[Résolu] Infection Yontoo ?

[zaza57]

Bonsoir,

 

après avoir lancé un scan on line Symantec, il semble que mon PC soit infecté.

Voici le message C:\Users\User\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3JHQYJ8H\yontoosetup[1].exe is infected with Yontoo.

Comment supprimer ce virus ?

 

Voici mon rapport adwcleaner

# AdwCleaner v2.300 - Rapport créé le 30/04/2013 à 17:52:28

# Mis à jour le 28/04/2013 par Xplode

# Système d'exploitation : Windows 7 Home Premium (64 bits)

# Nom d'utilisateur : User - USER-PC

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\User\Downloads\adwcleaner (1).exe

# Option [Recherche]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

 

***** [Registre] *****

 

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v20.0.1 (fr)

 

-\\ Google Chrome v26.0.1410.64

 

*************************

 

AdwCleaner[R1].txt - [5010 octets] - [28/03/2013 17:47:07]

AdwCleaner[R2].txt - [944 octets] - [20/04/2013 17:56:06]

AdwCleaner[R3].txt - [1443 octets] - [30/04/2013 15:02:50]

AdwCleaner[R4].txt - [821 octets] - [30/04/2013 17:52:28]

AdwCleaner[s1].txt - [387 octets] - [28/03/2013 17:47:33]

AdwCleaner[s2].txt - [5033 octets] - [28/03/2013 17:47:59]

AdwCleaner[s3].txt - [1514 octets] - [30/04/2013 15:03:51]

 

########## EOF - C:\AdwCleaner[R4].txt - [1059 octets] ##########

 

 

Puis le rapport JRT

 

Junkware Removal Tool (JRT) by Thisisu

Version: 4.9.3 (04.29.2013:2)

OS: Windows 7 Home Premium x64

Ran by User on 30/04/2013 at 18:00:55,21

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

 

 

~~~ Services

 

 

 

~~~ Registry Values

 

 

 

~~~ Registry Keys

 

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\systweak

 

 

 

~~~ Files

 

Successfully deleted: [File] C:\eula.1028.txt

Successfully deleted: [File] C:\eula.1031.txt

Successfully deleted: [File] C:\eula.1033.txt

Successfully deleted: [File] C:\eula.1036.txt

Successfully deleted: [File] C:\eula.1040.txt

Successfully deleted: [File] C:\eula.1041.txt

Successfully deleted: [File] C:\eula.1042.txt

Successfully deleted: [File] C:\eula.1049.txt

Successfully deleted: [File] C:\eula.2052.txt

Successfully deleted: [File] C:\install.res.1028.dll

Successfully deleted: [File] C:\install.res.1031.dll

Successfully deleted: [File] C:\install.res.1033.dll

Successfully deleted: [File] C:\install.res.1036.dll

Successfully deleted: [File] C:\install.res.1040.dll

Successfully deleted: [File] C:\install.res.1041.dll

Successfully deleted: [File] C:\install.res.1042.dll

Successfully deleted: [File] C:\install.res.1049.dll

Successfully deleted: [File] C:\install.res.2052.dll

Successfully deleted: [File] C:\install.res.3082.dll

 

 

 

~~~ Folders

 

Et pour terminer le rapport ZHPDiag

 

© CJoint.com, 2012

 

Merci par avance

 

Zaza

Modifié le 16 mai 2013 par zaza57

[pear]

Bonjour,

 

 

Désactivez votre antivirus.

 

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document ou, mieux, en cliquant le bouton Coller le presse papier au milieu,en haut, à gauche[1]

 

O4 - HKLM\..\Wow6432Node\RunOnce: [awfr7zip19662] . (.Somoto Ltd. - Better Installer Host.) -- C:\Users\User\AppData\Local\Temp\BI_RunOnce.exe => Infection Web (Adware.MegaSearch)*

[MD5.1BDF5E5015EFCAA68B05CEC0A79BE484] [sPRF][16/08/2012] (.Somoto Ltd. - Better Installer Host.) -- C:\Users\User\AppData\Local\Temp\biclient.exe [222208] => Infection Web (Adware.MegaSearch)*

[MD5.1BDF5E5015EFCAA68B05CEC0A79BE484] [sPRF][16/08/2012] (.Somoto Ltd. - Better Installer Host.) -- C:\Users\User\AppData\Local\Temp\BI_RunOnce.exe [222208] => Infection Web (Adware.MegaSearch)*

[MD5.125D50EC1D2DF2F6F3F828E9B22FE6BD] [sPRF][30/04/2013] (.SweetIM Technologies Ltd. - SweetIM Installer by SweetPacks.) -- C:\Users\User\AppData\Local\Temp\bundlesweetimsetup.exe [9906448] => Infection PUP (PUP.SweetIM)*

[MD5.2F46A2E37FB05642A0E859545D6B09F7] [sPRF][30/04/2013] (.Iminent - Iminent Setup.) -- C:\Users\User\AppData\Local\Temp\IminentSetup.exe [854848] => Infection PUP (Adware.IMBooster)*

[MD5.3C6C79F8A875D11D920EAF0F63EDC1A5] [sPRF][17/04/2013] (.Babylon Ltd. - Uninstaller Application.) -- C:\Users\User\AppData\Local\Temp\uninst1.exe [394312] => Infection PUP (Toolbar.Babylon)*

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC] => Infection PUP (Adware.Boxore)

C:\Users\User\AppData\Local\Temp\uninst1.exe => Infection BT (Toolbar.Babylon)

C:\Users\User\AppData\Local\Temp\bundlesweetimsetup.exe => Infection PUP (PUP.SweetIM)*

C:\Users\User\AppData\Local\Temp\IminentSetup.exe => Infection PUP (Adware.IMBooster)*

C:\Users\User\AppData\Local\Temp\biclient.exe => Infection BT (Adware.MegaSearch)

C:\Users\User\AppData\Local\Temp\BI_RunOnce.exe => Infection BT (Adware.MegaSearch)

[MD5.00000000000000000000000000000000] [APT] [{BE91B08D-5738-45C6-A896-AD534E7E3FCB}] (...) -- E:\ACDSee v5.0 PowerPack fr\trad fr acdsee5 powerpack.exe (.not file.) [0] => Fichier absent

O44 - LFC:[MD5.D28FDDA65E6FD4A4EC234FCF2951AD56] - 30/04/2013 - 16:52:34 ---A- . (...) -- C:\AdwCleaner[R4].txt [1128] => XPlode - AdwCleaner Tool

O44 - LFC:[MD5.D6AF23D7DE0DEF256142D3A32C2E3CD9] - 30/04/2013 - 14:04:01 ---A- . (...) -- C:\AdwCleaner[s3].txt [1514] => XPlode - AdwCleaner Tool

O44 - LFC:[MD5.10FFA0B43315C0762003BB72BBDEDA68] - 30/04/2013 - 14:02:55 ---A- . (...) -- C:\AdwCleaner[R3].txt [1443] => XPlode - AdwCleaner Tool

O44 - LFC:[MD5.5F5D69682E10E13A940D29330ABA2402] - 20/04/2013 - 16:56:12 ---A- . (...) -- C:\AdwCleaner[R2].txt [944] => XPlode - AdwCleaner Tool

[MD5.B3FDF6E7B0AECD48CA7E4921773FB606] [sPRF][30/04/2013] (...) -- C:\Users\User\AppData\Local\Temp\7z920.exe [1110476] => Temporary file not necessary

[MD5.5AC98C84160A9400DB448D153C959BB6] [sPRF][30/04/2013] (...) -- C:\Users\User\AppData\Local\Temp\DeltaTB.exe [773104] => Temporary file not necessary

[MD5.22A8376F5712B7B0C7BEF280CAD8B6A3] [sPRF][21/04/2013] (...) -- C:\Users\User\AppData\Local\Temp\ICReinstall_FFSetup3.0.1.1.exe [667016] => Temporary file not necessary

[MD5.4B40D2D40B9EBAABAC77E79184CF2C79] [sPRF][31/03/2013] (...) -- C:\Users\User\AppData\Local\Temp\ICReinstall_JDownloaderSetup.exe [628352] => Temporary file not necessary

[MD5.43C35081CE0AC367267C5916AB25A817] [sPRF][19/04/2013] (...) -- C:\Users\User\AppData\Local\Temp\vlc-2.0.6-win32.exe [22948790] => Temporary file not necessary

[MD5.0D1A1E4248B24B8481987E492CDDF8EB] [sPRF][30/04/2013] (.Wajam.com - Wajam.) -- C:\Users\User\AppData\Local\Temp\WajamIM.exe [72445] => Toolbar.Wajam*

C:\Users\User\AppData\Local\Temp\WajamIM.exe => Toolbar.Wajam*

EmptyFlash

EmptyTemp

EmptyClsid

FirewallRaz

Proxyfix

Hostfix

SysRestore

 

Cliquer sur "Go" |2]

 

Si vous ne voyez pas le boutonGo, cliquez sur le bouton du milieu, en haut, à gauche.[1]

Redémarrer pour achever le nettoyage.

 

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .

Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

[zaza57]

Je n'ai pas le fichier concerné à cette adresse mais d'autres fichiers, dont je poste les rapports

 

 

C:\ZHP\Quarantine\bi_runonce.exe.VIR,c:\users\user\appdata\local\temp\bi_runonce.exe

C:\ZHP\Quarantine\adwcleaner[r4].txt.VIR,c:\adwcleaner[r4].txt

C:\ZHP\Quarantine\adwcleaner[s3].txt.VIR,c:\adwcleaner[s3].txt

C:\ZHP\Quarantine\adwcleaner[r3].txt.VIR,c:\adwcleaner[r3].txt

C:\ZHP\Quarantine\adwcleaner[r2].txt.VIR,c:\adwcleaner[r2].txt

C:\ZHP\Quarantine\wajamim.exe.VIR,c:\users\user\appdata\local\temp\wajamim.exe

 

ZHPADSReport

 

LADS - Freeware version 4.10

© Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)

This program lists files with alternate data streams (ADS)

Use LADS on your own risk!

 

Scanning directory C:\Windows\System32\Drivers\

 

size ADS in file

---------- ---------------------------------

 

0 bytes in 0 ADS listed

 

 

Un rapport LOG et un autre ZHPDiag ainsi qu'un dossier Quarantine

[pear]

Je ne comprendrais pas qu'il vous arrive un avatar qui ne s'est jamais produit ailleurs..

Mais ce n'est pas grave si vos fichiers temporaires ont bien été nettoyés.

 

Comment va la machine ?

Modifié le 30 avril 2013 par pear

[zaza57]

Je dois être nounouille, je ne le vois pas.

Je tente de vous envoyer une copie écran de mes fichiers et du chemin d'accès ImageShack® - Online Photo and Video Hosting

[pear]

Je ne peux pas lire votre image: mes yeux, mon âge..

Mais comme dit plus haut, l'important est de vérifier si vos fichiers temporaires ont été nettoyés car ils contenaient tous les néfastes.

 

Pubs intempestives ?

Par exemple:

01NetToolbar : Conduit Search et Wajam

01net depuis quelques temps repack des logiciels pour y ajouter des programmes parasites qui sont d'ailleurs précochés.

Alors .ATTENTION

Le but est de gagner de l'argent à chaque installation réussie en guise de sponsoring.

 

Pour vous éviter ou, au moins ,limiter ce genre de problèmes:

 

1)Cliquez sur le lien suivant

Comment se protéger des Pups Indésirables

2)Quelques solutions complémentaires

HOSTS Anti-PUPs/Adware modifie votre fichier HOSTS afin de vous protéger des sites distribuant les PUPs/LPIs et Adwares :

hosts-anti-pupsadware par Malekal

Filtrer les PUPs/Adwares (programmes parasites) les plus fréquents avec :

HOSTS Anti-PUPs/Adwares

Le message ci-dessous va s'ouvrir – Cliquez sur OK pour lancer l'installation :

 

Le programme va créer un dossier dans %PROGRAMDIR/Hosts_Anti_Adwares_PUPs, un service HOSTS Anti-PUPs et une Clef Run.

Enfin un raccourci Desinstaller_HOSTS_Anti-PUPs est créer sur le bureau si vous souhaitez désinstaller HOSTS_Anti-PUPs/Adware

 

Le programme va donc être lancé à chaque démarrage le fichier HOSTS.txt sera téléchargé pour mettre à jour le fichier HOSTS de filtrage.

Le programme va aussi checker la version, dans le cas où une nouvelle version est disponible, le programme va la télécharger et l'installer.

 

Si vous souhaitez désinstaller HOSTS_Anti-PUPs/Adware, lancez le raccourci qui a été créé sur le bureau.

 

Et ,si ce n'est déjà fait,installez ces 2 extensions pour Firefox:

 

Adblock+ 2.2.1

Ghostery 2.8.4

 

 

Modifié le 30 avril 2013 par pear

[zaza57]

Bonsoir Pear,

 

je suis désolée pour vos pauvres yeux.

 

J'ai passé CCleaner et depuis lors du scan de Symantec, plus de Yontoo.

 

Avec mes remerciements pour votre aide et vos conseils

Bonne soirée