Se connecter / S'enregistrer
Votre question
Résolu

Infection QV06 et Globososo

Tags :
  • Globososo
  • Sécurité
  • Adware
  • qv06
Dernière réponse : dans Sécurité et virus
12 Novembre 2013 18:32:25

Bonjour,

L'ordinateur de Karine est visiblement bien infecté. Je ne peux pas avoir l'ordi sous la main, alors je lui ai fait faire un scan complet avec Avira antivirus et MBAM.

Je mets en lien les 2 rapports MBAM générés récemment.
Rapport MBAM du 29/10/2013
Rapport MBAM du 10/11/2013

Question : est-il possible de nettoyer simplement ces infections avec AVIRA+MBAM ; ou bien c'est exclu et il vaut mieux que je récupère l'ordinateur pour faire tous les nettoyages nécessaires et habituels à l'aide de vos conseils avisés ?

Merci d'avance pour vos conseils avisés.

Autres pages sur : infection qv06 globososo

a c 549 8 Sécurité
12 Novembre 2013 23:14:07

Bonsoir Chre ;) 

Tu aurais dû débuter par lui faire désinstaller "normalement" les programmes publicitaires, cela fait déjà un gros ménage ...

Fais une passe avec Adwcleaner, et cela devrait suffire vu que ce ne sont que des adwares (... et fais un peu de prévention, c'était une poubelle ce pc ! )

Télécharge AdwCleaner (de Xplode) sur ton Bureau.

/!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Scanner.
  • Attend la fin de la recherche puis clique sur l'option Nettoyer.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
    m
    0
    l
    14 Novembre 2013 06:02:11

    Bonjour toutes et tous,
    Bonjour hyunkel30 :D , merci pour la prise en charge.

    Karine dit :
    Citation :
    J'essaye depuis cet après-midi de suivre la procédure de l'étape 3 mais l'ordi reste "coincé " , il ne va pas jusqu'au bout de l'analyse des navigateurs (à 90% toutefois!). Dans les résultats qui s'affichent, je peux lire : Toolbar Updater14 et Computer B BackupStack puis l'ordi ne répond plus et ne fini pas l'analyse.


    Je lui ai demandé de nous confirmer si elle avait attendu "assez longtemps".
    Sinon, que faire ? Un autre outil ?
    m
    0
    l
    Contenus similaires
    Pas de réponse à votre question ? Demandez !
    a c 549 8 Sécurité
    14 Novembre 2013 12:21:52

    Re,

    Non, après faudra malheureusement passer en manuel.

    Vois sinon à tester adwcleaner en mode sans échec, et/ou assures-toi qu'elle a bien fermé ses navigateurs avant de lancer Adwcleaner !
    m
    0
    l
    15 Novembre 2013 07:19:30

    Bonjour toutes et tous,
    Bonjour hyunkel30,

    Karine me confirme qu'elle a attendu "plus d'une heure" sans que Adwcleaner ne bouge, les navigateurs étant bien fermés.
    Je vois avec elle comment poursuivre la désinfection (soit elle peut prendre en charge les manipulations manuelles, soit je récupère son ordi à la maison quelque temps). Je te redis.
    m
    0
    l
    16 Novembre 2013 09:16:37

    Bonjour toutes et tous,
    Bonjour hyunkel30 :) ,

    Finalement, en laissant l'ordi tourner toute la nuit, Karine a pu aller au bout de adwcleaner.
    Le rapport est ici.
    m
    0
    l
    a c 549 8 Sécurité
    16 Novembre 2013 10:22:28

    Re,

    Faudra quand même qu'elle réalise que son comportement sur le pc est dangereux hein ... elle avait un nombre absolument incroyable de logiciel pourris sur son pc ...

    Installer des trucs, c'est bien, réfléchir avant de cliquer sur "suivant, c'est mieux ...

    J'avoue que vu les rapports, je serais presque "curieux" de voir le reste de l'état du pc avec un scan manuel, mais bon, si tu n'as pas la main sur le pc, ça va être difficile ...

    Il se comporte comment le pc à présent ?
    m
    0
    l
    16 Novembre 2013 10:33:20

    Re,

    D'après Karine, le PC va déjà beaucoup mieux :)  Merci. QV06 notamment a disparu
    Mais je suis d'accord, vu le nombre d'infections, une vérification complémentaire ne serait pas du luxe. Je peux l'aider à faire cette manip' si tu veux. Je l'ai d'ailleurs prévenue que d'autres vérifications seront nécessaires. Pour info, elle nous lit ici :) 

    Sinon, je lui ai donné les liens de préventions suivants pour éviter qu'elle ne se fasse encore avoir à l'avenir :
    http://forum.malekal.com/pourquoi-et-comment-je-me-fais...
    http://forum.security-x.fr/securite-generale/tuto4pc-et...
    http://forum.security-x.fr/securite-generale/stop-la-pu...
    http://www.malekal.com/fichiers/projetantimalwares/Proj...
    m
    0
    l
    a c 549 8 Sécurité
    16 Novembre 2013 10:37:47

    Re,

    C'est comme tu veux, moi je suis dispo au besoin, à faire dans ce cas là :

    Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

    Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

    Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
    • Clique sur le bouton Scan.
    • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
    • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    ~~~~~~~~~~~~~~~~

    Ok pour les liens, je rajoute celui-ci :

    http://forum.security-x.fr/tutoriels-317/installation-d...
    m
    0
    l
    20 Novembre 2013 08:40:59

    Bonjour toutes et tous,
    Bonjour hyunkel30 :) ,

    J'ai vu Karine hier soir, elle va regarder dans les prochains jours pour faire cette procédure complémentaire.
    m
    0
    l
    a c 549 8 Sécurité
    25 Novembre 2013 10:33:18

    Re,

    ... Elle l'a téléchargé d'où Antivir ?
    Elle s'est déjà réinfectée !


    à lire :
    http://forum.security-x.fr/securite-generale/tuto4pc-et...

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Google Toolbar for Internet Explorer (barre d'outil, sauf réel intérêt)
    - Norton Internet Security (reste de l'antivirus, à utiliser pour finir le nettoyage aussi :
    http://www.inforumatique.fr/index.php/utilitaires/netto... )

    - tuto4pc_fr_80 (adware)

    [Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
    Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      AlternateDataStreams: C:\ProgramData\TEMP:43F5FA9D
      AlternateDataStreams: C:\ProgramData\TEMP:9398DBB4
      AlternateDataStreams: C:\ProgramData\TEMP:ED194880
      AlternateDataStreams: C:\ProgramData\TEMP:FD32FD25
      () C:\Program Files\tuto4pc_fr_80\tuto4pc_fr_80.exe
      C:\Program Files\tuto4pc_fr_80
      HKLM\...\Run: [tuto4pc_fr_80] - C:\Program Files\tuto4pc_fr_80\tuto4pc_fr_80.exe [3991024 2013-11-14] ()
      Toolbar: HKLM - No Name - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No File
      Toolbar: HKLM - No Name - !{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
      Toolbar: HKLM - No Name - !{82E1477C-B154-48D3-9891-33D83C26BCD3} - No File
      Toolbar: HKLM - No Name - !{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No File
      Toolbar: HKLM - No Name - !{95B7759C-8C7F-4BF1-B163-73684A933233} - No File
      Toolbar: HKLM - No Name - !{977AE9CC-AF83-45E8-9E03-E2798216E2D5} - No File
      Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
      FF Extension: Plus-HD-3.5 - C:\Users\Proprietaire\AppData\Roaming\Mozilla\Firefox\Profiles\jdwlhr59.default-1382204569554\Extensions\d8222698-19e5-4827-b79e-0a077ea8eb7a@7b662f6d-3899-41e4-8864-6393447568da.com
      CHR Extension: (Whilokii) - C:\Users\PROPRI~1\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlmdlmoekcipeicfbnohedgkglmbhcla\1.0.0_0
      CHR Extension: (Bubble Dock) - C:\Users\PROPRI~1\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbjlipmgfoamgjaogmbihaffnpkpjajp\1.0.0.130_0
      CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      2013-11-18 20:13 - 2013-11-18 20:13 - 00000000 ____D C:\Users\Elliot\AppData\Local\tuto4pc_fr_80
      2013-11-17 10:25 - 2013-11-17 10:25 - 00000000 ____D C:\Users\Mattéo\AppData\Local\tuto4pc_fr_80
      2013-11-16 17:50 - 2013-11-16 17:50 - 00000000 ____D C:\Users\Hugo\AppData\Local\tuto4pc_fr_80
      2013-11-14 23:35 - 2013-11-15 07:34 - 00000000 ____D C:\Program Files\tuto4pc_fr_80
      2013-11-14 23:35 - 2013-11-14 23:35 - 00000000 ____D C:\Users\Proprietaire\AppData\Local\tuto4pc_fr_80
      2013-11-06 13:28 - 2013-11-10 10:41 - 00001298 _____ C:\Users\Elliot\Desktop\Clean Registry for Free!.lnk
      2013-10-31 09:50 - 2013-11-10 08:45 - 00001336 _____ C:\Users\Mattéo\Desktop\Nettoyez votre registre gratuitement!.lnk
      2013-10-29 15:22 - 2013-10-29 15:22 - 02296952 _____ C:\Users\Proprietaire\Downloads\avira_free_antivirus(4).exe
      2013-10-29 15:10 - 2013-10-29 15:09 - 02296952 _____ C:\Users\Proprietaire\Downloads\avira_free_antivirus(3).exe
      2013-10-28 12:10 - 2013-10-31 09:43 - 00001298 _____ C:\Users\Mattéo\Desktop\Clean Registry for Free!.lnk
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    m
    0
    l
    27 Novembre 2013 06:45:19

    Bonjour toutes et tous,
    Bonjour hyunkel30 :) ,

    Concernant Avira, je lui avais donné le lien http://www.avira.com/fr/download-start/product/avira-fr.... J'attends sa confirmation qu'elle a bien utilisé celui-là pour son installation à l'exclusion de tout autre. Par contre, depuis le début, elle me précise que le module "temps réel" est bien activé, mais pas le module "protection web". S'agissant d'un nouveau module, et ayant déjà rencontré ce problème sur d'autres ordinateurs, je ne m'en suis pas inquiété ; à tort ? Elle me précise
    Citation :
    j'ai installé Avira mais j'ai un message disant que barre d'outils Avira n'étant pas installée , je n'ai pas la protection AVIRA

    EDIT : Je ne lui ait pas fait installer la toolbar, à cause de ask, que je ne supporte pas dans son fonctionnement. Donc le fameux composant 'webguard' n'est pas installé, d'où le message je pense. Source.


    Du coup, elle va bien sûr réaliser ta nouvelle procédure. Concernant 'tuto4pc', il était déjà présent dès le départ ? Tu veux dire qu'il a été supprimé, puis qu'il est de nouveau présent sur son ordi ? Si oui, je verrais avec elle pour voir comment cela à pu se produire.

    Merci encore pour l'aide hyunkel30.

    m
    0
    l
    a c 549 8 Sécurité
    27 Novembre 2013 14:43:25

    Re,

    Le lien direct que tu donnes ne peux contenir tuto4pc, c'est probablement qu'elle est passé outre et a téléchargé sur 01net, où le tuto4pc est proposé avec dans un package ...

    Citation :
    EDIT : Je ne lui ait pas fait installer la toolbar, à cause de ask, que je ne supporte pas dans son fonctionnement. Donc le fameux composant 'webguard' n'est pas installé, d'où le message je pense. Source.


    C'est un choix oui, maintenant ask n'est pas pire que Bing ou Google ...
    Sans cela, elle est protégé sur le pc, lorsqu'elle télécharge un fichier, etc ... mais pas pendant la navigation (anti-phishing, script dangereux, etc ...), c'est la contrepartie, maintenant, c'est pas obligatoire ;) 

    Citation :
    Du coup, elle va bien sûr réaliser ta nouvelle procédure. Concernant 'tuto4pc', il était déjà présent dès le départ ? Tu veux dire qu'il a été supprimé, puis qu'il est de nouveau présent sur son ordi ? Si oui, je verrais avec elle pour voir comment cela à pu se produire.


    Traité par adwcleaner au début : Rapport créé le 15/11/2013
    Citation :
    Dossier Supprimé : C:\Program Files\tuto4pc_fr_63


    Réinstaller avec antivir :
    Citation :
    2013-11-18 20:18 - 2013-11-18 20:18 - 00000000 ____D C:\Users\Elliot\AppData\Roaming\Avira
    2013-11-18 20:13 - 2013-11-18 20:13 - 00000000 ____D C:\Users\Elliot\AppData\Local\tuto4pc_fr_80
    2013-11-17 10:30 - 2013-11-17 10:30 - 00000000 ____D C:\Users\Mattéo\AppData\Roaming\Avira
    2013-11-17 10:25 - 2013-11-17 10:25 - 00000000 ____D C:\Users\Mattéo\AppData\Local\tuto4pc_fr_80
    2013-11-16 17:55 - 2013-11-16 17:55 - 00000000 ____D C:\Users\Hugo\AppData\Roaming\Avira
    2013-11-16 17:50 - 2013-11-16 17:50 - 00000000 ____D C:\Users\Hugo\AppData\Local\tuto4pc_fr_80


    Grosses chance qu'elle est soit était sur 01net, soit relancé l'installation depuis un package téléchargé sur 01net et conservé.

    :jap: 
    m
    0
    l
    3 Décembre 2013 21:09:34

    Bonjour toutes et tous,
    Bonjour hyunkel30 :) ,

    Quelques nouvelles
    Citation :
    - AVIRA : réinstallé hier soir avec ton lien et je pense que j'ai viré
    toutes les autres versions. Je remarque que le pare-feu Windows est
    actif, comme la protection en temps réel. La protection navigateur ne
    l'est pas.

    -NORTON : j'ai fait la manip ce soir, c ok

    J'ai crée le point de restauration.


    Par contre, Karine rencontre des difficultés dans la manip'. Elle a tenté de suivre tes indications, mais il se trouve qu'elle n'a pas eu le rapport fixlog.txt.
    Citation :
    - FRST remis sur mon bureau et je refais la manip de hyunekl30, un
    nouveau rapport FRST a été crée ce soir et remplace le précedent;
    Or, j'avais un rapport fixlist hier que j'ai mis sur mon bureau.

    Quand je fais la dernière manip, le rapport fixlog ne se crée pas car
    il ne retrouve pas la fixlist. Je pense que c'est parce qu'un nouveau
    rapport FRST a été crée, qu'en penses-tu?

    J'ai ré-expliqué pas à pas la procédure, j'ai même créé le fichier fixlist.txt pour elle, mais à priori toujours rien concernant le fixlog.txt
    Du coup, je vois deux pistes :
    1) On lui demande un nouveau scan pour voir si le nettoyage a été fait ou non
    2) Je me déplace sur l'ordi en question pour réaliser la manip ;) 

    Merci de tes conseils.
    m
    0
    l
    a c 549 8 Sécurité
    3 Décembre 2013 21:29:24

    Re,

    Pour FRST, oui, on va refaire un scan à la place, mais je suis étonné de ce que tu me rapportes, en même temps, faire les manipulation au travers d'un forum et d'intermédiaire, c'est toujours sources de possibles problèmes ;) 

    FRST est mis à jour régulièrement, il faut supprimer l'ancienne version et téléchargée une nouvelle :

    Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

    Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

    Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
    • Si ce n'est pas le cas, coche le bouton Addition.txt en bas.
    • Clique sur le bouton Scan.
    • L'outil va créer un rapport nommé FRST.txt et Addition.txt , enregistré dans le même dossier que l'outil.


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    :jap: 
    m
    0
    l
    3 Décembre 2013 21:44:05

    hyunkel30 a dit :
    Re,
    Pour FRST, oui, on va refaire un scan à la place, mais je suis étonné de ce que tu me rapportes, en même temps, faire les manipulation au travers d'un forum et d'intermédiaire, c'est toujours sources de possibles problèmes ;) 

    Tout à fait, c'est pour ça que je lui demande de nous lire directement ici, ce qu'elle fait, pour qu'elle prenne l'information à sa source :) 
    Du coup, je ne sers d'intermédiaire que pour faire suivre ses réponses ici.

    Je lui indique ton message pour qu'elle fasse un scan avec la nouvelle version de FRST.

    m
    0
    l
    a c 549 8 Sécurité
    5 Décembre 2013 10:09:17

    Re,

    Et aller, déjà de nouveau adwares :D 
    Faudra lui dire d'arrêter d'installer n'importe quoi, sans regarder ...
    Sinon on va pas s'en sortir ...

    En passant, le script de nettoyage précédent n'a pas été effectué ..

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Movies Toolbar for Firefox (Dist. by Bandoo Media, Inc.) (adware)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      (Bandoo Media Inc.) C:\Program Files\Movies Toolbar\Datamngr\DatamngrCoordinator.exe
      () C:\Users\Proprietaire\AppData\Local\Temp\~nsu.tmp\Au_.exe
      () C:\Users\Proprietaire\AppData\Local\Temp\nsmBF7A.tmp\uninstall.exe
      (Bandoo Media Inc.) C:\Program Files\Movies Toolbar\Datamngr\DatamngrUI.exe
      C:\Users\Proprietaire\AppData\Local\Temp\~nsu.tmp\Au_.exe
      C:\Users\Proprietaire\AppData\Local\Temp\nsmBF7A.tmp
      HKLM\...\Run: [tuto4pc_fr_80] - [x]
      HKCU\...\Run: [iLivid] - "C:\Users\Proprietaire\AppData\Local\iLivid\iLivid.exe" -autorun
      AppInit_DLLs: C:\Program Files\Movies Toolbar\Datamngr\mgrldr.dll [ 2013-11-14] ()
      IFEO\bitguard.exe: [Debugger] tasklist.exe
      IFEO\bprotect.exe: [Debugger] tasklist.exe
      IFEO\browserdefender.exe: [Debugger] tasklist.exe
      IFEO\browserprotect.exe: [Debugger] tasklist.exe
      HKLM\...\AppCertDlls: [x86] -> C:\Program Files\Movies Toolbar\Datamngr\apcrtldr.dll [485376 2013-11-14] () <===== ATTENTION
      HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll <===== ATTENTION
      Toolbar: HKLM - No Name - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No File
      Toolbar: HKLM - No Name - !{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
      Toolbar: HKLM - No Name - !{82E1477C-B154-48D3-9891-33D83C26BCD3} - No File
      Toolbar: HKLM - No Name - !{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No File
      Toolbar: HKLM - No Name - !{95B7759C-8C7F-4BF1-B163-73684A933233} - No File
      Toolbar: HKLM - No Name - !{977AE9CC-AF83-45E8-9E03-E2798216E2D5} - No File
      Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
      Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
      FF Extension: Plus-HD-3.5 - C:\Users\Proprietaire\AppData\Roaming\Mozilla\Firefox\Profiles\jdwlhr59.default-1382204569554\Extensions\d8222698-19e5-4827-b79e-0a077ea8eb7a@7b662f6d-3899-41e4-8864-6393447568da.com
      FF Extension: Movies Toolbar (Dist. by Bandoo Media, Inc.) - C:\Users\Proprietaire\AppData\Roaming\Mozilla\Firefox\Profiles\jdwlhr59.default-1382204569554\Extensions\{3d86a75b-cb6b-4764-885d-ca6336f04ba2}
      FF Extension: New tab - C:\Users\Proprietaire\AppData\Roaming\Mozilla\Firefox\Profiles\jdwlhr59.default-1382204569554\Extensions\{AB53B28D-74A9-BCCD-53E1-DB0B176847CC}
      CHR Plugin: (Wajam) - C:\Users\Proprietaire\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\plugins/PriamNPAPI.dll No File
      CHR Plugin: (Bubble Dock) - C:\Users\Proprietaire\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbjlipmgfoamgjaogmbihaffnpkpjajp\1.0.0.130_0\plugin/npsurfmatch.dll No File
      CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      R2 DatamngrCoordinator; C:\Program Files\Movies Toolbar\Datamngr\DatamngrCoordinator.exe [3424768 2013-11-14] (Bandoo Media Inc.)
      2013-12-03 22:21 - 2013-12-04 21:40 - 00000000 ____D C:\ProgramData\Datamngr
      2013-12-03 22:21 - 2013-12-03 22:21 - 00000000 ____D C:\ProgramData\Wincert
      2013-12-03 22:21 - 2013-12-03 22:21 - 00000000 ____D C:\Program Files\Movies Toolbar
      2013-11-18 20:13 - 2013-11-18 20:13 - 00000000 ____D C:\Users\Elliot\AppData\Local\tuto4pc_fr_80
      2013-11-17 10:25 - 2013-11-17 10:25 - 00000000 ____D C:\Users\Mattéo\AppData\Local\tuto4pc_fr_80
      2013-11-16 17:50 - 2013-11-16 17:50 - 00000000 ____D C:\Users\Hugo\AppData\Local\tuto4pc_fr_80
      2013-11-06 13:28 - 2013-11-10 10:41 - 00001298 _____ C:\Users\Elliot\Desktop\Clean Registry for Free!.lnk
      C:\Users\Proprietaire\AppData\Local\iLivid
      AlternateDataStreams: C:\ProgramData\TEMP:43F5FA9D
      AlternateDataStreams: C:\ProgramData\TEMP:9398DBB4
      AlternateDataStreams: C:\ProgramData\TEMP:ED194880
      AlternateDataStreams: C:\ProgramData\TEMP:FD32FD25
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
    m
    0
    l
    6 Décembre 2013 06:16:20

    Bonjour toutes et tous,
    Bonjour hyunkel30 :) ,

    Le rapport fixlog.txt :) 

    EDIT : Karine à trouvé la source des infections, les enfants ;)  Elle va mettre le holà le temps du nettoyage et elle est train de prendre connaissance des documents qui expliquent comment on se fait infecter. Je lui ai redonné quelques explications à ce sujet aussi. Par exemple, ilivid, ce n'est pas une bonne idée !
    m
    0
    l
    a c 549 8 Sécurité
    6 Décembre 2013 09:53:54

    Re,

    Ok pour le rapport.

    Les enfant, le mieux, c'est qu'il soit sur des session "invités" cela évite bien des soucis ;) 

    Pour voir s'il reste des trucs :

    Télécharge AdwCleaner (de Xplode) sur ton Bureau.

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7/8, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Scanner.
  • Attend la fin de la recherche puis clique sur l'option Rapport.
  • Un fichier texte apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.
    m
    0
    l
    a c 549 8 Sécurité
    11 Décembre 2013 10:12:32

    Bonjour Chre ;) 

    Tu peux lancer Adwcleaner en mode suppression et me fournir le rapport.
    Pense à fermer tous les programmes avant ;) 
    m
    0
    l
    12 Décembre 2013 06:45:42

    Bonjour toutes et tous,
    Bonjour hyunkel30 :) ,

    En fait, Karine n'avait pas attendu et a déjà lancé le mode suppression. Depuis, elle a perdu toute connexion à Internet (Si vous n'arrivez à naviguer sur aucun site, vérifiez la connexion au réseau de votre ordinateur ; etc.). Après avoir fait redémarrer la box et l'ordinateur complètement, c'est toujours pareil. L'accès à Internet fonctionne depuis un autre ordinateur en Wi-Fi.

    Je vais donc me déplacer physiquement sur la machine en question pour voir de plus près ce qu'il en est. Ce ne sera sans doute pas avant la semaine prochaine :/ 

    Je te redis.
    m
    0
    l
    a c 549 8 Sécurité
    12 Décembre 2013 09:56:55

    Re,

    Normalement rien de ce qui a été traité avec Adwcleaner ou FRST avant ne touchait la connexion.

    Elle a testé avec plusieurs navigateurs ?
    m
    0
    l
    14 Décembre 2013 20:53:30

    Bonsoir toutes et tous,
    Bonsoir hyunkel30 :) ,

    Finalement, j'ai pu passer ce soir sur l'ordi de Karine.
    Bon, en résumé, il a fallu que je restaure la sauvegarde système du 8 décembre 2013 pour que ça remarche
    1. Microsoft Windows [version 6.0.6002]
    2. Copyright (c) 2006 Microsoft Corporation. Tous droits réservés.
    3.  
    4. C:\Windows\system32>ipconfig
    5.  
    6. Configuration IP de Windows
    7.  
    8.  
    9. Carte Ethernet Connexion au réseau local :
    10.  
    11. Suffixe DNS propre à la connexion. . . :
    12. Adresse IPv6 de liaison locale. . : fe80::c029:c6a3:7cc6:cf01%10
    13. Adresse d'autoconfiguration IPv4 . . . : 169.254.207.1
    14. Masque de sous-réseau. . . . . . . . . : 255.255.0.0
    15. Passerelle par défaut. . . . . . . . . :


    J'ai vérifié deux fois, le problème se produit lorsque l'on fait le nettoyage avec Adwcleaner, après le nettoyage puis le reboot, plus de réseau avec la configuration ci-dessous. Impossible de restaurer la connexion avec "réparer la connexion réseau" ; j'avoue que je ne comprends pas ce qu'il se passe.

    Voici un des rapports de nettoyage de Adwcleaner (nettoyage ensuite annulé par la restauration système du 8/12).
    Le rapport adwcleaner.

    Bref, l'accès Internet de l'ordi est réparé, mais des infections sont toujours présentes.
    Comment faire, utiliser un autre outil de nettoyage ?


    m
    0
    l
    a c 549 8 Sécurité
    14 Décembre 2013 22:44:38

    Re,

    Tu ne m'as pas dit, est-ce que tu as testé avec un autre navigateur une fois Adwcleaner passé ?

    Fais aussi ceci (télécharge donc le programme avant de lancer adwcleaner)

    Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    15 Décembre 2013 09:15:59

    Re,

    hyunkel30 a dit :

    Tu ne m'as pas dit, est-ce que tu as testé avec un autre navigateur une fois Adwcleaner passé ?

    Oups.
    Le phénomène est le même avec IE, Chrome et Firefox. En effet, après le nettoyage de AdwCleaner, l'ordinateur ne trouve plus la connexion réseau et se met en autoconfiguration IP avec une adresse 169.x.x.x (voir la copie dans mon message précédent). C'est exactement comme si le câble réseau était débranché,alors qu'il ne l'est pas.

    Pour la manipulation, je revois avec Karine qui nous lit.
    m
    0
    l
    a c 549 8 Sécurité
    15 Décembre 2013 09:48:04

    Re,

    Bon on verra avec FSS, mais ce qui m'étonne c'est qu'Adwcleaner ne touche normalement pas à la clé de configuration de DNS ou autre ...
    m
    0
    l
    a c 549 8 Sécurité
    16 Décembre 2013 09:22:22

    Re.

    Tu as fait ce rapport alors que la connexion était out ?

    Pour le reste il semble effectivement qu'adwcleaner ai eu un bug. Tu. Peux normalement télécharger la nouvelle version d'aujourd'hui et passer en nettoyage pour voir.
    m
    0
    l
    16 Décembre 2013 09:40:59

    Re,

    Non, la connexion réseau était active puisque j'ai restauré la machine dans l'état du 8/12/2013. En fait, mes explications n'étaient pas très claire :
    + Plus d'accès réseau, rien, autoconfiguration IP en 169.x.x.x. Pourtant, câble réseau branché et accès Internet actif et opérationnel (vérifié avec une autre machine). J'ai pensé à une panne de la carte réseau, mais les LED link et traffic s'allumaient bien.
    + Faute de solution, je restaure la sauvegarde système du 8/12/2013 (avant le dernier passage de Adwcleaner). Reboot de la machine, et là accès Internet parfaitement opérationnel.
    + Je relance AdwCleaner, scan + nettoyage, AdwCleaner reboote la machine, et la à nouveau plus d'accès à Internet !
    + Je restaure à nouveau l'image système du 8/12, reboot, et accès Internet de nouveau opérationnel
    D'où ma conclusion qu'il y a avait un problème avec AdwCleaner.

    Je transmets les instructions à Karine pour qu'elle télécharge la nouvelle version d'AdwCleaner pour faire un scan puis un nettoyage. Je lui fait créer un point de restauration avant, au cas où ;) 
    m
    0
    l
    a c 549 8 Sécurité
    16 Décembre 2013 19:09:14

    Re,

    Très bien, tiens-moi au courant.

    :jap: 
    m
    0
    l
    a c 549 8 Sécurité
    18 Décembre 2013 19:52:56

    Re, Bonsoir Chre,

    Ok, les rapports sont un peu tous collé ensemble je vois :D 

    Et après le dernier passage d'Adwcleaner, la connexion s’est maintenu cette fois ?
    m
    0
    l
    18 Décembre 2013 20:00:15

    Re,

    Oui, j'ai vu ça, j'ai même cru que le rapport AdwCleaner n'était pas le bon, mais si, tout est collé dedans, je ne sais pas pourquoi.
    Et oui, la connexion Internet est toujours active :) 
    m
    0
    l

    Meilleure solution

    a c 549 8 Sécurité
    18 Décembre 2013 22:16:14

    Re,

    Ouais pour Adwcleaner c'est un bug aléatoire en ce moment ...

    Pour finir :

    Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Ne touche pas aux options cochées
  • Coche en plus "Purger la restauration système"
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.


    Tout est ok sinon sur le système ?
    partage
    19 Décembre 2013 06:57:26

    Bonjour toutes et tous,
    Bonjour hyunkel30 :) ,

    J'ai trouvé bizarre ce rapport tout mélangé, alors j'ai demandé à Karine de faire un nouveau scan AdwCleaner, juste pour être sûr.
    Visiblement, il reste des trucs.
    Je lui ai demandé de refaire le nettoyage et de fournir le nouveau rapport ainsi généré.

    EDIT : Flûte; j'avais pas vu que le fichier scan contenait aussi plusieurs rubriques, dont une du 18/12 qui est vide. Donc tout va bien :) 
    m
    0
    l
    a c 549 8 Sécurité
    19 Décembre 2013 19:59:36

    Re,

    Tu as ta réponse ;) 
    Mais là aussi, c'est anormal.
    Adwcleaner créé d'habitude un rapport à chaque fois, pas une suite dans un même ...

    Tu peux passer delfix et me fournir le rapport ?
    m
    0
    l
    a c 549 8 Sécurité
    20 Décembre 2013 23:12:50

    Re,

    Ok, tu peux faire le tour avec l'utilisatrice pour voir si tout est ok maintenant ?
    m
    0
    l
    24 Décembre 2013 08:53:42

    Bonjour toutes et tous,
    Bonjour hyunkel30 :) ,

    J'ai vu avec Karine, l'ordi va à priori beaucoup mieux maintenant : plus de pubs intempestives, plus de moteur de recherche QV06.
    Après, avec les manipulations à distance et un peu longues, je lui ai demandé de faire quelques vérifications complémentaires avec MBAM et Avira
    1. Fichier(s) détecté(s): 1
    2. C:\$Recycle.Bin\S-1-5-21-1101299397-342199049-1052776084-1000\$RTFI2V3.exe (PUP.Optional.Bandoo) -> Aucune action effectuée.
    3. Fichier(s) détecté(s): 1
    4. C:\Windows\Installer\911437.msi (PUP.Optional.SmartBar) -> Aucune action effectuée.

    Le premier c'est facile, il suffit de vider la corbeille, l'autre m'inquiète un peu plus ?
    m
    0
    l
    a c 549 8 Sécurité
    24 Décembre 2013 14:35:36

    Re,

    Le second est probablement l'installateur d'un des logiciel "gratuit" qui comporte un sponsor publicitaire.
    Je te déconseille néanmoins de supprimer directement, cela peut poser ensuite souci à la désinstallation.

    Après, c'est comme tu veux ;) 

    Je te laisse gérer la vérification des mises à jour au besoin ?
    Et les règles de sécurité/prévention ?
    m
    0
    l
    26 Décembre 2013 17:56:48

    Bonsoir toutes et tous,
    Bonsoir hyunkel30 :) ,

    Ok, merci pour la précision.
    Je m'occupe d'informer Karine pour les mises à jour ; pour les règles de sécurité, c'est déjà fait (voir les premiers posts), mais je fais une piqûre de rappel :D .

    Sinon, c'est ok ?
    m
    0
    l
    a c 549 8 Sécurité
    28 Décembre 2013 10:53:53

    Re,

    Oui, tout est ok pour moi ;) 

    Bonne fêtes de fin d'année !
    m
    0
    l
    30 Décembre 2013 16:51:58

    Bonjour toutes et tous,
    Bonjour hyunkel30 :) ,

    Une nouvelle fois, merci encore !
    Cette fois, je t'offre deux bières de Noël bien fraîches :D 

    A bientôt.
    m
    0
    l
    a c 549 8 Sécurité
    30 Décembre 2013 20:04:51

    :o  Va falloir que je vienne te voir, sinon faudra construire une cave à bière pour moi :D 

    @ bientôt.
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS