[Résolu] Infection par adware plus rogue

[henimaco]

Bonjour,

 

J'ai posté mon message initial dans la section "internet et réseaux" sous le titre "blocage connexion internet".

 

Suite à mon envoi d'hier comprenant notamment le diagnostic ZHPDiag, l'un des membres (ab-web) m'a suggéré de poster ma demande sur cette section.

 

Ci-après le lien vers le message initial :

 

http://forum.zebulon.fr/start-new-topic-f51.html

 

ainsi que celui vers le diagnostic:

 

Mon lien

 

Merci de votre aide.

 

Cordialement

[bernard53]

Bonjour

 

Ceci s.t.p

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

[HKCU\Software\IGB] => Infection Rogue (Rogue.Residue)

[HKCU\Software\LanConfig] => Infection MagicControl (Adware.Navipromo)

[HKCU\Software\fcn] => Infection Rogue (Rogue.Residue)

[HKLM\Software\IGB] => Infection Rogue (Rogue.Residue)

O43 - CFD: 19/08/2012 - 17:36:33 - [0,014] ----D C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Ilivid Player => Infection BT (Adware.Bandoo)

O51 - MPSK:{b1784ac8-2015-11dc-a242-0011500b5473}\AutoRun\command. (...) -- F:\.\Recycled\Driveinfo.exe (.not file.) => Infection USB (Trojan.USB)

O59 - HSMI:Heuristic Search MagicControl Infection - (...) -- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\kifcf_nav.dat => Infection MagicControl (Possible)

O59 - HSMI:Heuristic Search MagicControl Infection - (...) -- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\kifcf_navps.dat => Infection MagicControl (Possible)

O59 - HSMI:Heuristic Search MagicControl Infection - (...) -- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\oeoik_navtmp.dat => Infection MagicControl (Possible)

O59 - HSMI:Heuristic Search MagicControl Infection - (...) -- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\oeoik_navup.dat => Infection MagicControl (Possible)

O59 - HSMI:Heuristic Search MagicControl Infection - C:\WINDOWS\system32\nvs2.inf => Infection MagicControl (Adware.Navipromo)

[MD5.6F6809CAB8C39094C47DBD0FFFF786C4] [sPRF][28/01/2010] (...) -- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\kifcf_nav.dat [334151] => Infection MagicControl (Possible)

[MD5.E8277C978A29FEEA76CBF1ADDECB6071] [sPRF][13/02/2010] (...) -- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\kifcf_navps.dat [4297] => Infection MagicControl (Possible)

[MD5.A744DD10E64E7970CD7C0B1AC1A1F5BD] [sPRF][17/08/2008] (...) -- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\oeoik_navtmp.dat [288984] => Infection MagicControl (Possible)

[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7ee743314c844c7f445b8b1d7617612df1fdd50f] => Infection MagicControl (Adware.Navipromo)

[HKLM\Software\Classes\Interface\{6e4c89cf-3061-4ee4-b22a-b7a8aaea5cb3}] => Infection PUP (Adware.Bandoo)

[HKCU\Software\fcn] => Infection Rogue (Rogue.Residue)

[HKCU\Software\igb] => Infection Rogue (Rogue.Residue)

[HKLM\Software\igb] => Infection Rogue (Rogue.Residue)

[HKCU\Software\LanConfig] => Infection MagicControl (Adware.Navipromo)

M3 - MFPP: Plugins - [Propriétaire] -- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\dhb01y0y.default\searchplugins\askcom.xml => Plugin Mozilla Firefox Ask.com

[HKCU\Software\Softonic] => Toolbar.Conduit

[HKCU\Software\YahooPartnerToolbar] => Toolbar.Yahoo

O69 - SBI: C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\dhb01y0y.default\searchplugins\askcom.xml => Plugin Mozilla Firefox Ask.com

O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} [DefaultScope] - (Ask Search) - http://websearch.ask.com => Toolbar.Agent

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] => Toolbar.Agent

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] => Toolbar.Ask

[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440} => Toolbar.Ask

O59 - HSMI:Heuristic Search MagicControl Infection - (...) -- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\kifcf.dat

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

Ensuite:

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

 

Téléchargements - Outils de Xplode - AdwCleaner

 

 

 

- Lances le en mode normal , puis cliques sur [suppression]

- Lorsque le message indiquant qu'AdwCleaner a détecté une variante spécifique d'adware s'affiche , cliquez sur [OK]

 

- L'ordinateur va redémarrer tout seul. Redémarre-le en mode normal.

- AdwCleaner s'ouvrira normalement, avec comme seul choix possible [suppression]

 

- Cliquez dessus, puis patientes pendant la suppression.

- Une fois la suppression effectuée, AdwCleaner vous invitera à redémarrer l'ordinateur

 

- Au redémarrage, un rapport s'ouvrira. Postes le sur le forum.

 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[s1].txt

 

Ensuite:Installe Malewarebytes' Antimalware,

 

Malwarebytes : Malwarebytes Anti-Malware removes malware including viruses, spyware, worms and trojans, plus it protects your computer

 

Prends bien la version FREE

*** Met-le à jour puis choisi, Fait juste un scan rapide

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

Modifié le 26 janvier 2013 par bernard53

[henimaco]

Bonsoir,

 

Merci pour tout le temps passé à me répondre.

 

J'ai bien suivi toutes vos instructions et voici les liens vers les différents rapports enregistrés :

 

1) ZHPFIX

 

Mon lien

 

pour info, il ne m'a pas été demandé de redémarrer le PC pour finir le nettoyage

 

2) AdwCleaner

 

Mon lien

 

pour info :

- j'ai lancé en mode normal puis cliqué sur "suppression"

- je n'ai pas eu le message indiquant "qu'AdwCleaner a détecté une variante spécifique d'adware" et n'ai donc pas eu à cliquer sur OK

- au redémarrage j'ai eu directement le rapport joint sans avoir à faire un deuxième clic sur "suppression"

 

3) Malewarebytes Antimalware

 

Mon lien

 

Apparemment aucune infection trouvée après le scan.

 

4) erreur 12007

 

Maintenant mon problème initial a résisté à tous ces traitements et est toujours présent.Je vous joins le dernier diagnostic fait après toutes les manips ci-dessus:

 

connexion impossible

 

Merci de votre retour

 

Cordialement

[bernard53]

Le rapport ZHPfix n'est pas celui que tu doit avoir. Tu as bien effectué la manip?

 

Ceci en plus.

Aller ici et télécharger, sur le Bureau, la dernière version de CAT ("Crisis Aversion Tool" par teamrocketops).

Double-cliquer sur CAT.exe (Vista/W7, cliquer-droit dessus => "Exécuter en tant qu'administrateur") pour lancer le programme.

 

 

Cliquer sur le menu Fixes et cocher les cases devant les lignes suivantes:

[*]Flush DNS Resolver Cache

[*]Reset All Networking Interfaces

[*]Reset Default Services Start States

Fermer toutes les fenêtres et applications ouvertes sauf CAT puis presser le bouton "Apply Checked Fixes". Fermer le programme et Redémarrer le PC.

A noter que le programme crée un dossier nommé "CAT-Logs" à la racine de la partition système (généralement C:\CAT-Logs). Penser à supprimer ce dossier à la fin du nettoyage.

[henimaco]

Bonjour Bernard,

 

1) ZHPfix

 

En fait, il y a deux rapports :

 

ZHPExportRegistry-26-01-2013-17-52-19.txt : qui correspond à celui que j'ai joint

 

ZHPFix[R2].txt : que j'ai omis d'envoyer et que du coup je vous adresse ici

 

Mon lien

 

est-ce bien cela qu'il fallait joindre ?

 

2) CAT

 

Est-ce bien cette version qui est annoncée comme la dernière sur le site de CAT ?

 

Download CAT.exe (1.2 MB)

 

Par ailleurs,vous parlez des "lignes suivantes à cocher" mais il n'y a rien derrière les deux points ?

 

J'attends votre réponse avant de continuer.

 

Merci beaucoup.

 

Cordialement

Modifié le 29 janvier 2013 par Dylav
Suppression citation inutile ;o)

[bernard53]

Quand tu as lancer CAT tu as cette fenêtre et coche alors les cases convenues.

[henimaco]

Bonjour Bernard,

 

J'ai fait exactement tout ce que tu m'as indiqué. Malheureusement, bien que les diagnostics aient changé, le résultat est toujours le même : impossible de se connecter normalement via firefox.

 

Je t'adresse les deux fichiers correspondants :

 

1) à l'image du message qui s'affiche lors du diagnostic via IE

 

Mon lien

 

2) au diagnostic issu de IE

 

Mon lien

 

As-tu d'autres pistes de recherches à me communiquer ?

 

Merci beaucoup pour ton investissement dans la solution de ce problème.

 

Cordialement

Modifié le 29 janvier 2013 par Dylav
Suppression citation inutile ;o)

[Dylav]

Bonjour henimaco,

 

Lorsque tu réponds au message juste précédent, pourquoi le répéter en citation, puisque le lecteur l'a déjà sous les yeux ? Au bouton préfère le bouton qui est juste au-dessous

[henimaco]

Bonjour Dylav,

 

Bien noté ta remarque.

 

Bonne journée.

[bernard53]

Dans IE << Outils << Options Internet << onglet Connexion. tu as bien ceci.