[Résolu] Malware

[Papougnet49]

Bonjour monsieur,

 

Ayant remarqué un important ralentissement de mon ordinateur j'ai effectué un scan avec ZHP qui a découvert une infection par asktb.

Je vous transmets le résultat du scan qui mentionne 13 malwares, par copier coller

Rapport de ZHPDiag

 

Je vous joins également un scan effectué avec Adwcleaner qui confirme l'infection. A signaler que Malwarebytes' Anti-Malware ne retrouve aucune infection.

 

Avec tous mes remerciements.

Très cordialement.

 

----------------------------------

# AdwCleaner v1.319 - Rapport créé le 24/11/2011 à 01:22:25

# Mis à jour le 20/11/11 à 11h par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : Docteur LANGERON - BUREAU01 (Administrateur)

# Exécuté depuis : C:\Documents and Settings\Docteur LANGERON\Bureau\adwcleaner.exe

# Option [Recherche]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Présent : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

***** [Registre] *****

 

Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.DllInfo

Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF

Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor

Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine

Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText

Clé Présente : HKLM\SOFTWARE\Classes\pdfforge.Tools

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v8.0 (fr)

 

Profil : ttgedl75.default

Fichier : C:\Documents and Settings\Docteur LANGERON\Application Data\Mozilla\Firefox\Profiles\ttgedl75.default\prefs.js

 

Présente : user_pref("extensions.asktb.cbid", "QK");

Présente : user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&[...]

Présente : user_pref("extensions.asktb.dtid", "YYYYYYYYFR");

Présente : user_pref("extensions.asktb.first-launch", true);

Présente : user_pref("extensions.asktb.first-launch-url", "hxxp://www.broderbund.com/jump.jsp?itemID=4769&itemT[...]

Présente : user_pref("extensions.asktb.fresh-install", false);

Présente : user_pref("extensions.asktb.l", "dis");

Présente : user_pref("extensions.asktb.last-config-req", "1285190460986");

Présente : user_pref("extensions.asktb.locale", "fr_FR");

Présente : user_pref("extensions.asktb.o", "16145");

Présente : user_pref("extensions.asktb.overlay-reloaded-using-restart", true);

Présente : user_pref("extensions.asktb.qsrc", "2871");

Présente : user_pref("extensions.asktb.r", "4");

Présente : user_pref("extensions.asktb.search-suggestions-enabled", false);

 

*************************

 

AdwCleaner[R1].txt - [2201 octets] - [24/11/2011 01:22:25]

 

########## EOF - C:\AdwCleaner[R1].txt - [2329 octets] ##########

 

-édit- Bonjour Docteur,

Dans cette section, il ne faut multiplier les messages dans ton sujet avant qu'il ne soit pris en charge : au vu de la présence de « réponses », les helpers ne s'y intéresseront pas, croyant le problème pris en mains par l'un des leurs…

 

Rapport ZHPDiag : voilà typiquement un rapport qu'il est dangereux de coller directement dans un message, au risque de bloquer le sujet (à cause des limites du gestionnaire de forum IPB 3.1), donc de le rendre inaccessible. Il est donc préférable de faire héberger de tels rapports, par exemple chez . C'est ce que j'ai fait avec le tien

Modifié le 24 novembre 2011 par Dylav

[pear]

Bonjour,

 

Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

[Papougnet49]

Bonjour,

 

Merci de prendre en charge mon problème de malware.

Comme vous me l'avez demandé j'ai relancez AdwCleaner avec droits administrateur et Cliqué sur Suppression.

Ci dessous le rapport C:\AdwCleaner[s1].txt

 

---------------------------------------------

# AdwCleaner v1.319 - Rapport créé le 24/11/2011 à 11:22:06

# Mis à jour le 20/11/11 à 11h par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : Docteur LANGERON - BUREAU01 (Administrateur)

# Exécuté depuis : C:\Documents and Settings\Docteur LANGERON\Bureau\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

 

***** [Registre] *****

 

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.DllInfo

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.Tools

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v8.0 (fr)

 

Profil : ttgedl75.default

Fichier : C:\Documents and Settings\Docteur LANGERON\Application Data\Mozilla\Firefox\Profiles\ttgedl75.default\prefs.js

 

Supprimée : user_pref("extensions.asktb.cbid", "QK");

Supprimée : user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&[...]

Supprimée : user_pref("extensions.asktb.dtid", "YYYYYYYYFR");

Supprimée : user_pref("extensions.asktb.first-launch", true);

Supprimée : user_pref("extensions.asktb.first-launch-url", "hxxp://www.broderbund.com/jump.jsp?itemID=4769&itemT[...]

Supprimée : user_pref("extensions.asktb.fresh-install", false);

Supprimée : user_pref("extensions.asktb.l", "dis");

Supprimée : user_pref("extensions.asktb.last-config-req", "1285190460986");

Supprimée : user_pref("extensions.asktb.locale", "fr_FR");

Supprimée : user_pref("extensions.asktb.o", "16145");

Supprimée : user_pref("extensions.asktb.overlay-reloaded-using-restart", true);

Supprimée : user_pref("extensions.asktb.qsrc", "2871");

Supprimée : user_pref("extensions.asktb.r", "4");

Supprimée : user_pref("extensions.asktb.search-suggestions-enabled", false);

 

*************************

 

AdwCleaner[R1].txt - [2330 octets] - [24/11/2011 01:22:25]

AdwCleaner[s1].txt - [2284 octets] - [24/11/2011 11:22:06]

 

*************************

 

Dossier Temporaire : 3 dossier(s)et 5 fichier(s) supprimés

 

########## EOF - C:\AdwCleaner[s1].txt - [2503 octets] ##########

 

Avec tous mes remerciements

[pear]

Bien.

 

Vous utilisez SpywareBlaster.

C'est un outils qui prévient l'installation d'Active X pernicieux .

Mais il ne vaut que pour Internet Explorer qui est le seul navigateur à en utiliser., or vous utilisez Firefox.!

[Papougnet49]

Je vous remercie beaucoup. Apparemment je suis débarrassé de ce malware qui semble t-il ait chargé deux fois - eh oui c'est la 2e fois que je suis infecté par AskTB - en mettant à jour pdfcreator sur Sourceforge. Et pourtant je fais attention !

Peut-on utiliser adwcleaner sans danger pour s'en débarrasser ?

 

Vous me signalez que SpywareBlaster n'est actif qu'avec IE pourtant il existe un onglet Firefox.

Je suis protégé par Avast gratuit et le parefeu de Windows. J'ai essayé Zone Alarm mais il ne semble pas compatible avec ma configuration. Important ralentissement et actions intempestives... Que me proposez vous ? Malwarebytes' Anti-Malware ne détecte que peu d'infections (AskTB n'a pas été découvert).

 

Merci de votre réponse.

Très cordialement

Jean-Luc

Modifié le 24 novembre 2011 par Papougnet49

[pear]

Peut-on utiliser adwcleaner sans danger pour s'en débarrasser ?

 

Oui, c'est sans risque.

Mais attention à l'automédication.

 

Vous me signalez que SpywareBlaster n'est actif qu'avec IE pourtant il existe un onglet Firefox.

 

Peut-être, mais Firefox n'utilise pas d'activeX, donc..

 

Je suis protégé par Avast gratuit et le parefeu de Windows.

C'est bien.

Mais ce serait encore mieux si vous activiez le parefeu de la box(en plus)

 

Malwarebytes' Anti-Malware ne détecte que peu d'infections (AskTB n'a pas été découvert).

 

Ask est une toolbar indiscrète, mais pas un malware, c'est pourquoi Mbam ne la détecte pas.

Mais c'est le plus efficace antimalware du moment.

S'il n'en détecte pas chez vous, c'est qu'il n'y a rien à détecter.

Une précision, la version gratuite, généralement utilisée, n'est pas résidente.

Il faut donc la mettre à jour avant de la lancer.

La fréquence s'apprécie en fonction de la dangerosité de la navigation.( cracks, pornos , P2P etc..)

A titre d 'exemple, je n'ai rien détecté sur ma machine depuis de longs mois.

[Papougnet49]

Merci de votre célérité et de votre gentillesse.

Encore une fois tout est bien qui fini bien.

Vous parler de box, je n'en ai pas, j'ai un vieux modem qui me satisfait parfaitement pour le moment. Alors quid d'une protection supplémentaire...

Très cordialement.

Jean-Luc

 

Comment fait-on pour indiquer que le problème est résolu ?

[pear]

Si vous estimez votre problème résolu, éditez l'en tête de votre premier message en choisissant l'option "utiliser l'éditeur complet" et y indiquez Résolu pour que ceux qui la recherchent y trouvent une solution.

[Tonton]

Le problème semble avoir trouvé sa solution.

Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu'ils ont peut-être une solution toute trouvée (s'ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu'il est inutile de continuer à se creuser la tête sur le problème (à moins d'avoir des suppléments d'informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [résolu].

Merci, à l'avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d'induire les gens en erreur ) Pour cela, votre premier message