[Résolu] Virus ad.yieldmanager.com

bucephale4x4 · le 18 avril 2013

Bonjour,

J'ai depuis hier découvert l'addition de publicité sur la page de recherche de Google. Puis il arrive de façon aléatoire qu'un popup s'ouvre même quand j'ouvre d'autres applications. je cherche donc une éradication complète de ce malware ad.yieldmanager.com en espérant qu'il ne s'est pas "reproduit"sous d'autres noms...

Merci d'avance pour votre aide. Etant en voyage au Panama, j'ai huit heure de décalage et ne pourrai sans doute pas etre tres réactif, sauf maintenant! Merci d'avance.

Sous Windows 7, Browser FireFox. J'ai déjà les rapport de ADWCleaner et JRT

Modifié le 1 mai 2013 par bucephale4x4

pear · le 18 avril 2013

Bonjour,

1)Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

Afin de ne pas fausser les rapports,Recherche et Suppression ne doivent être lancés qu'une seule fois

NettoyageA faire sans délai

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

2)Télécharger Junkware Removal Tool de thisisu

OS:Windows XP/Vista/7/8

Utilisable sur systèmes 32-bits et 64-bits

Clquez sur Jrt.exe avec droits administrateur.

Si votre antvirus râle,Vous le signalez comme acceptable dans les exceptions de votre antivirus

Une fenêtre noire s'ouvre qui vous dit de cliquer une touche pour lancer le scan.

L'outil va prendre quelques minutes pour fouiller votre machine.

Patientez jusqu'à l'apparition de Jrt.txt dont vous posterez le contenu.

3)Zhpdiag

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il devrait y avoir 3 icônes

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquez sur le bouton

en haut, à droite et choisissez Tous

Pour éviter un blocage, décochez 045 et 061

Clic sur la Loupe en haut, à gauche pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

Comment poster les rapports

Cliquez sur ce bouton en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

bucephale4x4 · le 18 avril 2013

Merci pour votre réponse rapide.

Ci-dessous, AdW Cleaner

# AdwCleaner v2.200 - Logfile created 04/17/2013 at 21:50:12

# Updated 02/04/2013 by Xplode

# Operating system : Windows 7 Home Premium (32 bits)

# User : marc - USER-PC

# Boot Mode : Normal

# Running from : C:\Users\marc\Desktop\adwcleaner.exe

# Option [Delete]

***** [services] *****

***** [Files / Folders] *****

Folder Deleted : C:\Users\marc\AppData\Roaming\pdfforge

***** [Registry] *****

Key Deleted : HKCU\Software\Softonic

Key Deleted : HKLM\Software\AVG Secure Search

Key Deleted : HKLM\SOFTWARE\Google\Chrome\Extensions\jmfkcklnlgedgbglfkkgedjfmejoahla

Key Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966

Key Deleted : HKLM\SOFTWARE\Software

***** [internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v20.0.1 (en-US)

File : C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\cpfg2ebe.default\prefs.js

[OK] File is clean.

File : C:\Users\marc\AppData\Roaming\Mozilla\Firefox\Profiles\isomw69p.default\prefs.js

Deleted : user_pref("extensions.51663db31c294.scode", "(function(){try{if('aol.com,mail.google.com,premiumrepo[...]

*************************

AdwCleaner[s1].txt - [301 octets] - [17/04/2013 21:49:42]

AdwCleaner[s2].txt - [1321 octets] - [17/04/2013 21:50:12]

########## EOF - C:\AdwCleaner[s2].txt - [1381 octets] ##########

Ci dessous JRT:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Junkware Removal Tool (JRT) by Thisisu

Version: 4.8.5 (04.17.2013:1)

OS: Windows 7 Home Premium x86

Ran by marc on 17/04/2013 at 22:02:39,18

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~ Services

~~~ Registry Values

~~~ Registry Keys

~~~ Files

Successfully deleted: [File] C:\windows\system32\sho3D1F.tmp

Successfully deleted: [File] C:\windows\system32\shoC1E7.tmp

Successfully deleted: [File] C:\eula.1028.txt

Successfully deleted: [File] C:\eula.1031.txt

Successfully deleted: [File] C:\eula.1033.txt

Successfully deleted: [File] C:\eula.1036.txt

Successfully deleted: [File] C:\eula.1040.txt

Successfully deleted: [File] C:\eula.1041.txt

Successfully deleted: [File] C:\eula.1042.txt

Successfully deleted: [File] C:\eula.2052.txt

Successfully deleted: [File] C:\install.res.1028.dll

Successfully deleted: [File] C:\install.res.1031.dll

Successfully deleted: [File] C:\install.res.1033.dll

Successfully deleted: [File] C:\install.res.1036.dll

Successfully deleted: [File] C:\install.res.1040.dll

Successfully deleted: [File] C:\install.res.1041.dll

Successfully deleted: [File] C:\install.res.1042.dll

Successfully deleted: [File] C:\install.res.2052.dll

Successfully deleted: [File] C:\install.res.3082.dll

~~~ Folders

Successfully deleted: [Empty Folder] C:\Users\marc\appdata\local\{034E70ED-87E2-4C1C-B591-6BBD44006B06}

Successfully deleted: [Empty Folder] C:\Users\marc\appdata\local\{2284A983-D57E-4D81-904B-328787AB74F5}

Successfully deleted: [Empty Folder] C:\Users\marc\appdata\local\{2DC6632B-9BCD-4A2E-A757-E4FB52BFFEA4}

Successfully deleted: [Empty Folder] C:\Users\marc\appdata\local\{30463593-7734-44DD-A70E-65415BE597CF}

Successfully deleted: [Empty Folder] C:\Users\marc\appdata\local\{89578484-EAFB-44F9-92D0-65D6E04B3CBD}

Successfully deleted: [Empty Folder] C:\Users\marc\appdata\local\{8A748085-338C-47EA-AFD8-CC099B8E090C}

Successfully deleted: [Empty Folder] C:\Users\marc\appdata\local\{9777CA7C-B918-46EF-A3A9-921186A23E7E}

Successfully deleted: [Empty Folder] C:\Users\marc\appdata\local\{E33AC5F2-F974-4BCE-8A4D-987C8EEC1C20}

~~~ FireFox

Emptied folder: C:\Users\marc\AppData\Roaming\mozilla\firefox\profiles\isomw69p.default\minidumps [195 files]

~~~ Event Viewer Logs were cleared

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on 17/04/2013 at 22:05:06,86

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

bucephale4x4 · le 18 avril 2013

Pour le rapport ZHPDDiag, j'ai le rapport mais je ne comprends pas ceci

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

Merci pour votre aide.

Marc

pear · le 18 avril 2013

C'est simple, il suffit de lire et appliquer la procédure pour envoyer le rapport sur pijoint

Je ne peux vous en dire plus.

Comment poster les rapports

Cliquez sur ce bouton en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

bucephale4x4 · le 18 avril 2013

C'est simple, il suffit de lire et appliquer la procédure pour envoyer le rapport sur pijoint

Je ne peux vous en dire plus.

Oui en effet !

Voila le rapport:

pjjoint.malekal.com - Submit a file

Merci.

Non j'ai fait l'erreur de merttre JRT aulieu de ZHPDialog

Voici donc le bon lien pour ZHPdialog

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130418_e6p6n12i614

Modifié le 18 avril 2013 par bucephale4x4

pear · le 18 avril 2013

Oui, mais c'est le rapport de jrt et non celui de Zhpdiag attendu.

bucephale4x4 · le 18 avril 2013

Oui, mais c'est le rapport de jrt et non celui de Zhpdiag attendu.

Oui j'ai corrigé dans ma reponse precedente

pjjoint.malekal.com - Submit a file

Merci

pear · le 18 avril 2013

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document ou, mieux, en cliquant le bouton Coller le presse papier au milieu,en haut, à gauche[1]

O69 - SBI: prefs.js [marc - isomw69p.default] user_pref("extensions.51663db31c294.scode", "(function(){try{if('aol.com,mail.google.com,premiumreports.info,search.babylon.com,se[...] => Infection PUP (Toolbar.Babylon)*

O4 - HKLM\..\Run: [ThpSrv] Orphean Key => Orphean Key not necessary

O4 - GS\TaskBar: µTorrent.lnk . (.BitTorrent Inc. - µTorrent.) -- C:\Program Files\uTorrent\uTorrent.exe => P2P.BitTorrent*

[MD5.00000000000000000000000000000000] [APT] [{7A61E136-C309-413C-8B98-5B7B6F6D1999}] (...) -- D:\vlc-player vid‚o logiciel\vlc.exe (.not file.) [0] => Empty File not necessary

O42 - Logiciel: µTorrent - (.BitTorrent Inc..) [HKLM] -- uTorrent => P2P.BitTorrent*

[HKCU\Software\BitTorrent] => P2P.BitTorrent*

O43 - CFD: 15/04/2013 - 20:35:18 - [0,765] ----D C:\Program Files\uTorrent => P2P.µTorrent*

O43 - CFD: 14/04/2012 - 01:16:48 - [0,000] ----D C:\ProgramData\Importer => Empty Folder not necessary

O43 - CFD: 17/04/2013 - 18:21:23 - [7,467] ----D C:\Users\marc\AppData\Roaming\uTorrent => P2P.µTorrent*

O51 - MPSK:{6d6e5563-ca4f-11e1-b086-811737ac8c54}\AutoRun\command. (...) -- F:\setup_vmb_lite.exe (.not file.) => Fichier absent

O51 - MPSK:{6d6e556c-ca4f-11e1-b086-811737ac8c54}\AutoRun\command. (...) -- F:\setup_vmb_lite.exe (.not file.) => Fichier absent

[MD5.C78234DCAFDA1C5D4440977DF9A39F51] [APT] [ROC_REG_JAN_DELETE] (...) -- C:\ProgramData\AVG January 2013 Campaign\ROC.exe [1234000] => Toolbar.AVGSearch

O43 - CFD: 26/01/2013 - 18:31:00 - [8,430] ----D C:\ProgramData\AVG January 2013 Campaign => Toolbar.AVGSearch

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] => Toolbar.Skype

[HKLM\Software\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] => Toolbar.Skype

[HKLM\Software\Microsoft\Internet Explorer\extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] => Toolbar.Skype

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] => Toolbar.Skype

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] => Toolbar.Skype

[HKLM\Software\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] => Toolbar.Skype

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] => Toolbar.Skype

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] => Toolbar.Bing

[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] => Toolbar.Bing

[HKLM\Software\Microsoft\Tracing\Setup_RASAPI32] => Toolbar.Conduit

[HKLM\Software\Microsoft\Tracing\Setup_RASMANCS] => Toolbar.Conduit

C:\ProgramData\AVG January 2013 Campaign => Toolbar.AVGSearch

O87 - FAEL: "{C7D8D06F-B6C9-470B-B6C0-05522AEB0B5E}" | In - Public - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

O87 - FAEL: "{6DFD5482-BE62-44FE-AABA-49E7D9034667}" | In - Public - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

EmptyFlash

EmptyTemp

EmptyClsid

FirewallRaz

Proxyfix

Hostfix

SysRestore

Cliquer sur "Go" |2]

Si vous ne voyez pas le boutonGo, cliquez sur le bouton du milieu, en haut, à gauche.[1]

Redémarrer pour achever le nettoyage.

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .

Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

bucephale4x4 · le 18 avril 2013

Voila le rapport, apres cleaning. La desinstallation de Utorrent est une bonne chose, mais dommage pour les films...

Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013

Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-18-04-2013-11-44-05.txt

Run by marc at 18/04/2013 11:44:04

High Elevated Privileges : OK

Windows 7 Home Premium Edition, 32-bit (Build 7600)

Recycle Files Deleted

========== Software ==========

DELETED µTorrent

========== Memory Process ==========

DELETED Memory Process: C:\ProgramData\AVG January 2013 Campaign\ROC.exe

========== Registry Key ==========

NOT FOUND Key: HKCU\Software\BitTorrent

DELETED CLSID MPSK: {6d6e5563-ca4f-11e1-b086-811737ac8c54}

DELETED CLSID MPSK: {6d6e556c-ca4f-11e1-b086-811737ac8c54}

DELETED Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}

DELETED Key: HKLM\Software\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}

DELETED Key: HKLM\Software\Microsoft\Internet Explorer\extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}

DELETED Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}

DELETED Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}

DELETED Key: HKLM\Software\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}

DELETED Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}

DELETED Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

DELETED Key: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

DELETED Key: HKLM\Software\Microsoft\Tracing\Setup_RASAPI32

DELETED Key: HKLM\Software\Microsoft\Tracing\Setup_RASMANCS

========== Registry Value ==========

DELETED RunValue: ThpSrv

DELETED {C7D8D06F-B6C9-470B-B6C0-05522AEB0B5E}

DELETED {6DFD5482-BE62-44FE-AABA-49E7D9034667}

No Value in Standard Profile Register Key FirewallRaz :

No Value in Domain Profile Register Key FirewallRaz :

ProxyFix : Proxy killed successfully

DELETED ProxyServer Value

DELETED ProxyEnable Value

DELETED EnableHttp1_1 Value

DELETED ProxyHttp1.1 Value

DELETED ProxyOverride Value

========== Browser Profiles ==========

DELETED Mozilla Pref: user_pref("extensions.51663db31c294.scode", "(function(){try{if('aol.com,mail.google.com,premiumreports.info,search.babylon.com,se[...]

========== Repertory ==========

No Empty CLSID Directories

========== File ==========

DELETED File: c:\users\marc\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\µtorrent.lnk

NOT FOUND File: c:\program files\utorrent\utorrent.exe

DELETED File: c:\programdata\avg january 2013 campaign\roc.exe

NOT FOUND Folder/File: c:\programdata\avg january 2013 campaign

DELETED Flash Cookies

DELETED Window Temporary

========== Hosts file ==========

Hosts File not cleaned (Please Deactivate your Antivirus)

========== Task ==========

DELETED Task: {7A61E136-C309-413C-8B98-5B7B6F6D1999}

DELETED Task: ROC_REG_JAN_DELETE

========== Restoration ==========

Restore System Point created succefully

========== Summary ==========

1 : Memory Process

14 : Registry Key

11 : Registry Value

1 : Repertory

6 : File

1 : Software

1 : Browser Profiles

1 : Hosts file

2 : Task

1 : Restoration

End of clean in 00mn 28s

========== Report File ==========

C:\ZHP\ZHPFix[R1].txt - 18/04/2013 11:44:05 [3342]

Modifié le 18 avril 2013 par bucephale4x4

Connexion

Pas encore inscrit ?

[Résolu] Virus ad.yieldmanager.com

Messages recommandés

bucephale4x4

Lien vers le commentaire

Partager sur d’autres sites

pear

Lien vers le commentaire

Partager sur d’autres sites

bucephale4x4

Lien vers le commentaire

Partager sur d’autres sites

bucephale4x4

Lien vers le commentaire

Partager sur d’autres sites

pear

Lien vers le commentaire

Partager sur d’autres sites

bucephale4x4

Lien vers le commentaire

Partager sur d’autres sites

pear

Lien vers le commentaire

Partager sur d’autres sites

bucephale4x4

Lien vers le commentaire

Partager sur d’autres sites

pear

Lien vers le commentaire

Partager sur d’autres sites

bucephale4x4

Lien vers le commentaire

Partager sur d’autres sites

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer