Se connecter / S'enregistrer
Votre question

Se débarrasser d'un virus

Tags :
  • Virus
  • Adware
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Octobre 2014 10:34:01

Bonjour,
Comme le titre le dit j'ai choppé un virus. Et un bon qui me fait tout ramer...
J'aimerais savoir si quelqu'un pourrait me guider pour supprimer ce virus.
Donc tout d'abord, après avoir reboot l'ordinateur zéro j'avais eu un soucis puisque j'avais fais trop de mise a jour en meme temps, bref et du coup je le reinitialise et je réinstalle toutes les mise a jours sauf que je prend le temps avant de toute les installer. Le soucis c'est que lorsque je reviens une semaine après les cours, je vais pour aller sur internet et cela m'affiche un nouveau moteur de recherche. Si je me souviens bien c'était Andro quelque chose. (un moteur de recherche qui cherche a imiter google avec des pubs enfin). Suite a cela je vais pour remettre google, cela ne marche pas, puis je réinitialise google chrome. Or par la suite mes recherches ne pouvaient pas se faire puisque internet me disait qu'il y avait un problème de confidentialité. Juste après je découvre qu'il y a un virus, que mon windows a été utilisé autre part. Puis quand je peux de nouveau aller sur internet je vais me renseigner d'ou on avait utilisé mon ordinateur et cela provenait de chine. En bref j'ai compris que je me suis fais piraté. Du coup je supprime plein d'applications. Et je fais quelques recherches a propos des virus. Et n'ayant pas fais toutes les MAJ de windows cela pouvait etre la source du virus...
Mon antivirus trouve toujours au démarrage celui ci :
gen:variant.Adware.Graftor.159320 / dans le dossier Frame Display que je n'avais vu...
Merci de m'aider; j'effectue une grosse analyse et j'envois la suite si besoin

Autres pages sur : debarrasser virus

a c 295 8 Sécurité
20 Octobre 2014 11:19:03

Bonjour,

  • Télécharge et lance AdwCleaner (d'Xplode), choisis l'option "Scanner".

  • Une fois le scan terminé, choisis l'option "Nettoyer".

  • Redémarre le PC comme demandé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ta réponse. Le rapport est enregistré dans C:\AdwCleaner sous le nom d'AdwCleaner[s?].
    m
    0
    l
    Contenus similaires
    a c 295 8 Sécurité
    20 Octobre 2014 12:05:32

    Non merci ;) 

    • Télécharge ZHPDiag (de Nicolas Coolman).

    • Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).

    • Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

    • Clique sur Complet.

    • Une fois le scan terminé, un rapport est créé sur le Bureau.

    • Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message.
    m
    0
    l
    20 Octobre 2014 13:36:23

    Voici le scan complet avec ZHPDiag: http://pjjoint.malekal.com/files.php?id=ZHPDiag_2014102...
    Je tiens a préciser que le virus se dévellope malgrès le fait que je ne fasse rien. J'ai 32 pub de bloqué avec AdBlock et pourtant en temps normal je n'en ai quasiment pas... La meilleure solution ne serait elle pas de mettre les paramètres d'usine?..
    m
    0
    l
    a c 295 8 Sécurité
    20 Octobre 2014 14:39:59

    • Copie tout le texte présent dans le cadre ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").

      Script ZHPFix
      SysRestore
      O2 - BHO: Framed Display [64Bits] - {05b5ef3f-4c6a-426e-b77e-48ebb3e721f1} . (.Framed Display - Framed Display.) -- C:\Program Files (x86)\Framed Display\FramedDisplayBHO.dll
      O2 - BHO: ExplorerWnd Helper [64Bits] - {10921475-03CE-4E04-90CE-E2E7EF20C814} Clé orpheline
      O23 - Service: Update Framed Display (Update Framed Display) . (...) - C:\Program Files (x86)\Framed Display\updateFramedDisplay.exe
      O23 - Service: Util Framed Display (Util Framed Display) . (...) - C:\Program Files (x86)\Framed Display\bin\utilFramedDisplay.exe
      [MD5.00000000000000000000000000000000] [APT] [WSE_Astromenda] (...) -- C:\Users\Clément\AppData\Roaming\WSE_AS~1\UPDATE~1\UPDATE~1.exe (.not file.) [0]
      O39 - APT: WSE_Astromenda - (...) -- C:\Windows\Tasks\WSE_Astromenda.job [324] =>PUP.Astromenda
      O39 - APT: WSE_Astromenda - (...) -- C:\Windows\System32\Tasks\WSE_Astromenda [324] =>PUP.Astromenda
      [HKLM\Software\Wow6432Node\Framed Display]
      O43 - CFD: 20/10/2014 - 11:41:04 - [] ----D C:\Program Files (x86)\Framed Display
      O58 - SDL:02/01/1601 - 23:00:00 ---A- . (...) -- C:\Windows\System32\Drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64.sys.tmp [48792]
      SR - | Auto 20/10/2014 524024 | (Update Framed Display) . (...) - C:\Program Files (x86)\Framed Display\updateFramedDisplay.exe
      SR - | Auto 20/10/2014 524024 | (Util Framed Display) . (...) - C:\Program Files (x86)\Framed Display\bin\utilFramedDisplay.exe
      [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05B5EF3F-4C6A-426E-B77E-48EBB3E721F1}] =>PUP.FramedDisplay^
      [HKLM\SYSTEM\CurrentControlSet\Services\Update Framed Display] =>PUP.FramedDisplay^
      [HKLM\SYSTEM\CurrentControlSet\Services\Util Framed Display]
      EmptyFlash
      EmptyTemp

    • Lance ZHPFix depuis le raccourci situé sur ton Bureau.

    • Clique sur le bouton "IMPORTER". Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître.

    • Clique sur "GO" et confirme pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

    • Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message.
    m
    0
    l
    a c 295 8 Sécurité
    20 Octobre 2014 17:22:27

    Il fait un peu de résistance mais on va y arriver.

    • Fais un scan avec Malwarebytes' Anti-Malware, supprime tout ce qu'il trouve et poste le rapport.

  • Malwarebytes' Anti-Malware - Tutoriel
    m
    0
    l
    20 Octobre 2014 17:58:27

    Je suis censé faire quoi. Il a trouvé 6 fichiers infectés. Et j'ai comme choix : Quarantaine / Add Exclusion / Ignore?
    m
    0
    l
    a c 295 8 Sécurité
    20 Octobre 2014 18:30:46

    "Tout mettre en quarantaine"

    • Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

      Attention : tu dois prendre la version compatible avec ton système : 32 ou 64 bits.

    • Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).

    • Coche la case Addition.txt.

    • Clique sur le bouton Scan.

    • Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.

    • Héberge les deux rapports sur pjjoint.malekal.com et copie-colle les liens fournis dans ta prochaine réponse.
    m
    0
    l
    a c 295 8 Sécurité
    21 Octobre 2014 00:26:59

    • Ouvre le Bloc-notes.
    • Copie-colle le texte encadré ci-dessous dans le Bloc-notes :

      start
      CHR HomePage: Default -> hxxp://astromenda.com/?f=1&a=ast_tele_14_41_ch&cd=2XzuyEtN2Y1L1Qzu0EtDtA0FyEzy0Czyzy0AzzyDyB0A0EtAtN0D0Tzu0StCtDtCyEtN1L2XzutAtFyDtFtCtFtBtN1L1CzutCyEtBzytDyD1V1RtN1L1G1B1V1N2Y1L1Qzu2StC0ByBtAyEtDzz0FtG0E0EtD0BtGtDyD0FtBtGzz0EtD0CtGtC0AyDtB0EtB0AyD0ByDyDzz2QtN1M1F1B2Z1V1N2Y1L1Qzu2StD0F0DtByEyBtCzytG0EyCyC0CtGyEyB0B0FtG0A0C0D0FtGtCyE0A0DtCyEtC0D0ByDyDzz2Q&cr=759317439&ir=
      CHR StartupUrls: Default -> "hxxp://astromenda.com/?f=7&a=ast_tele_14_41_ch&cd=2XzuyEtN2Y1L1Qzu0EtDtA0FyEzy0Czyzy0AzzyDyB0A0EtAtN0D0Tzu0StCtDtCyEtN1L2XzutAtFyDtFtCtFtBtN1L1CzutCyEtBzytDyD1V1RtN1L1G1B1V1N2Y1L1Qzu2StC0ByBtAyEtDzz0FtG0E0EtD0BtGtDyD0FtBtGzz0EtD0CtGtC0AyDtB0EtB0AyD0ByDyDzz2QtN1M1F1B2Z1V1N2Y1L1Qzu2StD0F0DtByEyBtCzytG0EyCyC0CtGyEyB0B0FtG0A0C0D0FtGtCyE0A0DtCyEtC0D0ByDyDzz2Q&cr=759317439&ir="
      CHR Extension: (Framed Display) - C:\Users\Clément\AppData\Local\Google\Chrome\User Data\Default\Extensions\gagcbogmgkaogoadfcoicjdojbmkegao [2014-10-19]
      2014-10-11 11:52 - 2014-10-20 18:26 - 00000000 ____D () C:\Program Files (x86)\Framed Display
      c:\windows\system32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}gw64.sys.tmp
      c:\windows\system32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}gw64.sys
      Task: {74979C99-186E-4ECE-BF08-3CD5C81521E6} - \WSE_Astromenda No Task File <==== ATTENTION
      end

    • Enregistre le fichier au même endroit que FRST sous le nom fixlist.txt
    • Lance FRST (Sous Windows Vista/7/8, clic droit sur FRST > Exécuter en tant qu'administrateur).
    • Clique sur Fix. Patiente le temps de la correction.

      Note : si l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement, l'outil terminera son travail.

    • Une fois la correction terminée, un rapport Fixlog.txt sera présent sur le Bureau.
    • Héberge le rapport sur pjjoint.malekal.com et copie-colle le lien fourni dans ta prochaine réponse.
    m
    0
    l
    a c 295 8 Sécurité
    21 Octobre 2014 10:34:05

    As-tu toujours les mêmes soucis ?

    Je voudrais un nouveau rapport ZHPDiag ;) 
    m
    0
    l
    21 Octobre 2014 11:41:37

    Je ne pense pas, mais mon ordi a pris un léger choc avec ce virus ^^
    Du coup il lag un peu plus qu'autrefois, mais sinon je n'ai plus toutes ces pubs intenpestifs puisque AdBlock ne compte plus que 8 pub sur cette page au lieu de 30...
    Mais si cela ne te dérange pas j'ai encore quelques bugs a régler qui sont apparus avec le virus.
    Quand je fais ma recherche sur google; je vais pour cliquer sur le lien et cela m'ouvre la page dans un nouvelle onglet et cela me marque tout le codage de la page en prime avant d'afficher la page... ^^
    Je vais essayer de réinitialiser chrome. Je verrais bien; sinon merci beaucoup! ^^
    J'envois le rapport sous peu
    m
    0
    l
    a c 295 8 Sécurité
    21 Octobre 2014 13:08:55

    Tu postes depuis les États-Unis ?

    https://support.google.com/chrome/answer/3296214?hl=fr

    Réutilise ZHPFix avec le script suivant :

    Script ZHPFix
    SysRestore
    [HKLM\Software\Wow6432Node\Framed Display]
    C:\Users\Clément\AppData\Local\Google\Chrome\User Data\Default\Preferences
    EmptyFlash
    EmptyTemp
    m
    0
    l
    21 Octobre 2014 13:25:57

    Non je ne publis pas depuis les Etats-Unis, de France, mais comme je l'avais déjà signalé avant: Windows m'avait averti que mon compte Windows avait été utilisé depuis la Chine suite au virus. Mais là je n'ai rien reçu donc je ne comprend pas comment tu peux voir cela.
    Enfin bref sinon le rapport : http://pjjoint.malekal.com/files.php?id=20141021_r7e6r5...
    Je ne sais pas si c'est le bon. J'en ai tellement...
    Bref je réinitialise Chrome pour voir
    m
    0
    l
    21 Octobre 2014 13:33:16

    Bon j'ai fais la réinitialisation. J'ai toujours ce soucis lorsque je clique sur le lien cela me l'ouvre dans un autre onglet. Mais il y a un peu moins de latences. Sinon lors de l'ouverture de la page il y a parfois tout le codage de la page qui s'affiche une 1sec.
    Sinon je reste suspicieux a propos de Frame Display. Je ne sais pas ce que c'est et je sais que le problème vient de là. Et en réactivant l'extension AdBlock j'ai remarqué qu'il y avait cette extension qui n'était pas activé justement mais qui était bien là.
    En bref, qu'est ce que Frame Display?
    m
    0
    l
    a c 295 8 Sécurité
    21 Octobre 2014 13:36:23

    Citation :
    Non je ne publis pas depuis les Etats-Unis, de France, mais comme je l'avais déjà signalé avant: Windows m'avait averti que mon compte Windows avait été utilisé depuis la Chine suite au virus. Mais là je n'ai rien reçu donc je ne comprend pas comment tu peux voir cela.

    --> Dans le rapport, il y a l'IP 40.51.1.12 dans les DNS. Supprime-la avec RogueKiller :
    http://www.commentcamarche.net/faq/30719-utiliser-rogue...
    m
    0
    l
    a c 295 8 Sécurité
    21 Octobre 2014 14:55:41

    Oui.
    m
    0
    l
    22 Octobre 2014 10:26:12

    Bon je ne sais pas si c'est bon. Mais ça m'a enlevé la wifi un bon bout de temps jusqu'à maintenant. Enfin je me suis renseigné. Et je sais pas si il y a un rapport avec la wifi mais j'avais le @ de la livebox qui était rouge et qui clignottait très vite. Par la suite j'avais connexion limitée sur tous les ordinateurs... Après je ne comprend pas pourquoi ma connexion wifi pompe internet meme quand elle n'a rien de connecté... D'ou sans doute la connexion limite...
    m
    0
    l
    a c 295 8 Sécurité
    22 Octobre 2014 11:36:08

    Citation :
    j'avais le @ de la livebox qui était rouge et qui clignottait très vite

    --> J'ai regardé sur Internet, cela signifie que la livebox n'est pas synchronisée.

    Citation :
    Après je ne comprend pas pourquoi ma connexion wifi pompe internet meme quand elle n'a rien de connecté

    --> Le fait que la livebox n'arrive pas à se connecter au réseau Internet n'empêche pas le Wi-Fi du PC de se connecter à la livebox.

    Un nouveau rapport ZHPDiag s'il te plaît (pour voir si l'IP est toujours là).
    m
    0
    l
    22 Octobre 2014 23:09:32

    Bon, nouveau soucis, quand je double clic dessus cela affiche une fenêtre qui dure un très court instant puis qui s'enlève puis plus rien. Or avec ZHPFix j'ai pas ce soucis la ^^
    Que me conseilles tu?
    m
    0
    l
    a c 295 8 Sécurité
    23 Octobre 2014 00:14:08

    Regarde avec RogueKiller s'il détecte l'IP.
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS