[Résolu] PUP.Optional.Somoto

[CrLLz]

Salut a tous. Après m'etre rendu compte que ma connexion etait anormalement lente je me suis dit qu'une petite analyse de malwarebytes ferait pas de mal et voici le rapport:

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org

 

Version de la base de données: v2013.08.05.05

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 10.0.9200.16618

CrLLz :: TOWER [administrateur]

 

5/08/2013 17:15:14

mbam-log-2013-08-05 (17-15-14).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 258810

Temps écoulé: 1 minute(s), 3 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

C:\Users\CrLLz\AppData\Local\Temp\GwGwyoI5.exe.part (PUP.Optional.Somoto) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

 

Malgré ce fichier supprimé le probleme persiste : estimation pour telechargé zhpdiag 2h ..

 

J'ai donc tenté de resoudre le souci moi-meme en cherchant des cas similaires sur google. J'ai alors fait une analyse et suppression avec adwcleaner :

 

# AdwCleaner v2.306 - Rapport créé le 05/08/2013 à 17:13:04

# Mis à jour le 19/07/2013 par Xplode

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

# Nom d'utilisateur : CrLLz - TOWER

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\CrLLz\Downloads\AdwCleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

Arrêté & Supprimé : BCUService

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Program Files (x86)\DeviceVM

Dossier Supprimé : C:\Users\CrLLz\AppData\Roaming\pdfforge

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\DeviceVM

Clé Supprimée : HKLM\Software\Classes\Installer\Features\B324397D81FF45A49B9C573B93B6AA4C

Clé Supprimée : HKLM\Software\Classes\Installer\Products\B324397D81FF45A49B9C573B93B6AA4C

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{77AA6435-2488-4A94-9FE5-49519DD2ED9B}

Clé Supprimée : HKLM\Software\DeviceVM

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{25A3A431-30BB-47C8-AD6A-E1063801134F}

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{BC86E1AB-EDA5-4059-938F-CE307B0C6F0A}

Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{D793423B-FF18-4A54-B9C9-75B3396BAAC4}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{BC86E1AB-EDA5-4059-938F-CE307B0C6F0A}

Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{BC86E1AB-EDA5-4059-938F-CE307B0C6F0A}]

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [bCU]

Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{25A3A431-30BB-47C8-AD6A-E1063801134F}]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v10.0.9200.16618

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v21.0 (fr)

 

Fichier : C:\Users\CrLLz\AppData\Roaming\Mozilla\Firefox\Profiles\rsq8ptbr.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

-\\ Google Chrome v28.0.1500.95

 

Fichier : C:\Users\CrLLz\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R1].txt - [2262 octets] - [05/08/2013 17:12:07]

AdwCleaner[R2].txt - [2322 octets] - [05/08/2013 17:12:43]

AdwCleaner[s1].txt - [2281 octets] - [05/08/2013 17:13:04]

 

########## EOF - C:\AdwCleaner[s1].txt - [2341 octets] ##########

 

Mais le probleme est toujours present. Alors avant de vouloir utiliser le 'magic' combofix, j'aimerai savori si quelqu'un pourrait m'aider a resoudre le probleme de maniere sur

Merci d'avance,

Cyrille

Modifié le 5 août 2013 par CrLLz

[pear]

Bonsoir,

 

1)

# un pb au niveau du protocole TCP/IP

*Pour réinitialiser Winsock :

Sous Xp:

Démarrer-Exécuter ->Cmd /k Netsh int ip reset resetlog.txt

Démarrer-Exécuter ->Cmd /k Netsh winsock reset catalog

Sous Vista:auparavant:

Cliquez sur "Démarrer" puis "Panneau de configuration" et enfin "Comptes d'utilisateurs.

Cliquez sur désactiver le contrôle des comptes d'utilisateurs.

Cochez l'option Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur et à l'invitation de Vista redémarrez votre ordinateur.

Réinitalisez les propriétés Tcpip de votre connexion

Règler le MTU

 

 

2)

Télécharger SFTGC.exe

sur le Bureau, impérativement sous peine de risquer un plantage

 

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.

Comment désactiver les protections résidentes

Bien évidemment, vous les rétablirez ensuite.

 

Sous XP, double cliquer sur le fichier.

Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Gopour lancer le nettoyage.

 

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFT.txt)

 

3)Téchargement de Zhpdiag

 

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Il devrait y avoir 3 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.

 

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

 

Cliquer Configurer

 

Cliquez sur le bouton

et choisissez Tous

Pour éviter un blocage, décochez 045 et 061

 

Cliquer Rechercher

Le rapport ZhpDiag.txt apparait sur le bureau

 

 

Comment poster les rapports

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le bureau

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

[CrLLz]

Bonsoir

 

Bonsoir Pear, merci de la reponse rapide. Je viens d'effectuer les analyses.

1) Je suis sous win7 et j'ai trouvé la methode ici : http://support.microsoft.com/kb/299357/fr

 

2) SFTGC : © CJoint.com, 2012

 

3) Pour le rapport ZHPdiag j'ai a chaque fois eu un ecran bleu une fois l'analyse a 100% et aucun fichier txt créer. J'ai recommencé 3 fois en prenant mon temps et effectuant tout ce qui etait mis mais chaque fois ecran bleu. J'ai donc essayé une analyse avec les cases chocher par default et la je n'ai plus eu de souci

ZHPDiag : © CJoint.com, 2012

Modifié le 5 août 2013 par CrLLz

[pear]

Vous devez trouver sur le bureau ces 3 icônes .

ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document ou, mieux, en cliquant le bouton Coller le presse papier au milieu,en haut, à gauche[1]

O4 - GS\Programs: Social Games.lnk - Clé orpheline => Orphean Key not necessary

O4 - GS\Desktop: Explorer.lnk - Clé orpheline => Orphean Key not necessary

O43 - CFD: 19/06/2013 - 03:12:20 - [4,594] ----D C:\Program Files (x86)\GUMF6BC.tmp => Google Inc - Google Update Manager

O69 - SBI: SearchScopes [HKCU] {233E01BD-9EB1-4e96-9250-D571996C0569} - (Yahoo) - http://fr.search.yahoo.com =>Toolbar.Yahoo

[HKLM\Software\Classes\CLSID\{318A227B-5E9F-45BD-8999-7F8F10CA4CF5}] =>Toolbar.Avast

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{318A227B-5E9F-45BD-8999-7F8F10CA4CF5}] =>Toolbar.Avast

[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}] =>Toolbar.Avast

EmptyTemp

EmptyClsid

FirewallRaz

SysRestore

 

Cliquer sur "Go" |2]

 

Si vous ne voyez pas le boutonGo, cliquez sur le bouton du milieu, en haut, à gauche.[1]

Redémarrer pour achever le nettoyage.

 

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .

Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

[CrLLz]

Cliquer sur "Go" |2]

 

Voila le rapport © CJoint.com, 2012

 

Par contre il ne m'a pas demandé de redemarrer

Modifié le 5 août 2013 par CrLLz

[pear]

il ne m'a pas demandé de redemarrer

 

parce qu'il ne le pensait pas nécessaire.

 

Comment va la machine ?

[CrLLz]

Comment va la machine ?

 

Dans le doute je viens de restart

 

Quel type d'infection est ce au juste ?

 

Ben cela semble etre redevenu a la normal, speedtest est ok. Si tu ne vois rien d'autre .. Un grand merci Pear =)

Modifié le 5 août 2013 par CrLLz

[pear]

Quel type d'infection est ce au juste ?

 

 

Pubs intempestives ?

Par exemple:

01NetToolbar ,Conduit, Babylone,Delta Search , Wajam Kiwee etc..

01net depuis quelques temps repack des logiciels pour y ajouter des programmes parasites qui sont d'ailleurs précochés.

Alors .ATTENTION

Le but est de gagner de l'argent à chaque installation réussie.

 

Pour vous éviter ou, au moins ,limiter ce genre de problèmes:

 

1)Cliquez sur le lien suivant

Comment se protéger des Pups Indésirables

2)Quelques solutions complémentaires

HOSTS Anti-PUPs/Adware modifie votre fichier HOSTS afin de vous protéger des sites distribuant les PUPs/LPIs et Adwares :

 

http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

 

Filtrer les PUPs/Adwares (programmes parasites) les plus fréquents avec :

HOSTS Anti-PUPs/Adwares

Le message ci-dessous va s’ouvrir – Cliquez sur OK pour lancer l’installation :

 

Le programme va créer un dossier dans %PROGRAMDIR/Hosts_Anti_Adwares_PUPs, un service HOSTS Anti-PUPs et une Clef Run.

Enfin un raccourci Desinstaller_HOSTS_Anti-PUPs est créer sur le bureau si vous souhaitez désinstaller HOSTS_Anti-PUPs/Adware

 

Le programme va donc être lancé à chaque démarrage le fichier HOSTS.txt sera téléchargé pour mettre à jour le fichier HOSTS de filtrage.

Le programme va aussi checker la version, dans le cas où une nouvelle version est disponible, le programme va la télécharger et l’installer.

 

Si vous souhaitez désinstaller HOSTS_Anti-PUPs/Adware, lancez le raccourci qui a été créé sur le bureau.

 

Et ,si ce n'est déjà fait,installez ces 2 extensions pour Firefox:

 

Adblock+ 2.2.1

Ghostery 2.8.4

 

Ce logiciel va désinstaller les outils utilisés pour la désinfection:

 

Télécharger DelFix de Xplode

 

Lancez-le.

 

Cochez [suppression des outils]

et Cliquez [Exécuter]

 

 

Si vous pensez que votre problème a trouvé une solution, et afin que ceux qui la cherchent en profitent,

éditez votre premier message (Edition complète)et, dans le titre, inscrivez Résolu.

[1] En bas de votre premier message, cliquer sur [Modifier]

[2] En bas de l'éditeur qui s'ouvre, cliquer sur [utiliser l'éditeur complet]

[3] En haut de l'éditeur complet, ajouter [Résolu] au début du titre de votre sujet.

[CrLLz]

Ok merci pear c'est nickel =)