[Résolu] virus :colere2: - comment supprimer un virus publicitaire sous windows... par ponsk - page 1

16 juillet 2009 à 23:59:20

Bonsoir,
voici ma petite mésaventure: j'ai téléchargé un logiciel par torrent avec frostwire, mais il ne contenait pas le logiciel libre désiré, mais un virus publicitaire (trojan). Je suis sous windows xp sp3 et je dispose de l'antivirus firewall d'orange. ce dernier s'est déclenché automatiquement

et j'ai alors cliquer sur "supprimer le virus trojan"... je n'ai pas retenu le nom du virus, mais je me rappelle qu'il était décrit comme publicitaire.

et comme par hasard, c'est depuis ce moment que toutes les heures à peu pret, en surfant sur internet avec mozilla firefox 3.0, une fenetre apparait toute seule, sans même que je clique, dont voici 2 capture d'écran: http://yfrog.com/7bsanstitre1qlbj et http://yfrog.com/5ssanstitre2tnvj
Comme vous pouvez le voir, il n'y a pas d'adresse dans la barre en haut

bref ce problème est précis, et j'espere que quelqu'un saura où est ce logiciel malveillant, ou comment le bloquer avec firefox.
(ps: j'ai lancé mon antivirus à jour plusieurs fois, mais aucun résultat, et j'ai coché la case "bloqué les pop-up" dans firefox)

Webs

17 juillet 2009 à 0:00:53

Tu as quoi comme antivirus ?

Malako

17 juillet 2009 à 9:37:47

Change d'antivirus, celui d'orange est loin d'être efficace.

MyGB

17 juillet 2009 à 9:44:24

Citation : Malako

Change d'antivirus, celui d'orange est loin d'être efficace.

+1, c'est comme la contraception, la meilleure c'est celle qu'on choisit, pas celle qu'on fait semblant d'imposer...

Passes un coup de Spybot S&D et installes un antivirus (AVG, Antivir...).

Sign_ghst

17 juillet 2009 à 10:47:20

C'est un ad venant d'un programme douteux...
Mbam me semble plus judicieux qu'un changement d'AV dans la suppression de cet élément.
Télécharge et installe Malwaresbyte Antimalware.
Tu trouvera un tutorial à cette adresse: http://www.infos-du-net.com/forum/2783 [...] -malware-mbam
Met le à jour, et effectue un scan complet du système.
En fin d'analyse, poste moi le rapport d'analyse.
APrès, je plussoie Malako, l'av d'Orange ne vaut rien, donc tu ferai aussi bien d'en changer...
Mais de toute façon, si c'est pour réinstaller un programme pourri dans deux jours, n'y pense même pas.

Je suis un tocard.

ponsk

17 juillet 2009 à 11:04:08

ce qui est con c'est que je paye cet antivirus... mais apparemment c'est comme windows et linux, c'est mieux le gratuit

ben j'vais essayer tout ça, merci à tous

Malako

17 juillet 2009 à 11:13:16

Il n'y a pas toujours mieux en gratuit. Mais quand il y a, autant s'en servir.

Buddy

17 juillet 2009 à 12:06:37

Citation : Malako

Change d'antivirus, celui d'orange est loin d'être efficace.

Ça c'est sûr ! Ils profitent salement du manque de connaissances des utilisateurs ! :-°

Je pense que la proposition de Sign_Ghst est celle que j'aurais proposée.

Mais Malwaresbyte (ou Spybot) ne traque que les logiciels espions et les logiciels publicitaires malveillants.
Pour plus de sécurité, il faut tout de même l'antivirus.
Les deux meilleurs gratuits du moment, sont à ma connaissance Avira Antivir et AVG.

Personnellement j'utilise Antivir et j'en suis très satisfait.

⌕ Un moteur de recherche de caractères spéciaux | ✉ Me contacter

ponsk

17 juillet 2009 à 13:26:24

voici le résultat:

Citation

Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2447
Windows 5.1.2600 Service Pack 3

17/07/2009 13:16:06
mbam-log-2009-07-17 (13-16-06).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 122854
Temps écoulé: 42 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\AntiWPA.dll (Trojan.I.Stole.Windows) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4f7a0338-1fc2-d1e5-96e8-f0cf7f51c24c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4f7a0338-1fc2-d1e5-96e8-f0cf7f51c24c} (Adware.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\mozilla firefox\components\ab75e112-e662-8ba1-5948-069af4c31bd0.dll (Adware.Yoog) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AntiWPA.dll (Trojan.I.Stole.Windows) -> Delete on reboot.
C:\WINDOWS\system32\nse38.dll (Adware.BHO) -> Quarantined and deleted successfully.

je vous dirai plus tard si j'ai toujours ces pubs... mais je viens d'avoir une aure théorie possible: et si c'était tout simplement une autre machine détenant mon ip, et m'envoyant des pubs dès que je suis connecté? (cela expliquerais pourquoi mon antivirus l'a repéré qu'une seule fois...)
perso j'utilisais AVG avant de formater la semaine derniere, et je vais vite le réinstaller!

MyGB

17 juillet 2009 à 13:54:13

Citation : ponsk

je vous dirai plus tard si j'ai toujours ces pubs... mais je viens d'avoir une aure théorie possible: et si c'était tout simplement une autre machine détenant mon ip, et m'envoyant des pubs dès que je suis connecté? (cela expliquerais pourquoi mon antivirus l'a repéré qu'une seule fois...)

Ça marche pas comme ça, sinon, on aurait plus de plus et de cochonneries que ça.
Il faut faire une requête et un programme spécifique qui "écoute" le réseau récupère les infos.

Ce que tu peux faire c'est regarder d'où viennent ces pubs (IP...) et tu signales au service Abuse de leur FAI ou t'ajoutes dans le fichier HOST ces IPs.
Si tu as besoin d'infos sur cela, demande.

Sign_ghst

17 juillet 2009 à 14:42:05

Non, c'est n'importe quoi.
C'est toi le responsable.
Tu as installé l'infection toi même; (recherche un peu les termes « yoog search » sur Google, c'est ton infection)
On va lancer un autre scan, mbam n'a pas tout découvert.
Télécharge Yoog_Fix (Batch_Man) sur le Bureau.
• Fermez votre navigateur internet,
• Lancez Yoog_Fix.exe,
• Choisissez 1 pour Français,
• À l’apparition de Disclamer, cliquez sur OK
• Sélectionnez l'option 1 "Recherche" ;
► Postez le rapport de recherche (C:\ Yoog_Fix.txt)
Après, déclarer les IP ne rapportera globalement rien du tout...
Ce sont juste des clients d'une regie de pub foireuse, ni plus ni moins.

Je suis un tocard.

ponsk

17 juillet 2009 à 15:02:29

dac ok merci, maintenant je ferrai bien attention aux commentaires avant de télécharger un torrent

apparemment le virus publicitaire a été supprimé, donc pb résolu, mais j'vais faire quand même ton autre scan...

alors:

Citation

Yoog_Fix 3.0.1 de Batch_Man | ponsk (Administrateur)
Debut a 15:02 le 17/07/2009
Microsoft Windows XP Professionnel(5.1.2600)

Intel(R) Pentium(R) 4 CPU 3.20GHz
Ram : 2031,1 Mo
Normal boot

Antivirus: AntiVirus Firewall 8.01 8.01 (Activated)
Pare-Feu: AntiVirus Firewall 8.01 8.01 (Activated)
Lancé de "C:\Documents and Settings\ponsk\Bureau\Yoog_Fix.bat"

A:\ [Removable] (Total:0 Mo/Free:0 Mo)
C:\ [Fixed] - NTFS - (Total:38154 Mo/Free:2050 Mo)
D:\ [CD-Rom] (Total:0 Mo/Free:0 Mo)
L:\ [Fixed] - EXT3 - (Total:57215 Mo/Free:39 Mo)
M:\ [Fixed] - EXT3 - (Total:138286 Mo/Free:3262 Mo)

Option [1] 2 3 Recherche / Suppression

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»» [Suppression: Fichiers / Dossiers / Clés / Prefs Firefox]

SUPPRIME - C:\WINDOWS\System32\677fa3ec-6a47-5d92-487e-32c1f7fefcc6.exe
SUPPRIME - C:\WINDOWS\System32\wbnwgsedzmvm.exe

SUPPRIME - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\677fa3ec-6a47-5d92-487e-32c1f7fefcc6
SUPPRIME - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wbnwgsedzmvm

------------[Suspects]

Aucun fichier suspect trouvé

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»» [Recherche: Analyse de Firefox]

------------[Analyse de Firefox]

Mozilla Firefox 3.0.11 (fr)
Répertoire d'installation : C:\Program Files\Mozilla Firefox
Path: C:\Documents and Settings\ponsk\Application Data\Mozilla\Firefox\Profiles\t3i2mr5p.default

[ponsk\..\prefs.js] browser.startup.homepage: "http://www.mozbot.fr"
[ponsk\..\prefs.js] keyword.URL: "http://www.google.com/search?ie=UTF-8&btnI=&q="

------------[Extensions Firefox]

[ponsk] firebug@software.joehewitt.com = Firebug
[ponsk] orbit_ffext@orbitdownloader = Orbit Downloader Firefox Integration
[ponsk] piclens@cooliris.com = Cooliris
[ponsk] {6AC85730-7D0F-4de0-B3FA-21142DD85326} = ColorZilla
[ponsk] {ada4b710-8346-4b82-8199-5de2b400a6ae} = ReminderFox
[ponsk] {CE6E6E3B-84DD-4cac-9F63-8D2AE4F30A4B} = CoolPreviews"
[ponsk] {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} = Adblock Plus

{20a82645-c095-46ed-80e3-08825760534b} = C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
orbit_ffext@orbitdownloader = C:\Documents and Settings\ponsk\Application Data\Mozilla\Firefox\Profiles\t3i2mr5p.default\extensions\orbit_ffext@orbitdownloader

------------[Mozilla Plugins]

Path = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
XPTPath = C:\WINDOWS\system32\Macromed\Flash\flashplayer.xpt
ProductName = Adobe® Flash® Player Plugin
Vendor = Adobe Systems Incorporated
Version = 10.0.22.87

Path = C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
XPTPath = C:\Program Files\iTunes\Mozilla Plugins\npitunes.xpt
ProductName = iTunes Application Detector
Version = 8.2.0.23

Vendor = Apple Inc.
GeckoVersion = 1.7.2
Path = C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
ProductName = Windows Presentation Foundation
Vendor = Microsoft Corp.
Version = 3.5

Path = C:\Program Files\Real Alternative\browser\plugins\nppl3260.dll
Version = 6.0.12.69

Vendor = RealNetworks
XPTPath = C:\Program Files\Real Alternative\browser\components\nppl3260.xpt
Path = C:\Program Files\Real Alternative\browser\plugins\nprpjplug.dll
Version = 6.0.12.69

Vendor = RealNetworks
XPTPath = C:\Program Files\Real Alternative\browser\components\nsJSRealPlayerPlugin.xpt

------------[Plugins de recherche]

[ponsk] binsearch.xml = http://www.binsearch.info/
[ponsk] exalead.xml = http://www.exalead.com/search
[ponsk] isohunt---bittorrent.xml = http://isohunt.com/
[ponsk] opensubtitles.xml = http://www.opensubtitles.org
[ponsk] subscene.xml = http://subscene.com/
[ponsk] the-pirate-bay---uploaded.xml = http://thepiratebay.org/
[ponsk] tvsubtitlesnet.xml = http://www.tvsubtitles.net/search.php
[ponsk] wr-english-french.xml = http://www.wordreference.com/enfr/
[ponsk] youtube---videos.xml = http://www.youtube.com/index
[Program Files] amazon-france.xml = http://www.amazon.fr/
[Program Files] eBay-france.xml = http://search.ebay.fr/
[Program Files] google.xml = http://www.google.com/firefox
[Program Files] MediaDICO-fr.xml = http://www.dictionnaire-mediadico.com/dictionnaires.asp
[Program Files] wikipedia-fr.xml = http://fr.wikipedia.org/wiki/Special:Recherche
[Program Files] yahoo-france.xml = http://fr.search.yahoo.com/

------------[Listing de dossiers]

[03/06/2009 07:12 | 23032 bytes] C:\Program Files\Mozilla Firefox\Components\browserdirprovider.dll
[03/06/2009 07:12 | 134648 bytes] C:\Program Files\Mozilla Firefox\Components\brwsrcmp.dll
[03/06/2009 07:12 | 65528 bytes] C:\Program Files\Mozilla Firefox\plugins\npnul32.dll
[22/03/2007 18:23 | 17248 bytes] C:\Program Files\Mozilla Firefox\plugins\NPOFFICE.DLL
[10/09/2008 21:56 | 144960 bytes] C:\Program Files\Mozilla Firefox\plugins\nppl3260.dll
[13/07/2009 15:18 | 143360 bytes] C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll
[13/07/2009 15:18 | 143360 bytes] C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll
[13/07/2009 15:18 | 143360 bytes] C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll
[13/07/2009 15:18 | 143360 bytes] C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll
[13/07/2009 15:18 | 143360 bytes] C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll
[10/09/2008 21:37 | 94208 bytes] C:\Program Files\Mozilla Firefox\plugins\nprpjplug.dll

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»» [Recherche: Analyse d'Internet explorer / Registre ]

Internet Explorer : 8.0.6001.18702

L1 = HKLM\..\Main.Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
L1 = HKLM\..\Main.Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
L1 = HKCU\..\Main.Start Page = about:blank
L1 = HKCU\..\Main.Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
L1 = HKU\.DEFAULT\..\Main.Start Page = about:blank
L1 = HKU\S-1-5-19\..\Main.Start Page = about:blank
L1 = HKU\S-1-5-20\..\Main.Start Page = about:blank
L1 = HKU\S-1-5-21-1844237615-1708537768-1547161642-1003\..\Main.Start Page = about:blank
L1 = HKU\S-1-5-21-1844237615-1708537768-1547161642-1003\..\Main.Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
L1 = HKU\S-1-5-18\..\Main.Start Page = about:blank
L1 = HKLM\..\Main.Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
L1 = HKLM\..\Main.Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
L1 = HKCU\..\Toolbar.LinksFolderName = Liens
L1 = HKU\S-1-5-21-1844237615-1708537768-1547161642-1003\..\Toolbar.LinksFolderName = Liens
L2 = HKCU\..\Internet Settings.ProxyOverride = *.local

[HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet =
blank = res://mshtml.dll/blank.htm
DesktopItemNavigationFailure = res://ieframe.dll/navcancl.htm
Home = 0x10e
InPrivate = res://ieframe.dll/inprivate.htm
NavigationCanceled = res://ieframe.dll/navcancl.htm
NavigationFailure = res://ieframe.dll/navcancl.htm
NoAdd-ons = res://ieframe.dll/noaddon.htm
NoAdd-onsInfo = res://ieframe.dll/noaddoninfo.htm
OfflineInformation = res://ieframe.dll/offcancl.htm
PostNotCached = res://ieframe.dll/repost.htm
SecurityRisk = res://ieframe.dll/securityatrisk.htm
Tabs = res://ieframe.dll/tabswelcome.htm

--------[Browser Helper Object]

BHO: {000123B4-9B42-4900-B3F7-F4B073EFC214},@SANS NOM=3.0
BHO: {000123B4-9B42-4900-B3F7-F4B073EFC214},@SANS NOM=btorbit.com
BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045},@SANS NOM=3.0
BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9},@SANS NOM=3.0

--------[SearchScopes]

[HKEY_USERS\S-1-5-21-1844237615-1708537768-1547161642-1003\..\SearchScopes],@DefaultScope={0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[HKEY_USERS\S-1-5-21-1844237615-1708537768-1547161642-1003\..\SearchScopes\{5F4764C9-A953-44D8-BA81-4C334ADB8090}],@DisplayName=eBay
[HKEY_USERS\S-1-5-21-1844237615-1708537768-1547161642-1003\..\SearchScopes\{6CD9BBE3-DD01-49C6-BE7D-9AC27CA79035}],@DisplayName=Amazon.com
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes],@DefaultScope={0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes],@DefaultScope={0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}],@DisplayName=@ieframe.dll,-12512
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5F4764C9-A953-44D8-BA81-4C334ADB8090}],@DisplayName=eBay
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6CD9BBE3-DD01-49C6-BE7D-9AC27CA79035}],@DisplayName=Amazon.com

--------[Extensions]

@xpsp3res.dll,-20001: %windir%\Network Diagnostic\xpnetdiag.exe - {1FBA04EE-3024-11d2-8F1F-0000F87ABD16}

--------[Clé Run]

------------[Autres infections]

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»» [Autres rapports]

[17/07/2009 15:08] C:\Yoog_Fix\Logs\Rapport_17_07_2009_n1.txt - (Choix 1 : Recherche / Suppression)

-------------------------->>

Veuillez uploader le fichier C:\Yoog_Fix\Backups\Backup_17_07_2009_1.zip à l'adresse suivante : http://batchdhelus.open-web.fr/upload
Aide en images : http://batchdhelus.open-web.fr/upload/procedure.html

Si la procédure échoue, veuillez l'envoyer à l'adresse email suivante : yoog.fix.sav@gmail.com

+--------------[Fin à 15h 08min]

Sign_ghst

17 juillet 2009 à 21:01:34

Ça me semble ok.
Tu peut virer Yoog_Fix par ajout/supression de programme...
Aussi, je te recommande chaudement la migration vers Avira Antivir... une fois que tu aura désactivé l'option te fournissant l'av d'Orange.

Je suis un tocard.

virus :colere2:

comment supprimer un virus publicitaire sous windows...

Supprimer

Modérer

Signaler le message aux modérateurs