PC infecté par PUM. Hijack. taskmanager

[Humbleettoutouie]

Bonjour à toutes/tous,

 

Je suis spécialiste de santé publique avec une bonne formation concernant les virus, mais hélas pas ceux qui infectent Internet, même si je lis très régulièrement le forum...

 

Bref, j'ai attrapé une chochonnerie appelée PUM.Hijack.Taskmanager, un peu le Ebola des internautes...

 

J'ai essayé de l'éliminer (y compris en mode sans échec) avec AD-Remover, ADWCleaner, Antivir, Avast, Bit Defender, Kapersky, MAMB, Panda, RKiller, RogueKiller, Superantispyware, Spybot : rien à faire ! Je l'élimine, il revient systématiquement.

 

Je n'ai pas osé utiliser Combofix (pas fou...)et je ne sais pas comment interpréter un rapport Hijack.

 

Je fais donc appel à la communauté Zebulon pour me prendre par la main. D'avance merci !!!

[Apollo]

Bonsoir,

 

Poste les rapports suivants stp:

 

MBAM, qui se trouve sous l'onglet rapports/logs de l'interface de MalwareBytes.

 

AdwCleaner: C:\AdwCleaner[s1]

 

@++

Modifié le 25 août 2012 par Apollo

[Humbleettoutouie]

Bonsoir Apollo (pseudo d'actualité avec le rover sur la planète rouge...)

 

Je te remercie VIVEMENT de ta réactivité, a fortiori un samedi soir !

Voici le rapport de MBAM (scan rapide) :

 

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.08.25.04

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Franck :: FRANCK [administrateur]

 

25/08/2012 23:53:54

mbam-log-2012-08-25 (23-56-53).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 213232

Temps écoulé: 2 minute(s), 46 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|disabletaskmgr (PUM.Hijack.TaskManager) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

 

Voici le rapport d'ADWCleaner :

 

# AdwCleaner v1.801 - Rapport créé le 25/08/2012 à 23:57:51

# Mis à jour le 14/08/2012 par Xplode

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

# Nom d'utilisateur : Franck - FRANCK

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\Franck\Desktop\adwcleaner.exe

# Option [Recherche]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

 

***** [Registre] *****

 

 

***** [Registre - GUID] *****

 

Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{3041D03E-FD4B-44E0-B742-2D9B88305F98}]

[x64] Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{3041D03E-FD4B-44E0-B742-2D9B88305F98}]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v14.0.1 (fr)

 

Nom du profil : default

Fichier : C:\Users\Franck\AppData\Roaming\Mozilla\Firefox\Profiles\292ovkqn.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R1].txt - [1490 octets] - [25/08/2012 17:44:35]

AdwCleaner[s1].txt - [1386 octets] - [25/08/2012 17:45:05]

AdwCleaner[R2].txt - [1338 octets] - [25/08/2012 21:47:11]

AdwCleaner[s2].txt - [1274 octets] - [25/08/2012 21:47:29]

AdwCleaner[R3].txt - [1322 octets] - [25/08/2012 23:57:51]

 

########## EOF - C:\AdwCleaner[R3].txt - [1450 octets] ##########

 

Je te remercie (ainsi que tous les helpers de Zebulon) !

[Apollo]

Pseudo d'actualité aussi avec le décès de Neil Armstrong ce 25 août... Quel souvenir de mon adolescence que cette nuit du 21 juillet 1969!

 

Il est normal que MBAM n'ait pas fait son travail correctement: analyse rapide et "Aucune action effectuée."

 

Je te donne la bonne procédure.

 

 

1) Télécharger SFT.exe de Pierre13. A enregistrer absolument sur le BUREAU!

 

Si l'antivirus chicane, Désactive provisoirement ton antivirus le temps de l'analyse.

Si tu ne sais pas comment faire, reporte-toi à cet article.

 

• Double clique (xp) sur SFT.exe.
  Clic droit sur le fichier et choisir Exécuter en tant qu’administrateur. (sous Vista/7).
  Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer.
   
  
   
  Un rapport va s'ouvrir à la fin.
   
  Le rapport se trouve sur le bureau (SFT.txt)

 

>>Le rapport est très long, l'héberger sur Accueil de Cjoint.com et me communiquer le lien, stp.<<

 

Compatible avec XP, Windows Vista et Windows 7 en 32 et 64 bits.

 

 

----------------

2) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

Télécharger Malwarebytes´ Anti-Malware - Logithèque PC Astuces

 

|MG| Malwarebytes Anti-Malware 1.62.0.1300 Download

 

Malwarebytes : Malwarebytes Anti-Malware removes malware including viruses, spyware, worms and trojans, plus it protects your computer

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[Humbleettoutouie]

Oui, en effet, bien triste nouvelle (mes parents avaient passé la nuit devant leur TV noir & blanc : autre époque...), mais moi j'étais en couche culotte...

 

Je fais le nécessaire demain matin, le temps de tout comprendre (...).

 

Encore MILLE mercis !

Modifié le 25 août 2012 par Humbleettoutouie

[Humbleettoutouie]

Bonjour Apollo,

 

J'ai suivi tes indications à la lettre.

 

Voici le lien pour le rapport SFT :

 

Lien CJoint.com 3HAhRpjcDIP

Voici le rapport de Malwarebytes :

 

Malwarebytes Anti-Malware 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.08.25.07

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Franck :: FRANCK [administrateur]

 

26/08/2012 06:38:21

mbam-log-2012-08-26 (07-38-33).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 430545

Temps écoulé: 59 minute(s), 44 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|disabletaskmgr (PUM.Hijack.TaskManager) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

[Apollo]

Bonjour,

 

Il faut supprimer sinon il restera là.

 

 

Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection

C'est indiqué en rouge dans mon explication.

 

-------

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le petit tournevis et clique sur TOUS.

 

Décocher 045 et 061.

 

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse. OU >>
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

 

@++

Modifié le 26 août 2012 par Apollo

[Humbleettoutouie]

Bonjour Apollo,

 

J'ai bien supprimé la sélection sur Malwarebytes comme demandé.

 

J'ai scanné avec ZHPDiag. Voici le lien du rapport :

 

Lien CJoint.com 3HAkCfVLwez

 

Merci baucoup pour le temps passé !

[Apollo]

Re,

 

1) ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{3041d03e-fd4b-44e0-b742-2d9b88305f98}    
firewallraz
emptytemp
emptyflash
sysrestore   

 

• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

----------------

2) Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI n'est pas obligatoire mais il peut se révéler utile pour connaître les failles dans diverses applications.

 

@++

[Humbleettoutouie]

Re-,

 

Voici le rapport de ZHPFix :

 

Rapport de ZHPFix 1.2.04 par Nicolas Coolman, Update du 23/04/2011

Fichier d'export Registre :

Run by Franck at 26/08/2012 12:31:22

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Valeur(s) du Registre ==========

ABSENT [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{3041d03e-fd4b-44e0-b742-2d9b88305f98}

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

 

========== Dossier(s) ==========

SUPPRIME Temporaires Windows

SUPPRIME Flash Cookies

 

========== Fichier(s) ==========

SUPPRIME Temporaires Windows

SUPPRIME Flash Cookies

 

========== Restauration Système ==========

Point de restauration du système créé avec succès

 

 

========== Récapitulatif ==========

3 : Valeur(s) du Registre

2 : Dossier(s)

2 : Fichier(s)

1 : Restauration Système

 

 

End of clean in 00mn 52s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 26/08/2012 12:31:22 [1056]

 

J'ai relancé Malwarebytes : il trouve encore ce satané virus !

 

Re,

 

1) ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{3041d03e-fd4b-44e0-b742-2d9b88305f98}    
firewallraz
emptytemp
emptyflash
sysrestore   

 

• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

----------------

2) Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI n'est pas obligatoire mais il peut se révéler utile pour connaître les failles dans diverses applications.

 

@++