[Résolu] Adware Gen 2 Phantome

[Bunos]

J'ai essayé d'aller sur ma discussion ,y compris à partir d'un autre PC (sans me connecter )mais , mon sujet initial "Adware Gen2 " (pc infecté) = page vide/blanche...disparu !

 

C'est pourquoi je lance un second sujet pour poursuivre.(la moderation avisera )

 

De memoire "Pearl" avait commencé pour la désinfection (rapport Avira et rapport TOL)

Dites moi si je peux poursuivre ici/recommencer/?? où autre

 

cdt

Modifié le 10 octobre 2012 par Bunos

[Invité Notpa]

Bonjour Bunos,

 

Non, ton sujet n'a pas disparu, mais tu as dû coller un très long rapport dans ta réponse. Si un texte dépasse une certaine longueur, le sujet se bloque. C'est un bug d'IPB (le logiciel de gestion du forum). Pour palier ce problème, ne pas poster directement des longs messages dans un sujet, mais stocker sur Cjoint ton long texte, et insérer le lien Cjoint dans ta réponse.

 

Merci de remettre ce rapport sur l'hébergeur et de continuer sur le présent sujet. L'autre est mort....

 

Désolé pour le contre-temps....

 

Cordialement

 

Notpa

[Bunos]

Bonjour Bunos,

Non, ton sujet n'a pas disparu,

 

Ouf ! Ca me rassure en fait .

 

Je n'avais pas pensé à cette possibilité. Du coup j'ai effectivement copié collé le premier rapport car il ne me paraissait pas si long, tandis que je suis passé par "Cjoint" pour le second rapport;

 

Pas grave je vais re-éditer ça ici, merci Notpa

 

le sujet :

 

Bunos · Hier, 13:57

Bonjour, je sollicite de l'aide car mon pc est infecté. Avira detecte depuis un moment un virus type "Adware Gen2" à plusieurs reprises( ainsi que Yonto.E.1, une fois). Je me sers de Malwarebytes,(en mode sans echec )apres avoir fait une maj,mais ce coup si il n'a rien trouvé. Gen2 revient. Plusieurs scan de Avira. J'ai aussi utilisé Combofix. Ainsi que AdwCleaner J'utilise aussi Comodo comme parefeux D'habitude je me debrouille..mais la j'ai du mal...

 

Pour l'instant apres 2 ou 3 scan de Avira , rien d'autre que 2 fichiers infectés en quarantaine (voir ci dessous #5 )

Modifié le 9 octobre 2012 par Bunos

[Invité Notpa]

Re,

 

Le sujet n'a pas disparu, OK, mais il n'est plus accessible, même pour nous ! Le mieux est de retaper la description de ton problème dans ce sujet (en faisant un résumé si tu veux) et d'y mettre les derniers rapports.

 

Désolé !

 

Cordialement

 

Notpa

[Bunos]

 

Pas grave je vais re-éditer ça ici, merci

En attendant ce contre temps des rapports Avira impossible à afficher sous format txt (juste le résumé)

---------->

Avira à mis 2 fichiers infectés en quarantaine :

 

EXP/ASF.GetCodec.Gen

et

ADWARE/Adware.Gen2

 

----------------

Rapport OTL

 

Lien CJoint.com BJjoTYs3iPO

et

Lien CJoint.com BJjoVmY6Kcw

[Bunos]

dernier rapport Avira scan en mode ordinaire,(09/10/12 11h15)

 

Lien CJoint.com BJjpocq0hGm

Modifié le 9 octobre 2012 par Bunos

[pear]

Bonjour,

 

Conclusion du rapport Avira de ce jour:Aucun malware.

 

a recherche a été effectuée intégralement 19711 Les répertoires ont été contrôlés 2411457 Des fichiers ont été contrôlés 0 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 0 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 0 Impossible de scanner des fichiers 2411457 Fichiers non infectés 41668 Les archives ont été contrôlées 52 Avertissements 0 Consignes 542910 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés

 

 

Par contre vous avez quelques programmes indésirables.

 

1)Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

 

2)Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

3)

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

 

5)Ceci va vérifier si les logiciels sont à jour ou non et l'indiquer sur l'interface graphique ou sur un rapport.

Des boutons permettent alors un accès direct au lancement de la mise à jour ou au téléchargement de celle-ci selon. (Flash player, ouverture du ou des navigateurs dont l'activeX et/ou le plugin n'est pas à jour.

Télécharger Sx Checkupdate

Cliquez sur Rapports

Modifié le 9 octobre 2012 par pear

[Bunos]

Bonjour,

 

Bonjour,

 

Conclusion du rapport Avira de ce jour:Aucun malware.

 

 

Ok pour Avira ,mais je fais quoi des 2 fichiers déjà en quarantaines , je les supprime ?

 

----------------------

 

 

Rapport Adwcleaner

 

Lien CJoint.com BJkjHOzIFOG

 

et

 

Lien CJoint.com BJkjIu8opUj

 

 

 

 

--------------------------

[pear]

je fais quoi des 2 fichiers déjà en quarantaines , je les supprime ?

Ils sont inoffensifs mais vous pouvez les supprimer.

 

Relancez Otl

 

Sous Custom scan Files ou Personnalisation

Copiez Collez

:Otl

IE - HKU\S-1-5-21-4190149022-4161231271-4133878730-1006\..\SearchScopes\{AE7AA55A-2A82-4D25-B900-D582774E53CA}: "URL" =

http://websearch.ask.com/redirect?client=ie&tb=ATU&o=14670&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=T8&apn_dtid=

YYYYYYYYFR&apn_uid=e331a009-468e-4591-9128-c3428f4c4713&apn_sauid=2120D247-70AF-48CD-9F37-1BF437FDF1C5

 

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13

FF - prefs.js..extensions.enabledItems: toolbar@iadah.com:1.04

FF - prefs.js..extensions.enabledItems: ShopperReports@ShopperReports.com:3.0.517.0

FF - prefs.js..extensions.enabledItems: ClickPotatoLite@ClickPotatoLite.com:10.0.668.0

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\freecompressor@spointer.com: C:\Program Files\FreeCompressor\spointer\extensions\freecompressor@spointer.com

2010-08-12 10:21:14 | 000,002,486 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\iMeshWebSearch.xml

O3 - HKLM\..\Toolbar: (no name) - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - No CLSID value found.

O3 - HKU\S-1-5-21-4190149022-4161231271-4133878730-1006\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hp psc 2000 Series.lnk - - File not found

MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^officejet 6100.lnk - - File not found

MsConfig - StartUpFolder: C:^Documents and Settings^BRUNO^Menu Démarrer^Programmes^Démarrage^MaxTV Recorder Manager.lnk - - File not found

MsConfig - StartUpFolder: C:^Documents and Settings^BRUNO^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk - - File not found

MsConfig - StartUpReg: MediaGet2 - hkey= - key= - C:\Documents and Settings\Jade\Local Settings\Application Data\MediaGet2\mediaget.exe (MediaGet LLC)

MsConfig - StartUpReg: NvMediaCenter - hkey= - key= - File not found

 

2010-11-19 14:21:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jade\Application Data\imeshmediabartb

 

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

""=""%1" %*"

 

[purity]

[emptytemp]

[resethosts]

-------->Cliquer Runfix ou Correction

 

OTL redémarrera le système automatiquement.

Postez le rapport.

[Bunos]

 

3)

Téléchargez MBAM

 

 

 

rapport MBAM

 

Lien CJoint.com BJkmWxiKVJo

 

 

concernant ce passage :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

 

Mbam.log est apparu mais il n'y avait rien en quarantaine à selectionner, donc j'ai transmis directement ce fichier txt.

C'est bon ?

Modifié le 10 octobre 2012 par Bunos