Infection! Je sèche.

[baltique]

Bonjour à tous,

 

Je vous explique mon probleme. Depuis hier soir mon portable est infesté par un malwave. Il m'est impossible de naviguer sur le net sans qu'une fenêtre m'affiche "Voulez vous vraiment quitter cette page...SPAM free market reserch.." Et depuis ce matin c'est encore pire. Chaque page web devient inactive (fond grisé) et supplantée par une fenêtre qui m'affiche "Time to chose" et me demande de prendre quelques secondes pour m'enregistrer sur certains sites bla bla bla(soit dit-en passant, ces sites on peut les mettre sur liste noire).

 

Bon, vous l'aurez compris, c'est la cata dans mon portable. Je ne suis pas novice en informatique et suis très prudent, je me suis pourtant fait avoir comme un bleu avec un mail provenant de "commande@nike.shop. com" où on me confirmait dans un excellent français une commande que j'avais effectué sur leur site. Comme je commande pas mal de chose sur le net, j'ai pensé au pire, vol d'identifiant, de données bancaires ou autres. Et j'ai donc ouvert ce petit logiciel dénommé facture. Et paf, le baltique.

 

J'ai passé plusieurs fois Malwarebytes mis a jour, qui m'a trouvé quelques petites cochonneries, mais le problème persiste.

 

Voici le log de ZHPdiag :

 

Mon lien

 

Merci d'avance

[baltique]

Personne pour m'aider?

Je suis vraiment en pleine galère. Besoin de mon ordi pour travailler.

Bon je vais formater. De toute façon je vois pas trop ce que je vais pouvoir faire vu que antivir me trouve rien et malwavebytes non plus.

 

A +

[bernard53]

Bonsoir

 

As tout hasard si tu n'as pas encore formater. fait ceci.

 

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified

M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com

M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\wtxpcom@mybrowserbar.com

M2 - MFEP: prefs.js [christophe - cq7k41it.default\toolbar@ask.com] [] Foxit PDF Creator Toolbar v3.9.1.14019 (.Ask.com.)

R3 - URLSearchHook: Productivity 2.2 Toolbar - {e84cc2c1-b722-48fc-a39c-edb8b525c777} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.0.26) -- C:\Program Files\Productivity_2.2\prxtbProd.dll

O2 - BHO: Productivity 2.2 - {e84cc2c1-b722-48fc-a39c-edb8b525c777} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Productivity_2.2\prxtbProd.dll

O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Pas de propriétaire - Pas de description.) -- (.not file.)

O4 - HKUS\S-1-5-21-3689050010-1716142639-51466568-1000\..\Run: [RecyclexBi.exe] C:\RecyclexBi.exe (.not file.)

O4 - Global Startup: C:\Users\christophe\Desktop\Documents - Raccourci.lnk . (.Pas de propriétaire.) -- C:\Users\christophe\Documents

[MD5.9DDC0931EDA0F2E31C86180CBA25B0D3] [APT] [scheduled Update for Ask Toolbar] (.Pas de propriétaire.) -- C:\Program Files\Ask.com\UpdateTask.exe

[MD5.00000000000000000000000000000000] [APT] [{F837DCC7-53F5-4201-912A-13B0216AF7EA}] (.Pas de propriétaire.) -- c:\program files\mozilla firefox\firefox.exe03 (.not file.)

O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}

O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] – conduitEngine

O42 - Logiciel: pdfforge Toolbar v4.1 - (.Spigot, Inc..) [HKLM] -- {B1BFDF6B-3C03-46fe-B5D7-BABB0063D8E0}

[HKCU\Software\AppDataLow\AskToolbarInfo]

[HKCU\Software\AppDataLow\Software\AskToolbar]

[HKCU\Software\AppDataLow\Software\Conduit]

[HKCU\Software\AppDataLow\Software\PriceGong]

[HKCU\Software\AppDataLow\Software\Productivity_2.2]

[HKCU\Software\AppDataLow\Software\Search Settings]

[HKCU\Software\AppDataLow\Software\conduitEngine]

[HKCU\Software\AppDataLow\Software\pdfforge]

[HKCU\Software\Ask.com]

[HKCU\Software\OfferBox]

[HKLM\Software\Application Updater]

[HKLM\Software\Conduit]

[HKLM\Software\OfferBox]

[HKLM\Software\Search Settings]

[HKLM\Software\pdfforge]

O43 - CFD: 13/02/2011 - 07:11:50 ----D- C:\Program Files\Application Updater

O43 - CFD: 14/02/2011 - 11:20:28 ----D- C:\Program Files\Ask.com

O43 - CFD: 17/01/2011 - 21:50:10 ----D- C:\Program Files\Conduit

O43 - CFD: 13/02/2011 - 20:17:16 ----D- C:\Program Files\ConduitEngine

O43 - CFD: 28/11/2010 - 21:31:40 ----D- C:\Program Files\OfferBox

O43 - CFD: 29/11/2010 - 09:39:38 ----D- C:\Program Files\pdfforge Toolbar

O43 - CFD: 29/11/2010 - 09:39:36 ----D- C:\Program Files\Common Files\Spigot

O43 - CFD: 28/11/2010 - 21:31:40 ----D- C:\Users\christophe\AppData\Roaming\OfferBox

O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe

O69 - SBI: prefs.js [christophe - cq7k41it.default] user_pref("extensions.asktb.cbid", "F4");

O69 - SBI: prefs.js [christophe - cq7k41it.default] user_pref("extensions.asktb.crumb", "2011.02.14+01.35.06-toolbar007iad-FR-Q2hhbWJlcnksRnJhbmNl");

O69 - SBI: prefs.js [christophe - cq7k41it.default] user_pref("extensions.asktb.default-channel-url-mask", "http://fr.ask.com/web?q={query}&qsrc={qsrc}&o={o}&l={l}");

O69 - SBI: prefs.js [christophe - cq7k41it.default] user_pref("extensions.asktb.dtid", "YYYYYYYYFR")

O69 - SBI: prefs.js [christophe - cq7k41it.default] user_pref("extensions.asktb.fresh-install", false);

O69 - SBI: prefs.js [christophe - cq7k41it.default] user_pref("extensions.asktb.l", "dis");

O69 - SBI: prefs.js [christophe - cq7k41it.default] user_pref("extensions.asktb.last-config-req", "1297676108549");

O69 - SBI: prefs.js [christophe - cq7k41it.default] user_pref("extensions.asktb.locale", "fr_FR");

O69 - SBI: prefs.js [christophe - cq7k41it.default] user_pref("extensions.asktb.o", "101699");

O69 - SBI: prefs.js [christophe - cq7k41it.default] user_pref("extensions.asktb.overlay-reloaded-using-restart", true);

O69 - SBI: prefs.js [christophe - cq7k41it.default] user_pref("extensions.asktb.qsrc", "2871");

O69 - SBI: prefs.js [christophe - cq7k41it.default] user_pref("extensions.asktb.r", "4");

O69 - SBI: prefs.js [christophe - cq7k41it.default] user_pref("extensions.asktb.search-suggestions-enabled", true);

 

Emptytemp

FirewallRaz

EmptyFlash

Mbrfix

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [H] ("coller les lignes Helper").

 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment qui apparaitront.

 

Vérifie :

- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

- que les lignes soient disposées les unes en dessous des autres.

 

* Puis clique sur le bouton [OK].

> À ce moment là, il apparaitra au début de chaque ligne une petite case vide. Ne touche plus à rien !

 

!! Déconnecte toi d'internet, désactive tes défenses (anti-virus, anti-spyware) et ferme bien toutes autres applications (navigateurs compris) !!

 

 

* Clique sur le bouton [Tous]. Vérifies que toutes les lignes soient bien cochées.

 

* Enfin clique sur le bouton [Nettoyer].

 

 

-> laisse travailler l'outil et ne touche à rien ...

 

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

 

 

[baltique]

Salut,

 

Merci pour les réponses. C'était limite. Je m'apprêtait à formater le disque.

Oui, j'ai tenté la restauration, mais elle ne fonctionne pas.

 

Voici le rapport après passage à ZHPfix. Merci pour ce soutient, c'est vraiment sympa.

Pour l'instant je ne constate pas de réel changement. Dès que j'ouvre une nouvelle page, toujours les m^^emes conneries. J'oubliais, les accents circonflexes sont doublés lol ^^^^^^^^^^^^^^^^^^^^^^^

 

edit: J'ai redémarré l'ordinateur. Apparemment c'est résolu. Sauf pour les ^^^^^^ mais c'est déja pas mal. Beau boulot. Je suis épaté

 

Rapport de ZHPFix 1.12.3251 par Nicolas Coolman, Update du 07/02/2011

Fichier d'export Registre :

Run by christophe at 14/02/2011 21:50:07

Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

Web site : ZHPFix Fix de rapport

Contact : nicolascoolman@yahoo.fr

 

========== Clé(s) du Registre ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e84cc2c1-b722-48fc-a39c-edb8b525c777}] => Clé supprimée avec succès

[HKCR\CLSID\{e84cc2c1-b722-48fc-a39c-edb8b525c777}] => Clé supprimée avec succès

O2 - BHO: Productivity 2.2 - {e84cc2c1-b722-48fc-a39c-edb8b525c777} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Productivity_2.2\prxtbProd.dll => Clé supprimée avec succès

HKCU\Software\AppDataLow\AskToolbarInfo => Clé absente

HKCU\Software\AppDataLow\Software\AskToolbar => Clé absente

HKCU\Software\AppDataLow\Software\Conduit => Clé absente

HKCU\Software\AppDataLow\Software\PriceGong => Clé absente

HKCU\Software\AppDataLow\Software\Productivity_2.2 => Clé supprimée avec succès

HKCU\Software\AppDataLow\Software\Search Settings => Clé absente

HKCU\Software\AppDataLow\Software\conduitEngine => Clé absente

HKCU\Software\AppDataLow\Software\pdfforge => Clé absente

HKCU\Software\Ask.com => Clé absente

HKCU\Software\OfferBox => Clé absente

HKLM\Software\Application Updater => Clé absente

HKLM\Software\Conduit => Clé absente

HKLM\Software\OfferBox => Clé absente

HKLM\Software\Search Settings => Clé absente

HKLM\Software\pdfforge => Clé absente

O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe => Clé absente

 

========== Valeur(s) du Registre ==========

[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified => Valeur absente

R3 - URLSearchHook: Productivity 2.2 Toolbar - {e84cc2c1-b722-48fc-a39c-edb8b525c777} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.0.26) -- C:\Program Files\Productivity_2.2\prxtbProd.dll => Valeur absente

O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur absente

O4 - HKUS\S-1-5-21-3689050010-1716142639-51466568-1000\..\Run: [RecyclexBi.exe] C:\RecyclexBi.exe (.not file.) => Valeur supprimée avec succès

FirewallRaz : Aucune valeur présente dans la clé de registre "Standard Profile"

FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"

FirewallRaz (Public) : TCP Query User{149CB2B8-648F-4309-B605-1924BAEA1D5D}C:\users\christophe\appdata\local\temp\pylaa90.tmp\pyrun.exe => Valeur supprimée avec succès

FirewallRaz (Public) : UDP Query User{0AD6EE44-13D0-4D42-A671-B0A7D816EA75}C:\users\christophe\appdata\local\temp\pylaa90.tmp\pyrun.exe => Valeur supprimée avec succès

 

========== Dossier(s) ==========

Dossiers Flash Cookies supprimés : 2

 

========== Fichier(s) ==========

Fichiers Flash Cookies supprimés : 1

 

========== Logiciel(s) ==========

O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE} => Logiciel déjà supprimé

O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] – conduitEngine => Logiciel déjà supprimé

O42 - Logiciel: pdfforge Toolbar v4.1 - (.Spigot, Inc..) [HKLM] -- {B1BFDF6B-3C03-46fe-B5D7-BABB0063D8E0} => Logiciel déjà supprimé

 

========== Tache planifiée ==========

Task : Scheduled Update for Ask Toolbar => Tache absente

Task : {F837DCC7-53F5-4201-912A-13B0216AF7EA} => Tâche supprimée avec succès

 

 

========== Récapitulatif ==========

19 : Clé(s) du Registre

8 : Valeur(s) du Registre

1 : Dossier(s)

1 : Fichier(s)

3 : Logiciel(s)

2 : Tache planifiée

 

 

End of the scan

Modifié le 14 février 2011 par baltique

[bernard53]

Content que tu es une nette progression

 

Sauf pour les ^^^^^^ mais c'est déja pas mal

 

Tu veux que tu as juste se soucis de clavier maintenant?

[baltique]

Apparemment tout est ok, merci encore.

 

Il me reste ce petit soucis de clavier avec l'accent circonflexe sauf que, durant l'infection deux accents s'affichaient à chaque pression sur le touche, à présent, à la première pression, rien ne s'affiche, donc obligé d'appuyer de nouveau et du coup j'ai deux accents qui apparaissent en même temps.

Bizarre.

[bernard53]

OK si tout va bien fait ceci.

 

 

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

 

Télécharge << DelFix >> de Xplode pour supprimer les logiciels qui ont servis a cette désinfection.

 

 

* Lance-le.

 

* A l'invite, [suppression] ()

 

* Un rapport va s'ouvrir à la fin, colle le dans la réponse

 

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]

 

 

Puis::

 

 

Bon maintenant on va mettre la restauration du système propre.

Pour cela:

 

1- Valides les touches Windows et Pause en même temps.

 

Puis Protection du système

 

Sur cette fenêtre décoches la case concernant le DD ou est installé ton système normalement C:

 

Valide et acceptes les demandes suivantes.

 

***Pour Windows 7** il faut valider l'onglet Configurer puis valider la désactivation de la restauration.

 

**Toujours sur cette même fenêtre : Il te faut donc maintenant recrée un nouveau point de restauration.

 

Coche cette même case et valides cela par l’onglet APPLIQUER puis onglet « CREER »

 

Nommes ce point PC- Clean: Valides.

 

Vous pouvez maintenant fermer toutes les fenêtres.

 

 

Apparemment tout est ok, merci encore.

 

Il me reste ce petit soucis de clavier avec l'accent circonflexe sauf que, durant l'infection deux accents s'affichaient à chaque pression sur le touche, à présent, à la première pression, rien ne s'affiche, donc obligé d'appuyer de nouveau et du coup j'ai deux accents qui apparaissent en même temps.

Bizarre.

 

Vérifies ceci pour tes accents. Valide donc l’accent voulu une fois puis mets la lettre que tu voulais aussitôt et normalement cela doit fonctionner.

[baltique]

Ok. Encore merci. Tout semble être rentré dans l'ordre. Je suis épaté.

Le seul bémol dans cette histoire: j'ai perdu tout les éléments de mon dossier documents. Il est complètement vide. Heureusement pour moi qu'il n'y avait rien d'important, enfin, je ne crois pas... . Sal....de virus.

Ma copine vient de me dire qu'il y a des photos dans son dossier images qui lui sont totalement inconnues. C'est possible ça?

J'ai lancé un petit malwavebytes, c'était pas très folichon. J'ouvrirai un autre sujet...

Modifié le 16 février 2011 par baltique

[bernard53]

Ok. Encore merci. Tout semble être rentré dans l'ordre. Je suis épaté.

1-Le seul bémol dans cette histoire: j'ai perdu tout les éléments de mon dossier documents. Il est complètement vide. Heureusement pour moi qu'il n'y avait rien d'important, enfin, je ne crois pas... . Sal....de virus.

2-Ma copine vient de me dire qu'il y a des photos dans son dossier images qui lui sont totalement inconnues. C'est possible ça?

3-J'ai lancé un petit malwavebytes, c'était pas très folichon. J'ouvrirai un autre sujet...

 

 

Bonjour

 

Content que cette fois les accents sont OK.

 

1-Bizarre cette disparition

 

 

2-Non impossible seul quelqu'un de ton entourage a peux mettre ces images.

 

 

3-possible qu'il est trouvé des clés de registre et autres. Tu peux tout supprimer ce qu'il a trouvé sans soucis.