virus bestsaveforyou

[chauffmarcel]

Bonjour
Mon PC est infecté par un virus nommé bestsaveforyou .
J'ai suivi les recommandations lues sur le forum et j'ai donc installé ZHPdiag puisqu'il n'est pas possible de le supprier avec les logiciels tels Malwabytes et réalisé une analyse.
Je ne sais pas analysé le rapport. Pouvez vous m'aider?
Merci d'avance

[angelique]

• Faire Adwcleaner , onglet scan puis ensuite suppression ... un redémarrage peut être demandé. , voir > , et poste le rapport.

• Téléchargez OTL sur votre Bureau.
  
  ou:
  
  OTL com
  
  OTL scr
  
  
  ou:
  
  OTL com
  
  OTL scr
• Faites un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous vista|seven). Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
• Quand la fenêtre apparaît, sous Rapport en haut, cochez Rapport minimal, ainsi que all users
• Sous Registre: standard cochez Tous.
• Cochez les cases à coté de Recherche Lop et Recherche Purity.
• Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous "Personalisation":
  

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  %SYSTEMDRIVE%\*.exe
  /md5start
  services.exe
  explorer.exe
  userinit.exe
  winlogon.exe
  wininit.exe
  atapi.sys
  afd.sys
  ipsec.sys
  netbt.sys
  tcpip.sys
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\System32\config\*.sav
  CREATERESTOREPOINT

• Cliquez sur le bouton Analyse. Ne modifiez aucun paramètre sans qu'on vous ait dit de le faire. L'analyse ne va pas durer longtemps.
  • Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés au même endroit que OTL.
  • Veuillez copier (Edition->Sélectionner tout, Edition->Copier) le contenu de ces fichiers, l'un après l'autre, et envoyez-les dans votre prochaine réponse.
  • Si ton rapport est trop long, utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse
    
    
    
    tuto : https://www.malekal.com/tutorial_OTL.php

[chauffmarcel]

Bonjour Angelique
Voici le rapport adwcleaner :

# AdwCleaner v3.020 - Rapport créé le 02/03/2014 à 18:22:50
# Mis à jour le 27/02/2014 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : philippe - PHILIPPE-PC
# Exécuté depuis : C:\Users\philippe\Downloads\adwcleaner (1).exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\WinFilter
Dossier Supprimé : C:\Users\philippe\AppData\Local\genienext
Dossier Supprimé : C:\Users\philippe\AppData\Local\SearchProtect
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Windows\System32\Tasks\SpyHunter4Startup

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C66F0B7A-BD67-4982-AF71-C6CA6E7F016F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EAF749DC-CD87-4B04-B22A-D4AC3FBCB2BC}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{C66F0B7A-BD67-4982-AF71-C6CA6E7F016F}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{EAF749DC-CD87-4B04-B22A-D4AC3FBCB2BC}
Clé Supprimée : HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}
Clé Supprimée : HKLM\Software\{5F189DF5-2D05-472B-9091-84D9848AE48B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{2DF3E224-05CD-4113-AA7A-86F2F6607B46}
Donnée Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~3\WINFIL~1\WINFIL~2.DLL

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.16518


-\\ Mozilla Firefox v26.0 (en-US)

[ Fichier : C:\Users\philippe\AppData\Roaming\Mozilla\Firefox\Profiles\hprehkr5.default\prefs.js ]

Ligne Supprimée : user_pref("extensions.sKCv.scode", "(function(){try{var url=window.self.location.href;if(url.indexOf(\"acebook\")>-1||url.indexOf(\"txtlnkusaolp00000800\")>-1||url.match(/ressbar.com[^f]+fid=65017/)||[...]

-\\ Google Chrome v31.0.1650.63

[ Fichier : C:\Users\philippe\AppData\Local\Google\Chrome\User Data\Default\preferences ]


[ Fichier : C:\Users\enfants\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [15845 octets] - [28/12/2013 10:53:45]
AdwCleaner[R1].txt - [2591 octets] - [04/01/2014 11:51:36]
AdwCleaner[R2].txt - [2884 octets] - [02/03/2014 18:19:20]
AdwCleaner[S0].txt - [13870 octets] - [28/12/2013 10:57:56]
AdwCleaner[S1].txt - [2671 octets] - [04/01/2014 12:14:23]
AdwCleaner[S2].txt - [2810 octets] - [02/03/2014 18:22:50]

########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [2870 octets] ##########

[angelique]

ok la suite.

[chauffmarcel]

je viens de poster le rapport d'OTl

[angelique]

faut mettre le lien qu'on puisse le lire.

[chauffmarcel]

Le lien est le suivant.
Je n'avais pas vu désolé
http://pjjoint.malekal.com/files.php?id ... t12e6t11g9

[angelique]

Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.

> supprime :

YoTubeRAdsRemov






relançe OTL , Copies et colles le contenue de cette citation ci dessous (en commençant bien à :OTL , les : inclus devant OTL jusqu'à [emptytemp] inclus) dans la partie inférieure d'OTL sous "Personalisation"
et cette fois ci clic CORRECTION

Code : Tout sélectionner

:OTL
[2014/01/31 19:10:20 | 000,000,000 | ---D | C] -- C:\ProgramData\YoTubeRAdsRemov
[2014/01/31 19:10:19 | 000,000,000 | ---D | C] -- C:\ProgramData\ianfgienaiadcenjiljhofdpbdijjblm
[2010/04/12 21:39:13 | 000,131,472 | ---- | C] () -- C:\ProgramData\FullRemove.exe
:commands
[emptytemp]

» Un rapport texte apparrait au redemarrage du pc , poste le et verifie que ç'est OK.

[chauffmarcel]

J'ai relancé Google, l'extension existe toujours
Le rapport est :
All processes killed
========== OTL ==========
C:\ProgramData\YoTubeRAdsRemov folder moved successfully.
C:\ProgramData\ianfgienaiadcenjiljhofdpbdijjblm folder moved successfully.
C:\ProgramData\FullRemove.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: enfants
->Temp folder emptied: 339639192 bytes
->Temporary Internet Files folder emptied: 272317958 bytes
->Java cache emptied: 1 bytes
->Google Chrome cache emptied: 361395307 bytes
->Flash cache emptied: 16273 bytes

User: philippe
->Temp folder emptied: 239697986 bytes
->Temporary Internet Files folder emptied: 518 bytes
->Java cache emptied: 265805 bytes
->FireFox cache emptied: 15340340 bytes
->Google Chrome cache emptied: 34664533 bytes
->Flash cache emptied: 698 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1716106 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 6469500 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 755 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 95683 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1 213,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 03022014_195825

Files\Folders moved on Reboot...
C:\Users\philippe\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\SysWow64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[angelique]

quel extention ? elle est pas active ?

[chauffmarcel]

Le virus est toujours présent

[chauffmarcel]

Il s'agit de l'extension bestsaveforyou sur google. J'ai toujours des pubs intempestives

[angelique]

sur chrome ?

pourtant elle a pas l'air :

CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:bookmarkBarPinned}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}{google:omniboxStartMarginParameter}ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}{google:pageClassification}sugkey={google:suggestAPIKeyParameter},
CHR - homepage:
CHR - Extension: Google\u00A0Wallet = C:\Users\philippe\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda\0.0.6.1_0\



Sur Google Chrome : Menu en haut à droite puis Outils / Extensions
Donne la liste.

[chauffmarcel]

Bonjour Angelique
Sur Chrome les extensions sont :
Bestsaveforyou2.3 et
Youtuberadsremove
Merci pour le coup de main

[angelique]

Bonjour Angelique
Sur Chrome les extensions sont :
Bestsaveforyou2.3 et
Youtuberadsremove
Merci pour le coup de main

tu les supprimes , voir > http://forum.malekal.com/google-chrome- ... 35837.html