[résolu]Adware win32 gisav

Pacman/Bomberman Messages : 11 Réputation : 0

Bonjour / Bonsoir, ça a commencé quand mon ordinateur m'a affiché un message de "Microsoft internet security alert", comme quoi je serais infecté par le virus cité dans le titre, il m'ont donc proposé de le supprimé, je l'ai donc fait.

Après m'être un petit peu informé sur le net, j'ai appris que ce message était un faux, provenant du virus lui même, et apportant encore plus de problème à votre PC.

J'ai donc télécharger Adwcleaner & Malwarebytes Anti-Malware, et effectué des scans et des suppressions, étant une quiche en informatique, je cherchais un peu d'aide pour les rapports qui sont du chinois pour moi.

Les 3 rapports Malwarebytes :

Premier :

Code:: Malwarebytes Anti-Malware (Trial) 1.75.0.1300
www.malwarebytes.org

Database version: v2013.08.19.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16660
Yann-standard :: YANN-HP [limited]

Protection: Enabled

19/08/2013 20:06:04
mbam-log-2013-08-19 (20-06-04).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 246525
Time elapsed: 4 minute(s), 56 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 8
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Quarantined and deleted successfully.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Quarantined and deleted successfully.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A} (PUP.Optional.Iminent.A) -> Quarantined and deleted successfully.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A} (PUP.Optional.Iminent.A) -> Quarantined and deleted successfully.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Quarantined and deleted successfully.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Quarantined and deleted successfully.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam) -> Quarantined and deleted successfully.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam) -> Quarantined and deleted successfully.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

LE SECOND :

Rapport supprimé par casper (rapport vide)

Et la fonction recherche de Adwcleaner (je trouve pas les rapports, et au redémarrage il ne me les as pas affiché) :

Code:: # AdwCleaner v2.306 - Rapport créé le 19/08/2013 à 21:44:33
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Yann - YANN-HP
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Yann-standard\Downloads\adwcleaner.exe
# Option [Recherche]

***** [Services] *****

***** [Fichiers / Dossiers] *****

***** [Registre] *****

***** [Navigateurs] *****

-\\ Internet Explorer v10.0.9200.16660

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v13.0.1 (fr)

-\\ Google Chrome v28.0.1500.95

Fichier : C:\Users\Yann\AppData\Local\Google\Chrome\User Data\Default\Preferences

Présente [l.1] : search_url ={"default_search_provider":{"id":"3","name":"Funmoods","hxxp://searchfunmoods.com/resul[...]

Fichier : C:\Users\Yann-standard\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1891 octets] - [19/08/2013 19:44:54]
AdwCleaner[R2].txt - [1390 octets] - [19/08/2013 21:16:33]
AdwCleaner[R3].txt - [1143 octets] - [19/08/2013 21:44:33]
AdwCleaner[S1].txt - [433 octets] - [19/08/2013 19:23:11]
AdwCleaner[S2].txt - [65856 octets] - [19/08/2013 19:39:48]
AdwCleaner[S3].txt - [1957 octets] - [19/08/2013 20:54:07]

########## EOF - \AdwCleaner[R3].txt - [1383 octets] ##########

Une dernière information que je peux fournir c'est que lors de la première suppression effectué par Malwarebytes, il y a eu entre 80 et 90 éléments détectés, j'en ai effectué une seconde plus tard, il en a de nouveau détecté 8.

Merci de votre aide.

Bonjour,
j'ai édité ton message pour diminuer l'affichage des rapports

Si tu l'as encore, j'aimerai voir le rapport de Malwarebytes qui indiquer 90 elements infetieux.

Ensuite (même si tu n'as plus ce rapport) fais ca :
Télécharger ZHPDiag (de Nicolas Coolman) : ftp://zebulon.fr/ZHPDiag2.exe
Double-cliquer sur ZHPDiag.exe puis suivre les étapes de l'installation.
Cocher la case "Exécuter ZHPDiag" à la fin de l'installation puis cliquer sur "Terminer".
L'installation est terminée, 3 icônes sont créées sur le bureau.
Lancer ZHPDiag.exe (sous Vista/7/8, clic droit/exécuter en tant qu'admin)
Cliquer sur le bouton Configurer
Cliquer sur la loupe de droite (celle sans symboles supplémentaire)
A la question Voulez vous un rapport Full options? dire OUI
Pour ne pas ralentir l'analyse, éviter de se servir du pc pendant le scan.
Si le programme demande d'utiliser SIGCHECK, accepter pour un rapport plus détaillé.
A la fin de l'analyse, un rapport est créé directement sur le bureau, il se nomme ZHPDiag.txt.
Héberger le rapport sur http://www.cjoint.com et poster le lien sur le forum.

Attention, bien passer par cjoint pour donner les rapports, de facon à ne pas prendre trop deplace dans les messages. tuto ici : https://morbak-home.forumgratuit.org/t634-comment-heberger-un-document-sur-cjoint

Pacman/Bomberman Messages : 11 Réputation : 0

http://cjoint.com/?CHtwoAp5Wjx

Merci encore !

ps : Non je n'ai plus le rapport des 83 (si je me souviens bien) rapports infectieux
Mais je me souviens que c'était pour la majeur partie des PUP optional et PUP funmoods

- Si tu l'as encore, désinstalle Spyhunter c'est une arnaque. Si tu l'as acheté, surveille ton compte bancaire.
a voir : http://forum.malekal.com/faux-blogs-securite-spyhunter-spyware-doctor-t12847.html
- Désinstalle Norton puisque tu as Avast : https://morbak-home.forumgratuit.org/t370-desinstaller-son-antivirus
- Defender pro c'est toi qui l'a installé?
- Est_ce que tu connais ce fichier : C:\War z\The War Z\WarZ.exe (si non, surtout ne l'ouvre pas)
si tu ne sais pas d'ou ca vient, envoie le sur virustotal et donne moi le lien : https://morbak-home.forumgratuit.org/t644-comment-scanner-un-fichier-avec-virustotal

- Fais analyser ce fichier aussi : C:\Code\Adobe CS4\_Keygen and Activation\Adobe CS4 Master Collection Keygen_1.exe

- Désinstalle java 7 update 7
- verifie les mises à joue de openoffice et adobe reader
- regarde dans l'onglet Quarantaine de Malwarebytes et di moi si tu vois autre chose que adware ou PUP (si oui, indique moi les nom des infections qui se trouve dans la colonne Vendeur et les fichiers)

Fais deja ca, je te mettrai la suite après.

Pacman/Bomberman Messages : 11 Réputation : 0

Je vais répondre point par point :

- ça va j'ai pas acheté Spyhunter
- Norton, je le ferais
- Defender pro ? Jamais entendu parlé
- Pas de soucis a se faire avec ce fichié, enfin, c'est qu'un jeu.

- tu m'a demandé d'analysé sa C:\Code\Adobe CS4\_Keygen and Activation\Adobe CS4 Master Collection Keygen_1.exe j'ai voulu le faire, mais quand j'ai double cliqué sur Keygen and activation, (avant d'être sur VirusTotal), cela m'a fait un freeze de 2-3 seconde, puis un messages provenant de Malwarebytes m'a indiqué que quelque chsoe avait été mit en quarentaine, j'y suis allé, ce qui est apparu en quarantaine a pour nom : Trojan.agent
Sinon, pour répondre a l'autre point concernant la quarantaine, je n'ai que des PUP, ormis ce "trojan".
Je n'ai pas pue trouvé le fichié "Adobe CS4 Master Collection Keygen_1.exe" à la suite de ce message.

- Fait.

- Fait.

C'est "une bonne chose" que tu ai ouvert le fichier accidentellement et que malwarebytes t'as protégé Clin d oeil

il l'a donc mis en quarantaine, inutile de l'analyser sur virustotal.

pour le fichier WarZ, si c'est un jeu original, aucun soucis, si c'est un jeu cracké, rends toi sur virustotal et fais analyser le fichier (suis bien le tuto et utilise le bouton parcourir pour selectionner le fichier, ne double-clic pas dessus)

Defender pro est inconnu pour toi donc désinstalle le si tu peux.
Desinstalle aussi si présent :
- CoolYou Gadget
- Iminent
- SweetIM
- Babylon
- DealPly

Ensuite fais ceci :
Fermer tout les programmes en cours d'utilisation
/!\ Attention, la corbeille sera vidée automatiquement /!\
Ouvre ce lien et copie tout le texte qu'il contient (CTRL+A puis CTRL+C) : http://cjoint.com/data3/3Htxew13eyK_fix.txt
Double-cliquer sur l'icône ZHPFix sur le bureau.
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
Si les lignes copiées n'apparaissent pas automatiquement dans le cadre, cliquer sur la 2e icône en haut à gauche "coller le presse papier".
Les lignes apparaissent dans le cadre vide, cliquer sur GO pour lancer le nettoyage.
Valider la suppression et patienter jusqu’à l'apparition du rapport.
Si Windows lance la désinstallation de certains programmes, fais la désinstallation.
Le bureau disparaitra peut-être et certains programmes seront fermés, c'est normal.
Note : un redémarrage sera peut-être nécessaire, si ZHPFix le demande, accepter.
Si le rapport n'est pas apparu, il est disponible soit sur le bureau (ZHPFixReport.txt), soit dans le dossier C:\ZHP\ sous le nom ZHPFix[R1].txt
Héberger le rapport et poster le lien dans la prochaine réponse.

Pacman/Bomberman Messages : 11 Réputation : 0

Voilà le résultat de virustotal pour War z.exe : https://www.virustotal.com/fr/file/649fa3f88c85c03f8357922a210b4b4c67c172379b0ec80376d79b50a78eb737/analysis/1376949113/

Et voici le rapport : http://cjoint.com/?CHtxWgQvQhs

A noté que Windows a tenté de désinstaller quelque chose, mais que ceci a échoué, en effet, un message d'erreur est apparu, c'était quelque chose comme : "La source de l'installation n'a pas été trouvé", je sais que sa reste vague, je prendrais une capture d'écran si besoin.

Edit : Merci encore d'aidé un novice qui arrive en touriste en mode "je crois que mon pc est infecté" ^^'

on est tous novice dans un domaine un jour où l'autre Clin d oeil

le rapport de zhpfix semble petit compte tenu de toutes les lignes qu'il devait supprimé, tu as bien tout selectionné jusqu'a EmptyCLSID?
repasse le pour voir avec ces lignes : http://cjoint.com/data3/3Htxew13eyK_fix.txt

Pacman/Bomberman Messages : 11 Réputation : 0

Sa me met sa : http://www.hostingpics.net/viewer.php?id=810643Sanstitre.png

Puis le traitement s'éternise sans que rien ne se passe.
Et oui j'avais copié toute les lignes, j'y suis allé a coup de CTRL + A

mmm... ok tu as bien lancé zhpfix en tant qu'admin?
et avec ces lignes la ca passe mieux?
http://cjoint.com/data3/3HuaGefJ8rx_fix.txt

Edit : voila à quoi devrait ressembler le rapport (evidemment sur mon pc il n'a rien trouvé puisque je n'ai aucun de ces fichiers) : http://cjoint.com/data3/3HuaGd0ICBA_zhpfixreport.txt

Pacman/Bomberman Messages : 11 Réputation : 0

http://cjoint.com/?CHuaJSleFPZ

A priori c'est mieux Smile

juste un message "Redémarrez windows pour terminer le nettoyage", je le fais de suite.

Ah oui c'est mieux effectivement, il y a beaucoup de ABSENT mais ca doit etre du au passage de Adwcleaner.

Comment va le pc après redémarrage?

Pacman/Bomberman Messages : 11 Réputation : 0

A priori mieux d'après iSafe ^^, merci beaucoup Smile

refais une analyse avec ZHPDiag pour controler que tout va bien et poste le rapport.
Tu n'avais rien de très dangereux sur le pc a part le trojan, donc je pense qu'apres le rapport de ZHPDiag on pourra desinstaller les programmes et finir le nettoyage

Edit : isafe c'est quoi au juste? regarde ici et dis moi si ca correspond : http://forum.malekal.com/isafe-antivirus-t16312.html

Pacman/Bomberman Messages : 11 Réputation : 0

Re ! http://cjoint.com/?CHucQVRVxhM Voilà pour le rapport

Et pour l'edit que j'avais pas vu, non c'est pas sa, c'est un logiciel qui affiche la vitesse a laquel ton ordinateur a démarrer, si il y a des mises a jour a faire sur certains logiciel pour améliorer la vitesse, nettoyer les cookie, etc.
https://www.virustotal.com/fr/file/440b4d222452cf51257379978c611a792b0a19abbb00177be9d3ffefd78ae4fe/analysis/1376960137/

De nouveau zhpfix avec ces lignes : http://cjoint.com/13au/CHukUGaOsuK_fix.txt
Poste le rapport apres nettoyage.

Tu as 7zip est winrar, tu peux ouvrir les fichiers rar avec 7zip (il faut cliquer sur "choisir un programme/parcourir/dossier 7zip/7FM.exe)

Tu as firefox et chrome, si tu n'en utilise qu'un, désinstalle l'autre. Si tu utilise les deux, mets à jour Firefox, tu as la version 13, on est a la version 23.

Pacman/Bomberman Messages : 11 Réputation : 0

http://cjoint.com/?CHusfCa4HxU

J'ai désinstaller winrar et firefox

Bien, pas de problèmes particulier?

Si tout va bien fais ceci :
Dernière étape, faire ce qui est indiqué ici : https://morbak-home.forumgratuit.org/t390-que-faire-avant-et-apres-une-desinfection#4974

Après le passage de Delfix, vérifier sur le bureau et sur le disque C qu'il ne reste aucun rapport/dossier/exécutable des programmes utilisés ou poster le rapport de Delfix qui se trouve dans le disque C.

Ces catégories contiennent des infos qui pourraient être intéressantes (entretien du pc et tutos) :
https://morbak-home.forumgratuit.org/f20-informations-utiles
https://morbak-home.forumgratuit.org/f46-tutoriels

Si pour toi le sujet est résolu, édite ton premier message et clic sur le bouton RESOLU dans la partie Options (sous la zone de texte).

Pacman/Bomberman Messages : 11 Réputation : 0

http://cjoint.com/?CHuwlEp8T7v Voilà pour le rapport Delfix.

Tu as fais les autres étapes?
Le pc va bien? on clos le sujet?

Pacman/Bomberman Messages : 11 Réputation : 0

Oui oui et oui Smile

Merci encore

» Infection Virus adware? [résolu]
» Win32 Trojan agent [résolu]
» [résolu]Backgroundcontainer.dll
» [résolu]Une m***e sur mon PC
» [résolu]J ai été hack need help