Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection par Bugsbear

Boccob

Par Boccob
dans Analyses et éradication malwares

 Partager

Messages recommandés

Boccob Member

Boccob

Posté(e)
Posté(e)

Bonsoir,

 

Je viens à vous pour divers problèmes :

 

1 Bugsbear

 

Depuis quelques semaines déjà, lorsque je tente de taper un accent circonflexe, ceci saffiche : ^^

Après quelques recherches sur Internet, jai découvert que le double accent circonflexe était le symptôme dune infection du virus bugsbear.

Il semblerait que je ne puisse pas men débarrasser seul, aussi je viens à vous pour trouver conseil quant à la manière de my prendre.

 

2 Rapidity, Babylon et Protected Search

 

En téléchargeant divers logiciels, qui se sont avérés complètement inutiles pour ce que je comptais en faire, jai installé ces "moteurs de recherche" parasites.

Javais pourtant décoché le "voulez vous installer "moteur parasite" ", confirmé que je ne le voulais pas, et encore fermé la page lorsquil y avait décrit "cliquez sur suivant pour installer "moteur parasite" ".

Malgré cela, ces trois couilloneries se sont quand m^^eme installées sur mon ordinateur je ne sais comment.

Jai eu beau faire une recherche sur le disque C pour supprimer manuellement tout fichier relatif à ces trois machins, lorsque je lance firefox, cest la page daccueil Rapidity qui souvre, lorsque jouvre un nouvel onglet, il souvre sur Babylon, et lorsque jouvre internet explorer, cest Protected Search

Si vous pouviez mexpliquer comment men débarrasser complètement, je vous en serais très reconnaissant.

 

3 CouponDropDown

 

Il me semble aussi avoir attrapé un truc publicitaire appelé CouponDropDown qui me créé des liens publicitaire sur des mots de textes sur des pages internet.

Je ne sais pas exactement en quoi ça consiste mais cest assez agaçant et je souhaite men débarrasser.

 

 

 

Mon ordinateur est équipé de Malawarebyte et jai HijackThis.

 

Voici dailleurs lanalyse HijackThis :

 

 

  Révéler le contenu masqué

 

 

Dans l'attente de votre réponse, je vous remercie d'avance pour l'attention que vous porterez à mon cas.

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonsoir,

 

1) Télécharge AdwCleaner par Xplode: ©©chargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

A lire absolument: Lisez d'abord, cliquez après !!! : Questions sur la Sécurité Windows

Logiciels et sponsors : Questions sur la Sécurité Windows

 

-------------------------

 

2) ZHPDiag :

 

  • Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
     
  • Double-clique sur ZHPDiag.exe pour lancer l'installation
    • Important:
      Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 3 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le petit tournevis tournevis.jpg et clique sur TOUS.

 

Décocher 045 et 061.

 

[*]Clique sur la loupe loupe-334dd63.png pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

 

 

@++

Boccob Member

Boccob

Posté(e)
  • Auteur
Posté(e)

Bonjour,

Merci d'avoir répondu à ma demande.

Voici les rapports:

 

AdwCleaner :

 

  Révéler le contenu masqué

 

 

ZHPDiag :

 

Alors? Est-ce grave docteur?

 

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonsoir,

 

1) ZHPFix :

 

  • Ferme toutes les applications ouvertes
     
  • Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
    Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
     
  • Copie les lignes ci-dessous dans la fenêtre

 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified    
[MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task] (...) -- C:\Program Files\FREEzeFrog\bin\1.0.670.0\FREEzeFrogSA.exe (.not file.)    
[HKCU\Software\1ClickDownload]    
[HKCU\Software\EUcasino]    
[MD5.9123C84DF4DAB9C0707794E34B53A5C8] [sPRF][20/07/2012] (.DealPly - [url=http://www.dealply.com/.)][url=http://www.dealply.com/.)]http://www.dealply.com/.)[/url][/url] -- C:\Users\Moi 1er\AppData\Local\Temp\dealply.exe   [507328]    
[MD5.9DC0CB54FF80E39A8EFFCDD33E7DAA43] [sPRF][19/07/2012] (...) -- C:\Users\Moi 1er\AppData\Local\Temp\instloffer.exe   [63792]     
[MD5.8A4AF3B0695F29186AD02E2FD766FA3B] [sPRF][02/06/2012] (.SweetIM Technologies Ltd. - SQLite DLL.) -- C:\Users\Moi 1er\AppData\Local\Temp\mgsqlite3.dll   [393016]    
[MD5.2EF8F120DCA646F5DF0D137A4F6B1F8F] [sPRF][02/06/2012] (.Aedge Performance BCN SL - OfferBox setup.) -- C:\Users\Moi 1er\AppData\Local\Temp\OB.exe   [3174352]   
[MD5.BF04155512587F3FE62E221C8A585C5C] [sPRF][14/05/2012] (.SweetIM Technologies Ltd. - SweetIM Installer by SweetPacks.) -- C:\Users\Moi 1er\AppData\Local\Temp\Shortcut_BundleSweetIMSetup.exe   [6097200]    
[MD5.D4FE9619462D7613A6750256C94F4589] [sPRF][19/06/2012] (.Babylon Ltd. - Babylon Client Setup.) -- C:\Users\Moi 1er\AppData\Local\Temp\tbbabylonv2.exe   [862832]    
[MD5.6016D8B234681299012D09D161F52574] [sPRF][27/03/2012] (.Yontoo LLC - Yontoo Runtime.) -- C:\Users\Moi 1er\AppData\Local\Temp\YontooIEClient.dll   [792864]    
[MD5.9C8D024587568A9AD49E86288F8E7454] [sPRF][25/04/2012] (.Yontoo LLC - Installer.) -- C:\Users\Moi 1er\AppData\Local\Temp\YontooSetup-S.exe   [1192456]    
O87 - FAEL: "{BF7BE291-3104-4960-90D4-9C6D9855BFBA}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.)      
O87 - FAEL: "{84087C9B-A24A-4A71-B229-D3D97B691804}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.)     
O87 - FAEL: "TCP Query User{909C7CB5-05E3-4D4E-BA86-CB5FF6532F7B}C:\program files\1clickdownload\1clickdownloader.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\1clickdownload\1clickdownloader.exe (.not file.)     
O87 - FAEL: "UDP Query User{4F247FD5-3580-4DD0-A0C8-B1437058D2AA}C:\program files\1clickdownload\1clickdownloader.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\1clickdownload\1clickdownloader.exe (.not file.)    
[HKCU\Software\d53da8ab034ec17\history\{16cdff19-861d-48e3-a751-d99a27784753}2.2.643.41]:dllName="browsemngr.dll"    
[HKCU\Software\d53da8ab034ec17\history\{16cdff19-861d-48e3-a751-d99a27784753}2.2.643.41]:exeName="browsemngr.exe"    
[HKCU\Software\d53da8ab034ec17\history\{16cdff19-861d-48e3-a751-d99a27784753}2.2.643.41]:folderName="Browser Manager"    
[HKCU\Software\d53da8ab034ec17\history\{16cdff19-861d-48e3-a751-d99a27784753}2.2.643.41]:guid="{16cdff19-861d-48e3-a751-d99a27784753}"     
[HKCU\Software\d53da8ab034ec17\history\{16cdff19-861d-48e3-a751-d99a27784753}2.2.643.41]:serviceName="Browser Manager"    
[HKCU\Software\d53da8ab034ec17\history\{16cdff19-861d-48e3-a751-d99a27784753}2.2.643.41]:version="2.2.643.41"    
[HKCU\Software\d53da8ab034ec17]:GUID="{16cdff19-861d-48e3-a751-d99a27784753}"     
[HKLM\Software\d53da8ab034ec17]:GUID="{16cdff19-861d-48e3-a751-d99a27784753}"     
firewallraz
proxyraz
hostraz
emptytemp
emptyflash

 

  • Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier) Capture-13.jpg
     
    Clique sur le bouton GO pour lancer le nettoyage

 

  • Valide par Oui la désinstallation des programmes si demandé
     
  • Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
     
  • Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
    Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

 

--------------------

2) USBFIX Recherche:

 

 

  • Double cliquez sur UsbFix.exe.
  • Cliquez sur recherche.

 

UsbFix_recherche.png

 

  • Laissez travailler l'outil.
  • À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
  • Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
  • Tutoriel en images

 

@++

Boccob Member

Boccob

Posté(e)
  • Auteur
Posté(e)

voici la suite:

 

ZHPFix :

 

  Révéler le contenu masqué

 

 

USBFix :

 

  Révéler le contenu masqué

 

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Désinfection/vaccination:

  • Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
  • Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

 

  • Double cliquez sur UsbFix.exe.
  • Cliquez sur Supression

 

UsbFix_suppression.png

 

  • Laissez travailler l'outil.
  • À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
  • Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).

 

------------------

2) Télécharger SFT.exe de Pierre13. A enregistrer absolument sur le BUREAU! attention.gif

 

Lien de Pierre13: http://www.archive-host.com/link/949757cd6cfc60d9254f507c4d922f643029d9db.exe

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

  • Double clique (xp) sur SFT.exe.
    Clic droit sur le fichier et choisir Exécuter en tant quadministrateur. (sous Vista/7).
    Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer.
     
    vi2oib.jpg
     
    Un rapport va s'ouvrir à la fin.
     
    Le rapport se trouve sur le bureau (SFT.txt)

 

>>Le rapport est très long, l'héberger sur Accueil de Cjoint.com et me communiquer le lien, stp.<<

 

Compatible avec XP, Windows Vista et Windows 7 en 32 et 64 bits.

 

 

--------------------------

3) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau. Malwarebytes : Téléchargement gratuit anti-malware, antivirus et anti-espion

 

Télécharger Malwarebytes´ Anti-Malware - Logithèque PC Astuces

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

A la fin de l'installation, décocher la case proposant l'essai de la version Pro.

 

MBAMPRO.jpg

 

sshot-1-371c28a.jpg

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
      Citation
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

Boccob Member

Boccob

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonsoir

 

USBFix:

 

  Révéler le contenu masqué

 

 

SFT:

© CJoint.com, 2012

 

Malawarebytes:

 

  Révéler le contenu masqué

 

Modifié par Boccob
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Comment va la machine?

 

++

Boccob Member

Boccob

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour,

Après quelques essais, l'accent circonflexe marche à nouveau correctement, donc l'infection bugsbear semble réglée et quand j'ouvre de nouvelles pages, je ne suis plus automatiquement redirigé vers des moteurs parasites, ce qui est très agréable.

 

Cependant, les liens CouponDropDown continuent à infester les pages web que je visite sur certains mots clefs comme "disque dur, votre, logiciel... etc".

Modifié par Boccob
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Cela avec tous les navigateurs? (IE, Firefox)

 

Si c'est avec Firefox, réinitialise-le, comme expliqué sur ce post: Problème coupon drop down - Page 2 (Résolu)

 

Si ça le fait aussi avec IE, on verra s'il faut également le réinitialiser ;)

 

@++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...