FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Alexandra62]

Bonjour à tous,

Je viens vers vous après de multiples tentatives pour essayer de supprimer définitivement les adwares/malwares qui se sont installés sur mon PC.
En effet, depuis peu quand j'ouvre Google Chrome, je suis infestée de bannières "ads by Cloudscout", et si je regarde la barre de chargement de ma recherche, je peux lire "en attente de http://www.superfish.com". Ma navigation devient insupportable d'autant plus que quand je clique sur le lien d'une page d'un site pour continuer mes recherches, il m'ouvre une redirection vers un site malveillant ou publicitaire.

J'ai donc fait des recherches sur divers sites et forums d'entraide et utilisé plusieurs logiciels recommandés pour tenter de détecter et supprimer ces infections, sans succès. Les logiciels que j'ai utilisés sont :

- AdwCleaner (il me trouve re-market et superfish dans le "Local Storage" de Google Chrome, me supprime les fichiers en question, mais à chaque reconnexion à Chrome ils réapparaissent).
- Malwarebytes Antimalware (il m'a trouvé un trojan DNSChanger et apparemment me l'a supprimé, mais il est revenu et j'ai du refaire une analyse pour qu'il le supprime à nouveau)
- IOBit Malware Fighter (il me trouve la même chose que AdwCleaner)
- SuperAntiSpyware Free Edition (recommandé par un proche, je ne sais plus le résultat de son analyse).
- GlaryUtilities (idem recommandé par un proche, il y a un système de scan du pc).

J'ai également regardé dans mes extensions de navigateur et dans les programmes de mon pc pour voir si il n'y avait pas un programme suspect, RAS. J'ai désinstallé / réinstallé Chrome, installé Firefox pour avoir un navigateur de secours, rien n'a changé (les pubs Ads By CloudScout vont également sur Firefox !!!)

Sur les divers forums d'entraide j'ai pu voir que les solutions étaient spécifiques à la machine de l'utilisateur en question et ne devaient pas être suivies pour sa propre machine au risque de faire planter le PC. Je viens don vers vous avec un gros panneau HELP parce que j'en ai marre de ces virus qui font planter mon PC !

Merci d'avance de votre aide !

[Dori@n]

Bonjour,

Dans un premier temps tu vas déjà désinstaller ça :

IOBit Malware Fighter ==> ne sert à rien
SuperAntiSpyware Free Edition ==> ne sert à rien
GlaryUtilities ==> ne sert à rien mis à part mettre le foutoir dans ton pc.


================

• Désactive ton antivirus le temps du téléchargement et de l'utilisation, le mieux étant jusqu'au prochain redémarrage.
• Télécharge AdsFix sur ton bureau.
  Note : Enregistrer votre travail avant de continuer !
• Lance AdsFix ( clic droit "executer en tant qu'administrateur" pour Vista/7/8/8.1 )
• Pour un pc assez infecté , il peut mettre plusieurs secondes à se charger
• Inscrit ton pays
• Clique sur Nettoyer , après l'avoir débloqué dans les options
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\AdsFix_date_heure.txt sur SOSUpload puis donne le lien obtenu.

Aide:

• Tutoriel AdsFix - Option "Nettoyage"
• Désactiver temporairement sa protection résidentielle

[Alexandra62]

Ok merci je ferais ça en rentrant Je vous tiens au courant ensuite.

[Alexandra62]

J'ai lancé le logiciel hier soir il en est à 35% et me trouve 11 fichiers infectés et 1 fichier modifié. C'est ultra-long, j'ai peur de la fin du diagnostic.

[Dori@n]

Bonjour,

Laisse le tourner.

[Alexandra62]

Bonsoir,
Ok ca marche, par contre j'ai oublié de désactiver la veille de mon pc donc il se met en veille au bout d'une heure ou deux sans incidence apparemment sur le travail du logiciel qui a avancé malgré le même pourcentage d'avancement du processus

[Alexandra62]

Bonjour,

Adsfix a fini de bosser voici le rapport : http://upload.sosvirus.net/download/wft ... nlkhokdjqz

Résultats : 58 fichiers modifiés et 55 fichiers infectés. J'ai bien fait de venir ici demander de l'aide moi ! ^^

[Dori@n]

Bonjour,

Tu as bien désinstallé les trois logiciels que je t'avais demandé de désinstaller?

Désinstalle également Spybot, il ne sert à rien.

• Télécharge Adwcleaner (de Xplode) sur ton Bureau !
• Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Accepte le Disclamer,
• Choisi l'option Scanner
  
  
• Une fois le scan terminer, clique sur "Rapport",
• Enregistre le rapport AdwCleaner[R0].txt sur ton bureau,
• Héberge le rapport AdwCleaner[R0].txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.

Note : Le rapport ce trouve à la racine de ton disque dur : "C:\AdwCleaner\AdwCleaner[S0].txt".

• Aide :
• Tutoriel ADWCleaner
• Comment héberger un fichier sur SosUpload ?

================

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
• Installe le logiciel.
• Lance ZHPDiag, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Clic sur Complet
  
  Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
  
  
• Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt à été créé.
• Héberge le rapport ZHPDiag.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

[Alexandra62]

Bonjour,

Oui je les ai désinstallés avant d'ouvrir Adsfix (mais j'ai vu que celui-ci me trouvait des fichiers en rapport avec Glary Utilities alors qu'il est désinstallé par exemple).
J'ai déjà AdwCleaner, je vais le lancer

[Dori@n]

Re,

Pour Adwcleaner, supprime celui que tu as et re-télécharge la nouvelle version car ce n'est pas un logiciel à garder dans son pc vu qu'il est constamment mis à jour

[Alexandra62]

Yep, c'est ce que j'ai fait après réfléxion (si si ca m'arrive de réfléchir ), du coup j'ai la version que tu m'as donnée.

Voici le rapport d'AdwCleaner : http://upload.sosvirus.net/download/4zx ... gqrht41hn1

Il me trouve encore "superfish" et "re-markable"

Je continue avec l'autre logiciel et je fais un EDIT

[Dori@n]

Re,

Tu n'as pas fait la suppression? Si c'est le cas, fais la suppression puis seulement après tu me fais zhpdiag.

[Alexandra62]

Re,

Oui désolée je me suis emmêlé les pinceaux je sais pas pourquoi -_- Voici donc le scan AdwCleaner après suppression des fichiers indésirables, ainsi que le rapport de ZHP Diag .

AdwCleaner : http://upload.sosvirus.net/download/vg6 ... j583t9k9fv

ZHP Diag : http://upload.sosvirus.net/download/fhz ... t56kvzdai6

Voilà

[Dori@n]

Bonjour,

• Copie les lignes qui sont à l'intérieur de ce lien (Ctrl + A puis Ctrl + C) :
  
  http://www.cjoint.com/15fe/EBiirJVAeZ8_ ... zhpfix.txt
• Ouvre ZHPfix, icone seringue (Vista/7/8 : "Exécuter en tant qu'administrateur").
• Colle les lignes helpers si elles ne sont déjà présentes. Pour ce, clique sur Importer.
• Clique sur Go.
• Clique sur Oui pour confirmer le nettoyage des données et pour celui de la corbeille.
• Copie le rapport, et colle-le dans la prochaine réponse sur le forum.

P.S. Si le bureau disparaît, fais Ctrl + Alt + Suppr afin d'ouvrir le gestionnaire des tâches puis dans Applications, clique sur Nouvelle tâche puis tape explorer.exe. Le bureau devrait normalement réapparaître.

/!\ Attention, ta corbeille va être vidée. Vérifie qu'il n'y ait aucun fichier supprimé par mégarde à l'intérieur. /!\


===============

• Télécharge MalwareBytes
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
• Clic sur Mettre à jour (à droite, au centre)
• Clic sur Examen (en haut)
• Sélectionne Examen "Menaces"
• Clic sur Examiner maintenant
  
  
• A la fin du scan clic sur Tout mettre en quarantaine !
• Clic sur Copier dans le Presse-papiers
• Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

[Alexandra62]

Bonjour,

Voici les résultats de la manip' (il y avait déjà les lignes sur ZHPFix donc je ne les ai pas recollées lors de la manip avec ce logiciel).

Rapport ZHPFix (qui m'a désinstallé au passage Iobit Advanced System Care, du coup je doute fortement de la fiabilité de ce dernier logiciel pour maintenir mon pc en forme) :

Rapport de ZHPFix 2015.1.15.1 par Nicolas Coolman, Update du 15/01/2015
Fichier d'export Registre :
Run by Alexandra at 08/02/2015 09:43:11
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit Service Pack 1 (9600)

Corbeille vidée (00mn 03s)
Dossier Prefetcher vidé

========== Logiciels ==========
ABSENT Uninstall Process: c:\program files (x86)\iobit\advanced systemcare 8\unins000.exe

========== Clés du Registre ==========
SUPPRIMÉ Logiciel Key: [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Advanced SystemCare 8_is1]
SUPPRIMÉ:* HKLM\Software\EnigmaSoftwareGroup
SUPPRIMÉ: HKLM\Software\Wow6432Node\DownloaderAssistant
SUPPRIMÉ: HKLM\Software\Wow6432Node\be82b01e-a0d1-448d-b3ea-97445ad7ec95
SUPPRIMÉ:* HKLM\Software\IObit

========== Valeurs du Registre ==========
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
SUPPRIMÉ: FirewallRaz (Domain) : {9E3D57FC-7C37-4424-9352-4831E97D029D}
SUPPRIMÉ: FirewallRaz (Domain) : {548DCF8C-BFF2-4BA4-AA88-FBAF9AC8BCC6}
SUPPRIMÉ RunValue: Steam

========== Dossiers ==========
SUPPRIMÉS Temporaires Windows (0)
SUPPRIMÉS Flash Cookies (0)
SUPPRIMÉ: C:\Program Files (x86)\Spybot - Search & Destroy 2
SUPPRIMÉ: C:\ProgramData\Spybot - Search & Destroy
SUPPRIMÉ: C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
SUPPRIMÉ: C:\Users\Alexandra\AppData\Roaming\Mozilla\Firefox\Profiles\5qthy5tx.default\extensions\iobitascsurfingprotection@iobit.com
SUPPRIMÉ: C:\Program Files (x86)\Common Files\IObit

========== Fichiers ==========
SUPPRIMÉS Temporaires Windows (0) (0 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)
SUPPRIMÉ: c:\windows\prefetch\wisecustomcalla36.exe-791a7770.pf
SUPPRIMÉ: c:\program files (x86)\steam\steam.exe


========== Récapitulatif ==========
5 : Clés du Registre
5 : Valeurs du Registre
7 : Dossiers
4 : Fichiers
1 : Logiciels


End of clean in 00mn 37s

========== Chemin de fichier rapport ==========
C:\Users\Alexandra\AppData\Roaming\ZHP\ZHPFix[R1].txt - 08/02/2015 09:43:17 [2013]


Rapport de MalwareBytes Anti-Malware :

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 08/02/2015
Heure de l'examen: 09:48:16
Fichier journal: rapport MBAM 08.02.2015.txt
Administrateur: Oui

Version: 2.00.4.1028
Base de données Malveillants: v2015.02.08.03
Base de données Rootkits: v2015.02.03.01
Licence: Gratuit
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Auto-protection: Désactivé(e)

Système d'exploitation: Windows 8.1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Alexandra

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 330621
Temps écoulé: 29 min, 57 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristique: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(Aucun élément malicieux detecté)

Modules: 0
(Aucun élément malicieux detecté)

Clés du Registre: 0
(Aucun élément malicieux detecté)

Valeurs du Registre: 0
(Aucun élément malicieux detecté)

Données du Registre: 1
Trojan.DNSChanger, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS\Interfaces\{6D1B0813-F66E-4BCE-97B9-120341435636}|NameServer, 31.168.224.100,5.135.12.56, Bon: (), Mauvais: (31.168.224.100,5.135.12.56),Remplacé,[62a151cb444649ed947d5b5e798c09f7]

Dossiers: 0

Voilà

[Dori@n]

Re,

Dsl du retard j'ai zappé ta réponse :/


refais moi un zhpdiag complet.

Cdlt.

[Alexandra62]

No soucis je n'étais pas chez moi cet après-midi de toute façon. ^^ Voici le rapport de ZHPDiag : http://upload.sosvirus.net/download/5g6 ... luqzan8jrt

Au passage, en mettant à jour ZHPDiag sur le site de Nicolas Coolman, j'ai pu constater que les pubs "Ads By Cloudscout" infestaient toujours le navigateur, et me soulignaient des mots en vert maintenant

Bien à toi.

[Alexandra62]

Je fais un petit up au cas ou tu n'aurais pas vu ^^ J'ai l'impression d'avoir encore plus de pubs depuis quelques jours alors que je n'ai rien téléchargé d'autre ni été sur des sites craignos niveau virus (à part ceux que Cloudscout et Cie m'ouvrent intempestivement -_- )

Merci à toi !

[g3n-h@ckm@n]

salut tu peux faire une capture de cela ?

[Alexandra62]

Salut,

Alors, ayant essayé des choses à ma portée pour essayer de virer ces foutues pubs en attendant la suite de la procédure, j'ai réinitialisé les paramètres de Google Chrome, et j'ai réussi à supprimer ces pubs, ce que je n'avais pas réussi à faire avant de venir ici et d'effectuer les manips indiquées par Angel. Je ne peux pas faire de capture d'écran du coup. Ca semble s'être calmé, mais je préfère continuer les manipulations guidées ici pour être sûre que je n'ai plus de virus et me protéger d'une autre infection.

Pour ce qui est des pubs qui infestaient mon écran, en clair j'avais des bannières de pubs "Ads By Cloudscout" qui s'affichaient en haut, en bas et sur les côtés dans un premier temps. Puis ensuite j'ai carrément eu d'autres barres de pubs et des mots soulignés en vert qui, quand on passait la souris dessus, ouvraient une pop-up proposant de nous diriger vers un site publicitaire. Enfin, par moments, quand je cliquais sur un lien dans un site que je consultais, le navigateur me ramenait à un site malveillant ou publicitaire et non vers le lien que j'avais demandé.

Voilà