FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par Laetiti
#40247
Bonjour,

J'ai un nouveau petit problème concernant un adware appellé "Adware.KeenValue" que je n'arrive pas à supprimer définitivement et qui revient toujours.

J'ai fait le nettoyage habituel avec Malwarebytes et Glaryutilities mais rien ni fait ! Je le supprime mais il revient toujours. C'est un élément HKCU\SOFTWARE\VISICOM MEDIA - Catégorie : Registry Key.

Je ne sais pas si le problème vient directement de la (des) clé(s) d'enregistrement pour les logiciels WEBEXPERT 6 et FTEXPERT 3 que j'ai achetés (je ne les ai pas téléchargés illégalement, je tiens à le préciser ).

Bref, voici les 2 rapports de mon PC via OTL (avec le scrip que vous m'aviez donné ici), en espérant que quelqu'un pourra m'aider à me débarrasser de ce adware qui aime bien mon ordi et qui s'accroche

OTL.TXT

Rapport OTL ici

EXTRATS.TXT

Rapport EXTRAT ici

Merci d'avance pour votre aide et vos lumières.

Bon week

Laetitia
#40258
Salut Laetitia


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook_x64.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
:filefind
eseotprf.dll
ftpwpp32.dll
ipmontrd.dll
mciwaved.dll
msidentd.dll
scredird.dll
:folderfind
KeenValue
updater
CQX
updmgr
incredifind
powersearch
:regfind
Visicom Media
eUniverse
KeenValue
updater
- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++
Avatar du membre
par Laetitia
#40353
Bonsoir Dédétraqué !

Tout d'abord pour ta réponse.

Voici ce que tu m'as demandé, à savoir le rapport de SystemLook : Cliquez-ici

Bonne soirée et @+++

Laetitia
Avatar du membre
par Laetitia
#40355
Malwarebytes Anti-Malware 1.70.0.1100
http://www.malwarebytes.org

Version de la base de données: v2013.01.27.04

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16466
CLIENT :: HUBERT [administrateur]

28/01/2013 19:26:24
mbam-log-2013-01-28 (19-26-24).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 207898
Temps écoulé: 3 minute(s), 41 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\Visicom Media (Adware.KeenValue) - Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
Ici le rapport de Malwarebytes de ce jour... bizarre que dans le rapport "Systemlook", il ne trouve pas "Keenvalue"

Searching for "KeenValue"
No folders found.
#40374
Salut Laetitia


Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

:Reg
[-HKEY_CURRENT_USER\Software\Visicom Media]
[-HKEY_USERS\S-1-5-21-916827034-1175384849-3285257554-1001\Software\Visicom Media]

:OTL
[2013/01/18 10:53:34 | 000,000,000 | ---D | C] -- C:\Users\CLIENT\AppData\Local\Lollipop

:Commands
[Emptytemp]

* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.


@++
Avatar du membre
par Laetitia
#40533
Bonjour Dédétraqué,

Voici le rapport OTL du 31/01/2013 :

All processes killed
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\Software\Visicom Media\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-916827034-1175384849-3285257554-1001\Software\Visicom Media\ not found.
========== OTL ==========
C:\Users\CLIENT\AppData\Local\Lollipop folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: CLIENT
-Temp folder emptied: 1474496 bytes
-Temporary Internet Files folder emptied: 303947014 bytes
-Flash cache emptied: 12958 bytes

User: Default
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes

User: Default User
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 797739 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 128 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 292,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 01312013_193957

Files\Folders moved on Reboot...
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\Y798LFYU\xd_arbiter[1].htm moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\EAT4RNN2\chatbox[1].htm moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\EAT4RNN2\index[1].htm moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\EAT4RNN2\like[2].htm moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\EAT4RNN2\oauth[1].htm moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\2YG7OXCP\xd_arbiter[1].htm moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\0ZJZ09ZY\t6277-probleme-avec-adwarekeenvalue[1].htm moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\7A7E08C8-3FF5-45F2-873D-A84D669DC82F.dat moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
C:\windows\temp\UploadUI.log moved successfully.
C:\windows\temp\winstore.log moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
@+++

Laetitia
Avatar du membre
par Laetitia
#40837
Bonsoir Dédétraqué et bonjour aussi à ta belle Province,

Malwarebytes Anti-Malware 1.70.0.1100
http://www.malwarebytes.org

Version de la base de données: v2013.02.04.07

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16466
CLIENT :: HUBERT [administrateur]

04/02/2013 18:56:11
mbam-log-2013-02-04 (18-56-11).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 208440
Temps écoulé: 3 minute(s), 48 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\Visicom Media (Adware.KeenValue) - Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
The adware semble bien aimé mon ordi

@+++

Laetitia
#40852
Salut Laetitia


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook_x64.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
:reg
HKCU\Software\Visicom Media /s
- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++
Avatar du membre
par Laetitia
#40957
Salut Dédétraqué,

Voici le rapport de SystemLook comme demandé :

SystemLook 30.07.11 by jpshortstuff
Log created at 09:03 on 06/02/2013 by CLIENT
Administrator - Elevation successful

========== reg ==========

[HKEY_CURRENT_USER\Software\Visicom Media]
(No values found)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6]
"LastDlgDir"="C:\Program Files (x86)\EasyPHP\EasyPHP-5.3.9\www\site"
"KeepLastDlgDir"= 0x0000000001 (1)
"DesktopDocked"= 0x0000000001 (1)
"ReopenLastFiles"= 0x0000000001 (1)
"ReopenLastProject"= 0x0000000001 (1)
"LastProjectFile"=""
"CreateDocAtStartup"= 0x0000000001 (1)
"ShowMiniToolbar"= 0x0000000001 (1)
"ShowSpecCharBar"= 0x0000000000 (0)
"ShowStatusBar"= 0x0000000001 (1)
"AutoSaveDesktop"= 0x0000000001 (1)
"CheckLastVersion"= 0x0000000001 (1)
"ShowFileExtsOnTabs"= 0x0000000001 (1)
"ShowTipOfTheDay"= 0x0000000000 (0)
"CheckForUpgrade"= 0x0000000001 (1)
"TipOfTheDayIndex"= 0x0000000002 (2)
"FilesHistoryLength"= 0x0000000010 (16)
"ProjectsHistoryLength"= 0x0000000008 ( 8 )
"PredefinedFileExts"="*.html;*.htm;*.xhtml;*.shtml;*.asp;*.wml;*.php*;*.phtml"
"DefaultDocType"= 0x000000000b (11)
"FileOpenFilterIndex"= 0x0000000000 (0)
"Skin"= 0x0000000001 (1)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\CodeCompletion]
"CCActive"= 0x0000000001 (1)
"CCAutoPopup"= 0x0000000001 (1)
"CCDelay"= 0x00000005dc (1500)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\CodeInspector]
"Validate"= 0x0000000001 (1)
"ShowAllCSS"= 0x0000000001 (1)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\CodeTooltips]
"CTTActive"= 0x0000000000 (0)
"CTTDelay"= 0x00000007d0 (2000)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\Confirmations]
"FileSaveForPreview"= 0x0000000001 (1)
"ProjectSaveForPreview"= 0x0000000001 (1)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes]
"DefaultIndex"= 0x0000000000 (0)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\ASP]
"tt"= 0x0000000003 (3)
"ParserLanguage"="XHTML/HTML"
"extCount"= 0x0000000002 (2)
"ext0"=".asp"
"ext1"=".asi"
"DefaultExt"=".asp"
"UseCustomTpl"= 0x0000000000 (0)
"DocProlog"= 0x0000000000 (0)
"CreateComment"= 0x0000000001 (1)
"Order"= 0x0000000003 (3)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\CSS]
"tt"= 0x0000000001 (1)
"ParserLanguage"="CSS"
"extCount"= 0x0000000001 (1)
"ext0"=".css"
"DefaultExt"=".css"
"UseCustomTpl"= 0x0000000000 (0)
"DocProlog"= 0x0000000000 (0)
"CreateComment"= 0x0000000001 (1)
"Order"= 0x0000000005 (5)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\HTML]
"tt"= 0x0000000000 (0)
"ParserLanguage"="XHTML/HTML"
"extCount"= 0x0000000005 (5)
"ext0"=".htm"
"ext1"=".html"
"ext2"=".cfm"
"ext3"=".cfml"
"ext4"=".jsp"
"DefaultExt"=".html"
"UseCustomTpl"= 0x0000000000 (0)
"DocProlog"= 0x0000000000 (0)
"CreateComment"= 0x0000000001 (1)
"Order"= 0x0000000001 (1)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\Javascript]
"tt"= 0x0000000006 (6)
"ParserLanguage"="JAVASCRIPT"
"extCount"= 0x0000000001 (1)
"ext0"=".js"
"DefaultExt"=".js"
"UseCustomTpl"= 0x0000000000 (0)
"DocProlog"= 0x0000000000 (0)
"CreateComment"= 0x0000000001 (1)
"Order"= 0x0000000006 (6)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\Perl]
"tt"= 0x0000000009 (9)
"ParserLanguage"="PERL"
"extCount"= 0x0000000002 (2)
"ext0"=".pl"
"ext1"=".cgi"
"DefaultExt"=".pl"
"UseCustomTpl"= 0x0000000000 (0)
"DocProlog"= 0x0000000000 (0)
"CreateComment"= 0x0000000001 (1)
"Order"= 0x0000000009 (9)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\PHP]
"tt"= 0x0000000008 ( 8 )
"ParserLanguage"="XHTML/HTML"
"extCount"= 0x0000000004 (4)
"ext0"=".php"
"ext1"=".php3"
"ext2"=".php4"
"ext3"=".phtml"
"DefaultExt"=".php"
"UseCustomTpl"= 0x0000000000 (0)
"DocProlog"= 0x0000000000 (0)
"CreateComment"= 0x0000000001 (1)
"Order"= 0x0000000004 (4)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\SSI]
"tt"= 0x0000000002 (2)
"ParserLanguage"="XHTML/HTML"
"extCount"= 0x0000000002 (2)
"ext0"=".shtm"
"ext1"=".shtml"
"DefaultExt"=".shtml"
"UseCustomTpl"= 0x0000000000 (0)
"DocProlog"= 0x0000000000 (0)
"CreateComment"= 0x0000000001 (1)
"Order"= 0x0000000002 (2)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\Texte]
"tt"= 0x000000000a (10)
@+++
Avatar du membre
par Laetitia
#40986
Super merci beaucoup pour ton aide et pour ton action !

Disons que je me suis aussi posée la question à un moment donné au regard de tout ce que nous avions fait.

@+++

P.S. : Pour ton info, je ne peux pas mettre mon post initial en mode "RESOLU" car j'étais en mode "invité" et on ne peut pas éditer les messages avec ce mode. J'ai créé seulement un compte avant-hier.
#40990
Salut Laetitia


OK je m'occupe pour faire mettre en résolu


On va faire un ménage des outils téléchargés pour la désinfection, télécharge Del Fix (de Xplode), sur ton bureau :

http://www.general-changelog-team.fr/fr ... /26-delfix

Lance-le, coche l'option "Supprimer les outils de désinfection".
Clique sur [Exécuter]
Patiente durant l'opération..


-----


Je te donne quelques consignes de sécurité :

Image Windows Update parfaitement à jour http://www.windowsupdate.com/
Image Pare-feu bien paramétré pour XP, je te conseil :
ZoneAlarm, Vista/Seven -- le pare de WINDOWS est suffisant.
Image Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
Image Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
Image Pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..)
Le danger des cracks !
Les risques sécuritaires du peer-to-peer
Image Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
Image Nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk)
Image Scan hebdomadaire antispyware ( je conseil MalwareByte's Anti-Malware)
Image Un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml
Image Faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
http://www.malekal.com/scan_vulnerabilite.php

Bonne journée/soirée et bon surf


@++
#40993
C'est fait mais c'est normal que "Del Fix" disparaisse quand il a terminé d'EXECUTER

Est-ce dû au fait qu'une mise à jour est faite souvent par les auteurs et qu'il convient donc de ne pas avoir de version "obsolète" sur son PC

Configurez la redirection de port sur votre Freebo[…]

Willy

Hi there! I’ve always been passionate about […]

Merci pour la réponse ;) Pour verifier […]

Hello Ça me semble complexe, avez vous e[…]