Pc infecté par pub et faux flash player

[profwalken]

Bonjour,
sur une machine Windows 7 /64 bits SP1 , le pc a été vérolé par adwares et companie, j'ai passé en premier lieu adwcleaner qui a éliminé pas mal de choses, puis j'ai passé malwarebytes qui en a trouvé encore une bonne trentaine.

suite à cela j'ai réinitialisé les 2 navigateurs IE11 et Chrome, j'ai installé adblock+ sur IE11 sans voir de difference et donc
il y a encore des pubs qui s'ouvrent dès la navigation avec IE11, notamment la fausse mise à jour Flashplayer.

J'ai passé ZHpdiag sur le pc, il a trouvé au moins 5 infections, je joins le rapport, pouvez vous me dire comment supprimer ce qui peut encore générer ces entrées de pubs.
http://cjoint.com/?0BjpCOQlgux

Merci pour votre analyse et assistance,
Cordialement,
Profwalken

[angelique]

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
  Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
  (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

-----------------------------------

[profwalken]

OK je fais cela demain matin, sinon le ZHPdiag çà n'est pas utile ?

[angelique]

On fait pas ZHP ici .... donc FRST

[profwalken]

Bonjour,
Voici les rapports demandés:
http://pjjoint.malekal.com/files.php?id ... 7k14t9o6u5
http://pjjoint.malekal.com/files.php?id ... 12s12h7j11

[angelique]

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  BHO: nnicenufreee -> {ab5188a4-cc54-494f-93b1-eedf23cc2030} -> C:\Program Files (x86)\nnicenufreee\b14mIptDcC0Vag.x64.dll ()
  BHO: raocckaetsalee -> {fc452c7b-fce8-4365-9b28-4edf32306824} -> C:\Program Files (x86)\raocckaetsalee\pBjZoUb1jbi0xI.x64.dll ()
  BHO-x32: nnicenufreee -> {ab5188a4-cc54-494f-93b1-eedf23cc2030} -> C:\Program Files (x86)\nnicenufreee\b14mIptDcC0Vag.dll ()
  BHO-x32: raocckaetsalee -> {fc452c7b-fce8-4365-9b28-4edf32306824} -> C:\Program Files (x86)\raocckaetsalee\pBjZoUb1jbi0xI.dll ()
  Toolbar: HKU\S-1-5-21-3351720645-3546819871-2786090523-1000 -> No Name - {434D472D-5637-006A-76A7-7A786E7484D7} - No File
  2015-02-08 17:37 - 2015-02-08 17:37 - 00000000 ____D () C:\ProgramData\ikiaocgkjmimollhdeefknhjpnnofpcp
  2015-02-08 17:37 - 2015-02-08 17:37 - 00000000 ____D () C:\Program Files (x86)\Hey Girl
  2015-02-08 17:37 - 2015-02-08 17:37 - 00000000 ____D () C:\Program Files (x86)\buyffasst
  2015-02-08 17:36 - 2015-02-08 17:37 - 00000000 ____D () C:\Program Files (x86)\raocckaetsalee
  2015-02-08 17:36 - 2015-02-08 17:37 - 00000000 ____D () C:\Program Files (x86)\nnicenufreee
  2015-02-08 17:36 - 2015-02-08 17:37 - 00000000 ____D () C:\Program Files (x86)\Lowruate
  2015-02-08 16:43 - 2015-02-08 16:43 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (7).exe
  2015-02-06 16:32 - 2015-02-06 16:32 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (6).exe
  2015-02-05 13:53 - 2015-02-05 13:54 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (5).exe
  2015-02-05 13:53 - 2015-02-05 13:54 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (4).exe
  2015-02-05 13:50 - 2015-02-05 13:50 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (3).exe
  2015-02-05 13:50 - 2015-02-05 13:50 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (2).exe
  2015-02-05 13:48 - 2015-02-05 13:48 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (1).exe
  2015-02-05 13:44 - 2015-02-05 13:44 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn.exe
  2015-01-27 16:00 - 2015-01-27 17:05 - 00000000 ____D () C:\ProgramData\tZRsDRiB
  2015-01-27 12:20 - 2015-01-27 12:20 - 00141752 _____ (Rentabiliweb) C:\Users\Alain\Downloads\transexmessenger (2).exe
  2015-01-25 17:12 - 2015-01-25 17:12 - 00001248 _____ () C:\Users\Alain\AppData\Roaming\FHUPXACS
  2015-01-19 18:06 - 2015-01-19 18:06 - 00000000 ____D () C:\ProgramData\hollhekedfbbonlpkffcajbfnmdkecoo
  EmptyTemp:
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse. et constate si c'est mieux ??

[profwalken]

Cela semble nickel, les pubs résiduelles ont disparu.
Merci pour l'assistance, pour ne pas mourir idiot, qu'est ce qui te permet de préparer le fichier fixlist ?
Est ce un travail manuel d’épluchage des précédents fichiers ou bien un logiciel filtre ce qui doit être viré?

ci joint la log

Code : Tout sélectionner

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 08-02-2015
Ran by Alain at 2015-02-10 16:54:26 Run:1
Running from C:\Users\Alain\Desktop
Loaded Profiles: Alain (Available profiles: Alain & nanab & Invité)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
BHO: nnicenufreee -> {ab5188a4-cc54-494f-93b1-eedf23cc2030} -> C:\Program Files (x86)\nnicenufreee\b14mIptDcC0Vag.x64.dll ()
BHO: raocckaetsalee -> {fc452c7b-fce8-4365-9b28-4edf32306824} -> C:\Program Files (x86)\raocckaetsalee\pBjZoUb1jbi0xI.x64.dll ()
BHO-x32: nnicenufreee -> {ab5188a4-cc54-494f-93b1-eedf23cc2030} -> C:\Program Files (x86)\nnicenufreee\b14mIptDcC0Vag.dll ()
BHO-x32: raocckaetsalee -> {fc452c7b-fce8-4365-9b28-4edf32306824} -> C:\Program Files (x86)\raocckaetsalee\pBjZoUb1jbi0xI.dll ()
Toolbar: HKU\S-1-5-21-3351720645-3546819871-2786090523-1000 -> No Name - {434D472D-5637-006A-76A7-7A786E7484D7} - No File
2015-02-08 17:37 - 2015-02-08 17:37 - 00000000 ____D () C:\ProgramData\ikiaocgkjmimollhdeefknhjpnnofpcp
2015-02-08 17:37 - 2015-02-08 17:37 - 00000000 ____D () C:\Program Files (x86)\Hey Girl
2015-02-08 17:37 - 2015-02-08 17:37 - 00000000 ____D () C:\Program Files (x86)\buyffasst
2015-02-08 17:36 - 2015-02-08 17:37 - 00000000 ____D () C:\Program Files (x86)\raocckaetsalee
2015-02-08 17:36 - 2015-02-08 17:37 - 00000000 ____D () C:\Program Files (x86)\nnicenufreee
2015-02-08 17:36 - 2015-02-08 17:37 - 00000000 ____D () C:\Program Files (x86)\Lowruate
2015-02-08 16:43 - 2015-02-08 16:43 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (7).exe
2015-02-06 16:32 - 2015-02-06 16:32 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (6).exe
2015-02-05 13:53 - 2015-02-05 13:54 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (5).exe
2015-02-05 13:53 - 2015-02-05 13:54 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (4).exe
2015-02-05 13:50 - 2015-02-05 13:50 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (3).exe
2015-02-05 13:50 - 2015-02-05 13:50 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (2).exe
2015-02-05 13:48 - 2015-02-05 13:48 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (1).exe
2015-02-05 13:44 - 2015-02-05 13:44 - 01999600 _____ (Elex do Brasil Participações Ltda) C:\Users\Alain\Downloads\yet_another_cleaner_mmacn.exe
2015-01-27 16:00 - 2015-01-27 17:05 - 00000000 ____D () C:\ProgramData\tZRsDRiB
2015-01-27 12:20 - 2015-01-27 12:20 - 00141752 _____ (Rentabiliweb) C:\Users\Alain\Downloads\transexmessenger (2).exe
2015-01-25 17:12 - 2015-01-25 17:12 - 00001248 _____ () C:\Users\Alain\AppData\Roaming\FHUPXACS
2015-01-19 18:06 - 2015-01-19 18:06 - 00000000 ____D () C:\ProgramData\hollhekedfbbonlpkffcajbfnmdkecoo
EmptyTemp:
*****************

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ab5188a4-cc54-494f-93b1-eedf23cc2030}" => Key deleted successfully.
"HKCR\CLSID\{ab5188a4-cc54-494f-93b1-eedf23cc2030}" => Key deleted successfully.
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fc452c7b-fce8-4365-9b28-4edf32306824}" => Key deleted successfully.
"HKCR\CLSID\{fc452c7b-fce8-4365-9b28-4edf32306824}" => Key deleted successfully.
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ab5188a4-cc54-494f-93b1-eedf23cc2030}" => Key deleted successfully.
"HKCR\Wow6432Node\CLSID\{ab5188a4-cc54-494f-93b1-eedf23cc2030}" => Key deleted successfully.
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fc452c7b-fce8-4365-9b28-4edf32306824}" => Key deleted successfully.
"HKCR\Wow6432Node\CLSID\{fc452c7b-fce8-4365-9b28-4edf32306824}" => Key deleted successfully.
HKU\S-1-5-21-3351720645-3546819871-2786090523-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{434D472D-5637-006A-76A7-7A786E7484D7} => value deleted successfully.
HKCR\CLSID\{434D472D-5637-006A-76A7-7A786E7484D7} => Key not found. 
C:\ProgramData\ikiaocgkjmimollhdeefknhjpnnofpcp => Moved successfully.
C:\Program Files (x86)\Hey Girl => Moved successfully.
C:\Program Files (x86)\buyffasst => Moved successfully.
C:\Program Files (x86)\raocckaetsalee => Moved successfully.
C:\Program Files (x86)\nnicenufreee => Moved successfully.
C:\Program Files (x86)\Lowruate => Moved successfully.
C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (7).exe => Moved successfully.
C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (6).exe => Moved successfully.
C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (5).exe => Moved successfully.
C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (4).exe => Moved successfully.
C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (3).exe => Moved successfully.
C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (2).exe => Moved successfully.
C:\Users\Alain\Downloads\yet_another_cleaner_mmacn (1).exe => Moved successfully.
C:\Users\Alain\Downloads\yet_another_cleaner_mmacn.exe => Moved successfully.
C:\ProgramData\tZRsDRiB => Moved successfully.
C:\Users\Alain\Downloads\transexmessenger (2).exe => Moved successfully.
C:\Users\Alain\AppData\Roaming\FHUPXACS => Moved successfully.
C:\ProgramData\hollhekedfbbonlpkffcajbfnmdkecoo => Moved successfully.
EmptyTemp: => Removed 1.1 GB temporary data.


The system needed a reboot. 

==== End of Fixlog 16:54:45 ====

Un Grand MERCI

[angelique]

c'est un épluchage manuel (comme tu dis) à la lecture des rapports qui permet de faire le fixlist.txt

➫ supprime frst.exe, ses rapports et C:\FRST


➫ Quelques conseils :


Utilise Malwarebyte's Anti-Malware : https://www.malekal.com/malwarebyte-ant ... les-virus/
Fais des scans réguliers avec, il est efficace.


Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/