[Résolu] Infection par Wi3.iq5.fraud

[zoreole]

Bonjour,

 

Mon ordi ramait et l'acces à internet explorer buggé depuis quelques temps.

J'ai fait tourner Spybot et il m'a trouvé Webcake et Wi3iq5.fraud associés à Yontoo

J'ai fait une restauration systeme, mais les points de restauration n'étaient pas assez vieux pour supprimer les problèmes.

Après des recherches sur internet, j'ai récupéré Adwcleaner qui m'a permis de supprimer Webcake.

Toutefois lorsque je refais tourner Spybot, Wi3.iq5.fraud est toujours la.

Et malgrè 2 analyses au demarrage de Spybot pas moyen de l'enlever.

Adwcleaner ne trouve plus rien, Malwerbytes anti malwares et Avast eux, n'ont jamais rien trouvé!! Tous sont à jour.

Je ne suis pas une grande surfeuse du net, je consulte juste régulièrement ma messagerie sur msn, facebook et le bon coin.

 

Que puis-je faire svp?? D'avance merci

Modifié le 29 juin 2013 par zoreole

[Apollo]

Bonjour,

 

Spybot est largué et gêne les désinfections!

 

Désinstaller Spybot S&D:

 

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

 

Tu dois retirer les vaccinations faites dans Spybot avant de le désinstaller.

 

 

Tu peux alors désinstaller Spybot S&D par ajouter/supprimer des programmes, ou par Programmes et Fonctionnalités dans Vista/Seven.

 

Jesses Entraide

 

----------------------------------

1) Télécharge Junkware Removal Tool sur le bureau: Junkware Removal Tool Download

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

Afin de ne pas fausser les rapports, ne passer l'outil qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

>>>Si le rapport est long, l'héberger ici: Accueil de Cjoint.com

 

 

 

 

----------------------

2) ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le petit tournevis et clique sur TOUS.

 

Décocher 045 et 061.

 

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse.

 

 

@++

[zoreole]

Bonsoir,

 

je viens enfin de réussir a tout telecharger et a faire les analyses!

 

voici les liens pour les rapports :

 

© CJoint.com, 2012

 

© CJoint.com, 2012

 

petit probleme pour ZHPdiag, j'ai oublié de cocher Tous!!! Dois-je refaire l'analyse???

 

bonne lecture

[Apollo]

Re,

 

Non, pas besoin pour le moment.

 

1)ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

M3 - MFPP: Plugins - [caroline] -- C:\Users\caroline\AppData\Roaming\Mozilla\Firefox\Profiles\3vpcj6sz.default\searchplugins\babylon.xml =>Toolbar.Babylon

[HKCU\Software\Convesoft] =>PUP.Convesoft

O43 - CFD: 18/04/2008 - 03:35:58 - [12,253] ----D C:\Program Files\Convesoft =>PUP.Convesoft

O43 - CFD: 27/06/2013 - 22:24:43 - [0,003] ----D C:\Program Files\WebCake =>Adware.WebCake

O43 - CFD: 27/06/2013 - 22:25:36 - [0,081] ----D C:\ProgramData\BrowserDefender => Hijacker.Eazel

O43 - CFD: 27/06/2013 - 22:25:04 - [0] ----D C:\Users\caroline\AppData\Roaming\WebCake =>Adware.WebCake

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5B63A470-9334-44D1-AF61-6CE2DB565AE9}] =>PUP.Convesoft

[HKLM\Software\Classes\Installer\Features\074A36B543391D44FA16C62EBD65A59E] =>PUP.Convesoft

[HKLM\Software\Classes\Installer\Products\074A36B543391D44FA16C62EBD65A59E] =>PUP.Convesoft

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\074A36B543391D44FA16C62EBD65A59E] =>PUP.Convesoft

[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011431152}] =>PUP.CrossRider

[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011431152}] =>PUP.CrossRider

[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110011431152}] =>PUP.CrossRider

[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011431152}] =>PUP.CrossRider

C:\Program Files\Convesoft =>PUP.Convesoft

C:\Program Files\WebCake =>Adware.WebCake

C:\ProgramData\BrowserDefender =>Hijacker.Eazel

C:\Users\caroline\AppData\Roaming\WebCake =>Adware.WebCake

C:\Users\caroline\AppData\Roaming\Mozilla\Firefox\Profiles\3vpcj6sz.default\Extensions\ffxtlbr@delta.com =>PUP.Funmoods

C:\Users\caroline\AppData\Roaming\Mozilla\Firefox\Profiles\3vpcj6sz.default\bprotector_extensions.sqlite =>PUP.BProtector

C:\Users\caroline\AppData\Local\Temp\GoogleToolbarInstaller1.log =>Toolbar.Babylon

PUP.CrossRider - Malicius Software Information =>PUP.CrossRider

Toolbar.Babylon - Malicius Software Information =>Toolbar.Babylon

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.enabledItems", "illimitux@illimitux.net:4.0,{20a82645-c095-46ed-80e3-08825760534b}:1.2.1,{CAFEEFAC-0016-0000[...] => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.illimitux_backup_http", ""); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.illimitux_backup_port", 0); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.illimitux_backup_referer", 2); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.illimitux_backup_type", 0); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_firsttime_4.0_", false); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_firsttime_4.0b_", false); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_mu_auto", ""); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_auto", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_box", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_captcha", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_divx", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_embed", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_proxy", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_pt_4s", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_pt_captcha", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_pt_mp", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_pt_mu", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_pt_mv", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_pt_rs", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_pt_rs1", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_pt_zs", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_referer", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_rs", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_tab", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.ilx_pref_zapmu", true); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux.locale", "fr"); => CrackStreaming.Illimitux

O69 - SBI: prefs.js [caroline - 3vpcj6sz.default] user_pref("extensions.illimitux@illimitux.net.install-event-fired", true); => CrackStreaming.Illimitux

M3 - MFPP: Plugins - [caroline] -- C:\Users\caroline\AppData\Roaming\Mozilla\Firefox\Profiles\3vpcj6sz.default\searchplugins\delta.xml => Toolbar.DeltaSearch

M2 - MFEP: prefs.js [caroline - 3vpcj6sz.default\avg@toolbar(28)] [] AVG Security Toolbar v10.0.0.7 (..)

M2 - MFEP: prefs.js [caroline - 3vpcj6sz.default\ffxtlbr@delta.com] [] Delta Toolbar v1.5.0 (..)

M2 - MFEP: prefs.js [caroline - 3vpcj6sz.default\{3112ca9c-de6d-4884-a869-9855de68056c}] [] Google Toolbar for Firefox v7.1.20110512W (..) => Toolbar.Google

M2 - MFEP: prefs.js [caroline - 3vpcj6sz.default\{3112ca9c-de6d-4884-a869-9855de68056c}(86)] [] Google Toolbar for Firefox v7.1.20101113Wb1 (..) => Toolbar.Google

M2 - MFEP: prefs.js [caroline - 3vpcj6sz.default\{635abd67-4fe9-1b23-4f01-e679fa7484c1}(245)] [yahoo.ytff] Yahoo! Toolbar v2.4.6.20120119024823 (..) => Toolbar.Yahoo

[HKCU\Software\AOLToolbar] => Toolbar.AOL

[HKLM\Software\TelevisionFanaticEI] => Toolbar.TelevisionFanatic

[HKLM\Software\Classes\Interface\{D6094FC6-821F-474C-8D73-C13066CD178D}] =>Toolbar.Agent

[HKCU\Software\AOLToolbar] =>Toolbar.AOL

[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{6EC85FCF-87AD-41D7-AE1F-F116F8AD4848} =>Toolbar.Agent

[HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks]:{6EC85FCF-87AD-41D7-AE1F-F116F8AD4848}

O43 - CFD: 27/06/2013 - 22:25:36 - [0,081] ----D C:\ProgramData\BrowserDefender

firewallraz

emptytemp

emptyflash

 

• Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier)
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

------------------------

2) Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer si besoin.

 

Sous XP, double cliquer sur le fichier.

Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFT.txt)

 

Héberger sur Accueil de Cjoint.com pour ne pas planter le sujet.

 

---------------------

3) Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI de Secunia est pratique pour connaître les failles dans diverses applications.

 

En français depuis la version 3.0. Très simple d'utilisation.

 

Ton analyse MBAM avait été une complète ou une rapide?

 

@++

[zoreole]

Ok, alors voici les 2 rapports :

 

© CJoint.com, 2012

 

© CJoint.com, 2012

 

Concernant Malwerbytes, c'etait une analyse complète.

 

Je m'attelle a la verif sur Appollo...

[zoreole]

Alors petit probleme pour Java, je n'arrive pas à vérifier la version, impossible d'aller sur le site.

Dois-je desinstaller la version que j'ai : Java 6 Update 31??

La mise à jour des programmes a été faite pas Secunia mais je ne trouve pas Java dedans????

[Apollo]

La dernière version de Java est la 7 Update 25.

 

Désinstalle toutes les autres versions et installe la dernière: Télécharger Java Runtime Environment 1.7.0.25 (32-bit) - FileHippo.com

 

Si tu utilises alternativement IE 32 Bits et IE 64 Bits, tu dois installer les deux. (32 et 64).

 

Télécharge sur le bureau et ferme tout avant l'installation. (FileHippo est un site sûr) sauf pour les P2P

 

@++

Modifié le 28 juin 2013 par Apollo

[zoreole]

bon finalement Java a l'air de s'etre mis à jour!!!

[Apollo]

Désinstalle quand-même les autres versions; seule la 7 update 25 doit rester sur le pc.

 

Comment va la machine?

 

@++

[zoreole]

Ok je veux bien desinstaller les anciennes versions mais je les trouve ou?? dans panneau de config, programmes desinstallation, je ne touve que la nouvelle version?

 

La machine a l'air pas trop mal. Mais internet est assez lent au demarrage (bon c peut etre parce que l'ordi est un peu vieux)

 

Puis-je remettre Sypbot pour vois si le Wi3 a disparu (sachant que c'etait la seule appli qui me l'avait trouvé???)