

** Mozilla Firefox Version [3.6.7 (fr)] **

 

-- C:\Documents and Settings\Sophie\Application Data\Mozilla\FireFox\Profiles\j4u8uowq.default\Prefs.js --

browser.startup.homepage_override.mstone, rv:1.9.2.7

 

========================================

 

** Internet Explorer Version [8.0.6001.18702] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Show_ToolBar: yes

Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

Use Custom Search URL: 1

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157

Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Delete_Temp_Files_On_Exit: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

 

C:\Ad-Report-SCAN[1].txt - 23/07/2010 (3998 Octet(s))

 

Fin à: 20:27:16, 23/07/2010

 

============== E.O.F ==============

[Florinator]

Bonjour Sophie

 

On va supprimer Ask dans sa totalité, évite cette toolbar trop indiscrète et qui revends les infos qu'elle récolte sur tes navigations:

 

 

 

!Déconnectes toi et fermes toutes applications en cours !

 

 

 

• Relance Ad-remover : au menu principal choisi l'option "Nettoyer" .
  
• Poste le rapport qui apparait à la fin.

 

Le rapport est sauvegardé sous C:\Ad-report CLEAN.log

 

 

 

Si ton Bureau ne réapparaît pas:

 

• - Fais CTRL+ALT+SUPP pour ouvrir le Gestionnaire de tâches.
  - Clique en haut à gauche sur "Fichier"
  - Choisi "Nouvelle tâche" (Exécuter ...)
  - Tape "explorer" et valide.
  - Cela fera apparaître ton Bureau.

 

 

A++

[Sophie123]

Bonsoir Florinator,

 

Merci de me prévenir pour la toolbar d'Ask car j'ignorais leur manière de procéder.

 

Comme demandé, voici le rapport après nettoyage :

 

 

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par C_XX le 21/07/10 à 14:00

Contact: AdRemover.contact[AT]gmail.com

Site web: Ad_Remover

 

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 21:07:29 le 24/07/2010, Mode normal

 

Microsoft Windows XP Professionnel Service Pack 3 (X86)

Sophie@( )

 

============== ACTION(S) ==============

 

 

0,Dossier supprimé: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

0,Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

0,Dossier supprimé: C:\Documents and Settings\Sophie\Application Data\Mozilla\FireFox\Profiles\j4u8uowq.default\extensions\toolbar@ask.com

0,Dossier supprimé: C:\Program Files\Ask.com

0,Dossier supprimé: C:\Documents and Settings\Sophie\Local Settings\Application Data\AskToolbar

3,Fichier supprimé: C:\WINDOWS\Installer\4fd22a.msi

 

(!) -- Fichiers temporaires supprimés.

 

 

-- Fichier ouvert: C:\Documents and Settings\Sophie\Application Data\Mozilla\FireFox\Profiles\j4u8uowq.default\Prefs.js --

Ligne supprimée: user_pref("extensions.asktb.cbid", "QR");

Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://www.ask.com/web?q={query}&o={o}&l={l}...

Ligne supprimée: user_pref("extensions.asktb.fresh-install", false);

Ligne supprimée: user_pref("extensions.asktb.l", "dis");

Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1279995764490");

Ligne supprimée: user_pref("extensions.asktb.locale", "en_US");

Ligne supprimée: user_pref("extensions.asktb.o", "16205");

Ligne supprimée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);

Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871");

Ligne supprimée: user_pref("extensions.asktb.r", "5");

Ligne supprimée: user_pref("extensions.asktb.search-history-queries", "|trouver les paires||jeu ...

Ligne supprimée: user_pref("extensions.asktb.search-suggestions-enabled", true);

Ligne supprimée: user_pref("extensions.enabledItems", "jqs@sun.com:1.0,{E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.6...

-- Fichier Fermé --

 

 

1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}

1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}

1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd

0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1

0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL

1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

0,Clé supprimée: HKCU\Software\Ask.com

0,Clé supprimée: HKCU\Software\AskToolbar

0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo

3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}

0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

 

 

============== SCAN ADDITIONNEL ==============

 

** Mozilla Firefox Version [3.6.7 (fr)] **

 

-- C:\Documents and Settings\Sophie\Application Data\Mozilla\FireFox\Profiles\j4u8uowq.default\Prefs.js --

browser.startup.homepage_override.mstone, rv:1.9.2.7

 

========================================

 

** Internet Explorer Version [8.0.6001.18702] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Show_ToolBar: yes

Start Page: hxxp://fr.msn.com/

Use Custom Search URL: 1

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search bar: hxxp://search.msn.com/spbasic.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page: hxxp://fr.msn.com/

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 131 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

 

C:\Ad-Report-CLEAN[1].txt - 24/07/2010 (449 Octet(s))

C:\Ad-Report-CLEAN[2].txt - 24/07/2010 (4429 Octet(s))

C:\Ad-Report-SCAN[1].txt - 23/07/2010 (5446 Octet(s))

 

Fin à: 21:14:04, 24/07/2010

 

============== E.O.F ==============

[Thanos]

salut

 

Florinator étant partit en vacances, je prends la relève!

Ask toolbar a bien été supprimée.

Je reviens la dessus =>

Divers symptômes (publicités bizarres clignotantes, disque dur bruyant), "Microsoft security essential" installé sur l'ordinateur qui me signale un virus "grave".

Est ce toujours le cas ? Peux tu me produire le rapport de Microsoft security essential concernant la détection en question ? Pour cela ouvre le programme et sélectionne l'onglet Historique.

Tu dois avoir une description de la menace détectée.

[Sophie123]

Bonsoir Thanos,

 

Merci de m'avoir informée que Florinator était en vacances et que tu prenais la relève. Rassurant.

 

J'ai cherché dans l'historique, mais je ne vois aucune mention de ce virus grave annoncé.

 

Par contre, les publicités bizarres continuent. Par exemple, sur Yahoo, où on m'annonce que j'ai gagné une BMW je crois. C'est un message encadré. Je précise que le bloqueur de publicités est activé et pourtant, ça continue. Je fréquente assidument FB pour les jeux en ligne gratuits et Yahoo.

 

Merci de me dépatouiller en me disant ce que je dois faire pour nettoyer tout ça.

 

Bon courage pour la relève de ton collègue.

 

Sophie

[Thanos]

Il devrait s'agir de la dernière détection en date.

Pour ces pubs: elles apparaissent sur des sites en particulier ou sur n'importe quel ?

[Sophie123]

Bonsoir Thanos,

 

Pour vérifier, je me suis connectée sur le site Yahoo et là une publicité encadrée de rouge avec des petites voitures blanches tournant dans le sens inverse des aiguilles d'une montre. Il est écrit : "Très cher internaute, en ligne le 27.07.2010 en ligne à 18h24min11sec. Sincères Félicitations ! Vous venez d'être sélectionné comme gagnant potention d'une BMW série 1 ! Si sélectionné cliquez ici ! www.votre-nouvelle-voiture.be

Vous êtes maintenant sélectionné !"

Comme je vis en Belgique, c'est bien sûr un site belge que l'on me propose alors que je consulte des sites français.

 

Je suis retournée sur Facebook et là aussi dans le même style sauf que là ce n'est pas encadré, mais on me dit aussi que je suis gagnant, d'un téléphone je crois. Bref attrape-nigaud et compagnie.

 

Qu'en penses-tu ? Merci.

Modifié le 27 juillet 2010 par Sophie123

[Thanos]

salut Sophie123

 

Désolé pour l'attente! Tes rapports ne montrant rien de mauvais je me posais la question:

Tu parles de FaceBook et de Yahoo, mais y a t-il d'autres sites où ces pubs apparaissent où uniquement sur ces deux sites ?

[Sophie123]

Bonsoir Thanos,

 

Ces encadrés publicitaires apparaissent sur les deux sites que je t'ai cités. Hier, j'en avais même deux sur le même site (Facebook je crois).

J'utilise Mozilla Firefox pour FB et Internet Explorer pour le reste.

 

Tout à l'heure Online Armor m'a signalé après que le PC se soit éteint subitement juste après que je l'ai allumé :

Id: 26652

Name: MINI072910-01.DMP

Path: C:\WINDOWS\MINIDUMP\

 

A bientôt

 

Sophie

[Thanos]

salut

 

Je ne pense pas que ce soit une infection. Lorsque c'est le cas, les pubs apparaissent sur n'importe quel site et de manière aléatoire. Le surf en est très ralentit et difficile. D'autre part le système lui même rame!

Ce n'est pas le cas ici manifestement.

J'utilise Mozilla Firefox pour FB et Internet Explorer pour le reste.

Débarrasse toi des pubs et sécurise Firefox encore plus en suivant le tutoriel de oGu => Sécuriser Firefox (Page 1) - libellules.ch

Regarde en page 2 plus particulièrement pour les pubs (ADBLOCK PLUS)

Tout à l'heure Online Armor m'a signalé après que le PC se soit éteint subitement juste après que je l'ai allumé :

Id: 26652

Name: MINI072910-01.DMP

Path: C:\WINDOWS\MINIDUMP\

Le message d'erreur n'est malheureusement pas très utile (comme la plupart des messages de Microsoft!).