Agence-Exclusive & co squattent mon PC

[MAB38]

Bonjour

 

Je suis verte ... ce matin sur mon poste principal, je vois le navigateur qui se lance sans que je lui ai rien demandé et bien entendu sur une page de pub.

 

J'avais déjà eu ce problème, il y a peu, sur un portable acheté d'occaz et Bernard53 m'avait donné toutes les indications pour m'en débarrasser avec succès. Mais ce matin je me suis chopée cette m.... sur MON PC.

 

J'ai fait un ZPHDiag que voici : Cijoint.fr - Service gratuit de dépôt de fichiers

 

Le comble, c'est qu'à priori, c'est en téléchargeant un tuto sur avast (sur le site 01net) que mon PC a été infecté. Je dis bien à priori car c'est le seul truc que j'ai téléchargé ce matin avant ces ouvertures intempestives de pub. Jusqu'à présent je faisais confiance à ce site et là, je suis dégoutée

 

En tout cas merci d'avance de m'aider dans cette chasse aux squatters

[Apollo]

Bonjour,

 

Moi je ne suis pas étonné outre mesure. Va ailleurs hein

Tu cherches un tuto sur quoi?

 

C'est plein de saletés sur ta machine.

Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

http://www.teamxscript.org/adremoverTelechargement.html

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous XP: Double-clique, (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur scanner

 

 

Le rapport se trouve aussi sous C:\Ad-Report Scan.

Copie/colle-le dans ta réponse stp.

 

 

----------------------------------------------------

 

Relance Ad-Remover et cette fois, clique sur Nettoyer

 

Le bureau va disparaître, c'est normal.

 

Le rapport à poster sera sur C:\Ad-Report Clean.

 

*** Poste le deuxième rapport stp.

 

@++

[MAB38]

Bonjour Apollo

 

"C'est plein de saletés sur ta machine." c'est bien ce qui me navre car j'essaie de faire attention. Si je comprends bien il vaut mieux que j'oublie le site en question.

 

Voilà le rapport de scan : Cijoint.fr - Service gratuit de dépôt de fichiers

 

et le rapport après nettoyage : Cijoint.fr - Service gratuit de dépôt de fichiers

 

@ bientôt

[Apollo]

Re,

 

Eh bien, si je rencontrais personnellement ce genre de désagrément, j'éviterais tout site qui me flanquerait la moindre toolbar, mais on se fait vite piéger quand on est un peu pressé.

 

En tous cas, quand je dois télécharger un programme, je vais toujours chez l'éditeur et jamais sur un site alternatif sauf si j'y suis obligé. Par exemple CCleaner renvoie vers File Hippo, mais c'est un site assez sûr.

 

Toi, tu cherchais un tuto, ce n'est donc pas par une installation de freeware (?) que tu aurais été infectée...

Mais bon il faut voir, tu as p'tète oublié: Lisez d'abord, cliquez après !!! : Questions sur la Sécurité Windows

 

En fait tu cherchais quel tuto? Si je peux te renseigner...

 

Fais ça: Lance ad-remover et clique sur désinstaller, puis,

 

1)Télécharge TFC par OldTimer et enregistre-le sur le bureau.

 

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

 

2) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer clique pour la version FREE et enregistre l'exécutable sur le bureau.

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[MAB38]

Me revoilà

 

J'ai fait le 1 (TFC)

Pour le 2 j'ai mis à jour MAM dont voici le rapport :

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

 

02/06/2011 19:51:51

mbam-log-2011-06-02 (19-51-51).txt

 

Scan type: Full scan (C:\|D:\|I:\|)

Objects scanned: 348401

Time elapsed: 35 minute(s), 29 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

(No malicious items detected)

 

Registry Values Infected:

(No malicious items detected)

 

Registry Data Items Infected:

(No malicious items detected)

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

(No malicious items detected)

 

Pour le tuto c'est parce que j'avais la flemme de faire un petit topo sur avast à ma belle soeur et que j'avais vu à l'occasion qu'il y avait un tuto sur 01 donc je me suis dit pourquoi ne pas essayer ?

De façon générale, je fais attention et décoche les cases d'installation non désirée mais je ne peux pas jurer que je n'ai rien laissé passer ... et je n'ai pas envie de recommencer juste pour en être certaine (il faudrait que je revienne te mettre à contribution).

 

Est ce que je dois refaire un ZHPDiag ?

 

et encore un truc : comment puis je me débarrasser de cette fenêtre qui s'ouvre de temps en temps :

 

Chaque fois je choisis cancel mais ça me casse les pieds.

 

@ ++ et encore merci

 

[Apollo]

Re,

 

Si tu as Free Download Manager , désinstalle-le car c'est sans doute un machin qui s'installe avec quand on oublie de décocher une case

 

Tu peux aussi chercher sur le C si tu trouves un dossier "software informer"; ouvre-le, tu devrais trouver un fichier Uninstall.exe. (l'extension peut ne pas apparaître)

 

Utilise aussi un autre hébergeur d'images car celui que je viens d'ouvrir sur ton lien a essayé de ma flanquer une page de pub mais pas à moi hein

 

Je te suggère: Xooimage - Hébergement gratuit d'images

 

Oui tu peux refaire un ZHPDiag, héberge le rapport sur ci-joint stp et donne-moa le lien.

 

@pluche

[MAB38]

Bon alors :

 

- pas de Free Download Manager

- software informer : j'ai trouvé le dossier et désinstallé le programme

- merci de l'info pour l'hébergeur d'images , je l'ai mis dans mes marque pages

- et le rapport de ZHPDiag : Cijoint.fr - Service gratuit de dépôt de fichiers

j'ai l'impression qu'il en reste encore

c'est pire que des tiques sur un chien ces trucs !!

[Apollo]

Bonjour,

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

M1 - SPR:Search Page Redirection - C:\Program Files (x86)\Mozilla FireFox\extensions\wtxpcom@mybrowserbar.com      
O42 - Logiciel: FreeCompressor - (.Secure Digital Services.) [HKLM][64Bits] -- {8CA0170E-6E9E-43A5-AE1F-85A82820B847}    
O42 - Logiciel: PcTuto 1.1 - (.Agence-Exclusive.) [HKLM][64Bits] -- PcTuto_is1    
O42 - Logiciel: Tuto Avast1.0.0.0 - (.PCTuto.) [HKLM][64Bits] -- Tuto Avast_is1      
[HKCU\Software\Agence-Exclusive]     
[HKLM\Software\Agence-Exclusive]     
[HKCR\PCTutoBHO.PCTBHO]      
[HKCR\PCTutoBHO.PCTBHO.1]      
[HKCR\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]      
[HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]    
[HKCR\Installer\Features\5B4758C25396ECF468E04F8E063287FF]   
[HKCR\Installer\UpgradeCodes\5B4758C25396ECF468E04F8E063287FF]    
[HKLM\Software\Classes\Installer\Features\5B4758C25396ECF468E04F8E063287FF]  
[HKLM\Software\Wow6432Node\Agence-Exclusive]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\PcTuto_is1]    
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FreeCompressor     
O4 - HKLM\..\Run: [Logitech Download Assistant] C:\Windows\System32\LogiLDA.dll (.not file.)    
O23 - Service:  (JetDrive WindowsClosingService) - Clé orpheline    
[MD5.00000000000000000000000000000000] [APT] [MyDefrag v4.3.1 Daily] (.Pas de propriétaire.) -- C:\Program Files\MyDefrag v4.3.1\Scripts\AutomaticDaily.MyD"  (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{484C0DEE-6A93-405D-9D2C-D907C9B60C8A}] (.Pas de propriétaire.) -- I:\DELIVERY2\Delivery\DeliveryManager.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{E67A9088-10C2-4AD6-9997-143E146A7AA5}] (.Pas de propriétaire.) -- I:\DELIVERY2\Delivery\uninst.exe (.not file.)    
[HKLM\Software\Amazon]  
O43 - CFD: 15/10/2010 - 11:07:48 - [1311] ----D- C:\ProgramData\Partner 
O43 - CFD: 28/01/2011 - 20:00:58 - [2662080] ----D- C:\Program Files (x86)\Amazon  
O87 - FAEL: "{2C830084-F6D4-4A8F-84F4-4D57B7339A5F}" |In - None - P17 - TRUE | .(...) -- E:\setup\hpznui40.exe (.not file.)    
emptytemp
emptyflash   

 

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPDiag\ZHPFixReport.tx

[MAB38]

Bonjour Apollo,

 

voilà le rapport de ZHPFix :

 

Rapport de ZHPFix 1.12.3291 par Nicolas Coolman, Update du 31/05/2011

Fichier d'export Registre : C:\ZHPExportRegistry-03-06-2011-11-42-49.txt

Run by JPB at 03/06/2011 11:42:49

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

 

========== Logiciel(s) ==========

ABSENT: O42 - Logiciel: FreeCompressor - (.Secure Digital Services.) [HKLM][64Bits] -- {8CA0170E-6E9E-43A5-AE1F-85A82820B847}

ABSENT: O42 - Logiciel: PcTuto 1.1 - (.Agence-Exclusive.) [HKLM][64Bits] -- PcTuto_is1

ABSENT: O42 - Logiciel: Tuto Avast1.0.0.0 - (.PCTuto.) [HKLM][64Bits] -- Tuto Avast_is1

 

========== Clé(s) du Registre ==========

SUPPRIME: HKCU\Software\Agence-Exclusive

SUPPRIME: HKLM\Software\Agence-Exclusive

SUPPRIME: HKCR\PCTutoBHO.PCTBHO

SUPPRIME: HKCR\PCTutoBHO.PCTBHO.1

ERREUR suppression: HKCR\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}

ERREUR suppression: HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}

SUPPRIME: HKCR\Installer\Features\5B4758C25396ECF468E04F8E063287FF

SUPPRIME: HKCR\Installer\UpgradeCodes\5B4758C25396ECF468E04F8E063287FF

SUPPRIME: HKLM\Software\Classes\Installer\Features\5B4758C25396ECF468E04F8E063287FF

SUPPRIME: HKLM\Software\Wow6432Node\Agence-Exclusive

SUPPRIME: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\PcTuto_is1

SUPPRIME: O23 - Service: (JetDrive WindowsClosingService) - Clé orpheline

SUPPRIME: HKLM\Software\Amazon

 

========== Valeur(s) du Registre ==========

SUPPRIME: O4 - HKLM\..\Run: [Logitech Download Assistant] C:\Windows\System32\LogiLDA.dll (.not file.)

SUPPRIME: {2C830084-F6D4-4A8F-84F4-4D57B7339A5F}

 

========== Dossier(s) ==========

SUPPRIME: c:\programdata\microsoft\windows\start menu\programs\freecompressor

SUPPRIME: C:\ProgramData\Partner

SUPPRIME: C:\Program Files (x86)\Amazon

Dossiers temporaires Windows supprimés : 72

Dossiers Flash Cookies supprimés : 2

 

========== Fichier(s) ==========

SUPPRIME: c:\program files (x86)\mozilla firefox\extensions\wtxpcom@mybrowserbar.com

SUPPRIME: c:\windows\system32\logilda.dll

Fichiers temporaires Windows supprimés : 15

Fichiers Flash Cookies supprimés : 0

 

========== Tache planifiée ==========

SUPPRIME: MyDefrag v4.3.1 Daily

SUPPRIME: {484C0DEE-6A93-405D-9D2C-D907C9B60C8A}

SUPPRIME: {E67A9088-10C2-4AD6-9997-143E146A7AA5}

 

 

========== Récapitulatif ==========

13 : Clé(s) du Registre

2 : Valeur(s) du Registre

5 : Dossier(s)

4 : Fichier(s)

3 : Logiciel(s)

3 : Tache planifiée

 

 

End of the scan

[Apollo]

Pops,

 

ESET ONLINE SCANNER

 

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:

http://download.eset.com/special/eos/esetsmartinstaller_enu.exe

• Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
  
• Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
  
• Une fois le scanner installé, configure-le en cochant la case "Remove found threats" et en cochant la case "Scan archives" de même que la case "scan for the potentially unsafe applications."
   
  
• Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
  
• Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
   
  
• Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
  
• Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
   
  
• Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
  
• Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
  

 

Nota : ce scan peut être très long et prendre plusieurs heures.

 

@++