Forum d'Entraide Informatique (FEI)

Bonjour,

J'ai un nouveau petit problème concernant un adware appellé "Adware.KeenValue" que je n'arrive pas à supprimer définitivement et qui revient toujours.

J'ai fait le nettoyage habituel avec Malwarebytes et Glaryutilities mais rien ni fait ! Je le supprime mais il revient toujours. C'est un élément HKCU\SOFTWARE\VISICOM MEDIA - Catégorie : Registry Key.

Je ne sais pas si le problème vient directement de la (des) clé(s) d'enregistrement pour les logiciels WEBEXPERT 6 et FTEXPERT 3 que j'ai achetés (je ne les ai pas téléchargés illégalement, je tiens à le préciser ).

Bref, voici les 2 rapports de mon PC via OTL (avec le scrip que vous m'aviez donné ici), en espérant que quelqu'un pourra m'aider à me débarrasser de ce adware qui aime bien mon ordi et qui s'accroche

OTL.TXT

Rapport OTL ici

EXTRATS.TXT

Rapport EXTRAT ici

Merci d'avance pour votre aide et vos lumières.

Bon week

Laetitia

Salut Laetitia

Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook_x64.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
:filefind
eseotprf.dll
ftpwpp32.dll
ipmontrd.dll
mciwaved.dll
msidentd.dll
scredird.dll
:folderfind
KeenValue
updater
CQX
updmgr
incredifind
powersearch
:regfind
Visicom Media
eUniverse
KeenValue
updater
- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.

@++

Bonsoir Dédétraqué !

Tout d'abord pour ta réponse.

Voici ce que tu m'as demandé, à savoir le rapport de SystemLook : Cliquez-ici

Bonne soirée et @+++

Laetitia

Malwarebytes Anti-Malware 1.70.0.1100
http://www.malwarebytes.org

Version de la base de données: v2013.01.27.04

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16466
CLIENT :: HUBERT [administrateur]

28/01/2013 19:26:24
mbam-log-2013-01-28 (19-26-24).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 207898
Temps écoulé: 3 minute(s), 41 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\Visicom Media (Adware.KeenValue) - Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
Ici le rapport de Malwarebytes de ce jour... bizarre que dans le rapport "Systemlook", il ne trouve pas "Keenvalue"

Searching for "KeenValue"
No folders found.

Salut Laetitia

Double clic sur OTL.exe pour le lancer.
(Vista/Seven -- Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

* Copie la liste qui se trouve en citation ci-dessous, et colle-la dans la zone sous " Personnalisation "

:Reg
[-HKEY_CURRENT_USER\Software\Visicom Media]
[-HKEY_USERS\S-1-5-21-916827034-1175384849-3285257554-1001\Software\Visicom Media]

:OTL
[2013/01/18 10:53:34 | 000,000,000 | ---D | C] -- C:\Users\CLIENT\AppData\Local\Lollipop

:Commands
[Emptytemp]

* Clique sur " Correction " pour lancer la suppression.

* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

* Au redémarrage , autorise OTL a s'exécuter.

* Poste le rapport généré par OTL.

@++

Bonjour Dédétraqué,

Voici le rapport OTL du 31/01/2013 :

All processes killed
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\Software\Visicom Media\ deleted successfully.
Registry key HKEY_USERS\S-1-5-21-916827034-1175384849-3285257554-1001\Software\Visicom Media\ not found.
========== OTL ==========
C:\Users\CLIENT\AppData\Local\Lollipop folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: CLIENT
-Temp folder emptied: 1474496 bytes
-Temporary Internet Files folder emptied: 303947014 bytes
-Flash cache emptied: 12958 bytes

User: Default
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes

User: Default User
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 797739 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 128 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 292,00 mb

OTL by OldTimer - Version 3.2.69.0 log created on 01312013_193957

Files\Folders moved on Reboot...
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\Y798LFYU\xd_arbiter[1].htm moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\EAT4RNN2\chatbox[1].htm moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\EAT4RNN2\index[1].htm moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\EAT4RNN2\like[2].htm moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\EAT4RNN2\oauth[1].htm moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\2YG7OXCP\xd_arbiter[1].htm moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\0ZJZ09ZY\t6277-probleme-avec-adwarekeenvalue[1].htm moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\7A7E08C8-3FF5-45F2-873D-A84D669DC82F.dat moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
C:\Users\CLIENT\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
C:\windows\temp\UploadUI.log moved successfully.
C:\windows\temp\winstore.log moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
@+++

Laetitia

Salut Laetitia

Refais un scan avec MBAM et poste le rapport...

@++

Bonsoir Dédétraqué et bonjour aussi à ta belle Province,

Malwarebytes Anti-Malware 1.70.0.1100
http://www.malwarebytes.org

Version de la base de données: v2013.02.04.07

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16466
CLIENT :: HUBERT [administrateur]

04/02/2013 18:56:11
mbam-log-2013-02-04 (18-56-11).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 208440
Temps écoulé: 3 minute(s), 48 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\Visicom Media (Adware.KeenValue) - Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
The adware semble bien aimé mon ordi

@+++

Laetitia

Salut Laetitia

Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook_x64.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook :
:reg
HKCU\Software\Visicom Media /s
- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.

@++

Salut Dédétraqué,

Voici le rapport de SystemLook comme demandé :

SystemLook 30.07.11 by jpshortstuff
Log created at 09:03 on 06/02/2013 by CLIENT
Administrator - Elevation successful

========== reg ==========

[HKEY_CURRENT_USER\Software\Visicom Media]
(No values found)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6]
"LastDlgDir"="C:\Program Files (x86)\EasyPHP\EasyPHP-5.3.9\www\site"
"KeepLastDlgDir"= 0x0000000001 (1)
"DesktopDocked"= 0x0000000001 (1)
"ReopenLastFiles"= 0x0000000001 (1)
"ReopenLastProject"= 0x0000000001 (1)
"LastProjectFile"=""
"CreateDocAtStartup"= 0x0000000001 (1)
"ShowMiniToolbar"= 0x0000000001 (1)
"ShowSpecCharBar"= 0x0000000000 (0)
"ShowStatusBar"= 0x0000000001 (1)
"AutoSaveDesktop"= 0x0000000001 (1)
"CheckLastVersion"= 0x0000000001 (1)
"ShowFileExtsOnTabs"= 0x0000000001 (1)
"ShowTipOfTheDay"= 0x0000000000 (0)
"CheckForUpgrade"= 0x0000000001 (1)
"TipOfTheDayIndex"= 0x0000000002 (2)
"FilesHistoryLength"= 0x0000000010 (16)
"ProjectsHistoryLength"= 0x0000000008 ( 8 )
"PredefinedFileExts"="*.html;*.htm;*.xhtml;*.shtml;*.asp;*.wml;*.php*;*.phtml"
"DefaultDocType"= 0x000000000b (11)
"FileOpenFilterIndex"= 0x0000000000 (0)
"Skin"= 0x0000000001 (1)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\CodeCompletion]
"CCActive"= 0x0000000001 (1)
"CCAutoPopup"= 0x0000000001 (1)
"CCDelay"= 0x00000005dc (1500)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\CodeInspector]
"Validate"= 0x0000000001 (1)
"ShowAllCSS"= 0x0000000001 (1)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\CodeTooltips]
"CTTActive"= 0x0000000000 (0)
"CTTDelay"= 0x00000007d0 (2000)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\Confirmations]
"FileSaveForPreview"= 0x0000000001 (1)
"ProjectSaveForPreview"= 0x0000000001 (1)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes]
"DefaultIndex"= 0x0000000000 (0)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\ASP]
"tt"= 0x0000000003 (3)
"ParserLanguage"="XHTML/HTML"
"extCount"= 0x0000000002 (2)
"ext0"=".asp"
"ext1"=".asi"
"DefaultExt"=".asp"
"UseCustomTpl"= 0x0000000000 (0)
"DocProlog"= 0x0000000000 (0)
"CreateComment"= 0x0000000001 (1)
"Order"= 0x0000000003 (3)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\CSS]
"tt"= 0x0000000001 (1)
"ParserLanguage"="CSS"
"extCount"= 0x0000000001 (1)
"ext0"=".css"
"DefaultExt"=".css"
"UseCustomTpl"= 0x0000000000 (0)
"DocProlog"= 0x0000000000 (0)
"CreateComment"= 0x0000000001 (1)
"Order"= 0x0000000005 (5)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\HTML]
"tt"= 0x0000000000 (0)
"ParserLanguage"="XHTML/HTML"
"extCount"= 0x0000000005 (5)
"ext0"=".htm"
"ext1"=".html"
"ext2"=".cfm"
"ext3"=".cfml"
"ext4"=".jsp"
"DefaultExt"=".html"
"UseCustomTpl"= 0x0000000000 (0)
"DocProlog"= 0x0000000000 (0)
"CreateComment"= 0x0000000001 (1)
"Order"= 0x0000000001 (1)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\Javascript]
"tt"= 0x0000000006 (6)
"ParserLanguage"="JAVASCRIPT"
"extCount"= 0x0000000001 (1)
"ext0"=".js"
"DefaultExt"=".js"
"UseCustomTpl"= 0x0000000000 (0)
"DocProlog"= 0x0000000000 (0)
"CreateComment"= 0x0000000001 (1)
"Order"= 0x0000000006 (6)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\Perl]
"tt"= 0x0000000009 (9)
"ParserLanguage"="PERL"
"extCount"= 0x0000000002 (2)
"ext0"=".pl"
"ext1"=".cgi"
"DefaultExt"=".pl"
"UseCustomTpl"= 0x0000000000 (0)
"DocProlog"= 0x0000000000 (0)
"CreateComment"= 0x0000000001 (1)
"Order"= 0x0000000009 (9)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\PHP]
"tt"= 0x0000000008 ( 8 )
"ParserLanguage"="XHTML/HTML"
"extCount"= 0x0000000004 (4)
"ext0"=".php"
"ext1"=".php3"
"ext2"=".php4"
"ext3"=".phtml"
"DefaultExt"=".php"
"UseCustomTpl"= 0x0000000000 (0)
"DocProlog"= 0x0000000000 (0)
"CreateComment"= 0x0000000001 (1)
"Order"= 0x0000000004 (4)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\SSI]
"tt"= 0x0000000002 (2)
"ParserLanguage"="XHTML/HTML"
"extCount"= 0x0000000002 (2)
"ext0"=".shtm"
"ext1"=".shtml"
"DefaultExt"=".shtml"
"UseCustomTpl"= 0x0000000000 (0)
"DocProlog"= 0x0000000000 (0)
"CreateComment"= 0x0000000001 (1)
"Order"= 0x0000000002 (2)

[HKEY_CURRENT_USER\Software\Visicom Media\WebExpert 6\DocumentTypes\Texte]
"tt"= 0x000000000a (10)
@+++

Salut Laetitia

C'est un faux positif cette détection, je vais remonter le problème a Malwarebyte's et le souci devrais être réglé dans les prochaines mises à jour...

@++

Super merci beaucoup pour ton aide et pour ton action !

Disons que je me suis aussi posée la question à un moment donné au regard de tout ce que nous avions fait.

@+++

P.S. : Pour ton info, je ne peux pas mettre mon post initial en mode "RESOLU" car j'étais en mode "invité" et on ne peut pas éditer les messages avec ce mode. J'ai créé seulement un compte avant-hier.

Salut Laetitia

OK je m'occupe pour faire mettre en résolu

On va faire un ménage des outils téléchargés pour la désinfection, télécharge Del Fix (de Xplode), sur ton bureau :

http://www.general-changelog-team.fr/fr ... /26-delfix

Lance-le, coche l'option "Supprimer les outils de désinfection".
Clique sur [Exécuter]
Patiente durant l'opération..

-----

Je te donne quelques consignes de sécurité :

Windows Update parfaitement à jour http://www.windowsupdate.com/

Pare-feu bien paramétré pour XP, je te conseil :
ZoneAlarm, Vista/Seven -- le pare de WINDOWS est suffisant.

Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).

Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)

Pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..)
Le danger des cracks !
Les risques sécuritaires du peer-to-peer

Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)

Nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk)

Scan hebdomadaire antispyware ( je conseil MalwareByte's Anti-Malware)

Un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml

Faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
http://www.malekal.com/scan_vulnerabilite.php

Bonne journée/soirée et bon surf

@++

C'est fait mais c'est normal que "Del Fix" disparaisse quand il a terminé d'EXECUTER

Est-ce dû au fait qu'une mise à jour est faite souvent par les auteurs et qu'il convient donc de ne pas avoir de version "obsolète" sur son PC

Salut Laetitia

Il ne sert plus a rien quand tu as fini de l'utiliser donc il se supprime et il vaut mieux d'avoir toujours la dernière version.

@++

Merci pour la confirmation

@+++

Salut Laetitia

Forum d'Entraide Informatique (FEI)

[Résolu] Problème avec Adware.KeenValue

[Résolu] Problème avec Adware.KeenValue

Re: [Résolu] Problème avec Adware.KeenValue

Rapport SystemLook

Rapport Malwarebytes du 28/01/2013

Re: [Résolu] Problème avec Adware.KeenValue

Rapport OTL du 31/01/2013

Re: [Résolu] Problème avec Adware.KeenValue

Rapport Malwarebytes du 04/02/2013

Re: [Résolu] Problème avec Adware.KeenValue

Rapport de SystemLook du 06/02/2013

Re: [Résolu] Problème avec Adware.KeenValue

RESOLU

Re: [Résolu] Problème avec Adware.KeenValue

Re: [Résolu] Problème avec Adware.KeenValue

Re: [Résolu] Problème avec Adware.KeenValue

Re: [Résolu] Problème avec Adware.KeenValue

Re: [Résolu] Problème avec Adware.KeenValue