[Résolu] Adware.Gen7

[Friprider]

Bonjour,

 

Cette fois c'est le pc de mon fils qui patoge !!!

Il joue beaucoup sur le net et installe un peu tout et n'importe quoi !!

Le pc est très lent, notamment au démarrage, plusieurs logiciels ont des messages d'erreur comme internet explorer

J'ai mis à jour Windows, Explorer, Java, Adobe reader et Flash player

J'ai scanné avec Malwarebytes anti-malware, plusieurs résultats positifs, je les ai supprimer

Le scan d'Avira a détecté ADWARE/Adware.Gen7 ainsi que EXP/CVE-2012-1723.A1

Tout ceci mis en quarantaine mais rien ne change au comportement du pc !!

Modifié le 22 février 2014 par Friprider

[pear]

Bonjour,

 

Lancez cet outil de diagnostic:

Téchargement de Zhpdiag
Autres liens en cas de défaiillance du précédent
Ici ou Là


Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.


Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquer Configurer
Cliquez sur le bouton
et choisissez Tous
Pour éviter un blocage , Décochez 045 et 061
Cliquer Rechercher
Le rapport ZhpDiag.txt apparait sur le bureau


Comment poster les rapports
Aller sur le site :
Ci-Joint
ou
Pijoint
Appuyez sur Parcourir et chercher les rapports sur le bureau
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

[Friprider]

http://cjoint.com/?DBwmhaOjzcs

[pear]

A)
Il faut savoir que Spybot utilise une technologie dépassée.
Si vous ajoutez à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection.....
Préférez lui Malwarebytes' Anti-Malware (MBAM)bien plus efficace bien que ,en version libre ,il ne soit pas résident.


Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!
Sous Vista, exécuter avec privilèges Administrateur
Afficher d'abord le Mode Avancé dans SpyBot
->Options Avancées :
- >menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
- >cliquer sur Outils,
- >cliquer sur Résident,
Dans Résident :
- >décocher Résident "TeaTimer" pour le désactiver.
Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :
C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots
Et sous Vista :
C:\ProgramData\Spybot - Search & Destroy\Snapshots



Vaccination Spybot
Si ,dans Spybot S&D vous avez vacciné, allez à l'onglet "vaccination"
cliquez sur "Vaccination" dans la colonne sur la gauche :
Cliquez sur annuler (la flèche bleue) pour annuler la vaccination.

Désinstaller Spybot






B)Veuillez retenir que la désinfection n'est acquise que lorsqu'il vous est dit que c'est propre

Suivez cette procédure attentivement, point par point, et postez en les rapports dans l'ordre
Comment poster les rapports
Aller sur le site :Ci-Joint
ou PIjoint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Si un outil ne passe pas, relancez le en mode sans échec , et ,si le téléchargement fait problème ,utilisez le mode sans échec avec option Réseau


1)Si vous avez Adwcleaner depuis quelque temps, désinstallez le et installez la dernière version

Télécharger AdwCleaner
Sous Vista et Windows 7_ 8-> Exécuter en tant qu'administrateur
Afin de ne pas fausser les rapports,Scanner et Nettoyer ne doivent être lancés qu'une seule fois
Cliquez sur Scanner et postez le rapport généré C:\AdwCleaner[R1].txt


Nettoyage A faire sans délai
Relancez AdwCleaner avec droits administrateur
Cliquez sur Nettoyer Une seule fois pour ne pas perturber la procédure
et postez le rapport C:\AdwCleaner[s?].txt

2)Télécharger Junkware Removal Tool de thisisu
OS:Windows XP/Vista/7/8
Utilisable sur systèmes 32-bits et 64-bits

Clquez sur Jrt.exe avec droits administrateur
Si votre antvirus râle,Vous le signalez comme acceptable dans les exceptions de votre antivirus
Une fenêtre noire s'ouvre qui vous dit de cliquer une touche pour lancer le scan.

L'outil va prendre quelques minutes pour fouiller votre machine.
Patientez jusqu'à l'apparition de Jrt.txt dont vous posterez le contenu.

3)

Téléchargez MBAM
Avant de lancer Mbam
Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire
Cliquer ici
Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Exécuter avec droits d'administrateur
Sous Vista/7/8 , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update/Mises à jour et Launch/Exécuter soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
.L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra


Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.


4)Il faut parfois (Infection qv06, qone)nettoyer les raccourcis (icones) de lancement des navigateurs.
clic droit->propriétés sur les icones de raccourcis de lancement des navigateurs
Dans le champ cible, après le chemin du navigateur WEB s'il se trouve une adresse HTTP ajoutée pour ouvrir un autre site au démarrage du navigateur,
supprimer cette adresse http.

Shortcut Cleaner
C'est un utilitaire qui va scanner votre ordinateur pour les raccourcis Windows qui ont été détournés par des logiciels indésirables ou malveillants.
S'il trouve des raccourcis défectueux, il va automatiquement les nettoyer pour qu'ils n'ouvrent pas les programmes indésirables.

5)Il faut Réinitialiser votre Navigateur
Cliquer Ici

et ,si ce n'est pas suffisant , désinstallez / réinstallez le


6) rapport Zhpdiag
Téchargement de Zhpdiag

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.

Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur


Cliquer Configurer

Cliquez sur le bouton

et choisissez Tous
Pour éviter un blocage , Décochez 045 et 061
Cliquer Rechercher
Le rapport ZhpDiag.txt apparait sur le bureau

Modifié le 22 février 2014 par pear

[Friprider]

http://cjoint.com/?DBwm0HZlzyn

http://cjoint.com/?DBwm1eOZeGO

[Friprider]

http://cjoint.com/?DBwnctJyLLC

[Friprider]

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org

Version de la base de données: v2014.02.22.02

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 11.0.9600.16428

Nathalie :: NATHALIE-PC [administrateur]

22/02/2014 13:19:09

mbam-log-2014-02-22 (13-19-09).txt

Type d'examen: Examen complet (C:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 303714

Temps écoulé: 1 heure(s), 3 minute(s), 28 seconde(s)

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

(fin)

------------------------------------------------------------------------------------------------------------------------

Shortcut Cleaner 1.2.8 by Lawrence Abrams (Grinler)

http://www.bleepingcomputer.com/

Copyright 2008-2014 BleepingComputer.com

More Information about Shortcut Cleaner can be found at this link:

http://www.bleepingcomputer.com/download/shortcut-cleaner/

Windows Version: Windows 7 Professional Service Pack 1

Program started at: 02/22/2014 02:33:25 PM.

Scanning for registry hijacks:

* No issues found in the Registry.

Searching for Hijacked Shortcuts:

Searching C:\Users\Nathalie\AppData\Roaming\Microsoft\Windows\Start Menu\

Searching C:\ProgramData\Microsoft\Windows\Start Menu\

Searching C:\Users\Nathalie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

Searching C:\Users\Public\Desktop\

Searching C:\Users\Nathalie\Desktop

0 bad shortcuts found.

Program finished at: 02/22/2014 02:33:29 PM

Execution time: 0 hours(s), 0 minute(s), and 3 seconds(s)

---------------------------------------------------------------------------------------------------------

http://cjoint.com/?DBwpdSMhp7Z

J'ai réinitialiser les 2 navigateurs

[pear]

Vous devez trouver les 2 icônes Zhpdiag, Zhpfix. sur le bureau

ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)
Cliquer sur l'icône Zhpfix
Sous Vista et +, clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer Importer
pour inscrire le texte dans la fenêrtre vide qui s'ouvre



Script Zhpfix

[MD5.8E5987BBE41588E391E86DD4D435EE79] [WIS][22/02/2014] (.Spigot, Inc. - Widgi Toolbar.) -- C:\Windows\Installer\37e6f.msi [4568576]
[HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\Old_Current]
C:\Windows\Installer\37e6f.msi
O4 - GS\QuickLaunch [Nathalie]: Vos Démarches Administratives.lnk - Clé orpheline
[MD5.00000000000000000000000000000000] [APT] [{095DD492-D4A3-440D-A2ED-77016019ED99}] (...) -- D:\WebCam\setup.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{3B0EA1E1-DA9C-4608-8176-765612A44C37}] (...) -- D:\WebCam\setup.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{3B139EF2-64AE-4614-A892-D2F34169CE65}] (...) -- D:\WebCam\setup.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{3FA71940-9C3A-446F-B69C-60DCB291B591}] (...) -- D:\WebCam\setup.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{AE83768B-B849-4DFA-ADCE-F110B4FE2CBF}] (...) -- D:\WebCam\setup.exe (.not file.) [0]
O44 - LFC:[MD5.B05BA454BA15A9DF1B5A51D1D3E681A5] - 17/02/2014 - 12:23:41 ---A- . (...) -- C:\Windows\System32\jupdate-1.7.0_51-b13.log [6631]
O44 - LFC:[MD5.463EAA881A879DE955B4CAC0845AD558] - 22/02/2014 - 10:51:44 ---A- . (...) -- C:\Windows\IE11_main.log [148755]
[HKCU\Software\APN]
[HKLM\Software\APN]
[HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}]
[HKCU\Software\APN]
[HKLM\Software\APN]
EmptyClsid
HiddenFix
Ifeofix
Proxyfix
FirewallRaz
ShortcutFix
SysRestore



Cliquer sur "Go" en bas, à gauche
Redémarrer pour achever le nettoyage.

Le contenu du rapport ZHPFixReport.txt qui s'affiche est enregistré sous C:\ZHP\ZHPFixReport.txt



Télécharger SFTGC.exe
sur le Bureau, impérativement sous peine de risquer un plantage

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

Sous XP, double cliquer sur le fichier.
Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

Un rapport (SFT.txt) va s'ouvrir à la fin enregistré sur le bureau .


Comment poster les rapports
Aller sur le site :Ci-Joint
ou PIjoint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Lancer Secunia-personal-software-inspector

Solution de sécurité informatique gratuite , en français, qui identifie les vulnérabilités dans les programmes non-Microsoft (tiers) pouvant exposer les ordinateurs personnels aux attaques.
Secunia Personal Software Inspector a pour vocation d'indiquer à l'utilisateur les failles de sécurité.
Il propose un moyen de les combler et est ainsi un garant de la vie privée et de la sécurité de l'ordinateur
Secunia PSI se révèlera être un assistant efficace pour assurer les mises à jour incontournables de vos applications

[Friprider]

Rapport de ZHPFix 2014.2.16.5 par Nicolas Coolman, Update du 16/02/2014

Fichier d'export Registre :

Run by Nathalie at 22/02/2014 15:37:30

High Elevated Privileges : OK

Windows 7 Business Edition, 32-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 03s)

Réparation des raccourcis navigateur

========== Clés du Registre ==========

SUPPRIMÉ: HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\Old_Current

SUPPRIMÉ: HKCU\Software\APN

SUPPRIMÉ: HKLM\Software\APN

SUPPRIMÉ: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

Branche de Base de Registres IFEO non infectée !

========== Valeurs du Registre ==========

ProxyFix : Configuration proxy supprimée avec succès

SUPPRIMÉ ProxyServer Value

SUPPRIMÉ ProxyEnable Value

SUPPRIMÉ EnableHttp1_1 Value

SUPPRIMÉ ProxyHttp1.1 Value

SUPPRIMÉ ProxyOverride Value

Aucune Valeur Domain Profile: FirewallRaz :

SUPPRIMÉ: FirewallRaz (Domain) : {F925D042-E547-4677-B67E-5C1F626E7FA1}

SUPPRIMÉ: FirewallRaz (Domain) : {F9A752D6-19A2-4888-9940-A7A689EABE73}

SUPPRIMÉ: FirewallRaz (None) : {441DBC94-F0D1-47A2-BC39-E0350D280AFE}

========== Dossiers ==========

Aucun dossiers CLSID Local utilisateur vide

========== Fichiers ==========

SUPPRIMÉ: C:\Windows\Installer\37e6f.msi

SUPPRIMÉ: c:\windows\system32\jupdate-1.7.0_51-b13.log

SUPPRIMÉ: c:\windows\ie11_main.log

========== Tache planifiée ==========

SUPPRIMÉ: {095DD492-D4A3-440D-A2ED-77016019ED99}

SUPPRIMÉ: {3B0EA1E1-DA9C-4608-8176-765612A44C37}

SUPPRIMÉ: {3B139EF2-64AE-4614-A892-D2F34169CE65}

SUPPRIMÉ: {3FA71940-9C3A-446F-B69C-60DCB291B591}

SUPPRIMÉ: {AE83768B-B849-4DFA-ADCE-F110B4FE2CBF}

========== Dossiers/Fichiers cachés restaurés ==========

Mes images (My Pictures) : 2 restaurés avec succès

Ma musique (My Music) : 1 restaurés avec succès

Ma Video (My Video) : 1 restaurés avec succès

Mes Favoris (My Favorites) : 3 restaurés avec succès

Mes Documents (My Documents) : 7 restaurés avec succès

Mon Bureau (My Desktop) : 4 restaurés avec succès

Menu demarrer (Programs) : 9 restaurés avec succès

Dossier utilisateur (AppData) : 62 restaurés avec succès

Programmes (Program Files) : 11 restaurés avec succès

========== Restauration Système ==========

Point de restauration du système créé avec succès

========== Récapitulatif ==========

5 : Clés du Registre

10 : Valeurs du Registre

1 : Dossiers

3 : Fichiers

5 : Tache planifiée

100 : Dossiers/Fichiers cachés restaurés

1 : Restauration Système

End of clean in 01mn 33s

========== Chemin de fichier rapport ==========

C:\Users\Nathalie\AppData\Roaming\ZHP\ZHPFix[R1].txt - 22/02/2014 15:37:34 [2577]

http://cjoint.com/?DBwp1biCSK5

[pear]

C'est propre

Réinitialiser le navigateur, si ce n'est déjà fait


Et voici peut-être le plus important, qui vous explique le pourquoi de nombreux problèmes


A)Pubs intempestives ?
Un PUP (Potentially Unwanted Programs) est un programme indésirable.
par exemple: 01NetToolbar ,Conduit, Babylone,Delta Search , Wajam Kiwee etc..
C'est ainsi que 01net depuis quelque temps repack des logiciels pour y ajouter des programmes parasites qui sont d'ailleurs précochés
Alors .ATTENTION
Le but est de gagner de l'argent à chaque installation réussie.

Pour vous éviter cela ou, au moins ,limiter ce genre de problèmes:

1)Cliquez sur les liens suivants
Comment se protéger des Pups Indésirables
Trucs indésirables
Bloquer la publicité
Dans ce dernier sujet,l'urgence est d'activer"Actions rapides".
Et pour vous en convaincre, lisez en la suite.

2)Quelques solutions complémentaires
HOSTS Anti-PUPs/Adware modifie votre fichier HOSTS afin de vous protéger des sites distribuant les PUPs/LPIs et Adwares :

Filtrer les PUPs/Adwares (programmes parasites) les plus fréquents avec :HOSTS Anti-PUPs/Adwares
HOSTS Anti-PUPs/Adwares par Malekal
Le message ci-dessous va s’ouvrir – Cliquez sur OK pour lancer l’installation :


Le programme va créer un dossier dans %PROGRAMDIR/Hosts_Anti_Adwares_PUPs, un service HOSTS Anti-PUPs et une Clef Run.
Enfin un raccourci Desinstaller_HOSTS_Anti-PUPs est créé sur le bureau si vous souhaitez désinstaller HOSTS_Anti-PUPs/Adware

Le programme va donc être lancé à chaque démarrage,le fichier HOSTS.txt sera téléchargé pour mettre à jour le fichier HOSTS de filtrage.
Le programme va aussi checker la version, et,dans le cas où une nouvelle version est disponible, le programme va la télécharger et l’installer.

Si vous souhaitez désinstaller HOSTS_Anti-PUPs/Adware, lancez le raccourci qui a été créé sur le bureau.

Et ,si ce n'est déjà fait,installez ces 2 extensions pour Firefox:

Adblock+ 2.2.1
Ghostery 2.8.4


B)Ce logiciel va désinstaller les outils utilisés pour la désinfection


Télécharger DelFix de Xplode

Lancez-le.

Cochez [suppression des outils]
et Cliquez [Exécuter]


C)Si vous pensez que votre problème a trouvé une solution, et afin que ceux qui la cherchent en profitent,
éditez votre premier message (Edition complète)et, dans le titre, inscrivez Résolu.

[1] En bas de votre premier message, cliquer sur Modifier
[2] En bas de l'éditeur qui s'ouvre, cliquer sur Utiliser l'éditeur complet
[3] En haut de l'éditeur complet, ajouter Résolu au début du titre de votre sujet.
[4] Enregistrer les modifications